Tujuan Perawatan Risiko
Kebanyakan orang berpikir penilaian risiko adalah bagian tersulit dari penerapan ISO 27001 – benar, penilaian risiko mungkin yang paling kompleks, tetapi perawatan risiko jelas merupakan salah satu yang lebih strategis dan lebih mahal.
Tujuan pengobatan risiko tampaknya agak sederhana: untuk mengendalikan risiko yang diidentifikasi selama penilaian risiko; Dalam kebanyakan kasus, ini berarti mengurangi risiko dengan mengurangi kemungkinan insiden (misalnya, dengan menggunakan bahan bangunan yang tidak mudah terbakar), dan/atau untuk mengurangi dampak pada aset (misalnya, dengan menggunakan sistem pencegah kebakaran otomatis).
Selama perawatan risiko, organisasi harus fokus pada risiko-risiko yang tidak dapat diterima; jika tidak, akan sulit untuk menentukan prioritas dan membiayai mitigasi semua risiko yang diidentifikasi.
Empat pilihan perawatan yang paling umum
Setelah Anda memiliki daftar risiko yang tidak dapat diterima dari fase penilaian risiko, Anda harus pergi satu per satu dan memutuskan bagaimana memperlakukan masing-masing – biasanya, opsi ini diterapkan:
Kurangi risiko – opsi ini adalah yang paling umum, dan ini mencakup penerapan perlindungan (kontrol) – misalnya, dengan menerapkan pencadangan Anda akan mengurangi risiko kehilangan data.
Hindari risiko – berhenti melakukan tugas atau proses tertentu jika mereka menanggung risiko yang terlalu besar untuk dimitigasi dengan opsi lain – misalnya, Anda dapat memutuskan untuk melarang penggunaan laptop di luar lokasi perusahaan jika risiko akses tidak sah ke laptop tersebut terlalu tinggi (karena, misalnya, peretasan semacam itu dapat menghentikan infrastruktur TI lengkap yang Anda gunakan).
Bagikan risiko – ini berarti Anda mentransfer risiko ke pihak lain – misalnya, Anda membeli polis asuransi untuk server fisik Anda terhadap kebakaran, dan oleh karena itu Anda mentransfer sebagian dari risiko keuangan Anda ke perusahaan asuransi. Sayangnya, opsi ini tidak memiliki pengaruh apa pun pada insiden itu sendiri, jadi strategi terbaik adalah menggunakan opsi ini bersama dengan opsi 1) atau 2).
Pertahankan (terima) risiko – ini adalah opsi yang paling tidak diinginkan, dan itu berarti organisasi Anda menerima risiko tanpa melakukan apa pun. Opsi ini harus digunakan hanya jika biaya mitigasi akan lebih tinggi daripada kerusakan yang akan ditimbulkan oleh insiden.
Mengurangi risiko adalah pilihan paling umum untuk mengobati risiko, dan untuk tujuan itu kontrol dari ISO 27001 Annex A digunakan (dan kontrol lain yang menurut perusahaan sesuai). Lihat di sini bagaimana kontrol diatur: Memahami kontrol ISO 27001 dari Lampiran A.
Implementasi Kontrol Keamanan
Sebelum memulai proses implementasi Anda, Anda harus menyadari risiko yang tidak dapat diterima dari penilaian risiko, tetapi juga anggaran yang tersedia untuk tahun berjalan, karena terkadang kontrol akan memerlukan investasi.
Saat memilih kontrol baru, pada dasarnya ada tiga jenis kontrol:
- Mendefinisikan aturan baru: aturan didokumentasikan melalui rencana, kebijakan, prosedur, instruksi, dll., Meskipun Anda tidak perlu mendokumentasikan beberapa proses yang kurang rumit.
- Menerapkan teknologi baru: misalnya, sistem cadangan, lokasi pemulihan bencana untuk pusat data alternatif, dll.
- Mengubah struktur organisasi: dalam beberapa kasus, Anda perlu memperkenalkan fungsi pekerjaan baru, atau mengubah tanggung jawab posisi yang ada.
Memutuskan kontrol mana yang akan dipilih
Perawatan risiko adalah langkah di mana Anda biasanya tidak akan memasukkan lingkaran orang yang sangat luas – Anda harus bertukar pikiran tentang setiap opsi perawatan dengan spesialis di perusahaan Anda yang fokus pada area tertentu. Misalnya, jika perawatan ada hubungannya dengan TI, Anda akan berbicara dengan orang-orang TI Anda; Jika ini tentang pelatihan baru, Anda akan berbicara dengan sumber daya manusia, dll.
