Secara sederhana,
analisis resiko atau risk analysis dapat diartikan sebagai
sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian
menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana
dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi. Analisis
resiko juga dipahami sebagai sebuah proses untuk menentukan pengamanan macam
apa yang cocok atau layak untuk sebuah sistem atau lingkungan (ISO 1799, “An
Introduction To Risk Analysis”, 2012).
Berikut ini akan dijabarkan
beberapa tipe dari analisis resiko:
A. Analisis Resiko
Kuantitatif dan Kualitatif
James W. Meritt,
dalam A Method for Quantitative Risk Analysis, menjelaskan bahwa
Analisis Resiko Kuantitatif merupakan satu metode analisis resiko yang
mengenali pengendalian pengamanan apa dan bagaimana yang seharusnya diterapkan
serta besaran biaya untuk menerapkannya. Sedangkan Analisis Resiko
Kualitatif digunakan untuk meningkatkan kesadaran atas masalah keamanan sistem
informasi dan sikap dari sistem yang sedang dianalisis tersebut.
Lebih lanjut, Meritt
menerangkan bahwa dua metode tersebut dapat berkombinasi menjadi satu, yang
kemudian dikenal sebagai metode hibrida atau Hybrid method. Metode
Hibrida merupakan sebuah kombinasi dari dua metode analisis resiko kuantitatif
dan kualitatif, dan dapat digunakan untuk menerapkan komponen-komponen yang
memanfaatkan informasi yang tersedia sekaligus memperkecil matriks yang
terkumpul dan dihitung. Metode ini, sayangnya, kurang intinsif secara numeric
(tetapi lebih murah biayanya) dibandingkan dengan sebuah metode analisis yang
dilakukan secara lengkap dan mendalam.
Menurut J. W. Meritt,
terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan
metode analisis resiko secara umum, yaitu sebagai berikut:
1. Pertama, menentukan ruang lingkup (scope
statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh
perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang
harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi,
mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan
hasil yang diharapkan.
2. Menetapkan aset (asset pricing). Pada
langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam
ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
3. Risks and Threats. Resiko (risk) adalah sesuatu
yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional
sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus
dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar
sistem sehingga memunculkan satu resiko.
4. Menentukan koefisien dampak. Semua aset
memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu
dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan
terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama
sekali.
5. Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin
ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara
berbedap pula ancaman-ancaman yang diketahui.
6. Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan
yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku
kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus
terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang
beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan
dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan.
Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
7. Melakukan kalkulasi (penghitungan) dan
analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu
analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu
mendapat perlindungan paling utama. Kedua, across risk, yaitu
analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling
harus dijaga.
8. Controls atau pengendalian, yaitu segala hal yang
kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta
memperbaiki sistem.
9. Melakukan analisis terhadai control atau
pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi
kontrol ini, yaitu cost and benefit ratio dan risk or
control.
B. Metodologi Analisis
Resiko Eugene Tucker
Eugene Tucker,
dalam Other Risk Analysis Methodologies, menjelaskan bahwa terdapat
banyak metode analisis resiko dan kerentanan. Bagi satuan pengamanan
professional, merupakan satu keharusan baginya untuk mengetahui dan menyadari
perbedaan dasar dari metodologi-metodologi yang ada tersebut. Secara lebih
lanjut, Tucker menjabarkan beberapa metodologi analisis resiko dan kerentanan,
antara lain adalah Operational Risk Management (ORM), CARVER+Shock,
dan Vulnerability Self Assessment Tool (VSAT).
Operational Risk
Management (ORM) merupakan
sebuah sistem manajemen resiko berbasis teknis yang umumnya digunakan oleh
lembaga Administrasi Penerbangan Federal (Federal Aviation Administration)
dan militer untuk menguji kemanan dan resiko atas sistem yang ada. Perangkat
analisis ini dirancang untuk mengenali manfaat dan resiko cara kerja untuk
menentukan arah terbaik dari satu tindakan yang diambil dalam situasi tertentu.
Resiko yang diteliti itu dapat merupakan akibat dari proses yang tidak memadai
atau gagal, dari orang, dari sistemnya sendiri, maupun dari kejadian-kejadian
di luar sistem (bersifat eksternal).
