Penting bagi Anda untuk mengetahui berbagai jenis metodologi penilaian risiko ISO 27001 yang dapat Anda gunakan untuk melindungi data Anda. Setiap jenis memiliki kekurangan dan kelebihannya masing-masing sehingga penting bagi Anda untuk memahami cara memilih yang terbaik untuk perusahaan Anda.
Memahami Penilaian Risiko
Sebelum kita mendalami metodologi penilaian risiko ISO 27001 terlebih dahulu Anda perlu memahami penilaian risiko yang merupakan cara bagi perusahaan Anda untuk memutuskan apa yang akan Anda lakukan untuk mengamankan data. Apalagi kerentanan dan ancaman datang dari mana-mana, tidak hanya ancaman eksternal, tapi juga dari pengguna internal yang kurang hati-hati.
Kerentanan bahkan mungkin berasal dari infrastruktur jaringan itu sendiri. Oleh karena itu, penting bagi manajemen puncak untuk mengetahui seberapa mendesak setiap risiko tersebut dan biaya yang perlu dikeluarkan dalam upaya mitigasinya.
Penilaian risiko dapat membantu manajemen puncak untuk menentukan prioritas. Penilaian ini akan mengevaluasi kemungkinan dan potensi dampak yang dapat terjadi dari setiap risiko yang terdapat pada perusahaan Anda. Kemudian manajemen puncak dapat mengevaluasi laporan tersebut untuk memutuskan upaya mitigasi mana yang ingin mereka prioritaskan sesuai dengan lini waktu, strategi, dan anggaran perusahaan.
Berbagai Jenis Metodologi Penilaian Risiko ISO 27001
Sebenarnya, tidak ada metodologi penilaian risiko ISO 27001 wajib yang harus Anda gunakan untuk memenuhi standar tersebut. Sebaliknya Anda perlu membuat metodologi Anda sendiri yang sesuai dengan kebutuhan perusahaan Anda.
Untuk melakukannya, Anda dapat menggunakan jenis metodologi yang umum dan kemudian menyesuaikannya agar lebih sesuai dengan perusahaan Anda. Jenis metodologi yang dapat Anda pertimbangkan adalah:
· Metode kuantitatif
Metode ini menggunakan ketelitian analitis dalam prosesnya. Semua risiko dan penilaian akan diberi nilai dalam dolar. Dengan demikian, Anda kemudian dapat membuat hasil penilaian risiko menggunakan istilah keuangan yang lebih mudah dipahami oleh manajemen puncak, anggota dewan, dan eksekutif. Kemudian pengambil keputusan akan memprioritaskan opsi mitigasi berdasarkan analisis biaya-manfaat.
Namun, metode ini mungkin tidak cocok untuk semua orang terutama karena tidak semua risiko dan aset dapat diukur. Selain itu, memberikan nilai finansial pada aset tersebut tidaklah mudah dan sering kali melemahkan objektivitas penilaian. Perusahaan perlu memiliki tenaga ahli yang memiliki pengetahuan dan kemampuan yang tepat untuk melakukan hal tersebut dan tidak semua perusahaan memiliki tenaga ahli internal tersebut.
· Metode kualitatif
Metode ini menggunakan pendekatan jurnalistik dengan menempatkan risiko pada skala tertentu. Para penilai akan berkomunikasi dengan karyawan di perusahaan untuk membicarakan bagaimana mereka akan atau bahkan apakah mereka dapat melakukan pekerjaannya jika sistem perusahaan tidak dapat diakses.
Kemudian masukan tersebut digunakan untuk membuat skala pada masing-masing risiko dengan menggunakan nilai rendah, sedang dan tinggi. Metode ini dapat menunjukkan situasi keseluruhan bagaimana risiko dapat mempengaruhi operasional perusahaan.
Namun, pendekatan jenis ini bersifat subjektif dan penilai harus mampu menjelaskan skenario yang mudah dipahami oleh karyawan dengan berbagai latar belakang teknis. Mereka juga harus menggunakan metodologi wawancara dengan menggunakan pertanyaan-pertanyaan yang dapat membantu menghindari bias.
