Cara Melakukan Penilaian Risiko ISO 27001

Biasanya, melakukan penilaian risiko ISO 27001 hanya memusingkan ketika melakukan ini untuk pertama kalinya – yang berarti bahwa penilaian risiko tidak harus sulit setelah Anda tahu bagaimana hal itu dilakukan.

Jadi, bagaimana Anda bisa mempersiapkan diri untuk membuat sakit kepala ini lebih kecil?

Lakukan Sendiri atau Sewa Konsultan?

Karena penilaian dan perawatan risiko cukup memakan waktu dan kompleks, Anda dapat memutuskan apakah mereka akan dikelola oleh manajer proyek / kepala petugas keamanan informasi saja, atau dengan bantuan beberapa ahli yang disewa (misalnya, konsultan). Seorang konsultan bisa sangat membantu bagi perusahaan besar, tidak hanya untuk membimbing koordinator melalui seluruh proses, tetapi juga untuk melakukan bagian dari proses – misalnya, seorang konsultan dapat melakukan lokakarya dan / atau wawancara, mengumpulkan semua informasi, menulis laporan, dll., Sedangkan koordinator harus mengelola seluruh proses dan mengoordinasikan orang-orang di dalam perusahaan.

Perusahaan yang lebih besar biasanya akan memiliki tim proyek untuk penerapan ISO 27001, jadi tim proyek yang sama ini akan mengambil bagian dalam proses penilaian risiko – anggota tim proyek bisa menjadi orang yang melakukan wawancara.

Perusahaan yang lebih kecil tidak perlu memiliki konsultan atau tim proyek – ya, manajer proyek harus mendapatkan pendidikan terlebih dahulu, tetapi dengan dokumentasi dan/atau alat yang sesuai, proses ini dapat dilakukan tanpa bantuan ahli.

 

Haruskah Anda Menggunakan Alat untuk Penilaian Risiko?

Alat dapat mempercepat proses penilaian dan perawatan risiko karena mereka harus memiliki katalog aset, ancaman, dan kerentanan bawaan; mereka harus dapat menyusun hasil secara semi-otomatis; Dan menghasilkan laporan juga harus mudah – yang semuanya menjadikannya pilihan yang sangat baik untuk perusahaan besar.

Namun, untuk perusahaan yang lebih kecil, harga alat semacam itu bisa menjadi kendala, meskipun menurut saya hambatan yang lebih besar adalah kenyataan bahwa alat semacam itu terkadang terlalu rumit untuk perusahaan yang lebih kecil. Dengan kata lain, waktu yang dibutuhkan untuk belajar bekerja dengan alat semacam itu biasanya jauh lebih lama daripada yang dibutuhkan untuk menangani lusinan lembar Excel. Belum lagi alat seperti itu biasanya mengharuskan Anda untuk mengikuti metodologi penilaian risiko yang terlalu kompleks, yang bisa berlebihan untuk perusahaan kecil.

Dengan kata lain, jika Anda adalah perusahaan yang lebih kecil, pilih alat penilaian risiko dengan hati-hati dan pastikan mudah digunakan untuk organisasi yang lebih kecil.

 

Opsi untuk mengumpulkan informasi

Penilaian risiko berarti Anda harus mendapatkan cukup banyak masukan dari karyawan Anda – pada dasarnya, ada tiga cara untuk melakukannya:

1. Lakukan penilaian risiko melalui wawancara – ini berarti bahwa koordinator akan mewawancarai orang yang bertanggung jawab dari setiap departemen, di mana ia akan menjelaskan tujuan penilaian risiko terlebih dahulu, dan memastikan bahwa setiap keputusan orang yang bertanggung jawab tentang tingkat risiko (konsekuensi dan kemungkinan) masuk akal dan tidak bias.
2. Lakukan lokakarya dengan orang-orang yang bertanggung jawab – dalam lokakarya ini, koordinator menjelaskan kepada semua orang yang bertanggung jawab tujuan penilaian risiko, dan melalui beberapa contoh kehidupan nyata, menunjukkan bagaimana mengidentifikasi risiko dan menilai levelnya.
3. Kirim lembar dengan penjelasan terperinci – di sini Anda tidak membantu orang yang bertanggung jawab secara langsung, tetapi Anda mengirimi mereka metodologi penilaian risiko atau beberapa instruksi lain tentang cara mengisi lembar penilaian risiko, dan mereka melakukannya sendiri.

