CARA MELAKUKAN RISK ASSESMENT DAN CARA MENYUSUN KEBIJAKAN DARI HASIL RISK ASSESMENT
Diposting oleh
Rastra Permana
| Kamis, 22 Maret 2012 at 20.09
Labels :
Keamanan Sistem Komputer
A. Cara untuk melakukan
Risk Assesment
Sebelum melakukan risk assessment (pengkajian
risiko), metodologi risk assessment harus ditetapkan terlebih dahulu.
Periksalah apakah instansi anda telah memiliki atau menetapkan
kebijakan/metodologi risk assessment. Metodologi risk assessment TIK
harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat
pusat, jika sudah ada.
Jika belum ada metodologi risk
assessment, lakukan penyusunan metodologinya dengan merujuk pada
standar-standar yang ada, baik standar nasional ataupun internasional. Khusus
untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat
dijadikan rujukan, antara lain:
a.
Pedoman
Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran
No.5/21/DPNP tanggal 29 September 2003)
b.
ISO/IEC27005
- Information Security Risk Management
c.
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
d.
NIST Special Publication 800-30:Risk Management Guide for Information
Technology Systems.
Dalam metodologi risk assessment juga
terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat
tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana
penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan
dengan merujuk pada metodologi yang telah ditetapkan tersebut.
Untuk melakukan risk assessment terdiri atas tiga dasar
kegiatan, antara lain:
1.
Menentukan
lingkup dan metodologi penilaian
Langkah pertama dalam menilai risiko
adalah untuk mengidentifikasi sistem yang sedang dipertimbangkan, bagian dari
sistem yang akan dianalisis, dan metode analitik seperti tingkat detail dan
formalitas. Penilaian ini dapat difokuskan pada daerah tertentu di mana tingkat
risiko diketahui tinggi. Mendefinisikan ruang lingkup dan batas dapat membantu
memastikan biaya efektif penilaian. Faktor yang mempengaruhi ruang lingkup
mencakup tahap siklus hidup sistem, misalnya sistem baru yang dikembangkan
lebih rinci dan cocok daripada sistem yang ada sehingga sistem yang ada akan
mengalami upgrade. Faktor lain adalah kepentingan relatif dari sebuah sistem
harus dianalisis lebih dalam dan menyeluruh.
Metodologi penilaian dapat formal atau
informal, rinci atau disederhanakan, tinggi atau rendah, kuantitatif (computationally
based) atau kualitatif (based on descriptions or rankings),
atau kombinasi dari keduanya. Tidak ada metode tunggal yang terbaik untuk semua
pengguna dan semua lingkungan.
Batas, ruang lingkup, dan metodologi yang
didefinisikan akan memiliki konsekuensi besar dalam hal (1) jumlah total usaha
yang dihabiskan pada manajemen risiko dan (2) jenis dan kegunaan dari penilaian
ini hasil. Batas dan ruang lingkup harus dipilih dengan cara yang akan
menghasilkan hasil yang jelas, spesifik, dan berguna untuk sistem dan
lingkungan di bawah pengawasan.
2.
Mengumpulkan
dan menganalisis data
Risiko memiliki komponen antara lain
aset, ancaman, kerentanan, perlindungan, dan konsekuensi. Pemeriksaan ini
biasanya mencakup pengumpulan data tentang daerah yang mendapat ancaman dan
mensintesis serta menganalisis informasi untuk membuatnya berguna.
Dalam risk assessment terdapat proses
penyaringan, yaitu suatu proses yang digunakan untuk mengumpulkan lebih banyak
informasi daripada yang dapat dianalisis, jadi terdapat langkah untuk membatasi
pengumpulan informasi dan analisis. Risk management harus fokus pada
daerah-daerah yang mengakibatkan konsekuensi terbesar bagi organisasi yaitu
dapat menyebabkan kerugian besar. Hal ini dapat dilakukan oleh ancaman
peringkat dan aset.
Sebuah metodologi manajemen risiko tidak
selalu perlu untuk menganalisis masing-masing komponen dari risiko secara
terpisah. Misalnya, aset/konsekuensi atau ancaman/likelihoods dapat dianalisa bersama-sama.
¨
Asset Valuation
Misalnya informasi, software, personil, hardware, dan fisik aset (seperti fasilitas komputer). Nilai aset
terdiri dari nilai intrinsik, dampak jangka pendek, dan konsekuensi jangka
panjang dari kompromi tersebut.
