Perkembangan Enterprise Risk
Management
untuk Cloud Computing
Program
Studi Teknik Informatika S1, Fakultas Teknik
Abstrak
Dalam
evolusi teknologi komputasi, pengolahan informasi telah pindah dari mainframe
ke komputer pribadi ke server-centric computing ke Web. Saat ini, banyak
organisasi serius mempertimbangkan mengadopsi komputasi awan, tonggak utama
berikutnya dalam teknologi dan kolaborasi bisnis. Sebuah versi supercharged
memberikan layanan host melalui Internet, komputasi awan berpotensi
memungkinkan organisasi untuk meningkatkan kemampuan model bisnis mereka dan
kemampuan mereka untuk memenuhi kebutuhan sumber daya komputasi sambil
menghindari investasi yang signifikan dalam infrastruktur, pelatihan, personel,
dan perangkat lunak.
I.
Pendahuluan
Pada musim gugur 2010, seorang
eksekutif Google bersaksi di depan subkomite Kongres AS bahwa lebih dari tiga
juta bisnis di seluruh dunia adalah pelanggan dari penawaran layanan awan.
Gartner Inc memprediksi bahwa komputasi awan akan menjadi industri $
140.000.000.000 pada tahun 2014. Kemajuan teknologi dalam virtualisasi sistem,
manajemen sumber daya sistem, dan Internet telah menyebabkan munculnya
komputasi awan sebagai alternatif untuk memenuhi kebutuhan teknologi dari
berbagai jenis perusahaan, dengan manfaat sebagai berikut beresonansi dengan
para eksekutif:
- Pemenuhan sumber daya komputasi Seketika
- Nilai yang lebih besar dari pengeluaran teknologi dengan biaya rendah
- Platform teknologi umum yang dapat memfasilitasi standardisasi, dan
- Berkurangnya kebutuhan personil dukungan teknologi dalam negeri.
Seperti halnya peluang baru,
komputasi awan membawa risiko yang sepadan. Ini membawa kepada organisasi
dimensi yang berbeda dari kolaborasi dan interaksi manusia, ketergantungan
organisasi baru, pemenuhan sumber daya lebih cepat, dan model bisnis baru.
Komite Sponsoring Organizations of (COSO) Enterprise Risk Management Komisi Treadway
- Kerangka Terpadu menetapkan bahasa yang umum dan pondasi bagi organisasi
untuk menilai dan mengawasi risiko dari perspektif holistik. Mengutip
pernyataan abadi dibuat dalam publication1 bahwa: "Manajemen risiko
perusahaan memungkinkan manajemen untuk secara efektif menangani ketidakpastian
dan risiko yang terkait dan kesempatan, meningkatkan kapasitas untuk membangun
nilai." Cloud computing bisa menghadirkan perubahan yang signifikan
terhadap lingkungan operasi, penggunaan Enterprise COSO Manajemen Risiko -
Kerangka Terpadu akan memfasilitasi identifikasi risiko dan strategi mitigasi
dengan paradigma komputasi awan berkembang yang menyajikan peluang yang
signifikan serta ketidakpastian. Tujuan dari publikasi ini adalah untuk
memanfaatkan prinsip-prinsip Enterprise Risk Management COSO - Kerangka Terpadu
dalam rangka memberikan pedoman yang akan mengidentifikasi singkat risiko dan
dampak komputasi awan akan memiliki pada suatu organisasi. Para eksekutif lebih
berpendidikan menjadi tentang risiko dan manfaat dari komputasi awan, semakin
efektif mereka akan dapat mempersiapkan organisasi mereka untuk masa depan.
Pedoman yang disajikan di sini akan memungkinkan para eksekutif untuk
mengidentifikasi, memantau, dan mengurangi atau menerima risiko yang datang dengan
menggunakan komputasi awan.
