Secara
sederhana, analisis resiko atau risk analysis dapat diartikan sebagai sebuah
prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya
untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang
ditimbulkan dapat dihilangkan atau dikurangi. Analisis resiko juga dipahami
sebagai sebuah proses untuk menentukan pengamanan macam apa yang cocok atau
layak untuk sebuah sistem atau lingkungan (ISO 1799, “An Introduction To Risk
Analysis”, 2012).
Berikut ini akan
dijabarkan beberapa tipe dari analisis risiko:
A. Analisis Resiko
Kuantitatif dan Kualitatif
James
W. Meritt, dalam A Method for Quantitative Risk Analysis, menjelaskan bahwa
Analisis Resiko Kuantitatif merupakan satu metode analisis resiko yang
mengenali pengendalian pengamanan apa dan bagaimana yang seharusnya diterapkan
serta besaran biaya untuk menerapkannya.
Sedangkan Analisis Resiko Kualitatif digunakan untuk meningkatkan
kesadaran atas masalah keamanan sistem informasi dan sikap dari sistem yang
sedang dianalisis tersebut.
Lebih
lanjut, Meritt menerangkan bahwa dua metode tersebut dapat berkombinasi menjadi
satu, yang kemudian dikenal sebagai metode hibrida atau Hybrid method. Metode
Hibrida merupakan sebuah kombinasi dari dua metode analisis resiko kuantitatif
dan kualitatif, dan dapat digunakan untuk menerapkan komponen-komponen yang
memanfaatkan informasi yang tersedia sekaligus memperkecil matriks yang
terkumpul dan dihitung. Metode ini, sayangnya, kurang intinsif secara numeric
(tetapi lebih murah biayanya) dibandingkan dengan sebuah metode analisis yang
dilakukan secara lengkap dan mendalam.
Menurut J. W. Meritt,
terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan
metode analisis resiko secara umum, yaitu sebagai berikut:
- Pertama, menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
- Menetapkan aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
- Risks and Threats. Resiko (risk) adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga memunculkan satu risiko.
- Menentukan koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
- Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
- Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
- Melakukan kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
- Controls atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
- Melakukan analisis terhadai control atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.
B. Metodologi Analisis
Resiko Eugene Tucker
Eugene
Tucker, dalam Other Risk Analysis Methodologies, menjelaskan bahwa terdapat banyak
metode analisis resiko dan kerentanan. Bagi satuan pengamanan professional,
merupakan satu keharusan baginya untuk mengetahui dan menyadari perbedaan dasar
dari metodologi-metodologi yang ada tersebut. Secara lebih lanjut, Tucker
menjabarkan beberapa metodologi analisis resiko dan kerentanan, antara lain
adalah Operational Risk Management (ORM), CARVER+Shock, dan Vulnerability Self
Assessment Tool (VSAT).
Operational
Risk Management (ORM) merupakan sebuah sistem manajemen resiko berbasis teknis
yang umumnya digunakan oleh lembaga Administrasi Penerbangan Federal (Federal
Aviation Administration) dan militer untuk menguji kemanan dan resiko atas
sistem yang ada. Perangkat analisis ini dirancang untuk mengenali manfaat dan
resiko cara kerja untuk menentukan arah terbaik dari satu tindakan yang diambil
dalam situasi tertentu. Resiko yang diteliti itu dapat merupakan akibat dari
proses yang tidak memadai atau gagal, dari orang, dari sistemnya sendiri,
maupun dari kejadian-kejadian di luar sistem (bersifat eksternal).
Lembaga
Administrasi Obat-obatan dan Makanan atau Food and Drugs Administration (FDA),
merupakan salah satu contoh lembaga di Amerika Serikat yang menggunakan metode
ORM dalam mempertanggungjawabkan kemanan satu produksi pengimporan, pergudangan
(warehousing), transportasi dan pesebaran makanan (barang konsumsi) di negara
tersebut. Secara umum, seperti yang dilakukan oleh FDA, terdapat enam langkah dari
ORM, yaitu (1) mengenali bahaya (identify the hazards; (2) menakar atau menilai
resiko yang ada (assess the risk); (3) menganalisa ukuran pengendealian resiko
(analyze risk control measures); (4) membuat putusan pengendalian (make control
decision); (5) menerapkan pengendalian resiko (implement risk controls); dan
(6) pengawasan dan peninjauan (supervise and review).
