Strategic Security Management-Risk Assessment
Strategic Security Management-Risk Assessment
RISK ASSESSMENTS
Definition - Penilaian risiko merupakan komponen dari proses manajemen yang berkelanjutan.
Penilaian risiko adalah penilaian kuantitatif, kualitatif, atau gabungan keduanya yang berupaya
menentukan kemungkinan bahwa musuh akan berhasil mengeksploitasi kerentanan dan
dampak yang dihasilkan (tingkat konsekuensi) terhadap suatu aset. Penilaian risiko adalah
dasar untuk memprioritaskan risiko agar dapat secara efektif menerapkan tindakan pencegahan.
Penilaian risiko adalah puncak dari langkah-langkah sebelumnya yang dibahas sejauh ini
dimulai dengan mengidentifikasi aset, menginventarisir langkah-langkah keamanan yang ada,
mendefinisikan ancaman, dan mengidentifikasi kerentanan. Langkah terakhir dari proses ini
adalah untuk menghitung risiko dan membuat rekomendasi untuk menguranginya ke tingkat
yang dapat diterima organisasi.
Risk Assessment - Penilaian risiko adalah tinjauan komprehensif dan rasional yang
menawarkan metode logis dan dapat dipertahankan bagi para profesional keamanan untuk
membuat keputusan tentang biaya keamanan dan untuk memilih langkah-langkah keamanan
yang hemat biaya yang akan melindungi aset penting dan mengurangi risiko ke tingkat yang
dapat diterima. Penilaian risiko dapat berupa kuantitatif dan kualitatif, atau gabungan.
Metodologi penilaian risiko harus terstruktur sehingga hasil dan rekomendasi dapat ditiru
mengingat tim penilai yang berbeda. Penilaian risiko umumnya harus bersifat kuantitatif,
rekomendasi untuk langkah-langkah keamanan tambahan harus menjadi hasil dari analisis
biaya-manfaat, dan langkah-langkah harus dibandingkan dengan standar industri.
Qualitative Risk Assessments - Penilaian kualitatif biasanya digunakan ketika aset yang
membutuhkan perlindungan memiliki nilai lebih rendah atau ketika data tidak tersedia.
Penilaian risiko kualitatif juga dapat digunakan ketika informasi historis atau data metrik tidak
memadai, menghalangi pendekatan kuantitatif. Hasil penilaian kualitatif tergantung pada
keterampilan penilaian orang-orang yang terlibat dalam penilaian.
Quantitative Risk Assessment - Penilaian kuantitatif, di sisi lain, berbasis metrik dan
menetapkan nilai numerik ke tingkat risiko. Tingkat risiko keseluruhan berasal dari semua
metrik keamanan yang tersedia. Penilaian kuantitatif biasanya digunakan untuk melindungi
aset bisnis yang kritis atau bernilai tinggi. Harus diakui bahwa risiko keamanan terkenal sulit
diukur secara kuantitatif karena melibatkan tindakan manusia. Metodologi umum untuk
penilaian risiko kuantitatif adalah untuk mempertimbangkan kemungkinan serangan dan
dampak yang diharapkan pada setiap aset kritis. Probabilitas serangan didasarkan pada
motivasi, kemampuan, dan niat musuh. Bergantung pada jenis fasilitas atau aset yang
dilindungi, data historis juga dapat dipertimbangkan, tetapi kurangnya sejarah tidak boleh
menunjukkan tingkat ancaman yang rendah atau tidak ada. Berdasarkan perhitungan ancaman
dan kerentanan, tingkat risiko keseluruhan dihitung. Risiko = Ancaman + Kerentanan
Specialized Risk Assessment Methodologies - Terdapat sejumlah penilaian risiko khusus
yang membahas kebutuhan industri tertentu atau ancaman spesifik atau jenis aset kritis.
Risk Mitigation - Manajemen risiko adalah proses mengantisipasi kerugian di masa depan dan
menggunakan strategi mitigasi risiko untuk mengurangi atau menghilangkan risiko itu. Secara
umum, lima strategi dapat digunakan untuk menangani risiko: penghindaran, pengurangan,
penyebaran, transfer, dan penerimaan. Penghindaran risiko adalah langkah ekstrem karena
menghambat bisnis. Pengurangan risiko biasanya merupakan kekuatan pendorong untuk
departemen keamanan yang perannya adalah memberikan perlindungan untuk aset.