· Metode Semi Kuantitatif
Metode ini menggabungkan kedua metode yang kami jelaskan di atas. Dengan begitu, dalam pendekatan ini nilai akan diberikan menggunakan skala numerik. Kemudian risiko tersebut akan dikategorikan lebih lanjut, yaitu sepertiga risiko yang bernilai terendah menjadi risiko rendah, sepertiga risiko yang bernilai tengah menjadi risiko sedang, dan sepertiga risiko yang bernilai tinggi menjadi risiko tinggi.
Dengan menggabungkan kedua metode tersebut maka Anda dapat menghindari intensitas perhitungan probabilitas dan nilai dengan tetap dapat menggunakan penilaian analitis. Dengan demikian, cara ini dinilai lebih obyektif dengan dasar yang lebih baik dalam memprioritaskan risiko.
Metode Berbasis Aset
Ini adalah pendekatan tradisional yang digunakan banyak perusahaan ketika menilai risiko khususnya untuk departemen TI. Metode ini populer karena selaras dengan budaya, operasi, dan struktur departemen. Metodologi penilaian risiko ISO 27001 ini dapat dilakukan dalam beberapa langkah seperti:
- Mencatat semua aset
- Mengevaluasi seberapa efektif pengendalian yang ada saat ini
- Mengidentifikasi kerentanan dan ancaman pada setiap aset
- Menilai potensi dampak untuk setiap risiko
Satu hal yang perlu diperhatikan adalah bahwa pendekatan ini tidak dapat menghasilkan penilaian yang lengkap karena beberapa risiko bukan merupakan bagian infrastruktur informasi terutama faktor-faktor lunak seperti proses, kebijakan dan lain-lain. Faktor-faktor tersebut dapat memberikan risiko yang lebih tinggi terhadap keamanan perusahaan.
Metode Berbasis Kerentanan
Pada metode ini penilaian dilakukan lebih jauh dari sekedar aset perusahaan. Penilaian dapat dimulai dengan memeriksa kekurangan dan kelemahan yang diketahui pada lingkungan dan sistem perusahaan.
Langkah selanjutnya adalah mengidentifikasi kemungkinan ancaman yang dapat mengeksploitasi kerentanan dan potensi konsekuensinya. Meskipun pendekatan ini dapat menemukan lebih banyak risiko dibandingkan metode berbasis aset namun pendekatan ini dilakukan hanya berdasarkan kerentanan yang diketahui. Artinya, ada ancaman lain yang mungkin tidak tercakup dalam penilaian.
Metode Berbasis Ancaman
Metodologi penilaian risiko ISO 27001 ini dapat memberikan postur risiko yang lebih lengkap yang dimiliki perusahaan. Pendekatannya dilakukan dengan mengevaluasi kondisi yang dapat menimbulkan risiko. Untuk melakukan hal tersebut, Anda juga perlu mengaudit aset-aset perusahaan karena pengendalian aset seringkali memberikan kontribusi terhadap kondisi yang dapat menimbulkan risiko.
Jadi, metode ini sebenarnya lebih dari sekedar infrastruktur fisik. Melalui penilaian ini Anda dapat menemukan metode yang dapat digunakan untuk mengurangi risiko termasuk biaya yang diperlukan.
Bagaimana Memilih Metodologi yang Cocok untuk Perusahaan Anda
Hal berikutnya yang perlu Anda lakukan adalah memilih metodologi mana yang lebih cocok untuk perusahaan Anda. Ada beberapa hal yang dapat Anda lakukan untuk memilih metodologi yang sesuai seperti:
· Memilih produk penilaian risiko lengkap yang dibuat oleh perusahaan eksternal.
Cara ini banyak dilakukan perusahaan karena dirasa lebih mudah. Namun, produk tersebut biasanya memiliki banyak proses pembelajaran dan beberapa pengguna mungkin tidak memiliki cukup kesabaran untuk mengikutinya.
· Meminjam metodologi dari perusahaan lain.
