oleh

Menghitung Kerentanan Resiko pada Dunia Bisnis

Penilaian resiko adalah aktifitas keamanan informasi yang sangat umum. Siklus keamanan informasi dapat dipahami secara umum dengan menggabungkan identifikasi resiko sebagai komponen utama. Banyak industri keamanan informasi komersial yang peduli dengan identifikasi resiko, khususnya yang diciptakan oleh kerentanan perangkat lunak. Seperti tujuan dari penilaian resiko yang digunakan untuk menemukan kerentanan sehingga dapat ditambal dan diperbaiki. Dimana subjek dari penilaian resiko adalah keseluruhan bisnis atau satu perangkat lunak yang hasil akhirnya pasti ditemukannya sejumlah kerentanan keamanan.

Apa keterkaitan resiko dengan kerentanan tersebut? Jika kita mengetahui tingkat resiko yang ada, maka kita dapat membuat rekomendasi tentang cara bekerja untuk mengurangi resiko tersebut dengan tepat. Sebelum menghitung tingkat resiko, kita perlu mengetahui seberapa besar kemungkinan peristiwa berbahaya terkait dengan resiko yang akan terjadi, yaitu seberapa besar kemungkinan kerentanan tertentu akan dieksploitasi. Sebagai contoh, jika saya ingin mengasuransikan rumah saya, saya dapat menghubungi perusahaan asuransi dan mereka akan memberi saya penawaran berdasarkan perhitungan kemungkinan rumah saya akan terbakar, hancur karena tornado atau bencana lainnya. Perusahaan asuransi dapat melakukan perhitungan resiko tersebut, karena mereka memiliki data aktuaria yang sangat banyak mengenai kemungkinan terjadinya peristiwa tersebut berdasarkan apa yang mereka amati dan catat di masa lalu.

Tidak ada data masa lalu yang dapat diandalkan untuk membuat sebuah prediksi, karena sangat sulit untuk membuat model matematis yang akan memprediksi tindakan penyerangan. Sebuah kekeliruan jika mengatakan bahwa kita dapat menghitung resiko suatu kerentanan yang dieksploitasi. Mengetahui kemungkinan bahwa peristiwa di masa depan yang berbahaya akan terjadi, itu merupakan resiko yang dapat diukur. Namun jika tidak mengetahui probabilitasnya, itu bukan resiko melainkan ketidakpastian. Ketika fakta yang kita temui kurang tepat, pasti kita akan membuat asumsi kemudian menyimpulkan dan kembali pada keyakinan kita, tetapi anggapan tidak dapat menggantikan fakta. Secara intuitif berupaya untuk meningkatkan kuantitas dan kualitas informasi yang tersedia agar dapat membuat keputusan yang lebih baik tentang resiko. Perkiraan resiko yang berlebihan dapat menyebabkan organisasi mengeluarkan uang dalam jumlah besar untuk mencoba mengamankan sistem yang mungkin tidak diserang. Penerapan tindakan keamanan yang berlebihan dan memberatkan akan meningkatkan presepsi resiko yang dapat menghambat produktivitas.

Sebuah perusahaan professional keamanan telah menyelesaikan penilaian kerentanan dan telah menemukan adanya 210 kerentanan dalam lingkungannya. Terdengar sangat buruk bukan? Untuk memperbaiki kerentanan dan menerapkan langkah-langkah keamanan pasti membutuhkaan biaya. Semua tindakan keamanan memiliki biaya yang terkait maka perusahaan akan mengeluarkan uang yang terlalu banyak. Namun tujuan perusahaan tersebut adalah untuk merekomendasikan langkah-langkah keamanan yang pragmatis dan mengakui bahwa tidak dapat menghitung resiko secara akurat bahwa kerentanan tertentu akan dieksploitasi, maka pendekatan alternative apa yang dapat diterapkan?

Salah satu pendekatannya adalah dengan menggunakan analisis komparatif. Analisis komparatif adalah keamanan organisasi untuk membandingkan ukuran keamanannya dengan organisasi sejenis. Kemampuan ini sudah ditawarkan oleh beberapa organisasi yang berkolaborasi sebagai layanan. Ide analisis komparatif ini dapat diterapkan pada banyak layanan dan produk keamanan yang ada dengan memerlukan sedikit usaha. Kemudian yang sering dibicarakan dalam bidang keamanan adalah berapa banyak keamanan yang cukup? Jawabannya adalah setidaknya sebanyak rata-rata pesaing.

