CARA MELAKUKAN RISK ASSESMENT DAN CARA MENYUSUN KEBIJAKAN DARI HASIL RISK ASSESMENT


A. Cara untuk melakukan Risk Assesment
Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment. Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat, jika sudah ada.
Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar-standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:
a.    Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003)
b.    ISO/IEC27005 - Information Security Risk Management
c.    Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
d.    NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.
Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.
Untuk melakukan risk assessment terdiri atas tiga dasar kegiatan, antara lain:
1.        Menentukan lingkup dan metodologi penilaian
Langkah pertama dalam menilai risiko adalah untuk mengidentifikasi sistem yang sedang dipertimbangkan, bagian dari sistem yang akan dianalisis, dan metode analitik seperti tingkat detail dan formalitas. Penilaian ini dapat difokuskan pada daerah tertentu di mana tingkat risiko diketahui tinggi. Mendefinisikan ruang lingkup dan batas dapat membantu memastikan biaya efektif penilaian. Faktor yang mempengaruhi ruang lingkup mencakup tahap siklus hidup sistem, misalnya sistem baru yang dikembangkan lebih rinci dan cocok daripada sistem yang ada sehingga sistem yang ada akan mengalami upgrade. Faktor lain adalah kepentingan relatif dari sebuah sistem harus dianalisis lebih dalam dan menyeluruh.
Metodologi penilaian dapat formal atau informal, rinci atau disederhanakan, tinggi atau rendah, kuantitatif (computationally based) atau kualitatif (based on descriptions or rankings), atau kombinasi dari keduanya. Tidak ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan.
Batas, ruang lingkup, dan metodologi yang didefinisikan akan memiliki konsekuensi besar dalam hal (1) jumlah total usaha yang dihabiskan pada manajemen risiko dan (2) jenis dan kegunaan dari penilaian ini hasil. Batas dan ruang lingkup harus dipilih dengan cara yang akan menghasilkan hasil yang jelas, spesifik, dan berguna untuk sistem dan lingkungan di bawah pengawasan.


2.    Mengumpulkan dan menganalisis data
Risiko memiliki komponen antara lain aset, ancaman, kerentanan, perlindungan, dan konsekuensi. Pemeriksaan ini biasanya mencakup pengumpulan data tentang daerah yang mendapat ancaman dan mensintesis serta menganalisis informasi untuk membuatnya berguna.
Dalam risk assessment terdapat proses penyaringan, yaitu suatu proses yang digunakan untuk mengumpulkan lebih banyak informasi daripada yang dapat dianalisis, jadi terdapat langkah untuk membatasi pengumpulan informasi dan analisis. Risk management harus fokus pada daerah-daerah yang mengakibatkan konsekuensi terbesar bagi organisasi yaitu dapat menyebabkan kerugian besar. Hal ini dapat dilakukan oleh ancaman peringkat dan aset.
Sebuah metodologi manajemen risiko tidak selalu perlu untuk menganalisis masing-masing komponen dari risiko secara terpisah. Misalnya, aset/konsekuensi atau ancaman/likelihoods dapat dianalisa bersama-sama.
¨    Asset Valuation
Misalnya informasi, software, personil, hardware, dan fisik aset (seperti fasilitas komputer). Nilai aset terdiri dari nilai intrinsik, dampak jangka pendek, dan konsekuensi jangka panjang dari kompromi tersebut.
¨    Consequence Assessment
Memperkirakan tingkat kerusakan atau kerugian yang dapat terjadi. Konsekuensi mengacu pada bahaya, secara keseluruhan agregat yang terjadi, bukan hanya dampak langsung. Sementara dampak seperti itu sering mengakibatkan pengungkapan, modifikasi, penghancuran, atau penolakan layanan, konsekuensi jangka panjang lebih mengakibatkan efek yang signifikan, seperti kehilangan bisnis, kegagalan untuk melakukan misi sistem, hilangnya reputasi, pelanggaran privasi, cidera, atau korban jiwa. Semakin parah konsekuensi dari ancaman, semakin besar risiko ke sistem.

¨    Ancaman Identifikasi
Ancaman adalah suatu entitas atau peristiwa yang berpotensi membahayakan sistem. Tipe ancaman seperti error, penipuan, karyawan yang tidak puas, kebakaran, kerusakan air, hacker, dan virus. Ancaman harus diidentifikasi dan dianalisis untuk menentukan kemungkinan terjadinya dan potensi untuk membahayakan aset.
¨    Safeguard Analysis
Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik, atau ukuran lain yang mengurangi kerentanan sistem untuk ancaman. Safeguard analysis harus mencakup pemeriksaan dari efektivitas kebijakan keamanan yang ada. Hal ini juga dapat mengidentifikasi perlindungan baru yang dapat diterapkan dalam sistem, namun, ini biasanya dilakukan nanti dalam proses manajemen risiko.
¨    Vulnerability Analysis
Kerentanan adalah kondisi atau kelemahan prosedur keamanan, kontrol teknis, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering dianalisis dalam hal pengamanan yang hilang. Kerentanan berkontribusi mengambil risiko karena mereka mungkin "memungkinkan" ancaman untuk membahayakan sistem.
¨    Likelihood Assessment
Likelihood adalah perkiraan frekuensi atau kesempatan dari terjadinya ancaman. Sebuah penilaian kemungkinan mempertimbangkan keberadaan, keuletan, dan kekuatan dari ancaman serta efektivitas perlindungan (atau adanya kerentanan). Secara umum, informasi sejarah tentang banyak ancaman lemah, terutama yang berkaitan dengan ancaman manusia, dengan demikian, pengalaman di bidang ini penting. Beberapa data ancaman terutama pada ancaman fisik seperti kebakaran atau banjir lebih kuat. Perawatan harus diambil dalam menggunakan data ancaman statistik, sumber data atau analisis mungkin tidak akurat atau tidak lengkap. Secara umum, semakin besar kemungkinan ancaman yang terjadi, semakin besar risikonya.

3.    Hasil analisis risiko interpreting
Penilaian risiko digunakan untuk mendukung dua fungsi terkait, seperti penerimaan risiko dan pemilihan hemat biaya kontrol. Untuk mencapai fungsi-fungsi, penilaian risiko harus menghasilkan output yang berarti yang mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan interpretasi risiko untuk risiko yang paling signifikan adalah cara lain bahwa proses manajemen risiko dapat difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan hasil yang bermanfaat. Jika risiko diinterpretasikan secara konsisten di seluruh organisasi, hasilnya dapat digunakan untuk memprioritaskan sistem harus diamankan.

B. Cara menyusun kebijakan dari hasil Risk Assesment
Dari proses risk assessment dapat dibuat suatu kebijakan demi tercapainya tujuan risk assessment. Kebijakan-kebijakan tersebut dapat diperoleh berdasarkan hasil dan fungsi-fungsi yang dicapai oleh risk assessment itu sendiri. Untuk mencapai hasil dan fungsi-fungsi, risk assessment harus menghasilkan output yang bermanfaat dan berarti bagi organisasi. Salah satunya adalah dengan membatasi kegiatan interpretasi risiko. Dengan ini proses risk management dapat difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan output yang bermanfaat. 

Artikel Terkait

 
Copyright © 2009 - 2013 info-rastrapermana
Avatar Gamezine Designed by Cheapest Tablet PC
Supported by Phones 4u