Analisis Resiko
Secara sederhana, analisis resiko atau risk analysis dapat
diartikan sebagai sebuah prosedur untuk mengenali satu ancaman dan kerentanan,
kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti
bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi.
Analisis resiko juga dipahami sebagai sebuah proses untuk menentukan pengamanan
macam apa yang cocok atau layak untuk sebuah sistem atau lingkungan (ISO 1799,
“An Introduction To Risk Analysis”, 2012).
Berikut ini akan dijabarkan beberapa tipe dari analisis
resiko:
A. Analisis Resiko
Kuantitatif dan Kualitatif
James W. Meritt, dalam A Method for Quantitative Risk
Analysis, menjelaskan bahwa Analisis Resiko Kuantitatif merupakan satu metode
analisis resiko yang mengenali pengendalian pengamanan apa dan bagaimana yang
seharusnya diterapkan serta besaran biaya untuk menerapkannya. Sedangkan Analisis Resiko Kualitatif
digunakan untuk meningkatkan kesadaran atas masalah keamanan sistem informasi dan
sikap dari sistem yang sedang dianalisis tersebut.
Lebih lanjut, Meritt menerangkan bahwa dua metode tersebut
dapat berkombinasi menjadi satu, yang kemudian dikenal sebagai metode hibrida
atau Hybrid method. Metode Hibrida merupakan sebuah kombinasi dari dua metode
analisis resiko kuantitatif dan kualitatif, dan dapat digunakan untuk
menerapkan komponen-komponen yang memanfaatkan informasi yang tersedia
sekaligus memperkecil matriks yang terkumpul dan dihitung. Metode ini,
sayangnya, kurang intinsif secara numeric (tetapi lebih murah biayanya)
dibandingkan dengan sebuah metode analisis yang dilakukan secara lengkap dan
mendalam.
Menurut J. W. Meritt, terdapat beberapa hal atau langkah
yang perlu diperhatikan dalam menerapkan metode analisis resiko secara umum,
yaitu sebagai berikut:
1.
Pertama, menentukan ruang lingkup (scope
statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh
perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang
harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi,
mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan
hasil yang diharapkan.
2.
Menetapkan aset (asset pricing). Pada langkah
kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang
lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
3.
Risks and Threats. Resiko (risk) adalah sesuatu yang dapat
menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem.
Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan
karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga
memunculkan satu resiko.
4.
Menentukan koefisien dampak. Semua aset memiliki
kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu
dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan
terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama
sekali.
5.
Single loss expectancy atau ekspetasi kerugian
tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan
menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
6.
Group evaluation atau evaluasi kelompok, yaitu
langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari
para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan
ini harus terdiri dari individu yang memiliki pengetahuan tentang
komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari
sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan
dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode
hibrida dalam analisis resiko dilakukan.
7.
Melakukan kalkulasi (penghitungan) dan analisis.
Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang
bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan
paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk
menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
8.
Controls atau pengendalian, yaitu segala hal
yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman
serta memperbaiki sistem.
9.
Melakukan analisis terhadai control atau
pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi
kontrol ini, yaitu cost and benefit ratio dan risk or control.
B. Metodologi
Analisis Resiko Eugene Tucker
Eugene Tucker, dalam Other Risk Analysis Methodologies,
menjelaskan bahwa terdapat banyak metode analisis resiko dan kerentanan. Bagi
satuan pengamanan professional, merupakan satu keharusan baginya untuk
mengetahui dan menyadari perbedaan dasar dari metodologi-metodologi yang ada
tersebut. Secara lebih lanjut, Tucker menjabarkan beberapa metodologi analisis
resiko dan kerentanan, antara lain adalah Operational Risk Management (ORM),
CARVER+Shock, dan Vulnerability Self Assessment Tool (VSAT).
Operational Risk Management (ORM) merupakan sebuah sistem
manajemen resiko berbasis teknis yang umumnya digunakan oleh lembaga
Administrasi Penerbangan Federal (Federal Aviation Administration) dan militer
untuk menguji kemanan dan resiko atas sistem yang ada. Perangkat analisis ini
dirancang untuk mengenali manfaat dan resiko cara kerja untuk menentukan arah
terbaik dari satu tindakan yang diambil dalam situasi tertentu. Resiko yang
diteliti itu dapat merupakan akibat dari proses yang tidak memadai atau gagal,
dari orang, dari sistemnya sendiri, maupun dari kejadian-kejadian di luar
sistem (bersifat eksternal).
