Klausul 8.3 Mitigasi Risiko
Ini adalah langkah terakhir dari manajemen risiko yang dijelaskan pada klausul 6 Tindakan untuk mengatasi risiko dan peluang serta tambahan langkah pada klausul 8.2 Penilaian Risiko
Ada beberapa tips terkait mitigasi risiko yang akan dibuat dalam risk register
1. Ga usah terlalu muluk2, lakukan apa yang bisa / mungkin dilakukan. Misal :
- risk : ancaman serangan pada website / server aplikasi
- penilaian : high risk ( jarang terjadi tapi dampaknya berat)
- yang sudah dilakukan : memasang cloudfare
- mitigasi : lakukan penetrasi testing setiap 6 bulan sekali
lah iya kalo perusahaan punya dana buat penetration testing. keluarin dana belasan smpe puluhan juta per 6 bulan akan jadi aneh klo ketemu sama yang ga ngerti security IT. Apalagi hasilnya cuma dalam bentuk laporan. Orang finance akan ngerasa itu aneh dan boss akan ngerasa pemborosan
- saran mitigasi : lakukan VA setiap 3 bulan sekali menggunakan tools yang tersedia.
nah kalo ini kan lebih gampang, karena ini bisa dilakukan sendiri serta bisa menggunakan tools gratisan yang ada di internet
2. Gunakan sumber daya yang ada, terkecuali klo anda merasa perusahaan anda sangat kaya sehingga mampu mengeluarkan biaya untuk melakukan sesuatu
3. Lakukan mitigasi jangan cuma ditulis doang di risk register hehehe
4. Dokumentasikan hasil dari mitigasi tersebut. Pastikan anda mempunyai bukti telah melakukan mitigasi. Karena ini sering jadi celah auditor pada saa audit.
5. Sangat disarankan anda melakukan program kerja tahunan berdasarkan analisa risiko dan mitigasi yang anda tulis di risk register. Hal ini akan menjadi alasan kuat kenapa program kerja anda seharusnya diterima oleh perusahaan, serta menunjukkan kesinambungan proses dalam sebuah sistem manajemen. Dan pada konteks no 4 diatas, ini bisa jadi bukti terkait kinerja anda kepada atasan
Pada dasarnya alur proses manajemen risiko adalah proses berkesinambungan dengan membuat PDCA berdasarkan penilaian risiko. Dengan demikian kita bisa mengidentifikasi bahwa
PLAN = mengidentifikasi risiko
DO = melakukan analisa risiko dan melakukan mitigasi terhadap risiko
Check = Menilai hasil mitigasi pada kolom sisa / residu risiko
Action = melakukan updating risk register termasuk meninjau ulang risk tabel dan kriteria risiko yang anda miliki
Dan anda mengulang langkah PLAN kembali pada periode waktu tertentu
Semoga dapat memberikan insight baru dalam melakukan manajemen risiko, bukan hanya sekedar memenuhi persyaratan akan tetapi juga berguna untuk meningkatkan kinerja bisnis dan operasional perusahaan
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments