Risk Assessment

 



 Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan/aset kegiatan/a set mempunyai resiko yang dapat diterima atau tidak.



 Risk Assessment sangat penting karena membantu menciptakan kesadaran tentang bahaya dan resiko yan yang g didapatkan dari aset ya yang ng dimiliki.



 Hal ini bert bertujua ujuan n unt untuk uk men mengur gurangi angi kemu kemungki ngkinan nan baha bahaya ya den dengan gan mena menambah mbahkan kan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan.





 Penilaian jugayang memprioritaskan pengendalian ada memadaibahaya dan membantu menentukan apakah tindakan  Ris Risk k ass assess essme ment nt dil dilaku akukan kan de deng ngan an me metod tode e   “Reproducible ”,   penguk pengukuran uran yang digunakan harus dapat digunakan lagi.

2

 

Identifikasi Resiko

Evaluasi Nilai Resiko

Identifikasi Opsi Penanganan Resiko

Penentuan Rencana Pengendalian Resiko

Penghitungan nilai resiko yang diharapkan

3

 



 Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasi



 Klasifikasi aset informasi :

a.   Informasi berupa database dan file data, kontrak dan perjanjian, dokumentasi dokumentasi system,

penelitian informasi, buku petunjuk, jejak audit, dsb b.   Software (perangkat lunak aplikasi, perangkat lunak sistem, perangkat pengembangan, dan utilitas ) c.   Fisik berupa peralatan komputer, komputer, peralatan komunikasi, removable media, dan peralatan lainnya d.   Jasa Jasa (servi (service ce)) be berup rupa a kompu komputas tasii dan layana layanan n komuni komunikas kasi, i, utilit utilitas as umum, umum, misaln misalnya ya

pemanas, penerangan, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dll e.   People berupa dan kualifikasi, keterampilan, dan pengalaman  f.   Intengible seperti reputasi dan citra organisasi 4

 



  Masi Masing ng-m -mas asin ing g aset aset in info form rmas asii di dide defi fini nisi sika kan n prop proper erti ti & atri atribu butn tnya ya ya yang ng dapa dapatt menggambarkan profil risiko dari aset tersebut, yang terdiri atas nama, sub-klasifikasi, lokasi penyimpanan, update/revisi, dll, tergantung dari jenis asetnya.



 Masing-masing aset informasi ditentukan penanggung jawabnya (ownership ( ownership-nya). -nya).   Masing-masing aset informasi dilakukan penilaian aset (  Asset Value)  Asset alue) yang dihitung dari aspek  Confidentiality  aspek Confidentiality , Integrity  dan Availability   dan Availability -nya -nya dengan berpedoman pada formula :  Asset Value Value = (Confidentiality (Confidentiality + Integrity + Availability) Availability) / 3



 Note : confidentiality, integrity dan dan availability  availability adalah 3 untuk tinggi, 2 untuk sedang



dan 1 untuk rendah  Jika nilai asset nilai asset value >= 2 maka aset tersebut dianggap memiliki peranan penting dalam bisnis



 Untuk asset value >= 2, maka dilakukan hal sebagai berikut : Identifikasi threat (ancaman)  (ancaman) dan vulnerability  dan vulnerability  (kelemahan)  (kelemahan) terhadap setiap aset a.   Identifikasi threat Menentukan risk  risk event terhadap event terhadap setiap aset informasi b.   Menentukan 5

 



 Evaluasi Risiko Residual dilakukan dengan cara melakukan analisis nilai severity dan nilai probability dan tingkat risiko untuk setiap akibat dari ancaman yang terjadi.



 Severity adalah dampak terukur yang ditimbulkan oleh suatu risiko, yang diukur berdasarkan tabel (contoh) berikut: Severity Level ( Tingkat Keparahan)

Tingkat 5 (Catastropic)

Tingkat 4 (Major)

Tingkat 3 (Moderate)

Tingkat 2 (Minor)

Tingkat 1 (Negligible)

Penj elasan Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama lebih dari 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama maksimum 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Kehilangan/Keru Kehilang an/Kerusakan sakan aset informasi yang bernilai 2 yang mengakibatkan mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh DSI kepada para Civitas Akademika Unair Kehilangan/Keru Kehilang an/Kerusakan sakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civtas Akademika Unair (hanya mengakibatkan dampak bagi DSI) Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civitas Akademika Unair, dan tidak menimbulkan dampak material kepada DSI.

