Risk assessment (penilaian risiko) adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak. Risk assessment merupakan kunci dalam perencanan pemulihan bencana. Penilaian risiko, proses menganalisis dan menafsirkan risiko terdiri dari tiga kegiatan dasar yaitu: (1) menentukan ruang lingkup dan metodologi penilaian, (2) mengumpulkan dan menganalisis data, dan (3) menafsirkan hasil analisis risiko.
a. Menentukan Ruang Lingkup dan Metodologi Penilaian
Langkah pertama dalam melakukan risk assessment adalah mengidentifikasi sistem yang sedang dipertimbangkan, bagian sistem yang akan di analisis, dan metode analisis yang akan digunakan.
Assessment dapat difokuskan pada area tertentu baik yang tingkat risikonya tidak diketahui maupun yang tingkat risikonya tinggi. Mendefinisikan ruang lingkup dan batasan dapat membantu peghematan biaya.
Faktor yang mempengaruhi ruang lingkup:
· Fase dalam siklus hidup sistem, misalnya lebih baik mengembangkan sistem baru daripada meng-upgrade sistem yang sudah ada.
· Kepentingan relatif dari sistem di bawah pemeriksaan, sistem yang lebih penting seharusnya di analisis lebih menyeluruh.
· Besar dan jenis sistem yang mengalami perubahan sejak analisis risiko terakhir.
Metodologi bisa berbentuk formal atau informal, rinci atau sederhana, tingkat tinggi atau rendah, kuantitatif atau kualitatf, atau kombinasi dari semuanya. Tidak ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan.
Cara menentukan batasan, ruang lingkup, dan metodologi akan memiliki konsekuensi besar dalam jumlah total usaha yang dihabiskan pada manajemen risiko dan jenis serta kegunaan dari hasil penilaian itu. Batasan dan ruang lingkup harus dipilih dengan cara yang akan memberikan hasil yang jelas, spesifik, dan berguna untuk sistem dan lingkungan.
b. Mengumpulkan dan Menganalisis Data
Risiko mempunyai banyak perbedaan komponen, diantaranya aset, ancaman, kerentanan, perlindungan, konsekuensi, dan kemungkinan. Pemeriksaan mencakup pengumpulan data tentang daerah yang terancam dan mensintesis serta menganalisis informasi agar berguna.
Untuk menghindari adanya kemungkinan pengumpulan informasi yang banyak namun hanya sedikit yang dapat di analisis, maka perlu diambil langkah untuk membatasi pengumpulan informasi dengan cara penyaringan. Sebuah upaya manajemen risiko harus fokus pada bidang-bidang yang menghasilkan konsekuensi terbesar bagi organisasi seperti menyebabkan kerugian yang besar. Hal ini dapat dilakukan oleh ancaman dan aset.
Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis komponen risiko secara terpisah. Misalnya, aset dan konsekuensi atau ancaman dan likelihoods dapat di analisa bersama-sama.
· Penilaian Aset (Asset Valuation)
Yang termasuk dalam penilaian aset yaitu informasi, software, personl, hardware, dan aset fisik. Nilai aset terdiri dari nilai intrinsik, dampak jangka pendek, dan konsekuensi jangka panjang dari kompromi tersebut.
· Penilaian Konsekuensi (Consequence Assessment)
Penilaian konsekuensi memperkirakan tingkat kesukaran atau kerugian yang bisa terjadi. Konsekuensi mengacu pada bahaya secara keseluruhan bukan hanya untuk jangka pendek atau dampak langsung. Sementara damapk seperti itu sering mengakibatkan pengungkapan, modifikasi, perusakan atau penolakan layanan. Konsekuensi jangka panjang memiliki efek yang lebih signifikan seperti hilangnya bisnis, kegagalan untuk melakukan misi sistem, hilangnya reputasi, pelanggaran privasi, cedera, atau korban jiwa. Semakin parah konsekuensi dari ancaman, semakin besar risiko sistem.
· Identifikasi Ancaman (Threat Identification)
Ancaman adalah suatu entitas atau peristiwa yang berpotensi membahayakan sistem. Yang termasuk dalam ancaman tipikal adalah kesalahan, penipuan, karyawan yang tidak puas, kebakaran, kerusakan air, hacker, dan virus. Ancaman harus diidentifikasi dan dianalisis untuk menentukan kemungkinan terjadinya ancaman tipikal dan potensinya untuk merusak aset. Analisis risiko harus berkonsentrasi pada ancaman-ancaman yang paling mungkin terjadi dan yang bisa mempengaruhi aset penting.
· Analisis Perlindungan (Safeguard Analysis)
Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik atau ukuran lain yang mengurang kerentanan sistem dari ancaman. Analisis perlindungan harus mencakup pemeriksaan dari efektifitas kebijakan keamanan yang ada. Hal ini juga dapat mengidentifikasi perlindungan baru yang diterapkan dalm sistem, namun biasanya dilakukan belakangan dalam proses manajemen risiko.
· Analisis Kerentanan (Vulnerability Analysis)
Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering di analisis dalam hal hilangnya pengamanan. Kerentanan berkontribusi mengambil risiko karena memungkinkan ancaman untuk membahayakan sistem.
Keterkaitan kerentanan, ancaman, dan aset sangat penting untuk analisis risiko. Keterkaitan ini dapat dilihat pada gambar 1. Namun, ada hubungan timbal balik lain seperti adanya kerentanan yang mendorong ancaman.
Gambar 1 Keterkaitan antara ancaman, kerentanan, pengamanan, dan aset.
· Penilaian Kemungkinan (Likelihood Assessment)
Kemungkinan adalah perkiraan frekuensi atau kesempatan terjadinya ancaman. Sebuah penilaian mungkin mempertimbangkan keberadaan, keuletan, dan kekuatan dari ancaman serta efektifitas perlindungan. Secara umum, banyak informasi tentang ancaman lemah, terutama yang berkaitan dengan ancaman manusia. Dengan demikian, pengalaman di bidang ini sangat penting. Semakin besar kemungkinan ancaman terjadi, semakin besar pula risikonya.
c. Menafsirkan Hasil Analisis Risiko
Penilaian risiko digunakan untuk mendukung dua fungsi terkait yaitu penerimaan risiko dan pemilihan biaya kontrol yang hemat. Untuk mencapai fungsi-fungsi tersebut, penilaian risiko harus menghasilkan output yang berarti, yang mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan interpretasi risiko untuk risiko yang paling signifikan adalah cara lain dalam proses manajemen risiko yang difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan hasil yang bermanfaat. Jika risiko diinterpretasikan secara konsisten di seluruh organisasi, hasilnya dapat digunakan untuk memprioritaskan sistem yang harus diamankan.
Baca Selengkapnya...
Tidak ada komentar:
Posting Komentar