Apa itu Kerangka Kerja Manajemen Risiko?

Kerangka kerja manajemen risiko adalah pendekatan terstruktur berurutan, berbasis aturan, dan terdokumentasi untuk membantu memeriksa, mengurangi, serta memantau risiko dalam suatu organisasi. Organisasi memilih kerangka kerja terstandardisasi atau membuatnya sendiri, alih-alih mengatasi risiko dengan proses ad-hoc. Dengan menggunakan kerangka kerja, Anda dapat lebih percaya diri dalam mencapai hasil yang lebih baik dan respons yang lebih cepat jika terjadi peristiwa yang tidak terduga.

Manajemen risiko adalah fungsi dari area bisnis tata kelola, risiko, dan kepatuhan (GRC), sering berada di dalam departemen keamanan siber atau kepatuhan. Cara organisasi Anda menangani risiko dapat sangat penting untuk keberlangsungan bisnis, operasi, kepatuhan terhadap peraturan, dan reputasi. Kerangka kerja manajemen risiko membantu Anda mengidentifikasi, menilai, memitigasi, dan melacak risiko di seluruh organisasi. 

Risiko dapat memengaruhi organisasi, lini bisnis, dan aset bisnis. Hal ini termasuk operasional, bisnis, kepatuhan, keamanan siber, hukum, merger dan akuisisi, privasi, perangkat keras, perangkat lunak, serta risiko kontraktual. Sementara perusahaan sering fokus pada risiko siber, penting juga untuk tidak mengabaikan tipe risiko lainnya. Dokumen ini terutama akan mencakup risiko operasional, bisnis, dan kepatuhan karena berlaku untuk cloud.

Risiko operasional terkait dengan ketersediaan, keandalan, performa, dan keamanan infrastruktur. Kategori risiko ini paling penting untuk operasi sehari-hari.

Risiko bisnis terkait dengan reputasi, daya saing, dan kondisi pasar. Tipe risiko ini memiliki ruang lingkup yang lebih luas dibandingkan dengan risiko operasional dan dapat memiliki dampak keseluruhan yang lebih signifikan pada bisnis.

Risiko kepatuhan mengacu pada kemungkinan bahwa operasi bisnis akan gagal memenuhi standar kepatuhan peraturan wajib. Tipe risiko ini dapat mengakibatkan denda, sanksi, implikasi hukum, atau peningkatan tingkat audit dan pelaporan. Tujuan kepatuhan berasal dari standar industri, lembaga federal, dan badan pengatur lainnya.

Kerangka kerja manajemen risiko umum meliputi:

• Kerangka Manajemen Risiko (RMF) National Institute of Standards and Technology (NIST) untuk Sistem Informasi dan Organisasi
• COBIT
• ISO/IEC 31000 Manajemen risiko - Panduan
• ISO/IEC 27005:2022 Keamanan informasi, keamanan siber, dan perlindungan privasi — Panduan mengelola risiko keamanan informasi
• Analisis Faktor Risiko Informasi

Menggunakan kerangka kerja manajemen risiko yang diketahui dan diperbarui secara rutin disarankan agar tetap mengikuti praktik terbaik pengelolaan risiko.

Kerangka kerja manajemen risiko yang kuat membantu mengelola semua tipe risiko di seluruh organisasi.

Identifikasi risiko

Identifikasi semua aset, ancaman, dan kerentanan di seluruh arsitektur organisasi. Risiko adalah ancaman terhadap aset yang muncul dari kerentanan. Mengidentifikasi potensi risiko dapat menjadi proses yang panjang yang mencakup banyak vektor organisasi dan tujuan bisnis.

Anda dapat mengategorikan risiko ke dalam bidang-bidang, seperti teknis, manusia, proses, keuangan, atau pihak ketiga. Anda juga dapat membagi masing-masing kategori yang lebih luas ini; misalnya, dalam kategori 'manusia', memecahnya lebih jauh menjadi keterampilan, kesalahan manual, dan silo pengetahuan.

Analisis dampak

Dengan menganalisis aset, ancaman, dan kerentanan, Anda dapat menentukan kemungkinan dan ukuran dampak dari potensi risiko yang terjadi. Analisis dan penilaian risiko mencakup pengukuran kualitatif serta kuantitatif. Misalnya, Anda dapat mengumpulkan semua detail tentang tipe risiko tertentu, atau mengembangkan matriks penilaian risiko untuk mengategorikan risiko, yang akan menentukan konsekuensi dan strategi mitigasi. Kategori-kategori ini dapat mencakup skor risiko rendah, sedang, tinggi, dan sangat tinggi, tergantung pada kemungkinan suatu peristiwa dan dampak yang diperkirakan.

