ISO 27001 versi 2022 tidak menentukan pendekatan atau metodologi tertentu untuk melakukan penilaian risiko.
Meskipun ini memberikan lebih banyak kebebasan bagi organisasi untuk memilih pendekatan identifikasi risiko yang lebih sesuai dengan kebutuhan mereka, tidak adanya orientasi seperti itu adalah sumber dari banyak kebingungan bagi organisasi tentang bagaimana mendekati identifikasi risiko.
Di sini saya akan menjelaskan bagaimana ISO 31010 (standar yang berfokus pada penilaian risiko) dapat membantu Anda, dengan menyajikan beberapa pendekatan identifikasi risikonya yang dapat digunakan untuk menemukan, mengenali, dan menggambarkan risiko. Meskipun pendekatan yang disarankan oleh ISO 31010 tidak wajib untuk ISO 27001, perusahaan yang ingin mengeksplorasi pendekatan lain untuk penilaian risiko mungkin merasa berguna.
Langkah Identifikasi Risiko
Menurut ISO 31010, tujuan identifikasi risiko adalah untuk mengidentifikasi apa yang bisa terjadi, atau situasi mana yang mungkin ada, yang dapat mempengaruhi pencapaian tujuan yang diusulkan. Mempertimbangkan keamanan informasi, beberapa contoh praktis adalah:
- Lonjakan daya dapat menyebabkan unit penyimpanan gagal, yang menyebabkan hilangnya data.
- Kurangnya perhatian dapat menyebabkan karyawan mengirim laporan kepada orang yang salah, yang mengarah pada pengungkapan informasi yang tidak sah.
- Perubahan kondisi lingkungan dapat menyebabkan perangkat melakukan pembacaan yang salah, yang mengarah pada kompromi integritas data.
Setelah risiko diidentifikasi, organisasi juga harus mengidentifikasi kontrol yang ada yang mempengaruhi risiko itu, dan melanjutkan ke langkah selanjutnya dari penilaian risiko (analisis risiko dan evaluasi risiko).
Metodologi potensial untuk mengidentifikasi risiko
Menurut ISO 31010, deskripsi risiko harus mengandung beberapa elemen:
- Sumber risiko: elemen dalam skenario yang, terisolasi atau digabungkan, memiliki potensi untuk mempengaruhi hasil yang diharapkan (misalnya, listrik untuk memberi daya pada unit penyimpanan)
- Peristiwa: Serangkaian keadaan tertentu (misalnya, kegagalan unit penyimpanan)
- Penyebab: kondisi awal yang memulai acara (misalnya, lonjakan daya)
- Konsekuensi: hasil peristiwa yang memengaruhi tujuan (misalnya, kehilangan data, memengaruhi ketersediaan informasi)
ISO 31010 menyarankan metodologi identifikasi risiko berikut yang membantu mengumpulkan semua elemen risiko:
Brainstorming: teknik kreativitas kelompok untuk mengumpulkan sejumlah besar informasi untuk menemukan kesimpulan untuk situasi tertentu. Karena penekanannya yang kuat pada imajinasi, penting untuk mengidentifikasi risiko dalam situasi yang memerlukan respons cepat dan memiliki sedikit data formal yang tersedia (misalnya, pemilihan tindakan yang kurang berbahaya untuk menahan serangan yang sedang berlangsung), atau baru bagi organisasi, seperti risiko yang melibatkan pintu masuk di segmen pasar baru.
Wawancara: percakapan di mana pertanyaan yang telah ditentukan sebelumnya disajikan kepada orang yang diwawancarai untuk memahami persepsinya tentang situasi tertentu (misalnya, tren pasar, kinerja proses, harapan produk, dll.), Dan dengan itu mengidentifikasi risiko dengan mempertimbangkan perspektifnya. Disarankan ketika pendapat tertentu yang terperinci diperlukan (misalnya, dari CEO, CFO, klien, dll.).
Metode Delphi: teknik kolaboratif anonim yang digunakan untuk menggabungkan pendapat ahli yang berbeda dengan cara yang andal dan tidak memihak terhadap konsensus (misalnya, memilih pemasok keamanan, mendefinisikan strategi perlindungan). Ini berbeda dari brainstorming karena bekerja untuk menghilangkan solusi selama realisasinya, alih-alih membuatnya. Ini harus dipertimbangkan dalam situasi di mana karakteristik peserta dapat mempengaruhi pendapat orang lain (misalnya, semua setuju / tidak setuju dengan seseorang hanya karena posisinya).
Daftar periksa: teknik di mana daftar item diuraikan untuk memastikan bahwa topik yang paling umum, serta yang kritis, pada materi pelajaran tidak dilupakan selama identifikasi risiko (misalnya, kegagalan umum dalam pengembangan perangkat lunak, atau perlindungan yang diperlukan oleh kontrak). Ini meningkatkan konsistensi dan kelengkapan identifikasi risiko. Penggunaannya direkomendasikan dalam kasus-kasus di mana informasi historis, referensi pasar, dan pengetahuan tentang situasi sebelumnya tersedia secara luas.
Analisis skenario: metodologi yang menggunakan model yang menggambarkan kemungkinan skenario masa depan untuk mengidentifikasi risiko dengan mempertimbangkan kemungkinan hasil, strategi dan tindakan yang mengarah pada hasil, dan kemungkinan implikasi pada bisnis. Pendekatan umum dalam keamanan informasi adalah, misalnya, penggunaan skenario permisif, restriktif, dan seimbang untuk mengidentifikasi risiko dalam kontrol akses. Ini harus dipertimbangkan dalam situasi di mana beberapa solusi tersedia atau hasil dapat menghadirkan variasi yang besar.
Bagaimana dengan pendekatan aset-ancaman-kerentanan?
Meskipun metodologi berbasis aset tidak wajib dalam standar ISO 27001:2022, ini masih merupakan pendekatan yang valid yang digunakan dalam sebagian besar proyek kepatuhan.
Namun, jika Anda ingin menggunakan pendekatan berbeda yang dapat memanfaatkan situasi dan informasi yang tersedia, organisasi Anda dapat mempertimbangkan beberapa pendekatan lain untuk identifikasi risiko dan membuat penilaian risiko Anda lebih maju.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
