Apakah Ada yang Berubah?
Kabar baiknya adalah tidak ada perubahan dalam persyaratan penilaian risiko, jadi apa pun yang Anda lakukan untuk mematuhi revisi 2013 akan tetap membuat Anda mematuhi revisi 2022.
Mitos
Mari kita ingat beberapa mitos terkait manajemen risiko yang telah berkembang di sekitar versi sebelumnya, ISO 27001:2013, yang masih menjadi mitos dalam hal ISO 27001:2022:
“Kita harus menggunakan ISO 31000 untuk manajemen risiko.” Salah – ISO 31000 hanya disebutkan dalam ISO 27001:2022, tetapi tidak wajib.
“Kami harus menghapus aset, ancaman, dan kerentanan dari penilaian risiko kami di ISO 27001.” Salah lagi – Anda dapat menyimpan metodologi lama Anda jika Anda suka, karena ISO 27001: 2022 masih memberi Anda kebebasan untuk mengidentifikasi risiko dengan cara apa pun yang Anda inginkan.
“Kami tidak perlu mengidentifikasi pemilik aset lagi.” Pernyataan palsu lainnya – versi standar 2022 memang mengharuskan Anda melakukannya dengan kontrol A.5.9.
“Identifikasi risiko berdasarkan kerahasiaan, integritas, dan ketersediaan (C-I-A) adalah konsep baru.” Salah – konsep ini juga masih ada di ISO 27001:2022; sebenarnya, seluruh standar didasarkan pada konsep melindungi C-I-A sejak awal.
Jadi, seperti yang Anda lihat, tidak ada perubahan dalam penilaian dan perawatan risiko, dan Anda akan menemukan transisi ke revisi ISO 27001 2022 relatif mudah. Yang perlu Anda lakukan adalah terus mengidentifikasi pemilik risiko untuk setiap risiko, dan memberi mereka tanggung jawab untuk membuat keputusan tentang risiko tersebut.
Penilaian Risiko Kualitatif VS. Kuantitatif
Dalam proses penilaian risiko, satu pertanyaan umum yang diajukan oleh organisasi adalah apakah akan menggunakan pendekatan kuantitatif atau kualitatif. Kabar baiknya adalah Anda dapat menggunakan pendekatan yang lebih mudah (pendekatan kualitatif) dan sepenuhnya mematuhi ISO 27001; Anda juga dapat menggunakan kedua pendekatan jika Anda ingin mengambil langkah maju dalam membuat penilaian risiko Anda sangat maju.
Penilaian Risiko Kualitatif
Dalam penilaian risiko kualitatif, fokusnya adalah pada persepsi pihak yang berkepentingan tentang kemungkinan terjadinya risiko dan dampaknya terhadap aspek organisasi yang relevan (misalnya, keuangan, reputasi, dll.). Persepsi ini direpresentasikan dalam skala seperti “low-medium-high” atau “1-2-3-4-5,” yang digunakan untuk menentukan nilai akhir risiko.
Karena memiliki sedikit ketergantungan matematis (risiko dapat dihitung melalui jumlah sederhana, perkalian, atau bentuk lain dari kombinasi non-matematis dari nilai probabilitas dan konsekuensi), penilaian risiko kualitatif mudah dan cepat dilakukan.
Satu masalah dengan penilaian kualitatif adalah bahwa hal itu sangat bias, baik dalam hal probabilitas dan definisi dampak, oleh mereka yang melakukannya.
Misalnya, bagi insan HR, dampak HR akan lebih relevan daripada dampak IT, dan sebaliknya. Mengenai bias dalam probabilitas, kurangnya pemahaman tentang kerangka waktu proses lain dapat menyebabkan seseorang berpikir kesalahan dan kegagalan terjadi lebih sering dalam prosesnya sendiri daripada yang lain, dan ini mungkin tidak benar.
Situasi dengan bias ini umumnya membuat penilaian kualitatif lebih berguna dalam konteks lokal di mana ia dilakukan, karena orang-orang di luar konteks mungkin akan memiliki perbedaan mengenai definisi nilai dampak.
Penilaian Risiko Kuantitatif
Di sisi lain, penilaian risiko kuantitatif berfokus pada data faktual dan terukur untuk menghitung nilai probabilitas dan dampak, biasanya mengekspresikan nilai risiko dalam istilah moneter, yang membuat hasilnya berguna di luar konteks penilaian (kehilangan uang dapat dimengerti untuk unit bisnis apa pun). Untuk mencapai hasil moneter, penilaian risiko kuantitatif sering menggunakan konsep-konsep ini:
- SLE (Single Loss Expectancy): uang yang diharapkan hilang jika insiden terjadi satu kali.
