Pola untuk menentukan prioritas risiko dari Risk Register Aset SPBE yang harus ditangani terlebih dahulu

Arreza MP September 06, 2024 0 Komentar

Pola untuk menentukan prioritas risiko dari Risk Register Aset SPBE yang harus ditangani terlebih dahulu

 

Pola untuk menentukan prioritas risiko dari Risk Register Aset SPBE yang harus ditangani terlebih dahulu

Untuk membuat prioritas risiko dari risk register SPBE (Sistem Pemerintahan Berbasis Elektronik) yang memiliki nilai risiko yang sama, Anda bisa menggunakan beberapa pendekatan tambahan yang membantu menentukan urutan prioritas penanganan. Berikut adalah beberapa metode yang dapat digunakan:

1. Fokus pada Dampak (Impact)

  • Fokus pada dampak tertinggi. Meskipun nilai risiko keseluruhan sama, jika ada risiko dengan dampak yang lebih tinggi (misalnya dampak "High" atau "Critical"), prioritaskan risiko tersebut terlebih dahulu. Dampak yang lebih besar bisa berarti kerugian finansial, reputasi, atau operasional yang lebih signifikan.
  • Contoh:
    • Dua risiko dengan nilai yang sama (misalnya, "High"), namun satu risiko memiliki dampak pada data sensitif (Confidentiality - "C") dan satu lagi pada ketersediaan layanan (Availability - "A"). Jika pelanggaran kerahasiaan lebih berisiko secara hukum atau reputasi, risiko ini bisa lebih diprioritaskan.

2. Kemungkinan Terjadinya (Likelihood)

  • Meskipun nilai risiko sama, Anda bisa memberi prioritas pada risiko dengan kemungkinan lebih tinggi. Risiko yang lebih mungkin terjadi harus ditangani lebih cepat.
  • Contoh:
    • Dua risiko dengan nilai yang sama, tetapi satu di antaranya memiliki likelihood "Likely" dan yang lain "Possible". Prioritaskan risiko yang "Likely" karena kemungkinan terjadinya lebih tinggi.

3. Jenis Aset atau Fungsi Layanan

  • Risiko yang berhubungan dengan aset kritis (misalnya, sistem keuangan, layanan publik penting, atau data sensitif) harus diprioritaskan lebih dulu. Aset-aset ini memiliki nilai strategis bagi organisasi.
  • Contoh:
    • Sistem keuangan daerah mungkin lebih diprioritaskan daripada sistem manajemen persuratan, meskipun nilai risikonya sama, karena kegagalan sistem keuangan dapat berdampak lebih luas.

4. Aspek Risiko: Confidentiality, Integrity, Availability (C/I/A)

  • Berdasarkan model C/I/A (Confidentiality, Integrity, Availability), Anda bisa menilai mana di antara aspek-aspek ini yang paling kritis bagi organisasi. Misalnya, untuk sistem yang menangani data sensitif, kerahasiaan lebih penting daripada ketersediaan.
  • Contoh:
    • Jika risiko pelanggaran kerahasiaan (Confidentiality) memiliki dampak besar secara hukum, finansial, atau reputasi, ini bisa lebih diprioritaskan dibandingkan risiko yang berdampak pada ketersediaan (Availability).

5. Eksistensi Pengendalian atau Rencana Mitigasi

  • Risiko yang memiliki pengendalian atau mitigasi yang belum kuat bisa diberikan prioritas lebih tinggi dibandingkan risiko yang sudah ada pengendalian yang lebih kuat.
  • Contoh:
    • Jika risiko pertama sudah memiliki firewall dan kontrol akses yang ketat, sedangkan risiko kedua belum ada kontrol yang memadai, maka risiko kedua bisa lebih diprioritaskan meskipun nilai risikonya sama.

6. Dampak terhadap Kepatuhan dan Hukum

  • Risiko yang berhubungan dengan regulasi atau kepatuhan hukum (misalnya terkait dengan undang-undang privasi data) perlu diprioritaskan lebih tinggi. Pelanggaran terhadap aturan tersebut dapat menimbulkan denda atau sanksi hukum.
  • Contoh:
    • Risiko terkait pelanggaran data yang diatur oleh undang-undang GDPR/UU PDP mungkin lebih diprioritaskan daripada risiko yang terkait dengan penurunan performa layanan.

7. Strategi Bisnis atau Prioritas Organisasi

  • Pertimbangkan strategi bisnis organisasi. Risiko yang dapat mempengaruhi target bisnis utama harus diprioritaskan. Risiko yang menghambat layanan inti organisasi (misalnya layanan publik yang vital) akan memiliki prioritas yang lebih tinggi.

Contoh Penggunaan Skala Prioritas:

NoAset/Proses/LayananLikelihoodImpactNilai RisikoPrioritas
1Portal PemerintahLikelyHighHigh1
2Aplikasi Layanan Pajak DaerahPossibleHighHigh2
3Sistem Informasi KepegawaianLikelyMediumHigh3
4Jaringan Data PemerintahPossibleHighHigh4

Dalam contoh di atas, meskipun nilai risiko sama (High), portal pemerintah mendapatkan prioritas lebih tinggi karena memiliki kemungkinan lebih besar (Likely), diikuti oleh sistem lain berdasarkan prioritas yang ditentukan oleh likelihood dan dampaknya.

Penutup:

Untuk memprioritaskan risiko yang memiliki nilai yang sama, Anda dapat menggunakan kombinasi dari:

  • Tingkat dampak tertinggi,
  • Likelihood (kemungkinan terjadinya),
  • Kritikalitas aset,
  • Aspek C/I/A yang terpengaruh,
  • Pengendalian yang ada,
  • Kepatuhan hukum atau regulasi, serta
  • Kepentingan bisnis organisasi.

Dengan menggunakan metode di atas, Anda dapat secara efektif menentukan prioritas risiko yang harus ditangani terlebih dahulu.


Rangkuman:

Kombinasi dari Tingkat dampak tertinggi, Likelihood (kemungkinan terjadinya), Kritikalitas aset, Aspek C/I/A yang terpengaruh, Pengendalian yang ada, Kepatuhan hukum atau regulasi, serta

Kepentingan bisnis organisasi. 

Tags
Related Article

Anda mungkin menyukai postingan ini

0 Komentar