A. ERM
ERM adalah suatu
proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak manajemen,
dan personel lain yang diaplikasikan pada penetapan strategy perusahaan,
didisain untuk mengidentifikasi kejadian yang potensial yang dapat berpengaruh
pada entitas, dan mengelola risiko yang dapat diterima, dan memberikan jaminan
keamanan yang beralasan dalam rangaka mencapai tujuan perusahaan Tingkat organisasi risiko dan profil risiko dalam
kebanyakan kasus berubah jika solusi cloud yang diadopsi (tergantung pada
bagaimana dan untuk tujuan apa solusi cloud yang digunakan). Pada dasarnya
konsep dari Enterprise Risk Management – Integrated Framework adalah
mengembangkan konsep internal control yang bebas dari pengaruh dan semakin
memfokuskan pada aspek manajemen risiko perusahaan.
Beberapa risiko yang khas terkait dengan
komputasi awan adalah:
a. Kurangnya
transparansi - Sebuah Perusahaan
penyedia layanan cloud tidak mungkin untuk membocorkan informasi
rinci tentang proses, operasi, kontrol, dan metodologi. Sebagai contoh,
pelanggan cloud memiliki sedikit wawasan tentang lokasi penyimpanan (s) data,
algoritma yang digunakan oleh CSP untuk penyediaan atau mengalokasikan sumber
daya komputasi, kontrol khusus yang digunakan untuk mengamankan komponen dari arsitektur komputasi
awan, atau bagaimana data pelanggan dipisahkan dalam awan.
b.
Keandalan dan kinerja isu - Kegagalan
sistem adalah peristiwa risiko yang dapat terjadi dalam lingkungan komputasi
tapi menimbulkan tantangan unik dengan komputasi awan. Meskipun perjanjian
tingkat layanan dapat disusun untuk memenuhi persyaratan tertentu, solusi CSP
mungkin terkadang tidak dapat memenuhi metrik kinerja ini jika penyewa awan atau
insiden menempatkan permintaan sumber daya tak terduga pada infrastruktur awan.
c.
Risiko kebocoran data - Sebuah
lingkungan awan multi-tenant di mana organisasi pengguna dan aplikasi berbagi
sumber daya menyajikan risiko kebocoran data yang tidak ada ketika dedicated
server dan sumber daya yang digunakan secara eksklusif oleh satu organisasi.
Ini risiko kebocoran data menyajikan titik tambahan pertimbangan sehubungan
dengan pertemuan privasi data dan persyaratan kerahasiaan.
Gambar 2.1 peranan ERM dalam cloud computing
B.
Cloud
Computing
Cloud
computing adalah sumber daya komputasi penyebaran dan pengadaan model yang
memungkinkan organisasi untuk memperoleh sumber daya komputasi dan aplikasi
dari lokasi manapun melalui koneksi Internet. Tergantung pada model solusi
cloud organisasi mengadopsi, semua atau bagian dari perangkat keras organisasi,
perangkat lunak, dan data mungkin tidak lagi berada pada infrastruktur
teknologi sendiri. Sebaliknya, semua sumber daya ini mungkin berada di pusat
teknologi bersama dengan organisasi lain dan dikelola oleh vendor pihak ketiga.
II. Pembahasan Permasalahan
Munculnya
komputasi awan harus dipertimbangkan sebuah acara di lingkungan operasi program
ERM organisasi .
Seperti
usaha apapun , menentukan tujuan dan program tindakan di muka meningkatkan
peluang keberhasilan . Akibatnya, rencana berkembang dengan baik yang jelas
mendefinisikan tujuan organisasi dan spesifik peran cloud computing akan
memungkinkan manajemen untuk membuat keputusan yang tepat . Beberapa prasyarat
ERM yang harus menjadi faktor dalam rencana mutu komputasi awan , dan akhirnya
solusi cloud , adalah model yang kuat pemerintahan , struktur pelaporan suara ,
pemahaman yang akurat tentang kemampuan IT internal dan kemampuan , dan risk
appetite yang ditetapkan .