Penyebaran risiko adalah strategi yang digunakan dalam memindahkan aset ke wilayah
geografis yang berbeda sehingga jika satu daerah diserang, konsekuensinya terbatas pada
wilayah itu. Transfer risiko adalah strategi yang digunakan untuk menghapus risiko dari
pemilik ke pihak ketiga. Asuransi adalah contoh terbaik transfer risiko karena bisnis
mempekerjakan perusahaan asuransi untuk menanggung risiko dengan bayaran. Penerimaan
risiko adalah strategi lain yang digunakan dalam memitigasi risiko. Seperti namanya,
penerimaan risiko hanyalah di mana organisasi mengasumsikan risiko terhadap aset. Mitigasi
risiko adalah strategi keamanan yang dicapai dengan mengurangi tingkat ancaman dengan
menghilangkan atau mencegat musuh sebelum mereka menyerang, memblokir peluang melalui
peningkatan keamanan, atau mengurangi konsekuensi jika serangan harus terjadi. Strategi
terbaik untuk mengurangi risiko adalah kombinasi dari ketiga elemen: mengurangi ancaman,
memblokir peluang, dan mengurangi konsekuensi.
Risk Assessment Report - Laporan penilaian risiko adalah dokumen tertulis yang
komprehensif yang menggabungkan semua elemen metodologi penilaian risiko. Komponen
khas dari laporan penilaian risiko skala penuh termasuk daftar aset utama, aset kritis, dan
karakterisasi fasilitas, ringkasan langkah-langkah keamanan yang ada, laporan penilaian
ancaman termasuk dokumentasi pendukung dengan diagram dan grafik analisis kejahatan,
elemen utama dari laporan penilaian kerentanan dengan survei keamanan dimasukkan sebagai
lampiran, dan rekomendasi untuk modifikasi keamanan dengan analisis biaya-manfaat. Tujuan
dari laporan ini adalah untuk menyoroti temuan-temuan dari penilaian risiko sehingga mereka
dapat membuat keputusan mitigasi risiko yang berpendidikan yang dapat mencakup satu atau
lebih dari lima strategi mitigasi risiko (penghindaran, pengurangan, penyebaran, transfer , dan
penerimaan).
Risk Assessment Report Outline - Dalam laporan penilaian risiko pertama yaitu terdapat
table of content, dimana di dalamnya harus mengidentifikasi setiap bagian utama dan sub-
bagian dan diidentifikasi berdasarkan nomor halaman. Executive summary, digunakan untuk
menyediakan versi ringkas dari seluruh laporan dan menyoroti masalah-masalah utama bagi
para pembuat keputusan yang sibuk. Harus mencantumkan aset utama dan kritis, ancaman dan
kerentanan serta diakhiri dengan rekomendasi. Background and methodology, menguraikan
ruang lingkup penilaian risiko dan metodologi sendiri dapat spesifik untuk fasilitas atau
organisasi atau industri atau metodologi umum. Aset dan aset kritis, digunakan untuk
menguraikan aset yang ada. Existing security measures, diskusi kebijakan dan prosedur
keamanan saat ini. Threat Assessment & Crime analysis, tinjauan data keadaan historis atau
analisis kejahatan mendalam. Dapat berupa tren kejahatan, tingkat, deskripsi jenis kejahatan.
Serta bagaimana perkiraan untuk kedepannya. Vulnerability assessments, menguraikan hasil
survei keamanan dan mengidentifikasi peluang apapun dan kekurangan program keamanan
dijelaskan. Risk assessment and recommendations, menyajikan risiko saat ini terhadap fasilitas
dan aset. Rekomendasi dimasukkan bersama analisis biaya manfaat. Juga dilihat dari analisis
sebelumnya. Appendices, lampiran harus dimasukkan dalam laporan. Dimana penilaian risiko
mencakup daftar aset, deskripsi, dokumentasi, dan lainnya.
Example of Appendix - Praktek 1: Memahami organisasi dan mengidentifikasi orang dan aset
yang berisiko.