Lembaga Administrasi
Obat-obatan dan Makanan atau Food and Drugs Administration (FDA),
merupakan salah satu contoh lembaga di Amerika Serikat yang menggunakan metode
ORM dalam mempertanggungjawabkan kemanan satu produksi pengimporan, pergudangan
(warehousing), transportasi dan pesebaran makanan (barang konsumsi) di
negara tersebut. Secara umum, seperti yang dilakukan oleh FDA, terdapat enam
langkah dari ORM, yaitu (1) mengenali bahaya (identify the hazards; (2)
menakar atau menilai resiko yang ada (assess the risk); (3) menganalisa
ukuran pengendealian resiko (analyze risk control measures); (4) membuat
putusan pengendalian (make control decision); (5) menerapkan
pengendalian resiko (implement risk controls); dan (6) pengawasan dan
peninjauan (supervise and review).
Sedangkan metodologi
analisis resiko CARVER+Shock—satu metode yang digunakan oleh
Departemen Pertahanan Amerika Serikat, yang kemudian diadaptasi oleh beberapa
lembaga lainnya, seperti Departemen Pertanian Amerika Serikat (USDA), Food
Safety and Inspeection (FSIS), dan Badan Keamanan Dalam Negeri
Ketahanan Pangan dan Kesiapsiagaan Darurat (OFSED)—merupakan sebuah perangkat
yang lebih bersifat memprioritaskan target ofensif untuk mengidentifikasi
simpul-simpul kritis yang cenderung rentan menjadi target dari serangan
teroris, dan juga untuk merancangkan ukuran pencegahan dalam mengurangi resiko.
Cara ini, sesungguhnya, memiliki hubungan dengan metodologi dalam ORM.
Metode CARVER+Shock mempertimbangkan
dan membahas tujuh faktor yang mempengaruhi daya tarik dari sebuah target
(korban resiko), antara lain:
1. Critically, yakni sejauh mana faktor kesehatan publik dampak eknomi
mencapai intense penyerang atau pelaku (attacker). Faktor ini mengajukan
pertanyaan seberapa pentingnya sebuah target sebagaimana ditentukan oleh dampak
dari pengerjaan dan pengrusakan?
2. Accessibility, yakni akses atau jalan masuk terhadap target.
Faktor ini mempertanyakan semudah apa sebuah target dapat disentuh, baik
melalui cara penyusupan (infilotrasi) maupun dengan menggunakan alat atau
senjata (weapons)?
3. Recuperability, yakni kemampuan sistem yang ada untuk
memulihkan diri dari sebuah serangan. Faktor ini mengusung pertanyaan berapa
lama waktu yang dibutuhkan untuk mengganti atau memperbaiki target setiap kali
mendapat serangan (kerusakan)?
4. Vulnerability, yakni kerentanan atau kemudahan terjadinya
serangan.
5. Effect, yakni jumlah kerugian langsung akibat
terjadinya serangan.
6. Recognizability, yakni kemudahan dalam mengenali sebuah target.
7. Shock, yakni efek psikologis dari sebuah serangan.
Hasil dari analisis
tentang ketujuh faktor tersebut menjadi rumusan dasar bagi pengelolaan dalam
membangun dan mengembangkan strategi pengamanan.
Sementara itu, Vulnerability
Self Assessment Tool (VSAT) merupakan metodologi sekaligus software yang
digunakan untuk membangun atau merancang sistem keamanan yang mampu melindungi
target spesifik dari aksi-aksi spesifik lawan (adversaries). Cara ini
dianggap pula sebagai metodologi kualitatif berbasis nilai kegunaan (asset-based).
Tujuannya ialah untuk menaksir kerentanan, mengembangkan prioritas berdasarkan
biaya dan kelayakan satu proses remediasi, dan menentukan solusi yang paling
potential untuk kerentanan yang paling diprioritaskan. Software VSAT
sendiri juga memungkinkan bagi petugas pengamanannya untuk memodifikasi dan
merancang perlakuan tambahan (ancaman buatan) dan tindakan balasan (countermeasure).
VSAT juga menggunakan
sebuah garis penilaian dan analisis penyempurnaan untuk menghitung Risk
Reduction Units dari ‘tindakan balasan yang ditentukan’ dalam proses
analisis. Biaya dari modifikasi ini kemudian dikalkulasi, dan hasilnya menjadi
patokan untuk menentukan biaya adau modal dalam melaksanakan rancangan
pengamanan. Terdapat sebelas langkah penilaian dalam metode VSAT, yaitu (1)
mengidentifikasi asset; (2) mengeidentifikasi ancaman; (3) menentukan simpul
yang rentan; (4) mengenali keberadaan tindakan balasan (countermeasure);
(5) menentukan tingkat resiko; (6) menentukan kemungkinan terjadinya kesalahan
atau kegagalan; (7) menetapkan kerentanan; (8) menentukah kecocokan resiko; (9)
mengembangkan tindakan balasan (countermeasure) baru; (10) memperagakan
analisis biaya resiko; (11) mengembangkan sebuah perencanaan yang
berkelanjutan.