Opsi terakhir mungkin yang paling mudah dari sudut pandang koordinator, tetapi masalahnya adalah bahwa informasi yang dikumpulkan dengan cara ini akan berkualitas rendah. Jika proses penilaian risiko tidak begitu jelas bagi Anda, pastikan bahwa itu akan menjadi kurang jelas bagi karyawan lain di perusahaan Anda, tidak peduli seberapa bagus penjelasan tertulis Anda.

Tentu saja, melakukan wawancara mungkin akan menghasilkan hasil yang lebih baik; Namun, opsi ini seringkali tidak layak karena membutuhkan investasi besar dari waktu koordinator. Jadi melakukan lokakarya sangat sering ternyata menjadi solusi terbaik.

 

Siapa yang memutuskan tingkat risiko?

Keputusan tentang tingkat risiko (konsekuensi dan kemungkinan) harus selalu diserahkan kepada orang-orang yang bertanggung jawab atas kegiatan – koordinator tidak akan pernah tahu aset, proses, dan lingkungan dengan cukup baik untuk membuat keputusan seperti itu, tetapi orang-orang yang bekerja di sana pasti akan memiliki ide yang lebih baik.

Namun, koordinator memiliki fungsi penting lainnya selama proses penilaian risiko – begitu dia mulai menerima hasil penilaian risiko, dia harus memastikan bahwa itu masuk akal dan bahwa kriteria antara departemen yang berbeda seragam. Meskipun lokakarya telah dilakukan, atau penjelasan diberikan selama wawancara kepada orang yang bertanggung jawab, mereka akan selalu cenderung memberikan kepentingan yang jauh lebih besar (artinya risiko yang lebih tinggi) kepada departemen mereka sendiri – dalam kasus seperti itu, koordinator harus mempertanyakan penilaian tersebut dan meminta orang ini untuk mempertimbangkan kembali keputusannya.

 

Jangan menjadi perfeksionis

Manajemen risiko secara umum, tetapi terutama penilaian risiko dan analisis risiko, mungkin tampak seperti peluang sempurna untuk memperumit – karena persyaratan ISO 27001 agak sederhana, Anda dapat menambahkan banyak elemen dalam mencoba membuat pendekatan Anda lebih “ilmiah.”

Tetapi Anda harus bertanya pada diri sendiri satu pertanyaan: apakah tujuan Anda untuk membuat penilaian risiko yang sempurna yang perlu dilakukan selama beberapa bulan atau mungkin bertahun-tahun (karena sangat sulit untuk membuat daftar semua risiko potensial yang mungkin ada), atau apakah tujuan Anda untuk menyelesaikan proses ini dalam jangka waktu yang wajar, mengetahui bahwa itu tidak akan 100% akurat?

Jika Anda memilih pendekatan yang terakhir, Anda akan mengidentifikasi risiko utama, dan akan membuat orang-orang Anda mulai berpikir tentang perlunya melindungi informasi perusahaan. Dan Anda akan selalu memiliki kesempatan untuk menambahkan risiko lain di kemudian hari, setelah Anda menyelesaikan implementasi awal Anda. Inilah yang dibutuhkan ISO 27001 dari Anda, sebagai bagian dari peningkatan berkelanjutan.

