Risk Assessment (Penilaian Resiko) Direktorat Sistem Informasi - Seksi Keamanan Data
Risk Assessment Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan/aset mempunyai resiko yang dapat diterima atau tidak. Risk Assessment sangat penting karena membantu menciptakan kesadaran tentang bahaya dan resiko yang didapatkan dari aset yang dimiliki. Hal ini bertujuan untuk mengurangi kemungkinan bahaya dengan menambahkan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan. Penilaian juga memprioritaskan bahaya dan membantu menentukan apakah tindakan pengendalian yang ada memadai Risk assessment dilakukan dengan metode “Reproducible”, pengukuran yang digunakan harus dapat digunakan lagi. Direktorat Sistem Informasi - Seksi Keamanan Data
Langkah-langkah Identifikasi Resiko Evaluasi Nilai Resiko Identifikasi Opsi Penanganan Resiko Penentuan Rencana Pengendalian Resiko Penghitungan nilai resiko yang diharapkan Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasi resiko (1) Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasi Klasifikasi aset informasi : Informasi berupa database dan file data, kontrak dan perjanjian, dokumentasi system, penelitian informasi, buku petunjuk, jejak audit, dsb Software (perangkat lunak aplikasi, perangkat lunak sistem, perangkat pengembangan, dan utilitas ) Fisik berupa peralatan komputer, peralatan komunikasi, removable media, dan peralatan lainnya Jasa (service) berupa komputasi dan layanan komunikasi, utilitas umum, misalnya pemanas, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dll People berupa dan kualifikasi, keterampilan, dan pengalaman Intengible seperti reputasi dan citra organisasi Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasi resiko (2) Masing-masing aset informasi didefinisikan properti & atributnya yang dapat menggambarkan profil risiko dari aset tersebut, yang terdiri atas nama, sub-klasifikasi, lokasi penyimpanan, update/revisi, dll, tergantung dari jenis asetnya. Masing-masing aset informasi ditentukan penanggung jawabnya (ownership-nya). Masing-masing aset informasi dilakukan penilaian aset (Asset Value) yang dihitung dari aspek Confidentiality, Integrity dan Availability-nya dengan berpedoman pada formula : Asset Value = (Confidentiality + Integrity + Availability) / 3 Note : confidentiality, integrity dan availability adalah 3 untuk tinggi, 2 untuk sedang dan 1 untuk rendah Jika nilai asset value >= 2 maka aset tersebut dianggap memiliki peranan penting dalam bisnis Untuk asset value >= 2, maka dilakukan hal sebagai berikut : Identifikasi threat (ancaman) dan vulnerability (kelemahan) terhadap setiap aset Menentukan risk event terhadap setiap aset informasi Direktorat Sistem Informasi - Seksi Keamanan Data
Evaluasi Nilai Resiko (1) Evaluasi Risiko Residual dilakukan dengan cara melakukan analisis nilai severity dan nilai probability dan tingkat risiko untuk setiap akibat dari ancaman yang terjadi. Severity adalah dampak terukur yang ditimbulkan oleh suatu risiko, yang diukur berdasarkan tabel (contoh) berikut: Severity Level (Tingkat Keparahan) Penjelasan Tingkat 5 (Catastropic) Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama lebih dari 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Tingkat 4 (Major) Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama maksimum 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Tingkat 3 (Moderate) Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh DSI kepada para Civitas Akademika Unair Tingkat 2 (Minor) Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civtas Akademika Unair (hanya mengakibatkan dampak bagi DSI) Tingkat 1 (Negligible) Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civitas Akademika Unair, dan tidak menimbulkan dampak material kepada DSI. Direktorat Sistem Informasi - Seksi Keamanan Data
Evaluasi Nilai Resiko (2) Probability adalah potensi kemungkinan terjadinya risk event berdasarkan data history/current control/ knowledge base. Analisis Probability dilakukan dengan menggunakan tabel berikut: Probability Level (Tingkat Kemungkinan) Penjelasan Tingkat 5 (Almost Certain) Tingkat Kemungkian Kejadiannya 76% hingga 99,99% Tingkat 4 (Likely) Tingkat Kemungkian Kejadiannya 51% hingga 75,99% Tingkat 3 (Possible) Tingkat Kemungkian Kejadiannya 26% hingga 50,99% Tingkat 2 (Unlikely) Tingkat Kemungkian Kejadiannya 1% hingga 25,99% Tingkat 1 (Rare) Tingkat Kemungkian Kejadiannya sampai dengan 0,99%% Direktorat Sistem Informasi - Seksi Keamanan Data
Evaluasi Nilai Resiko (3) Penentuan nilai tingkat risiko untuk proses identifikasi risiko dengan pendekatan bottom-up diawali dengan melakukan agregasi nilai Severity dan Probability untuk masing – masing risk event melalui tabel berikut: Direktorat Sistem Informasi - Seksi Keamanan Data
Evaluasi Nilai Resiko (4) Tingkat exposure risiko informasi ditentukan berdasarkan hasil pertambahan antara nilai final (aggregate) Probability (kecendurangan) dengan nilai final (aggregate) Severity (Dampak), yang selanjutnya dipetakan di dalam peta risiko informasi atau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb : Nilai Resiko Berdasarkan risk event NRD atau NRA (Nilai Resiko Dasar) Tingkat Resiko Dampak + Kecendurangan >= 6 3 Tinggi & Ekstrim (not acceptable) Dampak + Kecendurangan >= 4 2 Menengah (acceptable) Dampak + Kecendurangan < 4 1 Rendah (acceptable) Direktorat Sistem Informasi - Seksi Keamanan Data
Evaluasi Nilai Resiko (5) Tingkatan-tingkatan risiko informasi tersebut adalah: Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasi Opsi Penanganan Resiko Tindakan penanganan resiko yang dapat diambil antara lain : Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima oleh perusahaan karena memiliki Severity yang signifikan. Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada) Direktorat Sistem Informasi - Seksi Keamanan Data
Penentuan Rencana Pengendalian Resiko Untuk setiap risiko yang tidak dapat diterima (non-acceptable risk) harus dilakukan rencana pengendalian risiko yang terdiri atas rencana-rencana terinci dariatas opsi- opsi yang telah dipilihkan pada tahapan sebelumnya. Apabila diputuskan untuk mengambil opsi mengurangi risiko, maka harus identifikasi rencana pengendalian risiko yang terdiri atas: Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA). Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, dan Kontrol-kontrol lain sesuai kebutuhan bisnis. Direktorat Sistem Informasi - Seksi Keamanan Data
Penghitungan nilai resiko yang diharapkan Tingkat Risiko yang Diharapkan (expected risk) harus dihitung kembali untuk setiap tingkat risiko yang telah ditentukan untuk setiap non-acceptable risk. Tingkat risiko sisa ini harus disetujui oleh Pengelolaan Puncak sebelum dilakukan pengendalian risiko. Direktorat Sistem Informasi - Seksi Keamanan Data