Proses
analisis risiko yang melibatkan kedua aspek tersebut antara lain, proses penilaian kecenderungan
(likehood), kerawanan (vulnerabilities), ukuran dampak (impact) dan tingkat risiko. Aspek kuantitatif
melihat bahwa analisis risiko dapat dilakukan dengan mengukur jumlah hari kejadian serangan atau
gangguan itu pernah terjadi, dan sisi dampaknya, akan diukur berdasarkan nilai kerugian dalam rupiah
atau dollar, jika serangan atau gangguan itu terjadi dalam satu tahunnya. Sedangkan aspek kualitatif
mengarahkan pada ukuran dampak yang tidak secara langsung terlihat, contohnya dampak terhadap
menurunkan kepercayaan konsumen pada perusahaan, jika serangan atau gangguan itu terjadi. Analisis
risiko secara kualitatif akan melihat berdasarkan skala dampaknya, dari hanya mengganggu operasional
satu divisi tertentu, sampai terganggunya operasional seluruh divisi di perusahaan tersebut. Tidak
seluruhnya analisis risiko dapat diukur secara tepat menggunakan nilai angka atau rupiah, serta tidak bisa
pula analisis dilakukan hanya mengutamakan asumsi kualitatif yang cenderung subjektif, sehingga kedua
aspek ini idealnya dapat saling menutupi kelemahan pada masing-masing aspek, sehingga proses analisis
risiko teknologi informasi akan memberikan rekomendasi yang tepat bagi perusahaan.
Kata Kunci : Analisis risiko, kualititaif, kuantitatif, kecenderungan, kerawanan, dampak
1. Pendahuluan
Ronal L. Krutz (2003) dalam buku berjudul “CISSP Preparation Guide”, menjelaskan bahwa
pengertian analisis risiko ialah proses untuk mengidentifikasi risiko keamanan, menetapkan
strategi untuk meredam resiko tersebut, dan identifikasi area yang membutuhkan pengamanan.
Analisis risiko merupakan bagian dari risk management. Ronal L. Krutz (2003) juga menjelaskan
sinonim kata dari analisis risiko adalah analisis risiko (risk assessment). [3]
Bracknel forest partnership (2008) dalam dokumen berjudul “Startegic Risk Management
Report“, menjelaskan proses analisis risiko, ialah sebagai berikut:[6]
Pencatatan risiko (risk register)
Penaksiran/analisis risiko (risk assessment)
Potensi risiko
Analisis risiko (risk analysis)
Profil risiko (risk profile)
Peluang (opportunity)
Dibawah ini adalah penjelasan dari proses analisis risiko diatas,:
– Pencatatan risiko (risk register), yaitu melakukan deskripsi dari risiko, penyebab, dampak
dan konsekuensi dari risiko tersebut. Hasil dari tahapan ini adalah pengidentifikasian risiko (nama
risiko, deskripsi, penyebab (cases), dampak, dan kontrol), area risiko (area, sub-area dan risiko).
– Penaksiran/analisis risiko (risk assessment), yaitu melakukan penaksiran risiko, sehingga
akan diketahui level dari risiko, yang ada, dan harus dikurangi, sehingga akan menghasilkan risiko
yang tersisa.
– Potensi risiko, yaitu melakukan review secara periodik terhadap potensi risiko tersebut.
Analisis risiko (risk analysis), yaitu melakukan analisis terhadap risiko yang berhasil di register
diawal proses. Terdapat tiga pendekatan dalam analisis risiko, yaitu [2]:
Metode analisis kualitatif (qualitative analysis method), yaitu metode analisis risiko yang
menggunakan tabulasi berdasarkan penilaian deskriptif (tinggi, sedang atau rendah).
Metode analisis kuantitatif (quantitative analysis method), yaitu metode analisis risiko yang
menggunakan angka numerik untuk menyatakan dampak dan probabilitas.
Metode analisis semi kuantitatif, yaitu metode analisis risiko yang menggunakan angka skala
untuk tiap kategori kualitatif.
– Profil risiko (risk profiles), yaitu menampilkan tingkatan risiko, dalam bentuk koordinat
kecenderungan (likelihood) dan dampak (impact).
– Peluang (opportunity), yaitu dalam proses pengelolaan risiko, terdapat peluang untuk
melakukan improve dan pemeliharaan aset terhadap ancaman risiko.
Pada analisis risiko kuantitatif dan kualitatif, masing-masing memiliki tahapan. Secara umum
tentang metode analisis risiko secara kuantitatif dan kualitatif, akan dijelaskan pada bagian
selanjutnya.