 

Langkah Utama dalam Penilaian Risiko ISO 27001

ISO 27001 mensyaratkan bahwa penilaian risiko memiliki lima langkah utama, yang sama yang dijelaskan di bagian tentang metodologi penilaian risiko:

1. Identifikasi risiko (mencantumkan aset, ancaman, dan kerentanan)
2. Menugaskan pemilik risiko (orang yang bertanggung jawab atas risiko)
3. Analisis risiko (menilai konsekuensi dan kemungkinan)
4. Perhitungan risiko (menentukan tingkat risiko)
5. Evaluasi risiko (menerima risiko berdasarkan kriteria)

 

Masing-masing langkah ini dijelaskan di bagian berikut.

 

Cara Mencocokkan Aset, Ancaman, dan Kerentanan

Revisi ISO 27001 tahun 2022 saat ini memungkinkan Anda mengidentifikasi risiko menggunakan metodologi apa pun yang Anda suka; namun, metodologi yang disebut “penilaian risiko berbasis aset” (didefinisikan oleh revisi ISO 27001 tahun 2005) yang lama masih mendominasi, dan memerlukan identifikasi aset, ancaman, dan kerentanan.

Jadi, bagaimana Anda menggabungkan aset, ancaman, dan kerentanan untuk mengidentifikasi risiko?

 

Cara Mengidentifikasi Risiko

Untuk membuat penilaian risiko Anda lebih mudah, Anda dapat menggunakan lembar atau perangkat lunak yang akan mencantumkan aset, ancaman, dan kerentanan dalam kolom; Anda juga harus menyertakan beberapa informasi lain seperti ID risiko, pemilik risiko, dampak dan kemungkinan, dll.

Jika Anda menggunakan lembar, saya merasa paling mudah untuk mulai mencantumkan item kolom demi kolom, bukan baris demi baris – ini berarti Anda harus mencantumkan semua aset Anda terlebih dahulu, dan baru kemudian mulai menemukan beberapa ancaman untuk setiap aset, dan akhirnya, temukan beberapa kerentanan untuk setiap ancaman.

Untuk mempelajari jenis aset yang harus Anda perhitungkan, baca artikel ini: Manajemen aset menurut ISO 27001: Cara menangani daftar aset / inventaris aset, dan klik di sini untuk melihat katalog ancaman dan kerentanan yang sesuai untuk perusahaan kecil dan menengah.

 

Hubungan antara aset, ancaman, dan kerentanan

Jadi, mari kita lihat seperti apa pencocokan ketiga komponen ini – misalnya:

Aset – dokumen kertas:

• ancaman: kebakaran; Kerentanan: dokumen tidak disimpan dalam kabinet tahan api (risiko terkait dengan hilangnya ketersediaan informasi)
• ancaman: kebakaran; Kerentanan: Tidak ada cadangan dokumen (potensi hilangnya ketersediaan)
• ancaman: akses tidak sah; Kerentanan: Dokumen tidak terkunci dalam kabinet (potensi hilangnya kerahasiaan)

Aset – dokumen digital:

• ancaman: kegagalan disk; Kerentanan: Tidak ada cadangan dokumen (potensi hilangnya ketersediaan)
• ancaman: virus; Kerentanan: Program anti-virus tidak diperbarui dengan benar (potensi hilangnya kerahasiaan, integritas, dan ketersediaan)
• ancaman: akses tidak sah; Kerentanan: Skema kontrol akses tidak didefinisikan dengan benar (potensi hilangnya kerahasiaan, integritas, dan ketersediaan)
• ancaman: akses tidak sah; Kerentanan: Akses diberikan kepada terlalu banyak orang (potensi hilangnya kerahasiaan, integritas, dan ketersediaan)

Aset – administrator sistem (seseorang):

• ancaman: tidak tersedianya orang ini; Kerentanan: Tidak ada pengganti untuk posisi ini (potensi hilangnya ketersediaan)
• ancaman: kesalahan yang sering terjadi; Kerentanan: kurangnya pelatihan (potensi hilangnya integritas dan ketersediaan)

Ini mungkin tampak rumit pada pandangan pertama, tetapi begitu Anda mulai melakukannya, Anda akan melihat bahwa itu berjalan agak cepat.

