Nama : Rizky Yananda

Nim : 20190804039

Mata Kuliah : TDRM

1. Jelaskan secara ringkas 9 Step dari Risk Assessment Methodology. (dapat dilihat dari
NIST 800-30)
Jawaban:
1. Step 1 System Characterization
Pada langkah ini, batas-batas sistem TI diidentifikasi, bersama dengan sumber daya
dan informasi yang membentuk sistem. Mengkarakterisasi sistem TI menetapkan
ruang lingkup upaya penilaian risiko, menggambarkan batas-batas otorisasi
operasional dan memberikan informasi (misalnya, perangkat keras, perangkat lunak,
konektivitas sistem, dan divisi yang bertanggung jawab atau personel pendukung)
yang penting untuk menentukan risiko.
2. Step 2 Threat Identification
Tujuan langkah ini adalah untuk mengidentifikasi sumber-sumber ancaman potensial
dan menyusun pernyataan ancaman yang mencantumkan sumbersumber ancaman
potensial yang berlaku untuk sistem TI yang sedang dievaluasi.
3. Step 3 Vulnerability Identification
Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik, kontrol
fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan sering di
analisis dalam hal hilangnya pengamanan. Kerentanan berkontribusi mengambil
risiko karena memungkinkan ancaman untuk membahayakan sistem. Keterkaitan
kerentanan, ancaman, dan aset sangat penting untuk analisis risiko.
4. Step 4 Control Analysis
Tujuan dari langkah ini adalah untuk menganalisis kontrol yang telah dilaksanakan,
atau yang direncanakan untuk implementasi, oleh organisasi untuk meminimalkan
atau menghilangkan kemungkinan (atau kemungkinan) ancaman yang menggunakan
kerentanan sistem.
5. Step 5 Likelihood Determination
Kemungkinan adalah perkiraan frekuensi atau kesempatan terjadinya ancaman.
Sebuah penilaian mungkin mempertimbangkan keberadaan, keuletan, dan kekuatan
dari ancaman serta efektifitas perlindungan. Secara umum, banyak informasi tentang
ancaman lemah, terutama yang berkaitan dengan ancaman manusia. Dengan
demikian, pengalaman di bidang ini sangat penting. Semakin besar kemungkinan
ancaman terjadi, semakin besar pula risikonya. Likelihood Determination juga
merupakan prediksi seberapa sering suatu risiko akan terjadi dalam periode waktu
tertentu. Kemungkinan terjadinya suatu risiko dapat diperoleh baik dari kejadian
internal atau eksternal. Kejadian eksternal ada yang dapat dikendalikan dan juga ada
yang tidak dapat dikendalikan oleh perusahaan.
6. Step 6 Impact Analysis
Yang dimaksud impact disini adalah segala bentuk konsekuensi, akibat atau pengaruh
negatif yang dapat timbul bila suatu risiko terjadi, besarnya kerugian finansial. Risiko
dapat memiliki lebih dari satu impact, impact yang lebih dominan/ paling penting dan
memiliki tingkatan yang tertinggi diantara impact lainnya yang harus dipilih, atau
dapat juga digunakan rata-rata dari jumlah seluruh jenis impact tersebut, tergantung
metode yang diambil oleh masing-masing perusahaan. Impact dihitung dengan
mempertimbangkan pengalaman historis dan/atau ekspektasi di masa yang akan
datang. Untuk mengurangi bias dan subjektifitas dalam penilaian suatu risiko yang
memiliki dampak baik secara langsung maupun tidak langsung terhadap keuangan
perusahaan, lebih baik digunakan metode kuantitatif
7. Step 7 Risk Determination
Tujuan dari langkah ini adalah untuk menilai tingkat risiko pada sistem TI. Dimana
identifikasi dan analisis risiko-risiko yang relevan untuk mencapai tujuan entitas,
yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko Risk
Determination merupakan metode untuk menganalisa tingkat resiko,
mempertimbangkan resiko tersebut dalam bahaya tertentu dan mengevaluasi sumber
bahaya tersebut dapat dikendalikan secara memadai serta mengambil langkah-
langkah yang tepat untuk mengedalikan resiko tersebut
8. Step 8 Control Recommendations
Rekomendasi kontrol adalah hasil dari proses penilaian risiko dan memberikan
masukan kepada proses mitigasi risiko, di mana kontrol direkomendasikan keamanan
prosedural dan teknis dievaluasi, prioritas, dan diimplementasikan. Faktor-faktor
berikut harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif
untuk mengurangi atau menghilangkan risiko yang teridentifikasi :
 Efektivitas opsi yang direkomendasikan (misalnya, kompatibilitas sistem)
 Legislasi dan peraturan
 Organisasi kebijakan
 Operasional dampak
 Keamanan dan kehandalan
9. Step 9 Results Documentation
Setelah penilaian risiko telah selesai (ancaman-sumber dan kerentanan diidentifikasi,
dinilai risiko, dan kontrol direkomendasikan disediakan), hasilnya harus
didokumentasikan dalam sebuah laporan resmi atau pengarahan. Sebuah laporan
penilaian risiko adalah laporan manajemen yang membantu manajemen senior,
pemilik misi, membuat keputusan tentang kebijakan, anggaran prosedural, dan
perubahan sistem operasional dan manajemen. Tidak seperti laporan audit atau
investigasi, yang mencari kesalahan, laporan penilaian risiko tidak harus disajikan
dalam cara yang menuduh tetapi sebagai pendekatan sistematis dan analitis untuk
menilai risiko sehingga manajemen senior akan memahami risiko dan
mengalokasikan sumber daya untuk mengurangi dan memperbaiki potensial kerugian.
Untuk alasan ini, beberapa orang lebih memilih untuk mengatasi ancaman /
kerentanan pasangan sebagai pengamatan bukan temuan dalam laporan penilaian
risiko.