Minggu, 25 November 2012

Elemen 2 (Risk Assesment)


Elemen kedua dari struktur pengendalian versi COSO adalah Penilaian Resiko (Risk Assesment)
Risk assessment (penilaian risiko) adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak. Risk assessment merupakan kunci dalam perencanan pemulihan bencana. penilaian resiko, proses menganalisis dan menafsirkan risiko terdiri dari tiga kegiatan dasar yaitu:
(1) menentukan ruang lingkup dan metodologi penilaian,
(2) mengumpulkan dan menganalisis data, dan
(3) menafsirkan hasil analisis risiko.
Semua organisasi memiliki risiko, dalam kondisi apapun yang namanya risiko pasti ada dalam suatu aktivitas, baik aktivitas yang berkaitan dengan bisnis (profit dan non profit) maupun non bisnis. Suatu risiko yang telah di identifikasi dapat di analisis dan evaluasi sehingga dapat di perkirakan intensitas dan tindakan yang dapat meminimalkannya.
Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis komponen risiko secara terpisah. Misalnya, aset dan konsekuensi atau ancaman dan likelihoods dapat di analisa bersama-sama.
- Penilaian Aset (Asset Valuation)
Yang termasuk dalam penilaian aset yaitu informasi, software, personl, hardware, dan aset fisik. Nilai aset terdiri dari nilai intrinsik, dampak jangka pendek, dan konsekuensi jangka panjang dari kompromi tersebut.
- Penilaian Konsekuensi (Consequence Assessment)
Penilaian konsekuensi memperkirakan tingkat kesukaran atau kerugian yang bisa terjadi. Konsekuensi mengacu pada bahaya secara keseluruhan bukan hanya untuk jangka pendek atau dampak langsung. Sementara damapk seperti itu sering mengakibatkan pengungkapan, modifikasi, perusakan atau penolakan layanan. Konsekuensi jangka panjang memiliki efek yang lebih signifikan seperti hilangnya bisnis, kegagalan untuk melakukan misi sistem, hilangnya reputasi, pelanggaran privasi, cedera, atau korban jiwa. Semakin parah konsekuensi dari ancaman, semakin besar risiko sistem.
- Identifikasi Ancaman (Threat Identification)
Ancaman adalah suatu entitas atau peristiwa yang berpotensi membahayakan sistem. Yang termasuk dalam ancaman tipikal adalah kesalahan, penipuan, karyawan yang tidak puas, kebakaran, kerusakan air, hacker, dan virus. Ancaman harus diidentifikasi dan dianalisis untuk menentukan kemungkinan terjadinya ancaman tipikal dan potensinya untuk merusak aset. Analisis risiko harus berkonsentrasi pada ancaman-ancaman yang paling mungkin terjadi dan yang bisa mempengaruhi aset penting.
- Analisis Perlindungan (Safeguard Analysis)
Perlindungan adalah setiap tindakan, perangkat, prosedur, teknik atau ukuran lain yang mengurang kerentanan sistem dari ancaman. Analisis perlindungan harus mencakup pemeriksaan dari efektifitas kebijakan keamanan yang ada. Hal ini juga dapat mengidentifikasi perlindungan baru yang diterapkan dalm sistem, namun biasanya dilakukan belakangan dalam proses manajemen risiko.
- Analisis Kerentanan (Vulnerability Analysis)
Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering di analisis dalam hal hilangnya pengamanan. Kerentanan berkontribusi mengambil risiko karena memungkinkan ancaman untuk membahayakan sistem.
Keterkaitan kerentanan, ancaman, dan aset sangat penting untuk analisis risiko. Keterkaitan ini dapat dilihat pada gambar 1. Namun, ada hubungan timbal balik lain seperti adanya kerentanan yang mendorong ancaman.

Tidak ada komentar:

Posting Komentar