Penerapan program Sistem Manajemen Risiko dan Keamanan Informasi (SMRKI) pada sebuah organisasi membutuhkan strategi yang akan menjadi pedoman dalam setiap aktifitas terkait dengan risiko dan keamanan informasi.
Ketika menyusun atau memperbarui strategi SMRKI Anda, terdapat beberapa hal yang harus diperhatikan untuk memastikan manfaatnya bagi organisasi dan juga cukup logis untuk diterapkan dan dapat diharapkan berhasil. Pada artikel ini akan dijelaskan 5 diantara hal penting yang menurut John P Pironti, perlu dipertimbangkan dalam hal ini sebagaimana disadur oleh manajemen-ti dari jurnal ISACA:
(Baca juga: KPK dan Keamanan Informasi)
1. Validasi strategi Anda dengan pihak yang tepat di awal-awal penyusunannya
Kunci keberhasilan setiap strategi adalah persepsi positif dan kesadaran atas nilai/manfaatnya oleh para pihak terkait. Seringkali para profesional SMRKI mengasumsikan bahwa mereka ini sudah faham kebutuhan organisasi dan ekspektasinya, termasuk juga manfaat-manfaat yang akan didapatnya jika menerapkan strategi-strategi yang diusulkan. Walaupun mungkin saja mereka memang sudah mengerti, tapi sangat penting untuk memvalidasi asumsi-asumsi yang mereka pahami mengenai strategi ini untuk memastikan bahwa memang mereka telah menyetujuinya. Tanpa dukungan mereka maka kemungkinan strategi ini akan sukses diterapkan menjadi kecil. Cara paling mudah untuk mendapatkan validasi ini adalah dengan melakukan sosialisasi konsep dan ide-ide yang Anda rencanakan untuk dimasukkan dalam strategi Anda dengan pimpinan dan para pemangku kepentingan utama di awal-awal proses penyusunan strategi ini. Jika mereka terlibat dalam mewarnai penyusunan strategi ini dan setuju dengan pandangan dan pendekatan Anda, maka kemungkinan sukses implementasi ini akan menjadi jauh lebih besar.
2. Selaraskan Strategi SMRKI dengan Profil Risiko Informasi Organisasi
Pendekatan SMRKI sebuah organisasi seharusnya memposisikan risiko informasi sebagai yang pertama dan baru keamanan yang kedua. Dalam penyusunan strategi SMRKI Anda, pastikan Anda telah menyelaraskan semua program dan aktifitas dengan profil risiko informasi organisasi. Profil ini akan mengidentifikasi tingkat appetite dari risiko informasi organisasi. Sebuah strategi yang berbasis pada risiko memiliki kemungkinan yang lebih besar untuk mendapatkan dukungan ketika disampaikan pada pimpinan organisasi mengingat ia didesain untuk menyelaraskan dengan kebutuhan dan ekspektasi organisasi. Jika organisasi Anda tidak memiliki sebuah profil risiko yang formal, maka carilah orang-orang yang seharusnya menjadi pemangku tanggung jawab manajemen risiko dalam organisasi (misal: keuangan, legal, kepatuhan, dll) serta para pemilik proses bisnis dan data untuk bekerja sama dengannya dalam mengidentifikasi tingkat risk appetite informasi dan ekspektasi-ekspektasi keamanan untuk membuat sebuah profil untuk mendukung mereka dalam melakukannya.
(Baca juga: 3 Lini Pertahanan Risiko)
3. Manfaatkan staf sebagai kekuatan pengganda
Para pimpinan dan individual kontributor yang terkait dengan program-program SMRKI sering merasa bahwa mereka bekerja terlalu keras dan kurang didukung oleh organisasinya. Salah satu pendekatan yang dapat membantu meringkan masalah ini adalah melalui para stafnya. Salah satu strategi yang sering berhasi adalah dengan mengidentifikasi orang-orang yang dapat diberi tugas sebagai kampiun SMKRI untuk fungsi-fungsi dan layanan kunci dalam organisasi Anda. Dengan memberdayakan para kampiun ini dengan pengetahuan, kemampuan dan ekspektasi-ekspektasi, mereka dapat membanu Anda dalam mencapai obyektif SMRKI tanpa perlu menambah anggaran atau staffing secara signifikan untuk program ini. Dengan dukungan para kampiun tersebut, penciptaan budaya yang peduli terhadap risiko dan keamanan di organisasi Anda akan sangat efektif sebagai kekuatan pengganda dari usaha Anda dalam menerapkan SMRKI sebagai sebuah aktifitas rutin yang business as usual.
4. Pertimbangkan kondisi bisnis saat ini dan akan datang
Kondisi bisnis saat ini dan akan datang memiliki pengaruh yang singnifikan dalam penyusunan strategi SMRKI. Jika –misalnya—organisasi anda saat ini atau diproyeksikan untuk melakukan pengetatan biaya investasi dan operasional, maka sesuaikanlah strateginya dengan kondisi ini. Bahkan untuk bidang-bidang seperti kepatuhan, dimana banyak profesional SMRKI berasumsi organisasi akan mau melakukan investasi untuk memastikan keselarasan, tetap saja perlu disusun rencana cadangan (kontingensi) kalau-kalau nanti mereka ini tidak bersedia atau tidak dapat melakukannya.
Atau jika organisasi Anda saat ini atau merencanakan untuk beroperasi dalam mode yang agresif untuk pertumbuhan bisnis, maka ini merupakan waktu yang ideal untuk beinvestasi melalui penerapan program-program dan kemampuan lainnya yang akan memastikan keselarasan dengan kebutuhan dan ekspektasi bisnis. Ketika menyusun strategi melalui salah satu skenario di atas, adalah sangat penting untuk mengidentifikasi dan memvalidasi nilai bagi bisnis dari strategi yang Anda usulkan tersebut untuk mendapatkan dukungan dari para pimpinan organisasi dan para sponsor.
(Baca juga: Integrasi GRC di era Integrasi Finansial)
5. Pastikan strategi dapat sukses diimplementasikan dan dioperasikan menggunakan anggaran dan sumber daya yang ada
Salah satu kesalahan umum yang sering dilakukan dalam pengembangan strategi SMRKI adalah dengan mengasumsikan bahwa pendanaan akan disediakan sebagai bagian dari eksekusinya. Kondisi bisnis dan tingkat appetite risiko informasi dari organisasi dapat saja berubah dengan cepat. Program SMRKI ini dapat menjadi sasaran empuk untuk penyesuaian (baca: pemangkasan) anggaran dan sumber daya. Jika dasar dari strategi Anda didasarkan pada penggunaan anggaran dan sumber daya yang dialokasikan saat ini, maka program SMRKI anda dan kemampuannya diharapkan akan menjadi lebih kokoh menghadapi dinamika organisasi. Komponen-komponen dari strategi Anda yang membutuhkan tambahan anggaran dan sumber daya sebaiknya didesain secara inisiatif-inisiatif yang modular sehingga nilai bisnis nya akan mudah dipahami dan diamati, tapi juga mudah untuk disesuaikan jika kondisi bisnis berubah.[manajemen-ti]
3 comments on "Rekomendasi untuk Strategi Manajemen Risiko dan Keamanan Informasi Anda"