Tentu saja, keputusan akhir tentang opsi perawatan baru akan memerlukan keputusan dari tingkat manajemen yang sesuai – kadang-kadang CISO akan dapat membuat keputusan seperti itu, kadang-kadang itu akan menjadi tim proyek Anda, kadang-kadang Anda harus pergi ke kepala departemen yang bertanggung jawab atas bidang tertentu (misalnya, kepala departemen hukum jika Anda meminta klausul tambahan dalam kontrak dengan mitra Anda), atau mungkin ke tingkat eksekutif untuk investasi yang lebih besar. Jika Anda memiliki keraguan tentang siapa yang dapat memutuskan apa, konsultasikan dengan sponsor proyek Anda.
Risiko Residual
Jika Anda memilih untuk mengukur risiko residual, yaitu, risiko yang akan tetap ada setelah Anda menerapkan kontrol, itu harus dilakukan bersama dengan orang yang bertanggung jawab di setiap departemen. Anda harus menunjukkan kepada orang-orang ini pilihan pengobatan mana yang telah Anda rencanakan, dan berdasarkan informasi ini, dan menggunakan skala yang sama seperti untuk penilaian risiko, menilai risiko residual untuk setiap risiko yang tidak dapat diterima yang diidentifikasi sebelumnya selama penilaian risiko.
Jadi, misalnya, jika Anda telah mengidentifikasi konsekuensi dari level 4 dan kemungkinan level 5 selama penilaian risiko Anda (yang berarti risiko 9 dengan metode penambahan), risiko residual Anda mungkin 5 jika Anda menilai bahwa konsekuensinya akan lebih rendah menjadi 3 dan kemungkinan menjadi 2 karena, misalnya, perlindungan yang Anda rencanakan untuk diterapkan.
Kontrol keamanan paling mahal tidak selalu yang terbaik
Ketika mempertimbangkan pilihan perawatan risiko, dan terutama perlindungan yang melibatkan investasi dalam teknologi, harap berhati-hati terhadap hal-hal berikut: sangat sering, ide pertama yang terlintas dalam pikiran akan menjadi yang paling mahal. Namun, terkadang ada alternatif yang akan sama efektifnya, tetapi dengan biaya lebih rendah – oleh karena itu, pikirkan baik-baik sebelum Anda membeli beberapa sistem baru yang mahal.
Juga, ketahuilah bahwa sebagian besar risiko ada karena perilaku manusia, bukan karena mesin – oleh karena itu, patut dipertanyakan apakah mesin adalah solusi untuk masalah manusia.
Dengan kata lain, ketika memperlakukan risiko Anda perlu menjadi kreatif – Anda perlu mencari cara untuk mengurangi risiko dengan investasi minimum. Akan menjadi yang termudah jika anggaran Anda tidak terbatas, tetapi itu tidak akan pernah terjadi.
Contoh Pengobatan Risiko
Contoh tabel perawatan risiko mungkin terlihat seperti ini:
| Asset | Threat | Vulnerability | Treatment option | Means of implementation |
| Server | Fire | No fire extinguisher | 1) Decrease risk + 2) Share risk |
Purchase fire extinguisher + buy insurance policy against fire |
| Laptop | Access by unauthorized persons | Inadequate password | 1) Decrease risk | Write Password Policy |
| System administrator | Leaving the company | No replacement | 1) Decrease risk | Hire second system administrator who will learn everything the first one does |
Cara Menulis Penilaian Risiko dan Laporan Perawatan
ISO 27001 tidak menentukan isi Laporan Penilaian Risiko; Ini hanya mengatakan bahwa hasil penilaian risiko dan proses perawatan risiko perlu didokumentasikan – ini berarti bahwa apa pun yang telah Anda lakukan selama proses ini perlu ditulis. Oleh karena itu, laporan ini tidak hanya tentang penilaian – ini juga tentang perawatan.
Laporan ini mencakup semua risiko yang diidentifikasi, pemilik risiko, dampak dan kemungkinannya, tingkat risiko, risiko yang tidak dapat diterima, dan pilihan perawatan untuk setiap risiko yang tidak dapat diterima.
Biasanya, laporan ditulis dalam bentuk pendek (misalnya, dalam satu halaman), di mana daftar rinci risiko dan kontrol dilampirkan.
Baca juga : Cara melakukan penilaian risiko
Rencana Perawatan Risiko VS. Proses Perawatan Risiko, Apa Bedanya?
