![[1] Kunjungan Industri Kesehatan: Menjejak Dunia Nyata](https://assets-a2.kompasiana.com/items/album/2025/08/12/img-20250812-084525-689aa9d934777c2b743d6152.jpg?t=t&v=100&x=100&info=meta_related)
Apakah ISMS Hanya Sekadar Simulasi? Menyoal Efektivitas Risk Analysis Framework di Dunia Nyata
Standar ISO 27001 telah lama diposisikan sebagai tonggak emas dalam manajemen keamanan informasi. Dengan jargon seperti "risk-based approach," "continuous improvement," dan "top management commitment," dokumen-dokumen kebijakan seolah menjelma menjadi pelindung sakti dari bencana digital. Namun ketika saya membaca artikel "Developing a Risk Analysis Strategy Framework for Impact Assessment in Information Security Management Systems" oleh Kitsios dkk. (2022), saya tidak bisa menahan diri untuk bertanya: apakah ini praktik nyata, atau hanya sekadar simulasi keamanan yang dibungkus jargon dan tabel risiko?
Ritual Risiko yang Terlalu Bersih
Artikel tersebut menawarkan sebuah studi kasus dari perusahaan konsultan TI bernama "Venus," yang berusaha mengimplementasikan ISO 27001 melalui kerangka kerja analisis risiko yang terstruktur. Mereka membangun sistem, menyusun matriks, menetapkan nilai probabilitas dan dampak secara kuantitatif, lalu membagi risiko ke dalam kategori "terima," "alih," "hindari," atau "kurangi." Di atas kertas, ini terdengar seperti kisah sukses penuh metode dan kehati-hatian.
Tapi justru di sinilah ironi bermula.
Proses yang dibutuhkan memakan waktu hampir setahun, melibatkan 16 iterasi dokumen, dan mengidentifikasi 309 skenario risiko. Dari jumlah itu, lebih dari dua pertiga ternyata sudah "teratasi" oleh kontrol yang ada sebelumnya. Pertanyaan yang langsung terlintas di benak saya: jika sebagian besar risiko sudah "tertangani" sejak awal, mengapa perlu membuang waktu berbulan-bulan menyusun kerangka kerja risiko baru? Apakah ini benar-benar tentang keamanan, atau sekadar tentang memenuhi compliance agar bisa mencantumkan logo ISO di halaman utama situs web perusahaan?
Ketika Matriks Menjadi Fetish
Model yang digunakan "Venus" bukanlah hal baru. Menentukan likelihood dan impact, mengalikan keduanya, dan memetakan skor risiko ke dalam warna-warni matriks. Tapi mari kita jujur: ini lebih menyerupai ritual administratif daripada representasi nyata dari ancaman dunia siber yang kompleks dan dinamis.
Apakah kita benar-benar bisa menyandarkan pertahanan organisasi pada model yang mengkuantifikasi kemungkinan insiden peretasan setara dengan probabilitas "0,6"? Siapa yang bisa mengklaim memiliki data empiris valid tentang seberapa sering ransomware menyerang tim proyek berbasis cloud dalam perusahaan konsultasi beranggotakan 4--30 orang? Dalam realitas, angka-angka ini lebih sering dikarang untuk menyesuaikan kebijakan daripada hasil perhitungan yang dapat diuji ulang.
Dan ketika akhirnya risiko "tinggi" ditemukan, solusinya nyaris selalu sama: tambahkan kontrol, audit lebih sering, latih pegawai. Bahasa ini terdengar bijak, tetapi sangat bisa diprediksi dan sering kali tidak menjawab pertanyaan paling mendasar: apakah organisasi benar-benar menjadi lebih aman, atau hanya terlihat lebih patuh?
CISO Baru, Masalah Lama
