Analisis Risiko
Secara sederhana, analisis resiko atau risk
analysis dapat diartikan sebagai sebuah prosedur untuk mengenali satu ancaman
dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran,
dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau
dikurangi. Analisis resiko juga dipahami sebagai sebuah proses untuk menentukan
pengamanan macam apa yang cocok atau layak untuk sebuah sistem atau lingkungan
(ISO 1799, “An Introduction To Risk Analysis”, 2012).
Berikut ini akan dijabarkan beberapa tipe dari analisis resiko:
A. Analisis Resiko Kuantitatif dan Kualitatif
James W. Meritt, dalam A Method for Quantitative Risk Analysis,
menjelaskan bahwa Analisis Resiko Kuantitatif merupakan satu metode analisis
resiko yang mengenali pengendalian pengamanan apa dan bagaimana yang seharusnya
diterapkan serta besaran biaya untuk menerapkannya. Sedangkan
Analisis Resiko Kualitatif digunakan untuk meningkatkan kesadaran atas masalah
keamanan sistem informasi dan sikap dari sistem yang sedang dianalisis
tersebut.
Lebih lanjut, Meritt menerangkan bahwa dua metode tersebut dapat
berkombinasi menjadi satu, yang kemudian dikenal sebagai metode hibrida atau
Hybrid method. Metode Hibrida merupakan sebuah kombinasi dari dua metode
analisis resiko kuantitatif dan kualitatif, dan dapat digunakan untuk
menerapkan komponen-komponen yang memanfaatkan informasi yang tersedia
sekaligus memperkecil matriks yang terkumpul dan dihitung. Metode ini,
sayangnya, kurang intinsif secara numeric (tetapi lebih murah biayanya)
dibandingkan dengan sebuah metode analisis yang dilakukan secara lengkap dan mendalam.
Menurut J. W. Meritt, terdapat beberapa hal atau langkah yang
perlu diperhatikan dalam menerapkan metode analisis resiko secara umum, yaitu
sebagai berikut:
1. Pertama,
menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua
kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang
lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara
tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang
akan digunakan, dan mengajukan hasil yang diharapkan.
2. Menetapkan
aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan
secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir
‘harga’ (price)-nya.
3. Risks
and Threats. Resiko (risk) adalah sesuatu yang dapat menyebabkan
kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman
(threats) adalah segala sesuatu yang harus dipertimbangkan karena
kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga
memunculkan satu resiko.
4. Menentukan
koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu
resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset
dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan
aset yang justru kebal sama sekali.
5. Single
loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt
menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula
ancaman-ancaman yang diketahui.
6. Group
evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan
sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap
sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu
yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut,
tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab
operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada
langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
7. Melakukan
kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama,
across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset
tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk,
yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang
paling harus dijaga.
8. Controls
atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah,
mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
9. Melakukan
analisis terhadai control atau pengendalian. Ada dua metode yang dapat
dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan
risk or control.
B. Metodologi Analisis Resiko Eugene Tucker
Eugene Tucker, dalam Other Risk Analysis Methodologies,
menjelaskan bahwa terdapat banyak metode analisis resiko dan kerentanan. Bagi
satuan pengamanan professional, merupakan satu keharusan baginya untuk
mengetahui dan menyadari perbedaan dasar dari metodologi-metodologi yang ada
tersebut. Secara lebih lanjut, Tucker menjabarkan beberapa metodologi analisis
resiko dan kerentanan, antara lain adalah Operational Risk Management (ORM),
CARVER+Shock, dan Vulnerability Self Assessment Tool (VSAT).
Operational Risk Management (ORM) merupakan sebuah sistem
manajemen resiko berbasis teknis yang umumnya digunakan oleh lembaga
Administrasi Penerbangan Federal (Federal Aviation Administration) dan militer
untuk menguji kemanan dan resiko atas sistem yang ada. Perangkat analisis ini
dirancang untuk mengenali manfaat dan resiko cara kerja untuk menentukan arah
terbaik dari satu tindakan yang diambil dalam situasi tertentu. Resiko yang
diteliti itu dapat merupakan akibat dari proses yang tidak memadai atau gagal,
dari orang, dari sistemnya sendiri, maupun dari kejadian-kejadian di luar
sistem (bersifat eksternal).
