IT risk management (manajemen resiko teknologi informasi) adalah proses yang dilakukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran cost dalam mencapai keuntungan dengan melindungi sistem IT dan data yang medukung misi organisasinya. Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses:
1. Risk Assessment
2. Risk Mitigation
3. Evaluation and assessment
1. Risk Assessment
Penilaian resiko (risk assessment) merupakan proses awal di dalam metodologi manajemen resiko. Secara lebih spesifik sejak dikeluarkannya COSO Internal Control Integrated Framework, risk assessment dengan tegas dianggap sebagai salah satu komponen dari sistem internal control (Woods; 2007).
Organisasi menggunakan risk assessment untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh System Development Life Cycle (SDLC). Output hasil dari proses ini membantu kearah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko sepanjang/ketika proses peringanan resiko (risk mitigation). Untuk menentukan kemungkinan suatu peristiwa/kejadian masa depan yang kurang baik, ancaman pada suatu sistem IT harus dianalisis bersama dengan vulnerability yang potensial dan pengendalian pada tempatnya untuk sistem IT. Menurut G. Stoneburner (2002) metodologi penilaian resiko meliputi sembilan langkah, sebagai berikut:
2. Risk Mitigation
Risk mitigation adalah satu langkah yang melibatkan usaha-usaha untuk memprioritaskan, mengevaluasi dan menjalankan kontrol atau pengendalian yang dapat mengurangi resiko yang tepat yang direkomendasikan dari proses risk assessment (Stoneburner; 2002). Risk mitigation biasanya dilakukan dengan memenuhi pendekatan biaya terendah (least-cost approach) dan melaksanakan kontrol atau pengendalian yang paling tepat (the most appropriate controls) sehingga dapat mengurangi resiko ke dalam tingkat yang dapat diterima dengan resiko yang paling minim (minimal adverse impact) terhadap sumber daya dan tujuan organisasi.
3. Evaluation and Assessment
Pada umumnya, di dalam suatu organisasi, jaringan secara terus menerus akan diperluas dan diperbaharui, komponen diubah dan aplikasi software-nya diganti atau diperbaharui dengan versi yang lebih baru. Perubahan ini berarti bahwa, resiko baru akan timbul dan resiko yang sebelumnya dikurangi, akan menjadi suatu perhatian. Demikian seterusnya, sehingga manajemen resiko akan berkembang.
Manajemen resiko seharusnya diselenggarakan dan terintergrasi dengan SDLC untuk sistem IT, bukan dikarenakan untuk kepentingan hukum atau regulasi, melainkan suatu “good practice” dan dukungan bisnis organisasi secara objektif atau berdasarkan misi.
Sumber:
Woods, Margaret, P. Linsley, P. Kajuter. 2008. International Risk Management. USA: Elsevier
Stoneburner, Gary., Goguen, Alice., Feringa, Alexis. 2002. Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology.