Apa saja Elemen Utama dari Eksposur Risiko dan Peringkat Risiko dalam Risk Management?
Dalam menjalankan suatu aktivitas bisnis dalam perusahaan, pasti akan ada risiko yang ditemukan baik itu risiko yang bersifat serius atau risiko yang mudah untuk diatasi. Oleh karena itu diperlukan analisis yang tepat untuk menganalisis risiko yang mungkin nantinya bisa terjadi.
Hal pertama yang dapat dilakukan untuk menemukan risiko adalah dengan mendefinisikan terlebih dahulu beberapa istilah untuk menggambarkan komponen penting dari risiko itu sendiri. Istilah-istilah tersebut nantinya akan digunakan untuk menganalisis beberapa skenario risiko sederhana yang tujuan akhirnya akan membentuk sebuah model yang akurat untuk mengartikulasikan, mengkategorikan, dan menilai eksposur risiko. Berikut ini adalah beberapa elemen utama dari eksposur risiko dan peringkat risiko:
- Sensivitas sumber daya (Sensitivity of the resource)
- Ancaman (Threats) dan cara mengatasi ancaman tersebut
- Kerentanan (Vulnerabilities) dan cara mengatasinya
- Risiko Inheren (Inherent Risk) yaitu nilai eksposur risiko yang tidak dikurangi
- Kontrol Kompensasi (Compensating Controls) yang juga disebut kontrol alternatif, adalah mekanisme yang diterapkan agar dapat mengurangi kemampuan untuk dieksploitasi.
- Sisa Risiko (Residual Risk) merupakan tingkat risiko setelah tindakan dan kontrol dilakukan atau lebih tepatnya setelah mitigasi.
Berdasarkan pemaparan diatas, cara sederhana untuk mengingat setiap perbedaan antara terminologi risiko adalah dimana ancaman itu menggambarkan “siapa”, kerentanan menjelaskan “mengapa”, dan risiko sendiri sebagai konsekuensi “apa” yang akan dialami oleh perusahaan dalam bisnis.
Untuk memenuhi syarat risiko, setidaknya diperlukan tiga peringkat yang telah didefinisikan oleh SANS Institute diantaranya:
- Sensitivity merupakan nilai yang relatif terhadap toleransi sumber daya terhadap paparan risiko.
- Severity adalah mengukur besarnya konsekuensi dari ancaman/kerentanan yang telah direalisasikan.
- Likelihood adalah mengukur probabilitas bahwa ancaman/kerentanan akan terwujud.
Secara lebih detailnya, tingkat keparahan atau severity adalah ukuran besarnya kelemahan yang dapat dieksploitasi oleh ancaman. Jika risiko menggambarkan konsekuensi jika kerentanan dieksploitasi, maka tingkat keparahan adalah ukuran dari besarnya eksploitasi tersebut.
Sedangkan kemungkinan atau likelihood adalah ukuran seberapa besar kemungkinan ancaman/kerentanan akan terwujud. Jika risiko menggambarkan konsekuensi jika kerentanan dieksploitasi, maka kemungkinan adalah ukuran probabilitas yang akan terjadi. Beberapa model risiko membedakan antara probabilitas suatu risiko akan terjadi dan frekuensi kemungkinan terjadinya.
Source:
Wheeler, E. (2011). Security Risk Management: Building An Important Security Risk Management Program From The Ground Up. In Security Risk Management: Building An Important Security Risk Management Program From The Ground Up. http://www.sciencedirect.com/science/article/pii/B9781597496155000141%5Cnhttp://www.grc.net.br/attachment.php?attachmentid=46&d=1307706976