Berikut ini step by step Risk Assessment berdasarkan bagan di atas :
System Characterization
Langkah untuk menghasilkan batasan-batasan system,fungsi system ,system dan
data penting serta kesensitifan data dengan menganalisa karateristik
komponen-komponen sebagai berikut :
1.
Perangkat
Keras (Hardware)
2.
Perangkat
Lunak (Software)
3.
Sistem antarmuka (misalnya, konektivitas internal dan eksternal)
4.
Data dan
Informasi
5.
Orang yang mendukung dan menggunakan sistem TI (People)
6.
Sistem misi (misalnya, proses yang dilakukan oleh sistem TI)
Threat Identification
Pada bagian ini pihak Bank harus melakukan beberapa langkah sebagai berikut
:
1. Mengindentifiasi Threat (Ancaman )
2. Mengumpulkan Informasi yang terkait dengan kemungkinan
source threat (Information Gathering )
3. Menentukan Design atau Model Threat
4. Menetukan level Threat
Setelah keempat task itu dilakukan barulah kita dapat
menentukan tindakan apa yang harus di implementasikan untuk mencegah atau
meminimalisasi impact dari Threat tersebut
Vulnerability Identification
Vulnerability identification harus mencakup hal-hal sebagai berikut:
Prosedures dan Policicy untuk mengidentifikasi vulnerability harus sudah
dirumuskan dengan matang
1.
Data
- data yang dapat di jadikan untuk
mengidentifikasi vulnerability antara lain :
2.
Laporan dari hasil Analisa Resiko Sebelumnya
3.
Komentar dari hasil Aduit
4.
Security Requirments
5.
Hasil dari Test Security
Dari inputan data-data di atas maka akan dapat digunakan untuk membuat
rumusan Procedures dan Policy untuk mendapatkan daftar atau list hal-hal yang
berpotensi menimbulkan vulnerability
Control Analysys
Menganalisa control baik yang sudah di implementasikan
maupun yang akan di rencanakan untuk meminimalisasi atau mengeliminasi
kemungkinan (Likelihood) ancaman yang akan menggunakan kelemahan system atau
kerentanan system. dalam hal ini berdasarkan bagan diatas ada dua hal yang
harus dilakukan :
1. Assesment Current Control
Pada langkah ini sasarannya untuk menganalisis pengendalian yang telah
diimplementasikan oleh pihak money bank untuk mendapatkan results mengenai apa
yang harus dilakukan untuk mengimprove system atau control yang ada sekarang
2. Assement Planned Controls
Pada langkah ini sasarannya untuk menganalisis pengendalian yang direncanakan untuk implementasi oleh money
bank dengan memperkecil atau menghapuskan likelihood (probability) penggunaan
ancaman suatu vulnerability system berdasarkan hasil dari Asessment Current
Control
Output yang di harapka dari setp ini adalah list atau daftar current
control dan planed control yang kemudian dapat di jadikan acuan sebagai langkah
untuk meningkatkan capabilitas control guna meminimalisasi likelihood
penggunaan ancaman suatu vulnerability system
Likelihood determination
Untuk memperoleh skor likelihood dari potensi vulnerability, secara
keseluruhan dapat dikerjakan dengan mencoba menggabungkan ancaman lingkungan
dengan mempertimbangkan faktor berikut
o
Motivasi
threat source dan kemampuannya
o
Vulnerability
dari faktor alam
o
Keberadaan dan efektivitas pengendalian secara
langsung.
Impact Analysis
Langkah berikutnnya
adalah mengukur tingkat resiko adalah menentukan dampak yang kurang baik, sebagai
hasil implementasi suatu ancaman vulnerability. Dampak yang kurang baik
terhadap suatu peristiwa keamanan dapat dijelaskan dengan kerugian atau
penurunan kombinasi berdasarkan tiga tujuan keamanan yaitu integritas, keamanan
dn rahasia.
o Loss of integrity :
Sistem dan integritas data mengacu pada kebutuhan untuk
melindungi informasi dari modifikasi yang tidak boleh dilakukan. Integritas
akan hilang apabila terjadi modifikasi pada data atau sistem IT baik disengaja
atau tidak disengaja. Jika kerusakan sistem tidak dapat diperbaiki maka
kelanjutan penggunaan sistem atau data tersebut akan mengakibatkan
ketidaktepatan, fraud (penipuan), pengambilan keputusan yang salah. Oleh karna
itu, kerusakan atau hilangnya integritas dapat mengurangi jaminan suatu sistem IT.
o
Loss
of Availability : Jika suatu mission
critical system IT tidak tersedia pada end user maka misi money bank ada
kemungkinan sudah terpengaruh dengan hilangnya kemampuan sistem dan efektifitas
operasional.
o
Loss
of Confidentiality : Sistem dan kerahasiaan data mengacu pada perlindungan
informasi dari kebocoran informasi. Dampak dari hal ini dapat merugikan pihak
money bank. Jika tidak diantisipasi dari dampak tersebut maka dapat terjadi
kehilangan kepercayaan publik terhadap pihak money bank.
Risk Determination
Tujuan langkah ini
adalah untuk menilai pengambilan resiko pada sistem IT. Untuk mengukur resiko pada suatu risk scale
dan a risk level matrix yang harus dikembangkan.
Control Recomendation
Ketika proses ini
berlangsung, pengendalian dapat mengurangi atau menghapus resiko yang dikenali
sebagai penyesuaian operasional money bank yang dilakukan.
Faktor-faktor
berikut ini harus dipertimbangkan dalam merekomendasi kendali dan solusi alternatif untuk memperkecil dan
menghapus resiko yang ada
Efektifitas
dari pilihan yang direkomendasikan misalnya kecocokan sistem
- Perundang-undang dan peraturan
- Kebijakan organisasi
- Dampak operasional
- Keamanan dan keandalan.
Rekomendasi
pengendalian adalah hasil dari proses penilaian resiko yang menyediakan masukan
dalam proses mengurangi resiko.
Result Documentation
Setelah resiko
penilaian diselesaikan (threat source dan vulnerability sudah diiidentifikasi,
resiko sudah dinilai dan menyajikan kendali yang sudah direkomendasi) hasilnya
harus di dokumentasikan dalam suatu laporan atau uraian singkat.
Laporan penilaian resiko adalah suatu laporan
manajemen untuk memberikan bantuan untuk manajemen senior, membuat misi
organisasi, membuat keputusan untuk suatu kebijakan, membuat prosedur, anggaran
dan sistem operasional serta perubahan manajemen.
