Ini kejadian yang sering banget di lapangan. Tim sudah capek-capek memetakan risiko, bikin mitigasi, bahkan mengaitkan ke ISO 27001. Tapi saat sampai ke meja manajemen… responsnya datar. Atau lebih parah: “nanti dulu” tanpa kejelasan.
Di titik ini, masalahnya biasanya bukan di risikonya, tapi di cara kita mengomunikasikannya.
Pertama, berhenti bicara kontrol. Manajemen jarang tertarik pada istilah teknis, tapi sangat peduli pada dampak. Ganti narasi dari “perlu enkripsi dan MFA” menjadi “kalau ini bocor, potensi gangguan layanan X hari dan risiko reputasi ke stakeholder utama”.
Kedua, buat risikonya jadi pilihan sadar, bukan rekomendasi abstrak. Tampilkan opsi-opsi, misal apakah merima risiko (accept), kurangi risiko (mitigate) + estimasi effort/biaya, atau apakah ditunda dengan konsekuensi yang jelas
Di sini manajemen sebenarnya sedang diminta mengambil keputusan, bukan sekadar menyetujui dokumen.
Ketiga, bicara pakai bahasa prioritas mereka. Hubungkan risiko ke target strategis, KPI, kepatuhan regulator, atau kepercayaan publik. Risiko yang “nggak nyambung ke tujuan bisnis” hampir pasti akan diabaikan.
Keempat, dokumentasikan penerimaan risiko. Kalau manajemen tetap memilih tidak melakukan mitigasi, itu sah—selama risiko dicatat sebagai risk acceptance. Dalam ISO 27001:2022, ini justru menunjukkan kedewasaan tata kelola, bukan kegagalan.
Terakhir, ingat satu hal: tugas kita bukan menghilangkan risiko, tapi memastikan risiko dipahami dan diputuskan secara sadar.
🔍 Good security governance is not about forcing controls, but enabling informed decisions.
#ISO27001 #ISO270012022 #RiskCommunication #RiskManagement #ISMS #GRC #InformationSecurity #DigitalGovernance