Sebagian besar program keamanan dalam perusahaan memiliki tujuan tingkat tinggi yaitu untuk melindungi dari resiko, mengelola resiko, dan menurunkan tingkat resiko. Adapun kompensasi resiko adalah fenomena dimana banyak orang yang bekerja di bidang keamanan informasi dan memiliki pengalaman dalam perusahaan yang sangat membuat frustasi karena ketika langkah-langkah keamanan diterapkan, perusahaan membuat kesalahan disuatu tempat dimana tidak mendukung langkah-langkah keamanan. Teroi ini biasa disebut sebagai adaptasi perilaku. Dimana setelah menerapkan tindakan pengamanan, tingkat resiko kembali ditegaskan pada tingkat yang awalnya diisi subjek. Yang artinya, setelah memperkenalkan ukuran keamanan pada sistem dimana tingkat keamanan sekarang dianggap sudah dapat diterima, namun tingkat keamanan tidak naik melainkan tetap sama dan tidak menghilangkan resikonya.

Dalam bidang asuransi, kompensasi resiko dikenal sebagai moral hazard. Ketika seseorang diasuransikan, perusahaan seringkali memberikan kompensasi dengan mengambil resiko yang lebih besar daripada yang biasa dilakukan. Karena perusahaan tau bahwa asuransi mereka hanya melindungi mereka secara finansial. Oleh karena itu, perusahaan asuransi dapat menerima lebih banyak klaim daripada prediksi modal. Dari sudut pandang klinis, asuransi kebakaran sebenarnya memberikan insentif untuk melakukan pembakaran jika imbalannya lebih besar daripada nilai properti.

Penerapan dalam dunia nyata terhadap kompensasi resiko adalah undang-undang sabuk pengaman. Tidak ada yang dapat memprediksi jika akan mengalami kecelakaan mobil, akan lebih mungkin untuk bertahan hidup jika menggunakan sabuk pengaman. Kompensasi resiko menunjukan bahwa hukum mengharuskan untuk memakai sabuk pengaman. Mereka akan memberi kompensasi secara tidak sadar dengan mengemudi ugal-ugalan. Dari data lapangan, jumlah kematian karena mobil di Inggris mengalami kenaikan. Setelah undang-undang sabuk pengaman dikenalkan, namun kematian pejalan kaki makin meningkat. Ini bisa dibilang efek dari penerapan ukuran keamanan memindahkan resiko ke bagian masyarakat yang lebih rentan. Bukti nyata terhadap kompensasi resiko lainnya adalah perokok. Dalam penelitian, orang yang berhenti merokok disebabkan karena penyakit paru-paru, yang mengakibatkan masa hidupnya lebih pendek dari perokok yang terus merokok.

Upaya untuk mengurangi resiko yang berlebihan akan membuat frustasi dimana tingkat subjek target resiko sudah dianggap memuaskan subjek. Kemudian apakah kompensasi resiko dapat mengajari kita tetang bagaimana memberikan keamanan informasi yang efektif dalam suatu organisasi? Jika kita melihat cara perusahaan menjaga keamanan informasi, dapat dilihat bahwa kompensasi resiko memprediksi banyak tindakan mereka. Sebuah insiden keamanan akan memacu organisasi untuk mencoba meningkatkan keamanan, tetapi antusiasme untuk keamanan dalam organisasi cenderung berkurang seiring dengan berjalannya waktu. Hal tersebut dikarenakan tingkat resiko yang diterima akan kembali diatur ulang pada nilai aslinya. Dimana penyebab terjadinya peristiwa itu adalah tujuan para professional keamanan untuk tingkat resiko yang dapat diterima dalam perusahaan biasanya tidak sesuai dengan presepsi perusahaan tentang tingkat resiko yang dapat diterima. Jika kompensasi resiko tidak dapat dihindari dengan presepsi resiko, maka cara untuk membuat program keamanan menjadi efektif adalah dengan mengintegrasikan keamanan dalam inti bisnis sehingga keamanan menjadi elemen dalam proses pengambilan keputusan strategis. Keamanan informasi yang efektif tidak akan ditemukan ketika mencoba menegakkan kebijakan yang berupaya untuk mewajibkan perilaku. Disini subjek hanya akan menyesuaikan saja. Keamanan informasi yang efektif hanya dapat dicapai dengan menciptakan lingkungan yang transparan berpartisipasi dalam proses keamanan dengan cara mempertahankan operasi yang diterima pada tingkat resiko internal.

Oleh Beauty Kartika Lubis, Mahasiswa STEI SEBI

Referensi: Journal On Risk: Perception and Direction, karya Andrew Stewart, direvisi pada 4 mei 2004.

Komentar

Berita lainnya