Risk assessment (penilaian risiko) adalah metode yang
sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang
dapat diterima atau tidak. Risk assessment merupakan kunci dalam
perencanan pemulihan bencana. penilaian resiko, proses menganalisis dan
menafsirkan risiko terdiri dari tiga kegiatan dasar yaitu:
(1) menentukan ruang lingkup dan metodologi penilaian,
(2) mengumpulkan dan menganalisis data, dan
(3) menafsirkan hasil analisis risiko.
Semua organisasi memiliki risiko, dalam kondisi apapun yang namanya
risiko pasti ada dalam suatu aktivitas, baik aktivitas yang berkaitan
dengan bisnis (profit dan non profit) maupun non bisnis. Suatu risiko
yang telah di identifikasi dapat di analisis dan evaluasi sehingga dapat
di perkirakan intensitas dan tindakan yang dapat meminimalkannya.
Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis
komponen risiko secara terpisah. Misalnya, aset dan konsekuensi atau
ancaman dan likelihoods dapat di analisa bersama-sama.
- Penilaian Aset (Asset Valuation)
Yang termasuk dalam penilaian aset yaitu informasi, software,
personl, hardware, dan aset fisik. Nilai aset terdiri dari nilai
intrinsik, dampak jangka pendek, dan konsekuensi jangka panjang dari
kompromi tersebut.
- Penilaian Konsekuensi (Consequence Assessment)
Penilaian konsekuensi memperkirakan tingkat kesukaran atau kerugian
yang bisa terjadi. Konsekuensi mengacu pada bahaya secara keseluruhan
bukan hanya untuk jangka pendek atau dampak langsung. Sementara damapk
seperti itu sering mengakibatkan pengungkapan, modifikasi, perusakan
atau penolakan layanan. Konsekuensi jangka panjang memiliki efek yang
lebih signifikan seperti hilangnya bisnis, kegagalan untuk melakukan
misi sistem, hilangnya reputasi, pelanggaran privasi, cedera, atau
korban jiwa. Semakin parah konsekuensi dari ancaman, semakin besar
risiko sistem.
Ancaman adalah suatu entitas atau peristiwa yang berpotensi
membahayakan sistem. Yang termasuk dalam ancaman tipikal adalah
kesalahan, penipuan, karyawan yang tidak puas, kebakaran, kerusakan air,
hacker, dan virus. Ancaman harus diidentifikasi dan dianalisis untuk
menentukan kemungkinan terjadinya ancaman tipikal dan potensinya untuk
merusak aset. Analisis risiko harus berkonsentrasi pada ancaman-ancaman
yang paling mungkin terjadi dan yang bisa mempengaruhi aset penting.
- Analisis Perlindungan (Safeguard Analysis)
Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik
atau ukuran lain yang mengurang kerentanan sistem dari ancaman. Analisis
perlindungan harus mencakup pemeriksaan dari efektifitas kebijakan
keamanan yang ada. Hal ini juga dapat mengidentifikasi perlindungan baru
yang diterapkan dalm sistem, namun biasanya dilakukan belakangan dalam
proses manajemen risiko.
- Analisis Kerentanan (Vulnerability Analysis)
Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol
teknik, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh
ancaman. Kerentanan sering di analisis dalam hal hilangnya pengamanan.
Kerentanan berkontribusi mengambil risiko karena memungkinkan ancaman
untuk membahayakan sistem.
Keterkaitan kerentanan, ancaman, dan aset sangat penting untuk
analisis risiko. Keterkaitan ini dapat dilihat pada gambar 1. Namun, ada
hubungan timbal balik lain seperti adanya kerentanan yang mendorong
ancaman.
Tidak ada komentar:
Posting Komentar