Lembaga Administrasi Obat-obatan dan Makanan atau Food and Drugs
Administration (FDA), merupakan salah satu contoh lembaga di Amerika Serikat
yang menggunakan metode ORM dalam mempertanggungjawabkan kemanan satu produksi
pengimporan, pergudangan (warehousing), transportasi dan pesebaran makanan
(barang konsumsi) di negara tersebut. Secara umum, seperti yang dilakukan oleh
FDA, terdapat enam langkah dari ORM, yaitu (1) mengenali bahaya (identify the
hazards; (2) menakar atau menilai resiko yang ada (assess the risk); (3)
menganalisa ukuran pengendealian resiko (analyze risk control measures); (4)
membuat putusan pengendalian (make control decision); (5) menerapkan
pengendalian resiko (implement risk controls); dan (6) pengawasan dan
peninjauan (supervise and review).
Sedangkan metodologi analisis resiko CARVER+Shock—satu metode yang
digunakan oleh Departemen Pertahanan Amerika Serikat, yang kemudian diadaptasi
oleh beberapa lembaga lainnya, seperti Departemen Pertanian Amerika Serikat
(USDA), Food Safety and Inspeection (FSIS), dan Badan Keamanan Dalam Negeri
Ketahanan Pangan dan Kesiapsiagaan Darurat (OFSED)—merupakan sebuah perangkat
yang lebih bersifat memprioritaskan target ofensif untuk mengidentifikasi
simpul-simpul kritis yang cenderung rentan menjadi target dari serangan
teroris, dan juga untuk merancangkan ukuran pencegahan dalam mengurangi resiko.
Cara ini, sesungguhnya, memiliki hubungan dengan metodologi dalam ORM.
Metode CARVER+Shock mempertimbangkan dan membahas tujuh faktor
yang mempengaruhi daya tarik dari sebuah target (korban resiko), antara lain:
1. Critically,
yakni sejauh mana faktor kesehatan publik dampak eknomi mencapai intense
penyerang atau pelaku (attacker). Faktor ini mengajukan pertanyaan seberapa
pentingnya sebuah target sebagaimana ditentukan oleh dampak dari pengerjaan dan
pengrusakan?
2. Accessibility,
yakni akses atau jalan masuk terhadap target. Faktor ini mempertanyakan semudah
apa sebuah target dapat disentuh, baik melalui cara penyusupan (infilotrasi)
maupun dengan menggunakan alat atau senjata (weapons)?
3. Recuperability,
yakni kemampuan sistem yang ada untuk memulihkan diri dari sebuah serangan. Faktor
ini mengusung pertanyaan berapa lama waktu yang dibutuhkan untuk mengganti atau
memperbaiki target setiap kali mendapat serangan (kerusakan).
4. Vulnerability,
yakni kerentanan atau kemudahan terjadinya serangan.
5. Effect,
yakni jumlah kerugian langsung akibat terjadinya serangan.
6. Recognizability,
yakni kemudahan dalam mengenali sebuah target.
7. Shock,
yakni efek psikologis dari sebuah serangan.
Hasil dari analisis tentang ketujuh faktor tersebut menjadi
rumusan dasar bagi pengelolaan dalam membangun dan mengembangkan strategi
pengamanan.
Sementara itu, Vulnerability Self Assessment Tool (VSAT) merupakan
metodologi sekaligus software yang digunakan untuk membangun atau merancang
sistem keamanan yang mampu melindungi target spesifik dari aksi-aksi spesifik
lawan (adversaries). Cara ini dianggap pula sebagai metodologi kualitatif
berbasis nilai kegunaan (asset-based). Tujuannya ialah untuk menaksir
kerentanan, mengembangkan prioritas berdasarkan biaya dan kelayakan satu proses
remediasi, dan menentukan solusi yang paling potential untuk kerentanan yang
paling diprioritaskan. Software VSAT sendiri juga memungkinkan bagi petugas
pengamanannya untuk memodifikasi dan merancang perlakuan tambahan (ancaman
buatan) dan tindakan balasan (countermeasure).
VSAT juga menggunakan sebuah garis penilaian dan analisis
penyempurnaan untuk menghitung Risk Reduction Units dari ‘tindakan balasan yang
ditentukan’ dalam proses analisis. Biaya dari modifikasi ini kemudian
dikalkulasi, dan hasilnya menjadi patokan untuk menentukan biaya adau modal
dalam melaksanakan rancangan pengamanan. Terdapat sebelas langkah penilaian
dalam metode VSAT, yaitu (1) mengidentifikasi asset; (2) mengeidentifikasi
ancaman; (3) menentukan simpul yang rentan; (4) mengenali keberadaan tindakan
balasan (countermeasure); (5) menentukan tingkat resiko; (6) menentukan
kemungkinan terjadinya kesalahan atau kegagalan; (7) menetapkan kerentanan; (8)
menentukah kecocokan resiko; (9) mengembangkan tindakan balasan (countermeasure)
baru; (10) memperagakan analisis biaya resiko; (11) mengembangkan sebuah
perencanaan yang berkelanjutan.
Daftar pustaka:
Tidak ada komentar:
Posting Komentar