Strategi mitigasi

Berikut ini adalah empat strategi mitigasi risiko untuk mengatasi setiap risiko tertentu:

• Mitigasi: Terapkan kontrol untuk menghilangkan atau mengurangi risiko
• Terima: Terima risiko apa adanya, sambil memantau dengan cermat perubahan kemungkinan terjadinya risiko atau tingkat keparahan risiko
• Hindari: Eliminasi risiko dan konfigurasikan ulang sistem
• Transfer: Alihdayakan fungsi yang berkaitan dengan risiko, buat mitigasi kontraktual, atau asuransikan terhadap peristiwa tersebut

Selain tingkat keparahan dan kemungkinan risiko, toleransi risiko organisasi juga dapat membantu menentukan strategi yang tepat.

Implementasi solusi

Bergantung pada strategi mitigasi yang dipilih, Anda dapat menerapkan kontrol, membuat perubahan sistem, memperkenalkan solusi pemantauan, dan mengalihdayakan risiko. Kontrol dapat bersifat administratif, fisik, atau teknis. Tahap ini mungkin melibatkan banyak sistem, unit bisnis, pemangku kepentingan, dan langkah-langkah untuk menghasilkan hasil yang diinginkan.

Solusi mitigasi risiko dapat mencakup proses eskalasi risiko, penunjukan penanggung jawab risiko, dan kolaborasi dengan tim respons insiden untuk mengembangkan rencana pascainsiden.

Setelah menerapkan solusi, Anda menghitung sisa risiko. Sebagian besar solusi tidak dapat sepenuhnya menghilangkan risiko, sehingga sisa risiko tetaplah ada. Sisa risiko ini dapat berfluktuasi saat kondisi berubah.

Tata kelola dan pemantauan berkelanjutan

Setelah implementasi solusi mitigasi risiko, Anda harus memantau, melacak, menganalisis, dan mengaudit risiko jika diperlukan. Anda harus membuat pelaporan tentang proses pelacakan risiko untuk penanggung jawab risiko, tim GRC, dan kepemimpinan.

Dalam kerangka kerja tata kelola, harus ada proses yang sesuai permintaan dan dijadwalkan secara teratur untuk mengidentifikasi risiko baru serta risiko yang meningkat bagi bisnis. Anda harus menetapkan kebijakan seputar manajemen risiko dan frekuensi evaluasi kembali proses saat ini dan memberikan pelatihan kepada anggota tim yang sesuai. Terapkan batasan pengaman untuk secara otomatis membantu mencegah tipe risiko yang sama terulang kembali.

Panduan ini menunjukkan kepada Anda cara menerapkan pipeline AWS yang selaras dengan fase kerangka kerja manajemen risiko yang umum.

Tiga layanan utama AWS yang digunakan di setiap fase proses manajemen risiko untuk mendapatkan dukungan:

• AWS Audit Manager untuk terus mengaudit penggunaan AWS Anda guna menyederhanakan penilaian risiko dan kepatuhan
• AWS Config untuk menilai, mengaudit, dan mengevaluasi konfigurasi sumber daya Anda
• AWS Security Hub untuk memprioritaskan masalah keamanan penting Anda melalui korelasi otomatis dan konteks risiko yang ditingkatkan, ditambah pelaporan postur keamanan, dan banyak lagi

1. Perencanaan

Fase perencanaan memastikan organisasi memiliki fondasi yang kuat untuk membangun proses manajemen risiko praktik terbaik.

Rencanakan untuk melakukan aktivitas manajemen risiko praktik terbaik dengan layanan berikut:

• AWS CloudTrail untuk melacak aktivitas pengguna dan penggunaan API
• AWS Control Tower untuk menyiapkan dan mengatur lingkungan AWS multiakun Anda yang aman
• AWS Identity and Access Management untuk mengelola identitas dan akses ke layanan serta sumber daya AWS secara aman.
• AWS IAM Access Manager untuk mengidentifikasi akses eksternal, internal, dan tidak terpakai ke sumber daya AWS Anda
• AWS Organizations untuk manajemen berbasis kebijakan di banyak akun AWS
• AWS Secrets Manager untuk mengelola akses ke rahasia di seluruh organisasi Anda
• AWS Systems Manager untuk patching dan kepatuhan otomatis

2. Penemuan

Fase penemuan menemukan dan menandai aset, sumber daya, dan layanan Anda.

Untuk menemukan dan mengategorikan aset Anda, gunakan layanan AWS berikut:

• Amazon Macie untuk menemukan dan melindungi data sensitif Anda
• AWS CloudFormation untuk memperkenalkan infrastruktur sebagai kode (IaC)
• Penjelajah Sumber Daya AWS untuk mencari dan menemukan sumber daya yang relevan di seluruh AWS
• Inventaris AWS Systems Manager untuk memberikan visibilitas tentang lingkungan komputasi AWS Anda
• Alat AWS Well-Architected untuk mengevaluasi arsitektur cloud Anda terhadap praktik terbaik.

3. Pemilihan kontrol dan aturan

Fase seleksi memperkenalkan kontrol dan aturan untuk melindungi terhadap risiko yang teridentifikasi.

