4.

Penilaian Risiko

4.1 Mendefinisikan Tujuan Pengurangan Risiko

Pada tahap ini, pemegang kepentingan yang terdiri dari pihak-pihak yang terlibat atau terpengaruh
oleh sistem keamanan, menentukan tingkat risiko yang bersedia mereka terima. Mereka menilai
probabilitas terjadinya insiden berbahaya dan dampaknya jika insiden tersebut terjadi. Sebagai
contoh, mereka mungkin menyatakan bahwa ada kemungkinan 25-50% terjadi satu kematian dalam
skenario tertentu. Dengan memahami tingkat risiko ini, pemangku kepentingan dapat membuat
keputusan yang lebih tepat mengenai strategi pengurangan risiko dalam desain keamanan.

4.2 Menilai Kontribusi Terhadap Pengurangan Risiko

Langkah ini berfokus pada penilaian efektivitas berbagai desain dan kontrol keamanan dalam
mengurangi risiko. Setiap desain keamanan dievaluasi berdasarkan kemampuannya untuk
mengurangi risiko dalam berbagai skenario ancaman, seperti serangan teroris. Template atau
kerangka kerja digunakan untuk menilai desain keamanan dan untuk mengidentifikasi tindakan atau
kontrol mana yang paling efektif dalam mengurangi risiko. Template ini berfungsi sebagai panduan
yang mengarahkan tindakan dan kontrol yang efektif dalam mengurangi atau mencegah kerugian
dari berbagai ancaman.

4.3 Pendukung yang Diperlukan oleh Solusi Keamanan

Banyak desain keamanan yang hanya fokus pada kontrol fisik seperti perangkat atau sistem
keamanan, tetapi sering mengabaikan komponen pendukung yang dikenal sebagai "enablers."
Enablers mencakup pelatihan, kebijakan, pengaturan organisasi, dan prosedur operasi yang
mendukung kontrol keamanan. Bagian ini menekankan bahwa tanpa enablers yang tepat, sistem
keamanan dapat gagal karena kurangnya pelatihan, kebijakan yang tidak jelas, atau manajemen yang
tidak efektif. Misalnya, meskipun sistem keamanan canggih telah terpasang, tanpa pelatihan yang
memadai, petugas keamanan mungkin tidak tahu cara menggunakannya secara efektif.

5. Diskusi

 Nilai dari pengaturan keamanan baru atau yang dimodifikasi harus dievaluasi berdasarkan
kemampuannya dalam mengurangi risiko untuk spektrum ancaman dan skenario yang masuk
akal.
 Kontrol keamanan, karena saling bergantung, harus dipertimbangkan sebagai bagian dari
lapisan keamanan. Kontrol keamanan efektif hanya jika mereka membentuk lapisan
keamanan yang lengkap. Kontrol, secara umum, bukan alat pengurangan risiko yang berdiri
sendiri.
 Keterlibatan pemangku kepentingan dalam proses desain harus dilakukan secara luas dan
inklusif.
 Ketika mempertimbangkan skenario ancaman, diskusi desain harus fokus pada mengelola
probabilitas dan konsekuensi jalur alternatif untuk mencapai hasil yang lebih dapat diterima.
 Daripada mengoptimalkan pengaturan keamanan untuk mengatasi sub-komponen masalah,
pendekatan holistik lebih penting untuk menilai kinerja di seluruh skenario ancaman, sambil
mengizinkan pemangku kepentingan untuk menyeimbangkan nilai pengurangan risiko di
seluruh sistem dengan memperhatikan biaya.
 Kinerja lapisan dan kontrol keamanan yang efektif bergantung pada jaringan pendukung yang
kompleks yang meliputi kebijakan, struktur organisasi, pengaturan operasional, dan tugas
dukungan sistem. Oleh karena itu, penting untuk mengidentifikasi persyaratan ini dengan
jelas dan memastikan bahwa semua aspek keamanan konsisten dan koheren.