Agus Pracoyo
FRAP– Pendekatan dalam
Analisis Risiko

Pertanyaan “sederhana” yang banyak diajukan kepada penulis adalah, “Apa yang harus dilakukan untuk memproteksi aset informasi?” Pertama kali mendapat pertanyaan semacam ini, penulis perlu waktu sejenak untuk mencari kata-kata yang tepat (baca: bingung). Mungkin karena tidak sabar mendengar jawaban, sipenanya lansung menimpali dengan pertanyaan berikut “Apakah dengan Firewall dan Anti Virus sudah cukup?”. Hal ini mengindikasikan wacana (mindset) penanya terhadap pengamanan sistem informasi masih terfokus pada teknologi.

Untuk menjawab pertanyaan ini, perlu diajukan pertanyaan seperti, “Aset apa yang akan diproteksi?”, “Kenapa aset tersebut perlu diproteksi? dan terhadap apa?”, “Dari sekian aset yang ingin diproteksi, mana yang kritikal atau menjadi prioritas perusahaan?” Baru setelah pertanyaan-pertanyaan di atas dijawab, akan lebih mudah untuk menjawab “Bagaimana cara memproteksi aset sistem informasi?”

Menjawab pertanyaan-pertanyaan di atas sama saja melakukan analisis risiko terhadap sistem informasi, serta dampaknya terhadap jalannya bisnis perusahaan.

Sekali mendayung, dua tiga pulau terlewati
Analisis risiko begitu penting. Karena, selain mempermudah penetapan kontrol pengamanan terhadap aset yang berisiko, hasil analisis risiko juga memberikan keuntungan lainnya, seperti:

• Perusahaan dapat lebih tepat mengalokasikan dana untuk pembiayaan kontrol pengamanan.
  
• Hasil analisis risiko ini berguna sebagai landasan pembuatan Rancangan Pemulihan terhadap Bencana (Disaster Recovery Planning
)


• Hasil analisa ini mempermudah auditor dalam melakukan audit yang terukur.

Kendala
Banyak metodologi yang dapat dipakai dalam melakukan analisis risiko, namun pada prinsipnya tahapan yang perlu dilakukan adalah :

• Mengidentifikasi aset yang akan dianalisa.



• Mencari kemungkinan kerentanan (vulnerability), ancaman (threat), peluang terjadinya, dampaknya, serta isu lainnya dalam rangka menetapkan risiko.



• Melakukan prioritas terhadap risiko.



• Menetapkan bentuk kontrol pengamanan untuk mengurangi risiko tersebut.

• Sulit mengukur dampak risiko.



• Waktu yang dibutuhkan untuk melakukan analisis risiko lama, dan membutuhkan biaya tinggi.



• Tidak adanya sumber daya yang kompeten untuk melakukan analisis risiko.

FRAP – Pendekatan untuk mempermudah
Facilitated Risk Analysis Process (FRAP) yang digagas oleh Thomas R. Peltier, merupakan suatu pendekatan dalam melakukan analisis risiko kualitatif. Tiga komponen kunci dalam FRAP adalah fasilitator, urun rembuk (brainstorming), dan keterlibatan semua pihak. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan (feasible) dan perlu (enabler). FRAP bukan suatu metodologi, tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol pengamanan.

Urun rembuk (brainstorming)
Proses ini diawali dengan memberi penjelasan singkat tentang sistem atau komponen sistem yang akan dianalisis. Jika kegiatan ini baru pertama kali dilakukan, atau ada anggota tim yang baru pertama kali mengikuti, maka fasilitator berkewajiban juga untuk menjelasan proses FRAP, serta memberi contoh, agar anggota benar-benar mengerti apa yang harus dilakukan.

Proses urun rembuk dibagi atas proses penentuan risiko, penentuan prioritas dan penentuan kontrol. Lama setiap proses harus dibatasi, misalkan 3 jam (tergantung kompleksitas), dan diakhiri dengan kesepakatan. Hal ini untuk mencegah proses tiada berakhir (never ending process). Ada kecenderungan tim mencari hasil yang sempurna yang berujung tidak dihasilkannya kesepakatan alias mentah. Keadaan ini hanya akan membuat anggota tim frustrasi dan enggan melakukan pekerjaan serupa di kemudian hari.