Pilih kontrol dari aturan praktik terbaik yang telah ditentukan sebelumnya di layanan AWS berikut:

• Aturan terkelola AWS Config untuk aturan yang telah ditentukan sebelumnya dan dapat dikustomisasi yang digunakan AWS Config untuk mengevaluasi apakah sumber daya AWS Anda mematuhi praktik terbaik umum
• AWS Control Tower dan AWS Security Hub untuk kontrol keamanan, dan AWS Audit Manager untuk kontrol kepatuhan kebijakan.
• Kepatuhan AWS Systems Manager adalah alat di AWS Systems Manager tempat Anda dapat membuat tipe dan definisi kepatuhan Anda sendiri berdasarkan persyaratan IT atau bisnis

4. Penerapan

Penerapan memastikan bahwa kontrol diterapkan secara konsisten di semua aset dan lingkungan yang diinginkan.

Anda dapat menggunakan alat implementasi kontrol berikut di seluruh layanan AWS:

• AWS CloudFormation untuk deployment kontrol tersemat yang dikombinasikan dengan AWS Service Catalog untuk membuat, berbagi, mengorganisasikan, dan mengatur templat IaC terkurasi Anda
• AWS Config, untuk aturan kontrol dan langkah selanjutnya
• AWS Security Hub untuk penerapan aturan keamanan
• AWS Systems Manager untuk kepatuhan kebijakan di seluruh sumber daya dan layanan

5. Penilaian

Penilaian mengukur seberapa baik performa kontrol yang diterapkan dalam praktik.

Anda dapat menilai seberapa baik organisasi Anda dalam mengelola risiko dengan kombinasi layanan AWS berikut:

• AWS Audit Manager untuk penilaian yang dapat dilacak
• AWS Config untuk memeriksa aturan kepatuhan
• Amazon Detective unruk menganalisis dan memvisualisasikan data keamanan guna menyelidiki potensi masalah keamanan
• Amazon GuardDuty untuk melakukan pemantauan ancaman berkelanjutan pada akun, beban kerja, dan data AWS
• AWS Inspector untuk melakukan penilaian risiko kerentanan otomatis
• AWS Security Hub untuk penilaian risiko keamanan yang selalu aktif

AWS Trusted Advisor adalah opsi lain bagi organisasi yang menyiapkan kerangka kerja manajemen risiko mereka. Layanan AWS Trusted Advisor menyediakan pemeriksaan pada optimisasi biaya, performa, keamanan, toleransi kesalahan, batas layanan, dan keunggulan operasional. Anda dapat melihat peringatan, tindakan yang disarankan, dan sumber daya tambahan melalui dasbor. Pelanggan AWS dapat mengakses alat tersebut di​https://console.aws.amazon.com/trustedadvisor/home.

6. Otorisasi

Fungsi otorisasi memformalkan pendekatan, langkah-langkah sebelumnya, dan penerimaan sisa risiko dan pemantauan.

Lakukan otorisasi dengan percaya diri dengan menggunakan layanan AWS berikut:

• AWS Artifact menghasilkan laporan keamanan dan kepatuhan AWS serta ISV
• AWS Audit Manager menyediakan pelaporan untuk pengambil keputusan
• AWS Config merinci laporan kepatuhan dan pelacakan
• AWS Security Hub menawarkan tampilan waktu nyata tentang keadaan keamanan dan pelaporan sistem

7. Pemantauan

Pemantauan berkelanjutan memastikan proses manajemen risiko tetap mutakhir dan menggabungkan risiko baru dan yang berubah.

Dapatkan pemantauan berkelanjutan dengan layanan AWS berikut:

• AWS CloudWatch untuk memantau aplikasi, memperingatkan adanya anomali, dan memberikan wawasan tentang kondisi operasional untuk kepatuhan
• AWS Config untuk pemantauan kepatuhan berkelanjutan
• Amazon EventBridge untuk membuat respons otomatis berdasarkan pemicu di layanan AWS lainnya
•  AWS Security Hub untuk pemantauan keamanan berkelanjutan
• AWS Systems Manager untuk pemantauan patch dan konfigurasi

Organisasi yang ingin meningkatkan ketahanan dan performa organisasi mereka harus menerapkan kerangka kerja manajemen risiko. Kerangka kerja manajemen risiko membantu mengurangi dan memahami risiko bagi korporasi, sehingga membuat hal-hal yang tidak diketahui ini jauh lebih mudah untuk dikelola.

Memilih kerangka kerja terstandardisasi dan membangunnya adalah cara yang bagus untuk memulai, dan AWS menawarkan layanan yang memfasilitasi implementasi kerangka kerja. Digabungkan dengan Kerangka Kerja AWS Well-Architected, Anda dapat membuat fondasi yang kuat untuk tata kelola, risiko, dan kepatuhan di AWS.

Mulailah membangun proses manajemen risiko Anda di AWS dengan membuat akun gratis sekarang juga.