6

 



 Probability  adalah  adalah potensi kemungkinan terjadinya risk event berdasarkan data history/current control/ knowledge base. Analisis Probability  dilakukan  dilakukan dengan menggunakan tabel berikut: Probability Level (Tingkat

Penjelasan

Kemungkinan)

Tingkat 5 (Almost Certain)

 

Tingkat Kemungkian Kejadiannya 76% hingga 99,99%

Tingkat 4 (Likely)

 

Tingkat Kemungkian Kejadiannya 51% hingga 75,99%

Tingkat 3 (Possible)

 

Tingkat Kemungkian Kejadiannya 26% hingga 50,99%

Tingkat 2 (Unlikely)

 

Tingkat Kemungkian Kejadiannya 1% hingga 25,99%

Tingkat 1 (Rare)

 

Tingkat Kemungkian Kejadiannya sampai dengan 0,99%%

7

 



 Penentuan nilai tingkat risiko untuk proses identifikasi risiko dengan pendekatan bottom-up diawali dengan melakukan agregasi nilai Severity  dan  dan Probability  untuk  untuk masing –  masing risk event melalui tabel berikut: Level 5

 

T i nggi Ti

Ti nggi

Ekstri m

Ekstri m

Ekstri m

Level 4

 

Me ne ngah

Ti nggi

Tinggi

Ekstri m

Ekstri m

Level 3

 

Me ne ngah

Ti nggi

Tinggi

Ti nggi

Ekstri m

n a h a r K

e

p

a

ail i N

Level 2

 

Re ndah Re

Me nengah

Tinggi

Ti nggi

Ti nggi

Level 1

 

Re nd ndah

Rendah

Menengah

Mene ng ngah

Ti ng nggi

Le ve l 1

Le ve l 2

Le ve l 3

Le ve l 4

Le ve l 5

Nilai Kemungkinan

8

 



 Tingkat exposure risiko informasi ditentukan berdasarkan hasil pertambahan antara nilai final (aggregate) Probability  (kecendurangan)  (kecendurangan) dengan nilai final (aggregate) Severity   (Dampak), (Dampak), yang selanjutnya dipetakan di dalam peta risiko informasi atau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb : Nilai Nil ai Re Resik siko o Ber Berda dasar sark kan ri risk sk eve event nt

NRD atau NRD atau NRA NRA (Nilai Resiko Dasar)

Tingkat Tingk at Resiko

Dampak + Kecendurangan >= 6

3

Tinggi & Ekstrim (not acceptable)

Dampak + Kecendurangan >= 4

2

Menengah (acceptable)

Dampak + Kecendurangan < 4

1

Rendah (acceptable) 9

 



 Tingkatan-tingkatan risiko informasi tersebut adalah: Ekstrim

Risiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas pri ortas tinggi

Tinggi

Risiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas pri ortas menengah

de ngan pemantauan Menengah Risko Dapat Diterima dengan Rendah

Risiko Dapat Diterima tanpa perlu pemantauan

10

 



 Tindakan penanganan resiko yang dapat diambil antara lain :  Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan a.   Menerima Risiko ( Accept

tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. b.   Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen independen dan memiliki kemampuan finansial yang kuat Avoid Risk): menghindari paparan/exposure terhadap kemungkinan Menghindari Risiko (  Avoid c.   Menghindari terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan menghentikan kegiatan/aktivitas yang dapat menimbulkan risikotingkat tersebut). ini dapat dapat ditoleransi dipilih sebagai penanganan terhadap risiko yang memiliki risikoTindakan yang tidak ataupun diterima oleh perusahaan karena memiliki Severity  yang  yang signifikan. Mengurangi Risiko (Reduce Risk): Risk): Strategi untuk mengambil tindakan mengurangi tingkat d.   Mengurangi risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability  dan  dan Severity  risiko.   risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada) 11

 



 Untuk setiap risiko yang tidak dapat diterima (non-acceptable risk) harus dilakukan rencana pengendalian pengendalian risiko yang terdiri atas rencana-re rencana-rencana ncana terinci dariatas opsiopsi yang telah pada tahapan sebelumnya. Apabilaren diputuskan untuklian mengambil opsidipilihkan mengurangi mengurangi risiko, maka harus identifikasi rencana cana pengenda pengendalian risiko yang terdiri atas: Control Objective dan Objective dan Control yang dijelaskan dalam Annex dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA).  Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, dan  Kontrol-kontrol lain sesuai kebutuhan bisnis. 

12

 



 Tingkat Risiko yang Diharapkan (expected risk) harus dihitung kembali untuk setiap tingkat risiko yang telah ditentukan untuk setiap non-acceptable risk. Tingkat risiko sisa ini harus disetujui oleh Pengelolaan Puncak sebelum dilakukan pengendalian risiko.

13