Mengelompokkan aset

Untuk mempercepat proses, Anda harus mengelompokkan aset Anda sehingga Anda memiliki lebih sedikit item untuk melakukan penilaian risiko – misalnya:

• Jika Anda memiliki beberapa laptop di perusahaan Anda, Anda harus menggunakan satu item yang disebut “laptop.”
• Jika Anda memiliki beberapa server, Anda dapat mengelompokkannya ke dalam, misalnya, “server fisik” dan “server virtual,” atau mungkin “server untuk penggunaan internal” dan “server produksi dengan data pelanggan.”
• Jika Anda menggunakan beberapa aplikasi SaaS, Anda dapat mengelompokkannya ke dalam, misalnya, “SaaS pemasaran &penjualan,” “SaaS pengembangan perangkat lunak,” dll.
• Anda dapat mengelompokkan karyawan Anda ke dalam, misalnya, “manajemen puncak”, “administrator sistem TI”, dan “karyawan lain”.

Berapa banyak risiko yang datang?

Sangat sering, orang bertanya kepada saya berapa banyak risiko yang harus mereka daftarkan. Jika mereka mulai benar-benar teliti, untuk setiap aset mereka dapat menemukan 10 ancaman, dan untuk setiap ancaman setidaknya lima kerentanan – ini cukup luar biasa, bukan? Jika Anda adalah perusahaan kecil dengan 50 aset, ini berarti Anda akan berakhir dengan 2.500 risiko, yang mungkin akan berlebihan untuk ukuran perusahaan ini.

Inilah sebabnya mengapa Anda harus fokus hanya pada ancaman dan kerentanan yang paling penting – misalnya, tiga hingga lima ancaman per aset, dan satu atau dua kerentanan per ancaman.

 

Jadi jumlah risiko harus tergantung kira-kira pada jumlah karyawan di perusahaan Anda:

Ada faktor-faktor lain yang akan mempengaruhi jumlah risiko – misalnya, jika Anda adalah lembaga keuangan, atau Anda memberikan layanan kepada militer, Anda mungkin harus melakukan upaya tambahan untuk mengidentifikasi lebih banyak risiko daripada yang ditampilkan di atas.

Tentu saja, seiring waktu Anda akan menemukan risiko lain yang tidak Anda identifikasi sebelumnya – Anda harus menambahkan ini ke daftar risiko Anda nanti. Bagaimanapun, inilah yang dimaksud dengan peningkatan berkelanjutan dalam ISO 27001.

 

Mengapa Metodologi Ini Masih Bagus?

Saya pribadi sangat menyukai metodologi aset-ancaman-kerentanan ini, karena saya pikir ini memberikan keseimbangan yang baik antara melakukan penilaian risiko dengan cepat, dan pada saat yang sama melakukannya baik secara sistematis maupun cukup rinci sehingga seseorang dapat menunjukkan dengan tepat di mana potensi masalah keamanannya.

Dan inilah yang sebenarnya tentang penilaian risiko: cari tahu tentang masalah potensial sebelum itu benar-benar terjadi. Dengan kata lain, ISO 27001 memberi tahu Anda: lebih baik aman daripada menyesal.

 

Menugaskan Pemilik Risiko

Setelah Anda memiliki daftar risiko Anda, Anda perlu menentukan siapa yang bertanggung jawab atas masing-masing risiko.