Lembaga Administrasi Obat-obatan dan Makanan atau Food and
Drugs Administration (FDA), merupakan salah satu contoh lembaga di Amerika
Serikat yang menggunakan metode ORM dalam mempertanggungjawabkan kemanan satu
produksi pengimporan, pergudangan (warehousing), transportasi dan pesebaran
makanan (barang konsumsi) di negara tersebut. Secara umum, seperti yang
dilakukan oleh FDA, terdapat enam langkah dari ORM, yaitu (1) mengenali bahaya
(identify the hazards; (2) menakar atau menilai resiko yang ada (assess the
risk); (3) menganalisa ukuran pengendealian resiko (analyze risk control
measures); (4) membuat putusan pengendalian (make control decision); (5) menerapkan
pengendalian resiko (implement risk controls); dan (6) pengawasan dan
peninjauan (supervise and review).
Sedangkan metodologi analisis resiko CARVER+Shock—satu
metode yang digunakan oleh Departemen Pertahanan Amerika Serikat, yang kemudian
diadaptasi oleh beberapa lembaga lainnya, seperti Departemen Pertanian Amerika
Serikat (USDA), Food Safety and Inspeection (FSIS), dan Badan Keamanan Dalam
Negeri Ketahanan Pangan dan Kesiapsiagaan Darurat (OFSED)—merupakan sebuah
perangkat yang lebih bersifat memprioritaskan target ofensif untuk
mengidentifikasi simpul-simpul kritis yang cenderung rentan menjadi target dari
serangan teroris, dan juga untuk merancangkan ukuran pencegahan dalam
mengurangi resiko. Cara ini, sesungguhnya, memiliki hubungan dengan metodologi
dalam ORM.
Metode CARVER+Shock mempertimbangkan dan membahas tujuh
faktor yang mempengaruhi daya tarik dari sebuah target (korban resiko), antara
lain:
1.
Critically, yakni sejauh mana faktor kesehatan
publik dampak eknomi mencapai intense penyerang atau pelaku (attacker). Faktor
ini mengajukan pertanyaan seberapa pentingnya sebuah target sebagaimana
ditentukan oleh dampak dari pengerjaan dan pengrusakan?
2.
Accessibility, yakni akses atau jalan masuk
terhadap target. Faktor ini mempertanyakan semudah apa sebuah target dapat
disentuh, baik melalui cara penyusupan (infilotrasi) maupun dengan menggunakan
alat atau senjata (weapons)?
3.
Recuperability, yakni kemampuan sistem yang ada
untuk memulihkan diri dari sebuah serangan. Faktor ini mengusung pertanyaan
berapa lama waktu yang dibutuhkan untuk mengganti atau memperbaiki target
setiap kali mendapat serangan (kerusakan).
4.
Vulnerability, yakni kerentanan atau kemudahan
terjadinya serangan.
5.
Effect, yakni jumlah kerugian langsung akibat
terjadinya serangan.
6.
Recognizability, yakni kemudahan dalam mengenali
sebuah target.
7.
Shock, yakni efek psikologis dari sebuah
serangan.
Hasil dari analisis tentang ketujuh faktor tersebut menjadi
rumusan dasar bagi pengelolaan dalam membangun dan mengembangkan strategi
pengamanan.
Sementara itu, Vulnerability Self Assessment Tool (VSAT)
merupakan metodologi sekaligus software yang digunakan untuk membangun atau
merancang sistem keamanan yang mampu melindungi target spesifik dari aksi-aksi
spesifik lawan (adversaries). Cara ini dianggap pula sebagai metodologi
kualitatif berbasis nilai kegunaan (asset-based). Tujuannya ialah untuk
menaksir kerentanan, mengembangkan prioritas berdasarkan biaya dan kelayakan
satu proses remediasi, dan menentukan solusi yang paling potential untuk kerentanan
yang paling diprioritaskan. Software VSAT sendiri juga memungkinkan bagi
petugas pengamanannya untuk memodifikasi dan merancang perlakuan tambahan
(ancaman buatan) dan tindakan balasan (countermeasure).
VSAT juga menggunakan sebuah garis penilaian dan analisis
penyempurnaan untuk menghitung Risk Reduction Units dari ‘tindakan balasan yang
ditentukan’ dalam proses analisis. Biaya dari modifikasi ini kemudian
dikalkulasi, dan hasilnya menjadi patokan untuk menentukan biaya adau modal
dalam melaksanakan rancangan pengamanan. Terdapat sebelas langkah penilaian
dalam metode VSAT, yaitu (1) mengidentifikasi asset; (2) mengeidentifikasi
ancaman; (3) menentukan simpul yang rentan; (4) mengenali keberadaan tindakan
balasan (countermeasure); (5) menentukan tingkat resiko; (6) menentukan
kemungkinan terjadinya kesalahan atau kegagalan; (7) menetapkan kerentanan; (8)
menentukah kecocokan resiko; (9) mengembangkan tindakan balasan
(countermeasure) baru; (10) memperagakan analisis biaya resiko; (11)
mengembangkan sebuah perencanaan yang berkelanjutan.
Daftar pustaka:
Tidak ada komentar:
Posting Komentar