Beberapa
tim manajemen melihat penilaian risiko dan program pemerintahan sebagai
opsional . Hal ini tidak biasa bagi organisasi untuk mengadopsi solusi
komputasi awan tanpa menerapkan evaluasi risiko formal maupun pengeluaran
setiap usaha untuk menyesuaikan ERM nya atau program pemerintahan . Ini adalah
praktek terbaik untuk
menggabungkan
tata awan pada tahap awal ( ketika strategi komputasi awan sedang didefinisikan
) sebelum solusi cloud diadopsi . Untuk organisasi yang sudah mengadopsi
komputasi awan tanpa mengikuti praktik ERM terbaik , masih bijaksana untuk
melakukan penilaian risiko dan membangun tata kelola awan .
III.
Penyelesaian
/ Solusi dari permasalahan
Dalam kasus di mana solusi cloud telah
dilaksanakan , kerangka ERM COSO dapat digunakan untuk membangun , memperbaiki
, atau melakukan pemeriksaan jaminan kualitas dari program tata kelola awan
dengan memastikan bahwa semua aspek utama dari program ( misalnya , tujuan ,
penilaian risiko , dan respon risiko ) telah ditangani sehubungan dengan persyaratan
manajemen . Sebuah program tata kelola awan yang efektif masih dapat dicapai
dengan menerapkan kerangka ERM COSO setelah pelaksanaan solusi cloud .
Situasi
praktek terbaik adalah ketika manajemen menggunakan kerangka ERM COSO untuk mengidentifikasi
konfigurasi yang ideal pilihan solusi cloud (yaitu , proses bisnis , model
penyebaran , dan model pengiriman layanan ) yang sesuai dengan risk appetite
manajemen . Dengan mengevaluasi kandidat solusi cloud dalam konteks
masing-masing komponen dari kerangka ERM COSO , manajemen singkat dapat
mengidentifikasi risiko yang terkait dan strategi penerimaan risiko atau
mitigasi yang diinginkan dengan setiap skenario solusi cloud ( sebagai risiko
akan bervariasi dengan masing-masing kombinasi pilihan ) . Evaluasi ini akan
memungkinkan manajemen untuk melakukan manajemen risiko dan tata kelola
keputusan yang bijaksana dalam memilih set yang ideal pilihan solusi cloud dan
menciptakan program pemerintahan awan dipikirkan dengan baik - out- sebelum solusi
cloud diimplementasikan .Bahan sisa bagian ini menguraikan beberapa konsep
kunci sehubungan dengan mengevaluasi kandidat solusi cloud melalui
masing-masing komponen dari kerangka COSO ERM :
Lingkungan
internal - Komponen lingkungan internal berfungsi sebagai dasar untuk
mendefinisikan dan risk appetite organisasi dalam hal bagaimana risiko dan
kontrol yang dilihat . Misalnya , jika manajemen memiliki kebijakan Tidak
Outsourcing salah satu operasi (yaitu , ada budaya penghindaran risiko ) ,
kebijakan ini akan membatasi pilihan yang layak untuk penyebaran awan dan
layanan model pengiriman sehingga solusi awan swasta mungkin satu-satunya
alternatif yang dapat diterima .
IV.
Kesimpulan
Manajemen
perlu mengevaluasi bagaimana komputasi awan sejalan dengan tujuan organisasi .
Tergantung pada keadaan , komputasi awan mungkin memberikan kesempatan bagi
organisasi untuk meningkatkan kemampuannya untuk mencapai tujuan yang ada ,
atau mungkin memberikan kesempatan untuk mendapatkan keuntungan kompetitif ,
yang akan membutuhkan tujuan baru yang akan ditetapkan .
Daftar Pustaka
Enterprise
Riks Management For Cloud Computing by Crowe Horwath LLP
Warren Chan | Eugene Leung | Heidi
Pili
|
Managing Risks of Cloud Computing the Focus of COSO’s Latest Thought
Leadership,
Jan
Lippman, 312-899-8414, jan.lippman@crowehorwath.com
Amanda
Shawaluk, 312-899-8416, amanda.shawaluk@crowehorwath.com
|
C o m m i t t e e o f S p o n s
o r i n g O r g a n i z a t i o n s o f t h e T r e a d w a y C o m m i s s i o
n
No comments:
Post a Comment