Di perusahaan yang sangat kecil, Anda hanya dapat mencalonkan satu orang untuk menjadi pemilik risiko untuk semua risiko; Namun, untuk perusahaan besar dan kecil, pendekatan yang jauh lebih baik adalah mempertimbangkan setiap risiko secara terpisah dan mendefinisikan pemilik risiko berdasarkan faktor-faktor ini:

• orang yang paling mengetahui aset, dan
• orang yang memiliki kekuatan untuk membuat perubahan yang diperlukan

Misalnya, pemilik risiko dari risiko yang terkait dengan catatan personalia mungkin adalah kepala departemen SDM, karena orang ini paling tahu bagaimana catatan ini digunakan dan apa persyaratan hukumnya, dan mereka memiliki wewenang yang cukup untuk mengejar perubahan dalam proses dan teknologi yang diperlukan untuk perlindungan.

 

Cara Menentukan Konsekuensi dan Kemungkinan

Langkah selanjutnya adalah menghitung seberapa besar setiap risiko – ini dicapai melalui penilaian konsekuensi (juga disebut dampak) jika risiko terwujud dan menilai seberapa besar kemungkinan risiko itu terjadi; Dengan informasi ini, Anda dapat dengan mudah menghitung tingkat risiko.

ISO 27001 tidak benar-benar memberi tahu Anda bagaimana melakukan penilaian risiko Anda, tetapi memberi tahu Anda bahwa Anda harus menilai konsekuensi dan kemungkinan, dan menentukan tingkat risiko – oleh karena itu, terserah Anda untuk memutuskan pendekatan apa yang paling tepat untuk Anda.

Berdasarkan ISO 27005, pada dasarnya ada dua cara untuk menganalisis risiko menggunakan metode kualitatif – penilaian risiko sederhana, dan penilaian risiko terperinci – Anda akan menemukan penjelasannya di bawah ini. ISO 27005 juga menyarankan beberapa pendekatan lain untuk penilaian risiko, tetapi mereka lebih rumit dan tidak tercakup dalam artikel ini.

Anda akan menemukan penjelasan tentang mengapa penilaian risiko kuantitatif tidak dapat digunakan dalam praktik normal nanti di artikel ini.

Penilaian Risiko Sederhana (atau Dasar)

Dalam penilaian risiko sederhana, Anda menilai konsekuensi dan kemungkinan secara langsung – setelah Anda mengidentifikasi risiko, Anda hanya perlu menggunakan skala untuk menilai secara terpisah konsekuensi dan kemungkinan setiap risiko. Misalnya, Anda dapat menggunakan skala 0 hingga 4, di mana 0 akan sangat rendah, 1 rendah, 2 sedang, dan seterusnya, atau skala 1 hingga 10, atau Rendah-Sedang-Tinggi, atau skala lainnya. Semakin besar skalanya, semakin tepat hasil yang akan Anda miliki, tetapi juga semakin banyak waktu yang Anda habiskan untuk melakukan penilaian.

Jadi, misalnya, dalam penilaian risiko sederhana Anda mungkin memiliki sesuatu seperti ini:

• Aset: laptop
• Ancaman: pencurian
• Kerentanan: karyawan tidak tahu cara melindungi perangkat seluler mereka
• Konsekuensi: 3 (dalam skala dari 0 hingga 4)
• Kemungkinan: 4 (dalam skala dari 0 hingga 4)

Baca juga : Cara menulis metodologi penilaian risiko

Penilaian risiko terperinci

Dalam penilaian risiko terperinci, alih-alih menilai dua elemen (konsekuensi dan kemungkinan), Anda menilai tiga elemen: nilai aset, ancaman, dan kerentanan. Jadi, berikut adalah contoh penilaian risiko terperinci ini:

• Aset: laptop
• Ancaman: pencurian
• Kerentanan: karyawan tidak tahu cara melindungi perangkat seluler mereka
• Nilai aset: 3 (dalam skala dari 0 hingga 4)
• Nilai ancaman: 2 (dalam skala dari 0 hingga 2)
• Nilai kerentanan: 2 (dalam skala dari 0 hingga 2)

Ketika Anda memikirkan hal ini lebih dekat, melalui ketiga elemen ini dalam penilaian risiko terperinci, Anda secara tidak langsung akan menilai konsekuensi dan kemungkinannya: dengan menilai nilai aset, Anda hanya menilai jenis kerusakan mana (yaitu, konsekuensi) yang dapat terjadi pada aset ini jika kerahasiaan, integritas, atau ketersediaannya terancam; Baik ancaman maupun kerentanan secara langsung memengaruhi kemungkinan semakin tinggi ancaman dan semakin tinggi kerentanannya, semakin besar kemungkinan risiko akan terjadi, dan sebaliknya.

