CARA MELAKUKAN RISK ASSESMENT DAN CARA MENYUSUN KEBIJAKAN DARI HASIL RISK ASSESMENT

1.        Menentukan lingkup dan metodologi penilaian

Langkah pertama dalam menilai risiko adalah untuk mengidentifikasi sistem yang sedang dipertimbangkan, bagian dari sistem yang akan dianalisis, dan metode analitik seperti tingkat detail dan formalitas. Penilaian ini dapat difokuskan pada daerah tertentu di mana tingkat risiko diketahui tinggi. Mendefinisikan ruang lingkup dan batas dapat membantu memastikan biaya efektif penilaian. Faktor yang mempengaruhi ruang lingkup mencakup tahap siklus hidup sistem, misalnya sistem baru yang dikembangkan lebih rinci dan cocok daripada sistem yang ada sehingga sistem yang ada akan mengalami upgrade. Faktor lain adalah kepentingan relatif dari sebuah sistem harus dianalisis lebih dalam dan menyeluruh.

Metodologi penilaian dapat formal atau informal, rinci atau disederhanakan, tinggi atau rendah, kuantitatif (computationally based) atau kualitatif (based on descriptions or rankings), atau kombinasi dari keduanya. Tidak ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan.

Batas, ruang lingkup, dan metodologi yang didefinisikan akan memiliki konsekuensi besar dalam hal (1) jumlah total usaha yang dihabiskan pada manajemen risiko dan (2) jenis dan kegunaan dari penilaian ini hasil. Batas dan ruang lingkup harus dipilih dengan cara yang akan menghasilkan hasil yang jelas, spesifik, dan berguna untuk sistem dan lingkungan di bawah pengawasan.

2.    Mengumpulkan dan menganalisis data

Risiko memiliki komponen antara lain aset, ancaman, kerentanan, perlindungan, dan konsekuensi. Pemeriksaan ini biasanya mencakup pengumpulan data tentang daerah yang mendapat ancaman dan mensintesis serta menganalisis informasi untuk membuatnya berguna.

Dalam risk assessment terdapat proses penyaringan, yaitu suatu proses yang digunakan untuk mengumpulkan lebih banyak informasi daripada yang dapat dianalisis, jadi terdapat langkah untuk membatasi pengumpulan informasi dan analisis. Risk management harus fokus pada daerah-daerah yang mengakibatkan konsekuensi terbesar bagi organisasi yaitu dapat menyebabkan kerugian besar. Hal ini dapat dilakukan oleh ancaman peringkat dan aset.

Sebuah metodologi manajemen risiko tidak selalu perlu untuk menganalisis masing-masing komponen dari risiko secara terpisah. Misalnya, aset/konsekuensi atau ancaman/likelihoods dapat dianalisa bersama-sama.

¨    Asset Valuation

Misalnya informasi, software, personil, hardware, dan fisik aset (seperti fasilitas komputer). Nilai aset terdiri dari nilai intrinsik, dampak jangka pendek, dan konsekuensi jangka panjang dari kompromi tersebut.

¨    Consequence Assessment

Memperkirakan tingkat kerusakan atau kerugian yang dapat terjadi. Konsekuensi mengacu pada bahaya, secara keseluruhan agregat yang terjadi, bukan hanya dampak langsung. Sementara dampak seperti itu sering mengakibatkan pengungkapan, modifikasi, penghancuran, atau penolakan layanan, konsekuensi jangka panjang lebih mengakibatkan efek yang signifikan, seperti kehilangan bisnis, kegagalan untuk melakukan misi sistem, hilangnya reputasi, pelanggaran privasi, cidera, atau korban jiwa. Semakin parah konsekuensi dari ancaman, semakin besar risiko ke sistem.

¨    Ancaman Identifikasi

Ancaman adalah suatu entitas atau peristiwa yang berpotensi membahayakan sistem. Tipe ancaman seperti error, penipuan, karyawan yang tidak puas, kebakaran, kerusakan air, hacker, dan virus. Ancaman harus diidentifikasi dan dianalisis untuk menentukan kemungkinan terjadinya dan potensi untuk membahayakan aset.

¨    Safeguard Analysis

Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik, atau ukuran lain yang mengurangi kerentanan sistem untuk ancaman. Safeguard analysis harus mencakup pemeriksaan dari efektivitas kebijakan keamanan yang ada. Hal ini juga dapat mengidentifikasi perlindungan baru yang dapat diterapkan dalam sistem, namun, ini biasanya dilakukan nanti dalam proses manajemen risiko.

¨    Vulnerability Analysis

Kerentanan adalah kondisi atau kelemahan prosedur keamanan, kontrol teknis, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering dianalisis dalam hal pengamanan yang hilang. Kerentanan berkontribusi mengambil risiko karena mereka mungkin "memungkinkan" ancaman untuk membahayakan sistem.

¨    Likelihood Assessment

Likelihood adalah perkiraan frekuensi atau kesempatan dari terjadinya ancaman. Sebuah penilaian kemungkinan mempertimbangkan keberadaan, keuletan, dan kekuatan dari ancaman serta efektivitas perlindungan (atau adanya kerentanan). Secara umum, informasi sejarah tentang banyak ancaman lemah, terutama yang berkaitan dengan ancaman manusia, dengan demikian, pengalaman di bidang ini penting. Beberapa data ancaman terutama pada ancaman fisik seperti kebakaran atau banjir lebih kuat. Perawatan harus diambil dalam menggunakan data ancaman statistik, sumber data atau analisis mungkin tidak akurat atau tidak lengkap. Secara umum, semakin besar kemungkinan ancaman yang terjadi, semakin besar risikonya.

3.    Hasil analisis risiko interpreting

Penilaian risiko digunakan untuk mendukung dua fungsi terkait, seperti penerimaan risiko dan pemilihan hemat biaya kontrol. Untuk mencapai fungsi-fungsi, penilaian risiko harus menghasilkan output yang berarti yang mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan interpretasi risiko untuk risiko yang paling signifikan adalah cara lain bahwa proses manajemen risiko dapat difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan hasil yang bermanfaat. Jika risiko diinterpretasikan secara konsisten di seluruh organisasi, hasilnya dapat digunakan untuk memprioritaskan sistem harus diamankan.