- ARO (Annual Rate of Occurrence): berapa kali dalam interval satu tahun insiden tersebut diperkirakan akan terjadi.
- ALE (Annual Loss Expectancy): uang yang diperkirakan akan hilang dalam satu tahun mengingat SLE dan ARO (ALE = SLE * ARO). Untuk penilaian risiko kuantitatif, ini adalah nilai risiko.
Dengan mengandalkan data faktual dan terukur, penilaian risiko kuantitatif memiliki manfaat utama penyajian hasil yang sangat tepat tentang nilai risiko, dan investasi maksimum yang akan membuat perlakuan risiko bermanfaat, sehingga menguntungkan bagi organisasi. Di bawah ini adalah contoh bagaimana nilai risiko dihitung melalui penilaian risiko kuantitatif:
- Nilai database: $2.5 juta (SLE)
- Statistik produsen menunjukkan bahwa kegagalan bencana basis data (karena perangkat lunak atau perangkat keras) terjadi satu kali setiap 10 tahun (1/10 = 0,1) (ARO)
- Nilai risiko: $2.500.000 x 0,1 = $250.000 (ALE)
Artinya, dalam hal ini, organisasi memiliki risiko tahunan menderita kerugian $ 250K jika terjadi kehilangan database-nya. Jadi, setiap kontrol yang diterapkan (misalnya, cadangan, manajemen tambalan, dll.) yang harganya kurang dari nilai ini akan menguntungkan.
Masalah dengan penilaian kuantitatif adalah bahwa, dalam banyak kasus, tidak ada data yang cukup tentang SLE dan ARO, atau memperoleh data tersebut membutuhkan biaya terlalu banyak.
Menggabungkan pendekatan
Seperti yang mungkin Anda perhatikan, penilaian kualitatif dan kuantitatif memiliki karakteristik khusus yang membuat masing-masing lebih baik untuk skenario penilaian risiko tertentu, tetapi dalam gambaran besarnya, menggabungkan kedua pendekatan dapat terbukti menjadi alternatif terbaik untuk proses penilaian risiko.
Dengan menggunakan pendekatan kualitatif terlebih dahulu, Anda dapat dengan cepat mengidentifikasi sebagian besar risiko. Setelah itu, Anda dapat menggunakan pendekatan kuantitatif pada risiko tertinggi, untuk memiliki informasi yang lebih rinci untuk pengambilan keputusan.
Contoh umum adalah janji temu medis. Dokter pertama-tama mengajukan beberapa pertanyaan sederhana, dan dari jawaban pasien dia memutuskan ujian mana yang lebih rinci untuk dilakukan, daripada mencoba setiap ujian yang dia tahu di awal.
Sesuaikan pendekatan Anda untuk mengoptimalkan upaya dan hasil Anda
Penilaian risiko adalah salah satu bagian terpenting dari manajemen risiko, dan juga salah satu yang paling kompleks – dipengaruhi oleh masalah manusia, teknis, dan administrasi. Jika tidak dilakukan dengan benar, itu dapat membahayakan semua upaya untuk menerapkan Sistem Manajemen Keamanan Informasi ISO 27001, yang membuat organisasi berpikir tentang apakah akan melakukan penilaian kualitatif atau kuantitatif. Tetapi Anda tidak perlu bergantung pada satu pendekatan, karena ISO 27001 memungkinkan penilaian risiko kualitatif dan kuantitatif dilakukan.
Jika perusahaan Anda membutuhkan penilaian risiko yang cepat dan mudah, Anda dapat menggunakan penilaian kualitatif (dan inilah yang dilakukan 99% perusahaan). Namun, jika Anda perlu melakukan investasi yang sangat besar yang sangat penting untuk keamanan, mungkin masuk akal untuk menginvestasikan waktu dan uang ke dalam penilaian risiko kuantitatif.
Singkatnya, dengan mengadopsi pendekatan gabungan dengan mempertimbangkan respons informasi dan waktu yang dibutuhkan, serta data dan pengetahuan yang tersedia, Anda dapat meningkatkan efektivitas proses penilaian risiko keamanan informasi ISO 27001, dan juga mengambil langkah lebih jauh dari apa yang dibutuhkan standar.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