Dan pada dasarnya, pilihannya jika Anda adalah perusahaan yang lebih kecil, penilaian risiko sederhana sudah cukup untuk Anda; Jika Anda adalah perusahaan menengah atau perusahaan yang lebih besar, penilaian risiko terperinci akan melakukan pekerjaan itu. Dan Anda tidak perlu menambahkan elemen lagi, karena itu hanya akan membuat pekerjaan Anda lebih sulit.

 

Mengapa mengevaluasi aset dan konsekuensinya salah?

Sangat sering, saya melihat perusahaan menerapkan penilaian risiko sederhana (yaitu, mereka secara langsung menilai konsekuensi dan kemungkinan), tetapi mereka juga menambahkan nilai aset ke penilaian ini.

Mengapa ini salah? Karena fakta sederhana bahwa mereka sudah menilai konsekuensinya sekali, sehingga mereka tidak perlu menilainya lagi melalui nilai aset.

Jadi, sekali lagi – jangan mencoba mengakali diri sendiri dan membuat sesuatu yang kompleks hanya karena terlihat bagus.

 

Cara Menghitung Tingkat Risiko

Menghitung risiko sebenarnya sangat sederhana – ini biasanya dilakukan melalui penjumlahan (misalnya, 2 + 5 = 7) atau melalui perkalian (misalnya, 2 x 5 = 10) konsekuensi dan kemungkinan. Jika Anda menggunakan skala Low-Medium-High, maka ini sama dengan menggunakan 1-2-3, jadi Anda masih memiliki angka untuk perhitungan.

Jadi, menggunakan contoh dari bagian sebelumnya, berikut adalah cara menghitung risiko menggunakan penjumlahan:

• Penilaian risiko sederhana: Konsekuensi (3) + Kemungkinan (4) = Risiko (7)
• Penilaian risiko terperinci: Nilai aset (3) + Nilai ancaman (2) + Nilai kerentanan (2) = Risiko (7)

Dalam penilaian risiko terperinci yang dijelaskan di bagian sebelumnya, Anda akan melihat bahwa saya menggunakan skala 0 hingga 4 untuk menilai nilai aset, dan skala 0 hingga 2 yang lebih kecil untuk menilai ancaman dan kerentanan. Ini karena bobot konsekuensi harus sama dengan bobot kemungkinan karena ancaman dan kerentanan bersama-sama “mewakili” kemungkinan, nilai tambah maksimumnya adalah 4, sama seperti untuk nilai aset (yaitu, konsekuensi).

 

Evaluasi Risiko

Setelah Anda menghitung risikonya, Anda harus mengevaluasi apakah risiko tersebut dapat diterima atau tidak.

Langkah ini mudah – Anda hanya perlu membandingkan tingkat risiko yang Anda hitung dengan tingkat yang dapat diterima dari metodologi penilaian risiko Anda. Misalnya, jika tingkat risiko Anda adalah 7, dan tingkat risiko yang dapat diterima adalah 5, ini berarti risiko Anda tidak dapat diterima.

Semua risiko yang tidak dapat diterima harus pergi ke fase berikutnya – perawatan risiko dalam ISO 27001; Semua risiko yang dapat diterima tidak perlu ditangani lebih lanjut.

 

Contoh Penilaian Risiko

Dalam tabel di bawah ini, Anda akan melihat contoh penilaian risiko sederhana menggunakan pendekatan berbasis aset.