Proses Analisa Risiko Keamanan Informasi dan manfaatnya

Analisa Risiko SMKI

Analisa Risiko adalah aktifitas yang dilakukan untuk menentukan tingkat kemungkinan dan frekuensi terjadinya risiko serta dampak terhadap pencapaian tujuan dengan mempertimbangkan alternatif pengendalian dan pencegahan yang dapat dilakukan. Sedangkan Keamanan informasi adalah upaya menjaga informasi dari seluruh ancaman yang mungkin terjadi serta memastikan atau menjamin kelangsungan bisnis, meminimalisir risiko bisnis, dan memaksimalkan peluang bisnis. Analisa risiko SMKI dibutuhkan untuk mengidentifikasi dan mengevaluasi risiko kerahasiaan, integritas, dan ketersediaan aset informasi perusahaan. Sehingga dapat meminimalkan potensi terjadinya dampak dari risiko bisnis.

ISO 27001:2013 adalah standar internasional untuk Sistem Manajemen Keamanan Informasi atau Information Security Management System (ISMS) yang membahas mengenai kerangka kerja untuk pengelolaan sistem keamanan informasi. Penyusunan dan pengimplementasian manajemen risiko pada ISO 27001 menggunakan pendekatan aset (asset approach/ asset-based risk management). Aset yang dimaksud adalah segala aspek yang memiliki nilai bagi perusahaan, bisa berupa barang, perangkat keras (hardware), perangkat lunak (software), informasi, sumber daya manusia, reputasi, dll.

ISO 27001 memiliki beberapa persyaratan untuk meminimalkan risiko keamanan informasi, seperti:

• Memeriksa risiko keamanan informasi organisasi dengan mempertimbangkan ancaman (threats), kerentanan (vulnerabilities), dan dampak (impacts) secara sistematis.
• Merencanakan dan mengimplementasikan kontrol terhadap keamanan informasi secara koheren dan komprehensif serta bentuk pengendalian risiko lainnya untuk menghadapi risiko yang tidak dapat diterima dan dianggap mengancam.
• Mengadopsi proses manajemen secara menyeluruh untuk memastikan bahwa kontrol keamanan informasi dapat memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.

Baca juga: Penerapan PDCA pada SMKI ISO 27001:2022

Proses Analisa Risiko

Proses Analisis Risiko Keamanan Informasi terdiri dari:

1. 1. Identifikasi Risiko

Tujuan dari identifikasi risiko adalah untuk menentukan apa saja potensi yang dapat menyebabkan potensi kerugian, bagaimana, dimana dan kenapa kerugian tersebut mungkin terjadi. Identifikasi dilakukan dengan menggunakan pendekatan pada 3 aspek keamanan, yaitu kerahasiaan (confidentiality), keutuhan (Integrity) dan ketersediaan (availiability). Identifikasi risiko disini dilakukan dengan:

1. 1. 1. Menentukan nilai aset informasi
      2. Mengidentifikasi ancaman-ancaman yang berlaku, dan kerentanan yang ada (atau bisa ada)
      3. Mengidentifikasi kontrol yang ada dan efeknya pada risiko yang teridentifikasi,
      4. Menentukan konsekuensi potensial
      5. Memprioritaskan risiko yang diperoleh
      6. Menggolongkan risiko dengan kriteria evaluasi risiko yang diatur dalam penetapan konteks.

1. 2. Estimasi Risiko

Analisis risiko dapat dilakukan dalam berbagai tingkat detail. Hal ini tergantung pada kritikalitas aset, jangkauan kerentanan yang diketahui, dan keterlibatan insiden yang terjadi sebelumnya. Dalam melakukan estimasi risiko dapat delakukan secara  kualitatif atau kuantitatif, atau kombinasi dari keduanya. Perusahaan dapat menentukan metode yang digunakan tersebut menyesuiaan dengan keadaan. Dalam praktiknya, estimasi kualitatif sering digunakan untuk mendapatkan indikasi umum level risiko dan untuk mengungkapkan risiko utama.

1. 3. Analisa dampak bisnis atau Business Impact Analysis (BIA)

Tujuan analisis dampak bisnis yaitu untuk menggambarkan tingkat ketahanan dari proses bisnis yang dijalankan perusahaan saat aset yang dimiliki mengalami gangguan akibat beberapa faktor ancaman dan kelemahan yang telah dianalisis. Nilai BIA dibuat untuk mengetahui batas toleransi dari aset terhadap ancaman dan kelemahan yang muncul pada aset tersebut.

Sedangkan tahapan Analisis Risiko Keamanan Informasi yaitu:

1. 1. Mengidentifikasi aset-aset yang dimiliki oleh instansi atau organisasi sesuai dengan ruang lingkup SMKI.
   2. Menghitung nilai aset berdasarkan aspek keamanan informasi.
   3. Melakukan identifikasi ancaman dan kelemahan terhadap aset-aset informasi yang tersedia.
   4. Melakukan analisis terhadap dampak bisnis jika terjadi kegagalan penjagaan aspek keamanan informasi

Baca juga: 3 Elemen Utama ISO 27001

Manfaat analisa risiko bagi perusahaan

Berikut adalah beberapa manfaat dari dilaksanakannya analisa risiko SMKI.

1. 1. Membantu perusahaan membangun kesiapan menghadapi risiko-risiko yang telah diperhitungkan sebelumnya
   2. Membantu perusahaan mencapai visi misi dan tujuan perusahaan
   3. Sebagai perlindungan asset informasi yang dimiliki perusahaan dari risiko yang mengancam.
   4. Melindungi perencanaan dan strategi khususnya yang berkaitan dengan bisnis dan informasi penting perusahaan
   5. Membantu mengambil keputusan bisnis yang lebih tepat
   6. Mencegah perusahaan dari ancaman kebangkrutan
   7. Meningkatkan keuntungan perusahaan
   8. Menjaga kepercayaan stakeholder
   9. Meminimalkan dampak kerugian risiko terhadap perusahaan

Analisa risiko berperan penting untuk menghindari risiko yang terjadi dalam sebuah perusahaan. Khususnya terhadap keamanan informasi yang berperan sebagai pilar perusahaan. Dalam menjalankan aktifitas bisnisnya terdapat risiko yang harus dikelola sebaik mungkin, terlebih di tengah situasi bisnis yang tidak menentu. Risiko bisa muncul kapan saja dan dalam berbagai bentuk. Di masa depan perusahaan pasti akan membutuhkan suatu metode yang dapat digunakan untuk mengantisipasinya. Untuk mempersiapkannya perusahaan harus melakukan serangkaian proses analisa risiko keamanan informasi melalui kerangka kerja yang efektif dan efisien yaitu ISO 27001 Sistem Manajemen Keamanan Informasi (SMKI).

Baca juga: Sistem Manajemen Keamanan Informasi ISO 27000 Series