¨
Consequence Assessment
Memperkirakan tingkat kerusakan atau
kerugian yang dapat terjadi. Konsekuensi mengacu pada bahaya, secara
keseluruhan agregat yang terjadi, bukan hanya dampak langsung. Sementara dampak
seperti itu sering mengakibatkan pengungkapan, modifikasi, penghancuran, atau
penolakan layanan, konsekuensi jangka panjang lebih mengakibatkan efek yang
signifikan, seperti kehilangan bisnis, kegagalan untuk melakukan misi sistem,
hilangnya reputasi, pelanggaran privasi, cidera, atau korban jiwa. Semakin
parah konsekuensi dari ancaman, semakin besar risiko ke sistem.
¨
Ancaman
Identifikasi
Ancaman adalah suatu entitas atau
peristiwa yang berpotensi membahayakan sistem. Tipe ancaman seperti error, penipuan, karyawan yang tidak
puas, kebakaran, kerusakan air, hacker,
dan virus. Ancaman harus diidentifikasi dan dianalisis untuk menentukan
kemungkinan terjadinya dan potensi untuk membahayakan aset.
¨
Safeguard Analysis
Perlindungan adalah setiap tindakan,
perangkat, prosedur, teknik, atau ukuran lain yang mengurangi kerentanan sistem
untuk ancaman. Safeguard analysis
harus mencakup pemeriksaan dari efektivitas kebijakan keamanan yang ada. Hal ini juga dapat mengidentifikasi
perlindungan baru yang dapat diterapkan dalam sistem, namun, ini biasanya
dilakukan nanti dalam proses manajemen risiko.
¨
Vulnerability Analysis
Kerentanan
adalah kondisi atau kelemahan prosedur keamanan, kontrol teknis, kontrol fisik,
atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering
dianalisis dalam hal pengamanan yang hilang. Kerentanan berkontribusi mengambil
risiko karena mereka mungkin "memungkinkan" ancaman untuk
membahayakan sistem.
¨
Likelihood Assessment
Likelihood adalah perkiraan frekuensi atau
kesempatan dari terjadinya ancaman. Sebuah penilaian kemungkinan
mempertimbangkan keberadaan, keuletan, dan kekuatan dari ancaman serta
efektivitas perlindungan (atau adanya kerentanan). Secara umum, informasi
sejarah tentang banyak ancaman lemah, terutama yang berkaitan dengan ancaman
manusia, dengan demikian, pengalaman di bidang ini penting. Beberapa data
ancaman terutama pada ancaman fisik seperti kebakaran atau banjir lebih kuat.
Perawatan harus diambil dalam menggunakan data ancaman statistik, sumber data
atau analisis mungkin tidak akurat atau tidak lengkap. Secara umum, semakin
besar kemungkinan ancaman yang terjadi, semakin besar risikonya.
3.
Hasil
analisis risiko interpreting
Penilaian risiko digunakan untuk mendukung dua fungsi terkait, seperti
penerimaan risiko dan pemilihan hemat biaya kontrol. Untuk mencapai
fungsi-fungsi, penilaian risiko harus menghasilkan output yang berarti yang
mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan
interpretasi risiko untuk risiko yang paling signifikan adalah cara lain bahwa
proses manajemen risiko dapat difokuskan untuk mengurangi upaya menyeluruh
sementara masih menghasilkan hasil yang bermanfaat. Jika risiko
diinterpretasikan secara konsisten di seluruh organisasi, hasilnya dapat
digunakan untuk memprioritaskan sistem harus diamankan.
B. Cara menyusun kebijakan
dari hasil Risk Assesment
Dari proses risk
assessment dapat dibuat suatu kebijakan demi tercapainya tujuan risk assessment. Kebijakan-kebijakan
tersebut dapat diperoleh berdasarkan hasil dan fungsi-fungsi yang dicapai oleh risk assessment itu sendiri. Untuk
mencapai hasil dan fungsi-fungsi, risk
assessment harus menghasilkan output yang bermanfaat dan berarti bagi
organisasi. Salah satunya adalah dengan membatasi kegiatan interpretasi risiko.
Dengan ini proses risk management dapat
difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan
output yang bermanfaat.