2. Aspek Kuantitatif
Metode analisis kuantitatif (quantitative analysis method), yaitu metode analisis risiko yang
menggunakan angka numerik untuk menyatakan dampak dan probabilitas. Pada
dokumen information assurance CS498SH (2006), menjelaskan bahwa pada pendekatan
kuantitatif, dilakukan dengan enam proses penting, meliputi:[7]
Identifikasi nilai aset (asset value)
Penentuan ancaman, kelemahan (vulnerability) dan dampak
Perkiraan kecenderungan terjadi (likelihood of exploitation).
Perhitungan Annual Loss Exposure (ALE)
Peninjauan (survey) penggunaan kontrol dan biayanya
Pelaksanaan project untuk implementasi kontrol
Berikut ini adalah penjelasan dari enam proses pada analisis risiko dengan pendekatan kuantitatif:
– Identifikasi nilai aset: ialah nilai moneter yang dimiliki aset, berdasarkan actual cost, atau
biaya pengganti dari aset tersebut. (asset value).
– Penentuan ancaman, kelemahan dan dampak: ialah mengetahui frekuensi ancaman (threat
frequency) yang pernah terjadi, analisis terhadap kelemahan (vulnerability analysis), dan
perhitungan dampak (impact analysis).
Threat Frequency (ARO): mengetahui seberapa sering ancaman terjadi, yang disebut
dengan Annual Rate Occurance (ARO), contoh: kebakaran besar 1 dalam 40 tahun, system crash
1 dalam 6 bulan.
Vulnerability Analysis (EF): mengetahui pontensi kehilangan aset, yang disebut Exposure factor
(EF), yang merupakan presentase kehilangan akibat ancaman yang terjadi terhadap aset.
Impact Analysis (SLE dan ALE): melakukan perhitungan terhadap dampak dari kejadian
gangguan keamanan, yang terkait dengan Single Loss Expectancy (SLE), yaitu nilai moneter yang
akan hilang pada satu kali kejadian gangguan keamaan informasi.
– Perhitungan Annual Loss Exposure (ALE), yaitu nilai moneter yang akan hilang karena
gangguan keamanan terhadap aset, pada jangka waktu satu tahun.
Berdasarkan uraian diatas, dapat dijelaskan bahwa tahapan pada analisis risiko secara kuantitatif,
secara umum memiliki kesamaan dengan langkah-langkah yang ada pada analisis risiko (risk
assessment), sehingga dapat digambarkan sebagai berikut:
Gambar 1. Analisis Risiko Kuantitatif dan
Analisis risiko
Tahapan yang ada pada analisis risiko kuantitatif, memiliki fungsi yang sama dengan tahapan yang
ada pada analisis risiko. Contohnya identifikasi nilai aset, dapat dilihat sebagai proses untuk
mengidentifikasi karakteristik sistem seperti teknologi, informasi dan manusia. Tetapi tahap
implementasi dari kontrol yang terdapat pada analisis risiko kuantitatif, tidak dimiliki pada analisis
risiko, karena analisis risiko hanya sampai pada usulan kontrol, berdasarkan analisis risiko yang
dilakukan.
3. Aspek Kualitatif
Metode analisis kualitatif (qualitative analysis method), yaitu metode analisis risiko yang
menggunakan tabulasi berdasarkan penilaian deskriptif (tinggi, sedang atau rendah). Pendekatan
kualitatif melakukan analisis terhadap potensi dampak yang dapat terjadi akibat ancaman dari
gangguan dan kelemahan, yang akan dinilai dengan skala tinggi, menengah dan rendah.
Thomas R. Peltier (2001), dalam bukunya yang berjudul “Information Security Risk Anaysis”,
menjelaskan tahapan pada analisis risiko secara kualitatif, dalam sepuluh proses, meliputi: [8]
Identifikasi batasan analisis (scope)
Pembentukan tim.
Identifikasi ancaman
Prioritas ancaman berdasarkan aset
Dampak kehilangan
Rekapitulasi ancaman, dampak dan risiko
Identifikasi kontrol dan pengamanan
Analisis cost-benefit
Level kontrol
Sosialisasi hasil analisis
Penjelasan dari sepulug proses analisis risiko kualitatif, sebagai berikut:
– Identifikasi batasan analisis: proses ini akan dilakukan penentuan fokus masalah yang akan
diselesaikan.