Tugas pertama praktisi keamanan adalah mengembangkan pemahaman tentang organisasi yang
akan dinilai. Pertimbangan harus diberikan pada faktor-faktor seperti jam operasi; jenis klien
yang dilayani; sifat kegiatan bisnis; jenis layanan yang disediakan atau produk yang diproduksi,
diproduksi, disimpan, atau disediakan; sifat kompetitif dari industri; kepekaan informasi;
budaya perusahaan; persepsi toleransi risiko; dan seterusnya. Memastikan jenis informasi
seperti jam operasi, jenis layanan yang disediakan dan lainnya.
Langkah kedua dalam proses ini adalah mengidentifikasi aset organisasi yang berisiko terhadap
berbagai bahaya.
QUANTITATIVE APPROACH
LOSS EVENT PROFILE Peramalan peristiwa kerugian individu yang mungkin terjadi
adalah langkah pertama dalam berurusan dengan penilaian risiko. jenis peristiwa kerugian atau
risiko, serta tentang kondisi, keadaan, objek, aktivitas, dan hubungan yang dapat dihasilkan
CALCULATING PROBABILITY AND CRITICALITY
Penanggulangan keamanan dapat direncanakan jika kejadian kerugian memiliki karakteristik
berikut:
1. Acara ini akan menghasilkan kerugian aktual, terukur dalam beberapa media standar,
seperti uang
2. Kerugian itu bukan akibat dari risiko spekulatif karena tidak terjadi peristiwa itu tidak
akan menghasilkan keuntungan
Pengakuan risiko yang bahkan jelas menyiratkan beberapa perkiraan probabilitas bahwa risiko
tersebut sebenarnya akan menghasilkan kerugian.
Probability Factors
Kondisi dan serangkaian kondisi yang akan memperburuk atau meningkatkan eksposur aset
terhadap risiko kerugian dapat dibagi ke dalam kategori utama berikut:
1. Lingkungan fisik (konstruksi, lokasi, komposisi, konfigurasi)
2. Lingkungan sosial (demografi, dinamika populasi)
3. Lingkungan politik (jenis dan stabilitas pemerintahan, penegakan hukum setempat)
sumber daya
4. Pengalaman historis (jenis dan frekuensi kejadian kerugian sebelumnya)
5. Prosedur dan proses (bagaimana aset digunakan, disimpan, diamankan)
6. Kejahatan modern (jenis dan efektivitas alat agresi)
Probability Ratings
Setelah semua data yang tersedia tentang setiap risiko dan keadaan faktualnya telah
dikumpulkan, peringkat probabilitas dapat ditetapkan. Peringkat tidak akan
mempertimbangkan tindakan pencegahan atau penanggulangan. Tujuan utama dari peringkat
tanpa syarat tersebut adalah untuk memungkinkan penjadwalan prioritas selanjutnya dalam
pemilihan tindakan pencegahan.
Rating Symbols.
Untuk menghemat waktu dan ruang, lima tingkat probabilitas dapat ditetapkan simbol A, B, C,
D, dan E, rangking ke bawah dari “Virtually Sure” ke “Probability Tidak dikenal. ”Simbol-
simbol ini nantinya akan dikombinasikan dengan simbol-simbol yang mewakili kekritisan
dalam pengembangan daftar prioritas. Perlu dicatat bahwa peringkat probabilitas E,
atau "Probabilitas Tidak Diketahui," hanyalah peringkat sementara yang menunggu
pengembangan semua data yang relevan.
Scatter Plots
kekritisan atau dampak biaya terletak pada sumbu vertikal. Kemudian, pada sumbu horizontal
terdapat frekuensi kejadian. Ketika semua risiko telah diplot pada grafik, kurva halus (garis
yang melewati area konsentrasi titik tertinggi) dapat ditarik. Ini akan menunjukkan perkiraan
distribusi kerugian yang diperkirakan untuk periode perencanaan. Program penanggulangan
akan dirancang untuk menurunkan garis itu sebanyak mungkin.
Establishing Priorities
Langkah selanjutnya adalah mengatur seluruh tubuh risiko yang diperingkat ke dalam urutan
prioritas untuk perhatian penanganan. Risiko yang lebih serius didaftarkan pertama kali, diikuti
dengan urutan kepentingan yang menurun oleh yang lain sampai semua risiko telah didaftar.
Daftar harus mengidentifikasi setiap risiko dan menunjukkan peringkat kritikalitas probabilitas
gabungan yang telah ditetapkan.