Risk management adalah metode untuk penilaian dan mitigasi resiko terhadap aspek kebutuhan keamanan informasi yang memuat 3 unsur penting yaitu : Confidentiality (kerahasiaan), Integrity (integritas), dan Availability (ketersediaan).
Penerapan ini berguna untuk mengetahui profil risiko teknologi informasi, analisa terhadap risiko, kemudian mengambil tindakan terhadap risiko tersebut sehingga tidak terjadi dampak-dampak yang nantinya akan timbul oleh risiko tersebut. Manajemen risiko teknologi informasi (IT risk management) merupakan suatu proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh sebuah perusahaan atau organisasi, yang dilakukan oleh manajer IT untuk mencapai tujuan bisnis, mengurangi risiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan melindungi teknologi informasi perusahaan tersebut. Namun dalam pelaksanaannya, terdapat beberapa macam hambatan umum terhadap data dan sistem teknologi informasi yang meliputi :
Kerusakan perangkat keras dan perangkat lunak
Malware (Malicious Software)
• Virus komputer
• Spam, scams, and phishing
• Kesalahan manusia (human error)
Selain hambatan umum tersebut, dalam IT risk management juga mengelola hambatan kriminal terhadap teknologi informasi suatu perusahaan, antara lain yaitu :
1. Hackers, yaitu orang-orang yang secara tidak sah menerobos masuk ke dalam sistem komputer.
2. Fraud, yaitu penggunaan komputer untuk memanipulasi data untuk kepentingan yang melanggar hukum.
3. Denial of service, yaitu serangan online yang membuat pengguna tidak dapat mengakses situs tertentu.
4. Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal perusahaan.
Jika manajemen risiko diatur dengan baik, proses akan terus menerus identifikasi masalah dan resolusi, maka sistem akan mudah melengkapi sistem lain. Ini termasuk organisasi, perencanaan dan penganggaran, dan kontrol biaya. Hal-hal yang tidak terduga akan berkurang karena penekanan akan menjadi manajemen yang proaktif dan bukan reaktif.
Adapun proses dari manajemen risiko IT yaitu :
1. Mengidentifikasi Risiko
Perusahaan mengungkap, mengenali dan menggambarkan risiko yang mungkin mempengaruhi proyek.
2. Menganalisis Risiko
Ketika risiko sudah diidentifikasi, perusahaan menentukan kemungkinan dan konsekuensi dari setiap risiko yang ada. Perusahaan lalu mengembangkan sebuah pemahaman tentang sifat risiko dan potensi untuk mempengaruhi tujuan dan sasaran proyek .
3. Mengevaluasi Risiko
Perusahaan mengevaluasi risiko dengan menentukan besarnya risiko, yang merupakan kombinasi dari kemungkinan dan konsekuensi. Lalu perusahaan membuat keputusan apakah risiko itu dapat diterima atau tidak.
4. Memantau dan Mempertimbangkan Risiko
Ini adalah proses dimana perusahaan memantau setiap risiko yang ada untuk menghindari risiko yang lebih besar.
Alasan utama mengapa suatu perusahaan perlu untuk menerapkan proses manajemen risiko adalah untuk mendukung misi perusahaan dan melindungi aset dari perusahaan tersebut. Pada IT risk management, erat kaitannya dengan bagaimana implementasi security pada suatu perusahaan sehingga diperlukan pemahaman tentang proses bisnis organisasi dan kemungkinan risiko yang berdampak pada proses bisnis tersebut. Risk management akan sangat membantu manajemen perusahaan untuk menyeimbangkan antara dampak dari risk dan cost yang dibutuhkan untuk meminimalisir risiko tersebut.
Previous Next
View Larger Image
7 Risiko Keamanan IT
1. Phishing
Phishing merupakan praktik penipuan yang digunakan untuk mendapatkan informasi pribadi atau informasi kartu kredit dari seseorang dengan menjebak mereka melalui penawaran atau menyamar sebagai perusahaan yang memiliki reputasi yang baik.Misalnya, penyerang (attacker) akan mengirimi Anda email yang mengaku berasal dari sumber yang dikenal dan meminta Anda memberikan informasi akun atau kartu kredit Anda.Menurut penelitian dari IBM, lebih dari setengah email semuanya adalah spam. Studi lain mengklaim bahwa 97% orang tidak dapat mengenali serangan ini.
2. Malware
Layaknya phishing, malware adalah masalah keamanan utama untuk bisnis dari semua ukuran. Malware adalah software yang berbahaya yang memasuki komputer Anda melalui drive yang terinfeksi, unduhan dan jaringan yang tidak dapat diandalkan.
Beberapa jenis malware yang terkenal adalah viruses, worms, Trojan horses, ransomware, adware dan spyware. Malware dapat mencuri informasi, merusak data dan mempengaruhi kinerja komputer Anda.
3. Using Outdated Software
Tidak memperbarui software Anda tidak berarti Anda tidak akan mendapatkan versi terbaru, itu berarti Anda mengekspos data Anda terhadap kerentanan keamanan yang dieksploitasi oleh peretas dengan cepat. Selain itu, sistem Anda akan terganggu oleh ketidakcocokan software, masalah kepatuhan dan kinerja yang buruk.
4. Access to Unauthorized Person
Anda akan menghadapi risiko pelanggaran data jika Anda tidak peduli siapa yang mengakses sistem data atau zona sensitif IT Anda. Orang jahat hanya memerlukan flash drive untuk mendapatkan data sensitif Anda.
5. Open Wi-Fi
Jaringan Wi-Fi yang terbuka melibatkan koneksi yang tidak dienkripsi, mesin yang disusupi, atau bahkan hotspot itu sendiri bisa berbahaya yang meninggalkan data pengguna dengan risiko yang besar. Dilaporkan bahwa ada 100.000 Wi-Fi publik tanpa jaminan di seluruh dunia.
6. Ignorant Employees
Terkadang kesalahan atau kelalaian karyawan Anda dapat mendatangkan malapetaka pada data bisnis, jaringan, dan program Anda. Misalnya, beberapa karyawan membiarkan PC mereka tanpa pengawasan terbuka untuk mengunjungi situs dan sumber berbahaya.
Atau mereka dapat menyimpan perangkat yang berisi data sensitif. Untuk itu, harusnya mereka dididik tentang keamanan cyber. Agar kejadian yang tidak diinginkan tidak akan terjadi.
7. Insider Threat
Karyawan yang jahat lebih berbahaya bagi data sensitif Anda daripada ancaman eksternal atau kerentanan teknis. Kerugian dari kejahatan yang dilakukan oleh orang dalam sangat signifikan karena orang-orang ini akrab dengan sistem data perusahaan dan memiliki akses ke akun sensitif
Tidak ada komentar:
Posting Komentar