 |
Dalam banyak organisasi, hampir semua risiko keamanan informasi ujung-ujungnya “mendarat” di IT. Data bocor? IT. Akses berlebihan? IT. Human error? Tetap IT. Padahal sumber risikonya sering kali bukan dari teknologi, tapi dari proses bisnis dan perilaku manusia.
Di sinilah konsep risk owner sering keliru dipahami. Risk owner bukan yang paling paham teknis, tapi yang punya kendali atas proses bisnis tempat risiko itu muncul. Kalau risiko berasal dari proses rekrutmen, HR-lah risk owner-nya. Kalau dari alur pembayaran, itu wilayah Finance. IT berperan penting, tapi lebih sebagai control owner atau enabler, bukan penanggung jawab tunggal.
Dalam ISO/IEC 27001:2022, pembagian peran ini krusial. Tanpa risk owner yang tepat, mitigasi sering tidak jalan. Kontrol bisa ada di atas kertas, tapi tidak diinternalisasi dalam SOP, kebiasaan kerja, dan pengambilan keputusan unit terkait.
Pengelolaan risiko yang matang bukan soal siapa yang disalahkan, tapi siapa yang paling berwenang membuat perubahan. Saat risk owner jelas, diskusi risiko jadi lebih sehat, mitigasi lebih realistis, dan IT tidak lagi jadi “kambing hitam” setiap insiden.
🧠Keamanan informasi adalah tanggung jawab organisasi, bukan hanya urusan IT.
#RiskOwner #RiskManagement #ISO27001 #ISO270012022 #InformationSecurity #ISMS #GRC #CyberSecurity
){kind=link}