– Pembentukan tim: pada proses ini akan dilakukan pembentukan tim yang bisa terdiri dari
para ahli, pihak managemen dan pengguna.
– Identifikasi ancaman: pada proses ini akan dilakukan pendaftaran beberapa ancaman,
berdasarkan hasil observasi dan tanya jawab, sehingga dapat diketahui ancaman dan kelemahan
yang menyebabkannya.
– Prioritas ancaman berdasarkan aset: pada proses ini memperhatikan ancaman yang
memiliki kecenderungan terjadi dinilai rendah, menengah atau tinggi.
– Dampak kehilangan: berdasarkan identifikasi dampak kehilangan, maka dapat dinilai level
dampaknya, yang dinilai dengan rendah, menengah dan tinggi.
– Rekapitulasi ancaman, dampak dan risiko: pada proses ini akan dilakukan rekapitulasi level
ancaman, dampak dan faktor risiko.
– Identifikasi kontrol/pengamanan: pada proses ini akan dilakukan identifikasi kontrol dan
alat pengamanan yang akan dipilih berdasarkan ancaman.
– Sosialisasi hasil analisis: melakukan pembuatan executive summary, yang melaporkan
keseluruhan hasil analisis risiko yang dilakukan.
Proses pada analisis risiko kualitatif memiliki fungsi yang sama seperti proses pada analisis risiko,
sebagai contoh penilaian dampak kehilangan yang dilakukan pada analisis risiko kualitatif, sama
dengan tahap analisis dampak pada penilain risiko, tetapi tahap analisis cost-benefit tidak terdapat
pada analisis risiko, karena analisis tersebut ada pada tahapan risk mitigation.
Berdasarkan kajian teori analisis kualitatif dan kuantitatf diatas, maka masing-masing dapat
digunakan sebagai dukungan dalam melakukan analisis risiko, selanjutnya akan dijelaskan tentang
perbandingan analisis kuantitatif dan kualitatif itu sendiri, agar memiliki dasar dalam
menggunakan kedua metode analisis diatas, sebagai pendukung dalam melakukan analisis risiko.
4. Aspek Kuantitatif dan Kualitatif
Romania dan Adrian (2005) ini menemukan terdapat keterbatasan pada kedua metode analisis
risiko kuantitatif dan kualitatif. Hal tersebut diperoleh setelah melakukan perbandingan
berdasarkan dua faktor, yang merupakan dampak dari risk assessment, yaitu time
constraint dan moral hazard. Manager IT mengetahui bahwa dalam keamanan jangka panjang
sistem informasi (SI) adalah hal ideal yang ingin dicapai, dan pengaruh finansial dari lemahnya
kebijakan, prosedur, dan standar keamanan informasi, merupakan hal yang sulit untuk diukur atau
dinilai, sehingga perhitungan tersebut menjadi kurang akurat. [4]
Romania dan Adrian (2005) menyimpulkan bahwa pengukuran resiko keamanan merupakan
pekerjaan yang sulit, yang hampir tidak mungkin dilakukan secara akurat, untuk sebuah SI. Pada
literatur keamanan informasi, dapat dilihat bahwa dalam metode kuantitatif terdapat tahapan
penilaian value of the assets. Dalam memperoleh nilai aset, seperti aset berupa informasi atau
database, sangat terbuka peluang munculnya subjektifitas penilai. Sebab dalam penilaian tersebut,
terdiri dari beberapa elemen yang harus ditaksir. Elemen tersebut antara lain, nilai dari kompetitis
aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain-lain. Sedangkan pada metode
kualitatif menggunakan kuesioner untuk memperoleh fakta, melalui estimasi secara statistik,
dengan penilaian low, medium dan high, sehingga ditemukan kesulitan dalam menghitung
kerugian finansial jika hanya berdasarkan asumsi atau judgment.
Romania dan Adrian (2005) menyimpulkan bahwa kedua pendekaan diatas dalam proses
analisisnya sangat dipengarui oleh subjektifitas penilainya, sehingga pengguna metode tersebut,
harus menggunakan kedua-dua secara satu kesatuan dan seimbang, untuk memperoleh hasil yang
lebih sempurna.
Valentin (2007) menyatakan bahwa penilaian resiko dilakukan untuk mengurangi kerugian, tetapi
dalam operasionalnya masih ditemukan pertanyaan, apakah harus memilih salah satu pendekatan,
antara pendekatan kualitatif atau kuantitatif. [5]
Valentin (2007) menyimpulkan bahwa pada pendekatan kualitatif sangat didominasi oleh
pengukuran yang subjektif, sedangkan pada pendekatan kuantitatif dapat meniadakan sifat
subjektif yang ada, sehingga akan lebih objektif dibandingkan metode kualitatif.
