Salah satu tugas dalam membuat suatu Rencana kesinambungan bisnis dan penanggulangan bencana (business continuity and disaster recovery plan) dalam suatu corporate adalah membuat penilaian resiko (Risk assessment). Begitu informasi ini telah dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai mengimplementasikan ukuran-ukuran untuk mencegah atau melakukan recovery dari resiko tersebut andai kata hal atau bencana itu akan pernah terjadi.
Pertama kali yang perlu anda lakukan adalah menggali sebanyak-banyaknya potensi / resiko bahaya yang sekiranya bisa mengancam bisnis atau organisasi anda. Mengidentifikasi resiko-resiko dalam suatu jaringan computer dalam organisasi / bisnis anda bukanlah suatu proses yang rumit, karena anda menghadapi technology computer yang bisa ditebak. Yang perlu anda lakukan adalah menentukan faktor-faktor / ancaman apa saja yang kira-kira bisa menyebabkan infrastructure system jaringan komputer anda menjadi terganggu ketersediannya dan bagaimana hal tersebut akan menyebabkan dampak pada bisnis anda.
Paragraph-2 berikut menjelaskan contoh suatu penilaian resiko (risk assessment) dalam suatu jaringan komputer dalam suatu organisasi. Sebelumnya perlu diketahui penjelasan-penjelasan tentang pertimbangan-pertimbangan systematis dalam melakukan risk assessment.
- Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu kegagalan system, memasukkan semua konsekwensi2 potensi dari kehilangan kepercayaan, integritas atau ketersediaan dari system informasi dan juga asset-asset yang lainnya.
- Dengan adanya ancaman-ancaman dan kelemahan-2 serta system kendali yang sudah diterapkan sekarang, bisa saja kemungkinan terjadi suatu kegagalan.
Hasil dari audit anda mengenai penilaian resiko / risk assessment ini harus deregister dengan rapi menggunakan form seperti gambar berikut ini yang kemudian diharapkan bisa membantu anda dalam menentukan tindakan management yang memadai dan juga menentuklan prioritas-prioritas dalam majemen resiko keamanan informasi anda, serta mengimplementasikan control yang dipilih untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali agar bisa meng-cover semua bagian-bagian yang berbeda dalam organisasi anda.
Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu jaringan komputer yang ada disuatu lingkungan industry dimana ada dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu sebuah Yard / Pelataran pabrik.
Mengacu pada diagram ini anda perlu melakukan identifikasi semua kemungkinan resiko keamanan yang bisa saja terjadi yang menyebabkan dampak terganggunya kelangsungan bisnis anda. Semua resiko-resiko ini haruslah deregister kedalam form berikut ini.
Identifikasi semua resiko dalam diagram jaringan komputer ini, dan masukkan dalam register form risk assessment.
Resiko #1 Masalah Kabel Backbone Uplink
- Fungsi bisnis: satu kabel jaringan backbone yang menghubungkan gedung Mine Office dan gedung HR office.
- Resiko ancaman: kabel Backbone putus / gagal
- Konsekwensi: Semua komputer yang di Mine office akan terputus dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis
- Tingkat Kemungkinan: Bisa Trejadi.
- Kendali / Control Yang ada: Melindungi kabel jaringan backbone ini dengan jalan memasukkannya kedalam pipa metal dan dikubur kedalam tanah sedalam 30 Cm dibawah permukaan tanah. Tingkat kendali ini kurang mencukupi mengingat diatasnya adalah jalanan yang biasa dilalui oleh kendaraa alat berat.
Resiko #2 Router Rusak
- Fungsi bisnis: Pendukung Komunikasi Global.
- Resiko ancaman: Router rusak / terbakar
- Konsekwensi: Semua jaringan komunikasi ke Internet global akan terputus
- Tingkat Kemungkinan: Bisa Trejadi.
- Kendali / Control Yang ada: Menyediakan router cadangan dengan sudah dikonfigurasi yang sama dengan yang ada sekarang. Dan setiap terjadi perubahan konfigurasi selalu diupdate kedalam router backup ini. Tingkat kendali ini sangat memadai.
Anda bisa mencari lagi resiko #3 dan seterusnya misal jika terjadi kerusakan / kegagalan dalam system file server anda, atau system email anda.
Kolom berikutnya yang juga perlu anda masukkan datanya adalah: Consequence Ratings / Tingkat Konsequensi; Tingkat Kemungkinan (Likelihood ratings); Tingkat Resiko (Level of Risk); dan Prioritas Resiko. Sesuai dengan skala bisnis anda, sebelumnya anda perlu mendefiniskan tingkat konsequency sesuai dengan lingkungan bisnis anda misal dalam contog dibawah ini untuk tingkat konsekwensi yang tinggi jika mempunyai tingkat kerugian Rp. 100 milyar keatas. Bisa saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian sebesar 1 milyar untuk tingkat resiko tinggi.
| Consequence | Tingkat Kemungkinan (Likelihood) | Tingkat Resiko (Level of Risk) | Prioritas Resiko (Risk Priority) | |
| Tinggi (High): berdampak kerigian sampai Rp. 100 Milyar dalam organisasi anda atau dampak operasi yang sangat serius | 1 Sangat mungkin (Highly possible) | High | Tingkat dampak sangat besar | Resiko Tinggi (High Risk) |
| Medium: Berdampak antara 50-100 Milyar Rp dalam kerugian bisbis anda atau ancaman organisasi yang serius. | 2 Mungkin / Possible | Medium | Dampak menengah | Resiko medium (Medium risk) |
| Low: Dibawah Rp 50 Milyar atau dampak taktis dalam operasi bisnis organisasi anda | 3 Kecil kemungkinan-nya / Likely | Low | Dampak Minimal | Resiko rendah (Low Risks) |
| 4 Jarang sekali terjadi /Not very likely | ||||
| 5 Tidak pernah terjadi / Never | ||||
Dalam contoh risk assessment ini, resiko #1 untuk kolom Likelihood diisi dengan “Mungkin/Possible” dan untuk kolom Konsekwensi diisi dengan “Resiko medium / Medium risk”. Begitu seterusnya untuk resiko-resiko berikutnya.
Sumber :
http://www.sysneta.com/contoh-risk-assessment
Tidak ada komentar:
Posting Komentar