Penilaian resiko (Risk Assesment) merupakan proses yang pertama di dalam metodologi manajemen resiko. Organisasi menggunakan penilaian resiko untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLC-nya (System Development Life Cycle). Hasil dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko ketika proses risk mitigation. Metodologi Penilaian Resiko meliputi sembilan langkah-langkah utama:
1 System Characterization
Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan scope of the effort. Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko.
2 Threat Identification
Melakukan identifikasi terhadap ancaman-ancaman yang ada maupun akan ada. Identifikasi dilakukan pada sumber ancaman (threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu:
- Natural Threats, seperti banjir, gempa bumi, tornado dan lainnya.
- Human Threats, seperti akses tidak terotorisasi pada informasi rahasia.
- Environmental Threats, seperti kegagalan suplai listrik pada waktu yang lama.
3 Vulnerability Identification
Melakukan identifikasi kelemahan-kelemahan yang ada dalam sistem yang dapat digunakan oleh orang luar melakukan ancaman. Identifikasi dilakukan dengan melihat asal dari kelemahan tersebut dengan melihat informasi mengenai identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa isu keamanan pada aplikasi maupun sistem operasi yang digunakan dalam sistem informasi tersebut.
4 Control Analysis
Tujuan dari langkah ini adalah melakukan analisa terhadap kontrol-kontrol atau pengendalian-pengendalian yang telah dipasang ataupun yang direncanakan untuk dipasangkan pada sistem dengan tujuan untuk meminimalkan atau menghilangkan ancaman-ancaman terhadap kelemahan sistem.
5 Likelihood Determination
Proses ini memberikan rating terhadap kemungkinan-kemungkinan yang nampak yang ditentukan oleh motivasi sumber ancaman dan kemampuannya, kelemahan-kelemahan dan kontrol atau pengendalian yang ada saat ini.
6 Impact Analysis
Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat yang terlihat dapat diukur secara kualitatif dengan hilangnya pendapatan, biaya perbaikan atau tingginya usaha yang harus dikeluarkan untuk memperbaiki masalah tersebut.
7 Risk Determination
Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang kepada resiko-resiko yang ada dalam sistem informasi menjadi bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko dengan pengendalian-pengendalian dapat dilakukan sesuai dengan prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan matrik resiko harus dikembangkan.
8 Control Recommendations
Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun menghilangkan resiko-resiko yang berhasil diidentifikasikan akan direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko terhadap sistem informasi ke level yang dapat diterima.
9. Results Documentation
Proses dokumentasi terhadap seluruh proses pengerjaan risk assessment yang berbentuk laporan-laporan yang berisikan hasil identifikasi, analisa dan rekomendasi.
sumber:
G. Stoneburner, A. Goguen and A. Feringa, “Risk Management Guide for Information Technology System”, Recommedation of National Institute of Standards and Technology Special Publication 800-30, July, 2002.
No comments:
Post a Comment