Menurut Romania&Adrian (2005) pada artikel pertama dan Valentin (2007) pada artikel yang
kedua, risk assessment menggunakan pendekatan kualitatif menggunakan skala high-medium-
low dalam menangkap fakta berdasarkan elemen-elemen risk assessment. Sedangkan pada
pendekatan kuantitatif, digunakan angka-angka yang terukur, untuk menilai elemen-elemen risk
assessment. Berdasarkan komparasi diatas, maka kedua artikel ini memiliki kesamaan dalam
melihat kedua pendekatan tersebut
Hasil penelitian yang dituliskan oleh Romania&Adrian (2005), bahwa pendekatan kualitatif dan
kuantitatif, sama-sama tidak dapat terlepas dari penilaian yang bersifat subjektif, karena pada
pendekatan kuantitatif pun ditemukan tahapan dimana perlu dilakukan sebuah perkiraan dan
judgment dari peneliti agar dapat menilai value of asset, nilai dari kompetitif aset, biaya perangkat
lunak, biaya untuk melindunginya. Sedangkan hasil penelitian yang ditulsikan oleh Valentin
(2007), menyatakan bahwa pendekatan quantitif dapat menghilangkan penilaian yang bersifat
subjektif, karena melakukan penilaian dengan angka-angka yang akurat dan terukur.
Romania&Adrian (2005) mencoba menguraikan langkah-langkah pendekatan kuantitatif,
sehingga menemukan tahapan penilaian yang tidak dapat lepas dari subjektifitas penggunanya.
Sedangkan Valentin (2007), hanya melihat aspek yang memang dapat dinilai dengan angka dan
rumus yang jelas, contoh nya EF, ARO, atau ALE, sedangkan aspek dalam penentuan nilai aset
tidak dijelaskan bahwa terdapat faktor yang mungkin tidak dapat dilakukan dengan objektif,
karena dipengaruhi oleh subjektifitas atau judgment penilainya, contohnya nilai kompetitif dari
aset, yang tidak dapat diukur secara akurat. Hal ini menyebabkan kesimpulan yang berbeda antara
penelitian di artikel pertama dan kedua.
Romania dan Adrian (2005) menjelaskan bahwa baik pendekatan kualitatif atau kuantitatif pada
risk assessment, tidak dapat terlepas dari subjektifitas penilainya, sedangkan Valentin (2007)
menyatakan bahwa pendekatan kuantitatif akan menghilangkan sifat penilaian yang subjektif,
sehingga perlu menggunakan kedua metode ini secara seimbang, agar dapat diperoleh hasil
penilaian yang seimbang dan objektif.
Romania&Adrian (2005) dan Valentin (2007) memberikan rekomendasi pendekatan terbaik dalam
melakukan risk assessment, agar hasil penilaian dapat bersifat objektif dan seimbang, yaitu dengan
cara menggunakan kedua pendekatan tersebut (kuantitatif dan kualitatif) atau semi-kuantitatif,
agar keterbatasan dari setiap pendekatan dapat diperbaiki, dan yang paling penting adalah dalam
penilaian sedapat mungkin mengurangi subjektifitas, agar hasil risk assessment dapat dijadikan
dasar yang kuat, dalam membuat strategi penanganan resiko.
5. Metodologi Analisis Risiko berorientasi Kuantitatif dan Kualitatif
Gary Stonebumer (2006) menjelaskan bahwa analisis risiko merupakan langkah-langkah yang
dilakukan dalam rangka untuk mengetahui tingkat risiko terhadap aset miliki perusahaan, dan
rekomendasi kontrol keamanannya, karena dari hasil tahapan ini akan menentukan rencana untuk
mengurangi resiko terhadap keamanan informasi.
Adapun langkah-langkah dalam analisis risiko TI, sebagai berikut: [1]
Identifikasi karakteristik sistem (system characterization)
Identifikasi ancaman (threat identification)
Identifikasi kerawanan/kelemahan (vulnerability determination)
Analisis kontrol (control analysis)
Pengenalan kecenderungan (likelihood determination)
Analsis dampak (impact analysis)
Pengenalan risiko (risk determination)
Rekomenfasi kontrol (control recommendation)
Dokumentasi (result documentation)