Friday, September 25, 2009

Risk Management

No doubt the potential of IT risk management is still a well-kept secret. Over the past few years, many organizations have increased the effectiveness of their IT controls or reduced their cost by employing sound risk-analysis and risk-management practices. When management has a representative view of organizational IT exposures, it can direct appropriate resources to mitigate the areas of highest risk rather than spending scarce resources in areas that provide little or no return on investment. The net result is a higher degree of risk reduction for every dollar spent. With few exceptions, whether related to financial, physical, or technological resources, different types of risk can be calculated using the same universal formula. Risk can be defined by the following calculation:


Risk = asset value × threat × vulnerability

Elements of Risk

  • Assets (Normally represented as a monetary value, assets can be defined as anything of worth to an organization that can be damaged, compromised, or destroyed by an accidental or deliberate action. In reality, an asset’s worth is rarely the simple cost of replacement; therefore, to get an accurate measure of risk, an asset should be valued taking into account the bottom-line cost of its compromise. For example, a breach of personal information may not cause a monetary loss at first glance, but if it actually were realized, it likely would result in legal action, damage to the company’s reputation, and regulatory penalties. These consequences potentially would cause a significant financial loss. In this case, the asset-value portion of the equation would represent the personal information. The calculated value of the personal information would include an estimate of the cumulative dollar cost of the legal action, reputation damage, and regulatory penalties).
  • Threats (A threat can be defined as a potential event that, if realized, would cause an undesirable impact. The undesirable impact can come in many forms, but often results in a financial loss. Threats are generalized as a percentage, but two factors play into the severity of a threat: degree of loss and likelihood of occurrence. The exposure factor is used to represent the degree of loss. It is simply an estimate of the percentage of asset loss if a threat is realized).
  • Vulnerabilities (Vulnerabilities can be defined as the absence or weakness of cumulative controls protecting a particular asset. Vulnerabilities are estimated as percentages based on the level of control weakness. We can calculate control deficiency (CD) by subtracting the effectiveness of the control by 1 or 100 percent).

IT Risk Management Life Cycle

As with most methodologies, risk management, when applied properly, takes on the characteristics of a life cycle. It can be broken out into several phases beginning with identification of information assets and culminating with management of residual risk.

Ruang Lingkup Proyek

Berhubung sangat luasnya ruang lingkup pekerjaan yang ada dalam proyek pengembangan sistem berbasis teknologi informasi maka saya batasi hanya pada proyek pengembangan aplikasi perangkat lunak komputer.

Metodologi kerja yang digunakan dalam pengembangan aplikasi perangkat lunak ini adalah RUP (rational unified process). RUP termasuk dalam metodologi berorientasi obyek sehingga dalam implementasinya pun diarahkan pada pemograman berorientasi obyek (object oriented programming/OOP).

Keunggulan metodologi kerja berorientasi obyek dibandingkan dengan metodologi prosedural yang banyak dipakai di era jadul (jaman dahulu) adalah setiap kegiatan yang termasuk di dalamnya dapat dilakukan secara paralel.

Sehingga dapat mempersingkat waktu dan menghemat sumber daya yang ada dibandingkan dengan metodologi berorientasi prosedural yang menuntut diselesaikannya dengan baik dari setiap tahapan kegiatan.

Jika kemudian terdapat kekurangan/kesalahan di fase sebelumnya maka kemungkinan besar harus diulang dari awal dalam proses pekerjaannya.

Sedangkan dalam metodologi berorientasi obyek, setiap tahapan pekerjaan dapat dilaksanakan dan dievaluasi kapanpun secara paralel.

Dalam RUP, pengembangan perangkat lunak dibagi ke dalam 4 tahapan yang memiliki fokus yang erbeda-beda.

Empat tahapan Metodologi RUP adalah sebagai berikut:

  1. Insepsi: Melakukan pengumpulan data, menetapkan ruang lingkup, serta analisis dan desain awal.
  2. Elaborasi: Melakukan penjabaran analisa kebutuhan dan menetapkan arsitektur serta kerangka aplikasi. Analisa dan desain sistem mulai dilakukan.
  3. Konstruksi: Melakukan analisa dan desain teknis diikuti dengan pengkodean ke dalam kode sumber aplikasi.
  4. Transisi: Melakukan transisi dari pengembangan dan testing menuju penggunaan sesungguhnya, meliputi pemaketan, instalasi, uji coba oleh pengguna, pelatihan, konversi data, dan konfigurasi akhir.

Dimana di dalam setiap fase ini ada beberapa bidang kegiatan yang akan berlangsung secara paralel yang terdiri atas:

  • Business modeling: mendokumentasikan proses bisnis, yaitu cara kerja pengguna dalam memanfaatkan aplikasi ini (baik tanpa aplikasi maupun cara kerja yang diinginkan dengan menggunakan aplikasi).
  • Requirements: mendeskripsikan secara detil apa yang akan dilakukan oleh aplikasi, hal ini dilakukan dengan penyusunan dokumen use-case dan business rules.
  • Analysis and Design: mendeskripsikan solusi teknis yang akan digunakan untuk mencapai perilaku yang sudah ditetapkan dalam kegiatan requirement. Desain di sini meliputi desain alur, desain interaksi, desain visual, dan desain teknis.
  • Implementation: merealisasikan desain ke dalam kode komputer yang dapat dieksekusi oleh komputer.
  • Test: melakukan uji coba untuk menghilangkan kesalahan-kesalahan yang mungkin timbul. Uji coba terdiri dari dua jenis, yaitu uji coba proses yang dilakukan secara otomatis oleh software dan uji coba antar muka yang dilakukan oleh tester.
  • Deployment: melakukan pemaketan, instalasi, konversi data, konfigurasi aplikasi.
    Configuration and Change Management: pengelolaan dokumentasi, kode, dan aplikasi yang dihasilkan dalam pengerjaan proyek terutama berkaitan dengan perubahan-perubahan yang terjadi.
  • Project management: meliputi kegiatan perencanaan, pelaksanaan, pengelolaan sumber daya, pembagian tugas, pengontrolan, dan evaluasi tim kerja.
    Environment: pengelolaan alat, sarana, prosedur, guidelines yang diperlukan pada saat pengembangan.