Dalam business continuity management pengidentifikasian, penilaian resiko dan pengelolaan resiko merupakan hal yang diharuskan. Dengan mengidentifikasi resiko-resiko membuat organisasi menjadi peduli kepada hal-hal yang mengancam keberlangsungan bisnis

Artikel ini menunjukkan pada anda bagaimana melindungi organisasi terhadap ; insiden-insiden yang dapat menghentikan kegiatan organisasi anda, biasanya disebut sebagai business continuity management.

Sebelum benar-benar terjadi, insiden ini disebut sebagai tread/ancaman dan masing-masing tipe dari risiko memungkinkan terjadinya dampak potensial jika insiden itu diidentifikasi. Termasuk tipe ancaman diantaranya yaitu:

1. Kerusakan properti seperti kebakaran, banjir dan gempa bumi

2. Yang dapat memberhentikan seluruh atau sebagaian staf dari pekerjaan mereka, seperti: penyakit, pemogokan, masalah transportasi dan sebagainya

3. Menempatkan staf dan properti dalam situasi berisiko seperti ancaman dan tindakan terorisme

4. Menghentikan organisasi dari kemampuan memproses kerja, seperti hilangnya sistem, kegagalan jaringan dan hilangnya key supplier.

Setiap organisasi harus mampu menentukan potensi dari setiap ancaman yang diyakini dan dapat dipertimbangkan sebagai ancaman serius atau hanya mengancam sebagian dari organisaasi. Daftar ancaman-ancaman tersebut perlu di tinjau secara rutin untuk mengidentifikasi kemungkinan terdapatnya ancaman baru. Misalnya, ancaman yang ditimbulkan akibat dari kesalahan atau kelemahan pada program atau bugs sistem informasi yang digunakan, ancaman dari program-program virus terbaru, mallware terbaru atau metode hacking terbaru yang dapat mengancam keberlangsungan layanan sistem informasi yang secara langsung juga mempengaruhi keberlangsungan organisasi.

Jika organisasi anda memiliki operasional resiko, maka semua risiko ini biasanya hanya berada pada tingkatan yang rendah, namun jika risiko tersebut berada pada level yang lebih tinggi, maka risiko tersebut perlu segera dipertimbangkan dan organisasi harus dapat memastikan bahwa semua tindakan pencegahan yang kemungkinan berada pada tempat yang tepat dan kesiapan operasional untuk pemulihan dari segala ancaman perlu dilakukan pengujian.

Masing-masing ancaman yang diidentifikasi perlu dilakukan penilaian terhadap risiko untuk menentukan apakah perlu diambil tindakan pencegahan terhadap risiko tersebut. Dalam fase ini dilakukan penilaian kemungkinan terjadinya (probobilitas) dan dampak potensialnya dipisahkan pada empat skala dari yang rendah (low) ke tinggi (high). Misalnya low, medium low, medium high, dan high. Sejumlah langkah pencegahan juga dipersiapkan, biasanya dimulai pada risiko dengan skala medium hingga skala risiko tinggi. Kemudian segala kemungkinan dan dampaknya harus dinilai pada risiko yang melekat. Artinya risiko tanpa memperhitungkan setiap kontrol pencegahan atau mitigasi. Kebanyakan insiden business continuity benar-benar diluar kendali organisasi, tetapi dimana kontrol dapat membuat perbedaan, insiden itu kemungkinan akan terjadi ketika kontrol mereka telah gagal.

Setelah daftar ancaman diidentifikasi beberapa organisasi sering tergoda untuk segera merancang solusi perbaikan untuk masing-masing ancaman tersebut. Ada kekurangan dalam pendekatan ini bahwa anda akan berakhir dengan mengabaikan strategi yang berbeda-beda pada setiap insiden sehingga menjadi tidak terstruktur secara rinci. Dengan menggunakan pendekatan yang lebih terstruktur yaitu dengan mengelompokkan insiden dan responnya berdasarkan apa yang memicu insiden tersebut. Dengan ini, dapat dibuat rangkaian peristiwa yang akan terjadi jika sesuatu insiden lain terjadi, anda dapat merencanakan solusi pencegahan berdasarkan insiden utama yang menyebabkan serangkaian insiden tersebut terjadi. Setiap pemicu respon dapat dipicu oleh sejumlah insiden atau ancaman yang berbeda. Demikian juga setiap insiden atau ancaman bisa dipicu oleh sejumlah respon.

sebagai contoh mempertimbangkan dampak selama perjalanan baik dari pemogokan transportasi atau ledakan pipa air yang telah mengepung organisasi. Keduanya akan memiliki pemicu sepanjang baris :

Pencegahan akses staf untuk organisasi .

Biasanya sebuah organisasi dapat membuat daftar respon trigger untuk setengah lusin atau lebih, yang biasanya bervariasi pada hilangnya tempat, karyawan, peralatan, sistem atau pemasok utama. Setiap kali ancaman baru diidentifikasi, bisa disebabkan oleh menjadi pemicu yang telah ada atau dari pemicu yang baru. Kemungkinan respon pemicu yang diperlukan adalah jumlah dari kemingkinan semua ancaman itu terkait dengan.

Pentingnya setiap pemicu dapat ditentukan dengan menggunakan Business Impact Analisys (BIA) untuk menilai dampak pada semua proses yang penting dalam organisasi.

Menentukan bagaimana organisasi Anda harus menanggapi setiap satu pemicu akan melindungi Anda terhadap segala ancaman yang telah diidentifikasi dan pada dasarnya menentukan strategi kelangsungan bisnis Anda.

FaHRizal Fatah, Konsultan Proxsis IT