Sedangkan
metodologi analisis resiko CARVER+Shock—satu metode yang digunakan oleh
Departemen Pertahanan Amerika Serikat, yang kemudian diadaptasi oleh beberapa
lembaga lainnya, seperti Departemen Pertanian Amerika Serikat (USDA), Food
Safety and Inspeection (FSIS), dan Badan Keamanan Dalam Negeri Ketahanan Pangan
dan Kesiapsiagaan Darurat (OFSED)—merupakan sebuah perangkat yang lebih bersifat
memprioritaskan target ofensif untuk mengidentifikasi simpul-simpul kritis yang
cenderung rentan menjadi target dari serangan teroris, dan juga untuk
merancangkan ukuran pencegahan dalam mengurangi resiko. Cara ini, sesungguhnya,
memiliki hubungan dengan metodologi dalam ORM.
Metode CARVER+Shock
mempertimbangkan dan membahas tujuh faktor yang mempengaruhi daya tarik dari
sebuah target (korban resiko), antara lain:
- Critically, yakni sejauh mana faktor kesehatan publik dampak eknomi mencapai intense penyerang atau pelaku (attacker). Faktor ini mengajukan pertanyaan seberapa pentingnya sebuah target sebagaimana ditentukan oleh dampak dari pengerjaan dan pengrusakan?
- Accessibility, yakni akses atau jalan masuk terhadap target. Faktor ini mempertanyakan semudah apa sebuah target dapat disentuh, baik melalui cara penyusupan (infilotrasi) maupun dengan menggunakan alat atau senjata (weapons)?
- Recuperability, yakni kemampuan sistem yang ada untuk memulihkan diri dari sebuah serangan. Faktor ini mengusung pertanyaan berapa lama waktu yang dibutuhkan untuk mengganti atau memperbaiki target setiap kali mendapat serangan (kerusakan
- Vulnerability, yakni kerentanan atau kemudahan terjadinya serangan.
- Effect, yakni jumlah kerugian langsung akibat terjadinya serangan.
- Recognizability, yakni kemudahan dalam mengenali sebuah target.
- Shock, yakni efek psikologis dari sebuah serangan.
Hasil dari analisis
tentang ketujuh faktor tersebut menjadi rumusan dasar bagi pengelolaan dalam
membangun dan mengembangkan strategi pengamanan.
Sementara
itu, Vulnerability Self Assessment Tool (VSAT) merupakan metodologi sekaligus
software yang digunakan untuk membangun atau merancang sistem keamanan yang
mampu melindungi target spesifik dari aksi-aksi spesifik lawan (adversaries).
Cara ini dianggap pula sebagai metodologi kualitatif berbasis nilai kegunaan
(asset-based). Tujuannya ialah untuk menaksir kerentanan, mengembangkan
prioritas berdasarkan biaya dan kelayakan satu proses remediasi, dan menentukan
solusi yang paling potential untuk kerentanan yang paling diprioritaskan.
Software VSAT sendiri juga memungkinkan bagi petugas pengamanannya untuk
memodifikasi dan merancang perlakuan tambahan (ancaman buatan) dan tindakan
balasan (countermeasure).
VSAT
juga menggunakan sebuah garis penilaian dan analisis penyempurnaan untuk
menghitung Risk Reduction Units dari ‘tindakan balasan yang ditentukan’ dalam
proses analisis. Biaya dari modifikasi ini kemudian dikalkulasi, dan hasilnya
menjadi patokan untuk menentukan biaya adau modal dalam melaksanakan rancangan
pengamanan. Terdapat sebelas langkah penilaian dalam metode VSAT, yaitu (1)
mengidentifikasi asset; (2) mengeidentifikasi ancaman; (3) menentukan simpul
yang rentan; (4) mengenali keberadaan tindakan balasan (countermeasure); (5)
menentukan tingkat resiko; (6) menentukan kemungkinan terjadinya kesalahan atau
kegagalan; (7) menetapkan kerentanan; (8) menentukah kecocokan resiko; (9)
mengembangkan tindakan balasan (countermeasure) baru; (10) memperagakan
analisis biaya resiko; (11) mengembangkan sebuah perencanaan yang
berkelanjutan.
https://manshurzikri.wordpress.com/2012/06/04/analisis-resiko-dan-beberapa-metodologinya/
0 komentar:
Posting Komentar