Di lapangan, risk assessment sering mentok karena langsung ngomong kontrol dan teknologi. Padahal, di ISO/IEC 27001:2022, kuncinya justru ada di tiap bagian yang pegang proses dan informasi.
Contohnya di HR. Mereka pegang data karyawan: kontrak, gaji, penilaian kinerja. Risiko paling nyatanya bukan server down, tapi kebocoran data pribadi atau akun mantan pegawai yang masih aktif. Dampaknya bisa ke hukum dan trust internal—dan itu langsung kerasa.
Pindah ke Finance. Di sini risikonya lebih “mahal”. Salah approval, phishing email, atau manipulasi data transaksi bisa langsung jadi kerugian finansial dan temuan audit. Makanya, ngobrol risk di Finance selalu nyambung ke kontrol berlapis dan pemisahan peran, bukan sekadar antivirus.
Di Sales/Marketing, aset utamanya database pelanggan dan CRM. Risikonya sering datang dari hal sepele: akun dipakai ramai-ramai, login di device pribadi, atau data pelanggan kebawa ke luar. Sekali bocor, trust pelanggan dan potensi revenue ikut kena.
Sementara IT biasanya kena sorotan paling dulu. Padahal perannya lebih ke memastikan platform aman: server, jaringan, backup, dan recovery jalan. Risiko mereka itu serangan siber, salah konfigurasi, atau gagal restore—yang efeknya bisa menjalar ke seluruh unit.
Intinya, risk owner itu pemilik proses, bukan cuma tim IT. Kalau tiap bagian paham informasi apa yang mereka jaga dan dampaknya ke bisnis, risk assessment jadi hidup, bukan tabel mati buat audit.
🔍 Security jadi efektif saat semua bagian sadar risikonya sendiri.
#ISO27001 #ISO270012022 #RiskAssessment #ISMS #InformationSecurity #RiskBasedApproach #GRC #CyberAwareness