Ini adalah metode lain yang dapat Anda gunakan, namun biasanya sangat sulit menemukan metode yang cocok dengan perusahaan Anda. Apalagi jika Anda tidak memahami dasar-dasar yang digunakan saat membuat metodologi maka akan sulit untuk menerapkannya.
· Membuat metodologi Anda sendiri
Seperti yang Anda lihat, setiap metodologi penilaian risiko ISO 27001 memiliki kelemahannya masing-masing karena tidak sempurna namun masing-masing juga memiliki kekuatannya sendiri. Untungnya, cara-cara tersebut sebenarnya tidak eksklusif.
Artinya, Anda sebenarnya bisa membuat metodologi sendiri yang menggabungkan pendekatan-pendekatan tersebut sehingga lebih cocok untuk perusahaan Anda. Untuk melakukannya Anda perlu mengetahui tujuan serta sifat perusahaan.
Misalnya, jika persetujuan manajemen puncak adalah sesuatu yang sangat penting maka Anda mungkin perlu membuat metodologi yang menggunakan metode kuantitatif. Dengan begitu, Anda akan mampu menyajikan hasil penilaian risiko dengan nilai yang lebih mudah dipahami oleh manajemen puncak.
Namun jika Anda memerlukan dukungan dari pemangku kepentingan dan karyawan maka Anda mungkin perlu membuat metodologi yang menggunakan metode kualitatif.
Komponen yang Harus Dimiliki Metodologi
Saat memilih dan membuat metodologi yang akan digunakan, Anda perlu memastikan bahwa metode tersebut benar-benar memenuhi persyaratan ISO 270001 sebagaimana dinyatakan dalam Klausul 6.1.2. Klausul ini sebenarnya memiliki daftar yang bisa Anda ikuti yang mencakup beberapa hal penting seperti:
· Menentukan metode yang digunakan untuk mengidentifikasi kerentanan dan risiko yang dapat membahayakan kerahasiaan, integritas, atau/dan ketersediaan data yang dikirimkan, dikelola, dan disimpan oleh perusahaan Anda.
Yang perlu Anda lakukan adalah membuat daftar semua kerentanan dan ancaman yang Anda temukan melalui penilaian.
· Mengidentifikasi pemilik risiko dan metode yang digunakan untuk mengidentifikasinya. Anda perlu menugaskan sebuah tim atau seseorang yang memiliki kemampuan, pengetahuan dan pelatihan yang tepat untuk menangani risiko atau untuk menemukan seseorang dengan posisi dan kekuasaan yang tepat yang dapat melakukan tugas tersebut.
· Metodologi penilaian risiko ISO 27001 harus mampu mengidentifikasi kriteria yang dapat digunakan untuk mengukur seberapa besar kemungkinan risiko akan terjadi dan konsekuensinya. Anda dapat menggunakan beberapa skala yang digunakan dalam metode yang telah kita bahas sebelumnya. Misalnya, Anda dapat menggunakan skala numerik atau mengelompokkannya ke dalam prioritas yang berbeda.
· Tentukan metode yang digunakan untuk menghitung risiko . Jangan lupa bahwa Anda perlu membuat rincian metode secara lengkap dalam bentuk dokumentasi karena diperlukan untuk proses audit nantinya.
· Tentukan kriteria yang akan digunakan untuk menerima risiko. Misalnya, Anda mungkin ingin memprioritaskan risiko yang memiliki tingkat bunga tinggi atau nilai numerik lebih besar sebelum menangani risiko lainnya.
Kesimpulan
Memiliki metodologi yang kuat dalam menilai risiko dapat menjadi hal pertama yang dapat Anda lakukan untuk menciptakan manajemen risiko yang baik. Ini memberi perusahaan Anda kerangka kerja yang dapat digunakan oleh tim untuk menilai kemungkinan keberhasilan penerapan ISO 27001. Oleh karena itu, sangat penting bagi Anda untuk mempelajari dan memilih metodologi penilaian risiko ISO 27001 yang lebih sesuai untuk perusahaan Anda.