Biasanya, untuk sistem yang cukup kompleks, proses diskusi dipecah atas komponen yang membentuknya. Misalnya dalam menganalisis risiko ATM sebagai salah satu jalur pelayanan jarak-jauh (remote delivery channel) suatu Bank. Sistem dapat dipecah menjadi komponen mesin ATM itu sendiri beserta infrastruktur penunjangnya, jaringan yang menghubungkan ATM dan aplikasi ATM, aplikasi ATM, aplikasi inti bank (core bank application), serta jaringan antara aplikasi ATM dan aplikasi inti bank.

Selanjutnya, proses urun rembuk dilakukan dengan memberi kesempatan kepada tiap anggota tim untuk menulis rIsiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 3 sampai 5 menit, fasilitator akan mengumpulkan kertas tersebut, dan proses tersebut diulang sampai tidak ada risiko yang dapat diidentifikasikan lagi.

Kemudian, fasilitator akan menyortir dan mengumpulkan risiko yang serupa, serta menempelkannya pada papan; sementara anggota tim lainnya diberi kesempatan untuk break selama 10 sampai 15 menit. Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasi berdasarkan kriteria yang telah disepakati sebelum FRAP.

Langkah berikutnya yaitu penentuan kontrol, dimulai dari aset yang mempunyai risiko tinggi. Cara yang dilakukan dapat seperti pada cara penentuan risiko. Atau, dengan cara memberikan daftar kontrol pengamanan yang biasa digunakan dalam sistem yang sejenis dan meminta tim untuk memilih kontrol pengamanan yang cocok.

Keterlibatan semua pihak
Tim FRAP terdiri atas fasilitator, pemilik sistem informasi, staf divisi sistem informasi, pencatat, anggota lainnya seperti staf divisi HRD, divisi Legal, dan divisi lainnya jika diperlukan. Perlu diingatkan disini bahwa pemilik sistem informasi (umumnya) bukan divisi sistem informasi/teknologi sistem informasi. Sebagai contoh, pemilik sistem aplikasi keuangan adalah divisi keuangan. Perwakilan dari pemilik sistem informasi sebaiknya terdiri atas manajemen dan staf teknis pelaksana. Pihak manajemen diharapkan dapat memberi masukan macam-macam risiko yang dihadapi suatu sistem secara keselurahan. Staf teknis pelaksana diharapkan dapat memberi masukan risiko terhadap spesifik komponen sistem, dan risiko dalam pelaksanaan sehari-hari.

Sedang dari divisi sistem informasi sebaiknya terdiri atas sistem analis, dan staf teknis, seperti administrator sistem, administrator database, koordinator keamanan, dan administrator jaringan. Sistem analis selain diperlukan dalam memberi masukan risiko yang mungkin, juga diharapkan berperan sebagai jembatan dalam proses urun rembuk antara pemilik sistem informasi, dan staf teknis divisi sistem informasi. Staf dari divisi lainnya, HRD misalnya, diperlukan jika kontrol pengamanan terhadap aset yang dianalisis menyangkut kewajiban, tanggung jawab, serta sangsi kepada karyawan.

Fasilitator
Fasilitator merupakan sosok sentral dalam proses FRAP ini. Tugas seorang fasilitator, yang diharapkan agar proses FRAP sukses, adalah :

• Mendengarkan dan mencerna semua aspirasi dari anggota tim; bukan menceramahi.


• Memberikan semangat kepada anggota tim untuk berkontribusi.


• Bersikap netral.


• Dapat mengatur waktu sesuai jadwal.


• Dapat menjaga proses urun rembuk agar tetap pada tujuannya.


• Dapat menjadi penengah dalam suatu perdebatan antara anggota tim.


• Walaupun fasilitator dapat memberikan alternatif, hindari mengklaim sebagai sumber ahli (expert authority).

Referensi
Penjelasan secara rinci mengenai FRAP beserta contohnya dapat dilihat pada buku karangan Thomas R. Peltier dengan judul “Information Security Risk Analysis” yang diterbitkan oleh Auerbach Publications.

Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com

Foto-foto: dok. ebizzasia