Rencana Perawatan Risiko adalah salah satu dokumen kunci dalam ISO 27001; Namun, sangat sering bingung dengan dokumentasi yang dihasilkan sebagai hasil dari proses perawatan risiko. Inilah perbedaannya.
Bagaimana proses perawatan risikonya?
Proses perawatan risiko hanyalah satu fase dalam proses manajemen risiko yang mengikuti fase penilaian risiko dalam penilaian risiko, semua risiko perlu diidentifikasi, dan risiko yang tidak dapat diterima harus dipilih. Tugas utama dalam langkah perawatan risiko adalah memilih satu atau lebih opsi untuk mengobati setiap risiko yang tidak dapat diterima, yaitu, untuk memutuskan bagaimana mengurangi semua risiko ini.
Seperti yang dijelaskan pada bagian di atas, biasanya ada empat pilihan perawatan yang tersedia untuk perusahaan: mengurangi risiko, menghindari risiko, berbagi risiko, dan mempertahankan risiko.
Menurut ISO 27001, diperlukan untuk mendokumentasikan hasil perawatan risiko dalam Laporan Penilaian Risiko, dan hasil tersebut merupakan masukan utama untuk menulis Pernyataan Keberlakuan. Ini berarti bahwa hasil perawatan risiko tidak secara langsung didokumentasikan dalam Rencana Perawatan Risiko.
Bagaimana Anda menulis Rencana Perawatan Risiko?
Jadi, di mana Rencana Perawatan Risiko dalam seluruh proses ini? Jawabannya adalah: itu dapat ditulis hanya setelah Pernyataan Penerapan selesai.
Mengapa demikian? Untuk mulai memikirkan Rencana Perawatan Risiko, akan lebih mudah untuk menganggapnya sebagai “Rencana aksi” atau “Rencana implementasi,” karena ISO 27001 mengharuskan Anda untuk mencantumkan elemen-elemen berikut dalam dokumen ini:
- Kontrol keamanan mana dan aktivitas lain yang perlu Anda terapkan
- Siapa yang bertanggung jawab atas implementasi
- Apa tenggat waktunya
- Sumber daya mana (yaitu, keuangan dan manusia) yang diperlukan untuk implementasi, dan
- Bagaimana Anda akan mengevaluasi apakah implementasi dilakukan dengan benar
Tetapi untuk menulis dokumen seperti itu, pertama-tama Anda harus memutuskan kontrol mana yang perlu diimplementasikan, dan ini dilakukan (dengan cara yang sangat sistematis) melalui Pernyataan Keberlakuan.
Tujuan dari Rencana Perawatan Risiko
Pertanyaannya adalah, mengapa ISO 27001 tidak mengharuskan hasil dari proses perawatan risiko untuk didokumentasikan langsung dalam Rencana Perawatan Risiko? Mengapa langkah ini di antaranya diperlukan, dalam bentuk Pernyataan Penerapan (SoA)?
Dalam pandangan saya, para penulis ISO 27001 ingin mendorong perusahaan untuk mendapatkan gambaran komprehensif tentang keamanan informasi, ketika memutuskan kontrol mana yang berlaku dan mana yang tidak – melalui Pernyataan Penerapan. Untuk SoA, hasil dari perlakuan risiko bukan satu-satunya input – input lainnya adalah persyaratan hukum, peraturan dan kontrak, kebutuhan bisnis lainnya, dll. Dengan kata lain, SoA adalah dokumen yang lebih strategis yang mendefinisikan profil keamanan suatu organisasi, sedangkan Rencana Perawatan Risiko adalah rencana implementasi dari strategi tersebut.
Setelah Anda menulis dokumen ini, sangat penting untuk mendapatkan persetujuan manajemen Anda karena akan membutuhkan banyak waktu dan usaha (dan uang) untuk menerapkan semua kontrol yang telah Anda rencanakan di sini. Dan, tanpa komitmen mereka, Anda tidak akan mendapatkan semua ini.
Sebagai kesimpulan, Rencana Perawatan Risiko adalah titik di mana teori berhenti, dan kehidupan nyata dimulai sesuai dengan ISO 27001. Penilaian risiko dan proses perawatan risiko yang baik, serta Pernyataan Penerapan yang komprehensif, akan menghasilkan dasar untuk mencari tahu apa yang harus Anda lakukan dengan keamanan Anda, tetapi Rencana Perawatan Risiko adalah tempat Anda harus mulai melakukan hal yang nyata. Tetapi Anda tidak dapat mulai melakukan hal yang nyata sebelum Anda menemukan hal yang benar untuk dilakukan.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
