Menjelajahi Metodologi Penilaian Risiko ISO 27001

/ ISO 27001 / Oleh

Penting bagi Anda untuk mengetahui berbagai jenis metodologi penilaian risiko ISO 27001 yang dapat Anda gunakan untuk melindungi data Anda. Setiap jenis memiliki kekurangan dan kelebihannya masing-masing, jadi penting bagi Anda untuk memahami cara memilih yang terbaik untuk perusahaan Anda.

Memahami Penilaian Risiko

Sebelum kita menjelajahi metodologi penilaian risiko ISO 27001, pertama-tama Anda perlu memahami penilaian risiko yang merupakan cara bagi perusahaan Anda untuk memutuskan apa yang akan Anda lakukan untuk mengamankan data. Apalagi kerentanan dan ancaman datang dari mana-mana, tidak hanya dari ancaman eksternal tetapi juga dari pengguna internal yang ceroboh.

Kerentanan bahkan mungkin ada pada infrastruktur jaringan itu sendiri. Oleh karena itu, penting bagi manajemen puncak untuk mengetahui seberapa besar urgensi dari setiap risiko tersebut dan biaya yang perlu dikeluarkan untuk upaya mitigasi.

Penilaian risiko dapat membantu manajemen puncak untuk menentukan prioritas. Penilaian ini akan mengevaluasi probabilitas dan potensi dampak yang dapat terjadi dari setiap risiko yang ditemukan di perusahaan Anda. Kemudian manajemen puncak dapat mengevaluasi laporan tersebut untuk memutuskan upaya mitigasi mana yang ingin diprioritaskan sesuai dengan jadwal, strategi, dan anggaran perusahaan.

Pelajari lebih lanjut tentang apa itu ISO 27001: panduan pemula yang komprehensif

Berbagai Jenis Metodologi Penilaian Risiko ISO 27001

Sebenarnya, tidak ada metodologi penilaian risiko ISO 27001 wajib yang harus Anda gunakan untuk memenuhi standar. Sebaliknya, Anda perlu membuat metodologi sendiri yang sesuai dengan kebutuhan perusahaan Anda.

Untuk melakukannya, Anda dapat menggunakan jenis metodologi umum dan kemudian menyesuaikannya agar lebih sesuai dengan perusahaan Anda. Jenis metodologi yang dapat Anda pertimbangkan adalah:

Metode kuantitatif

Metode ini menggunakan ketelitian analitis dalam prosesnya. Semua risiko dan penilaian akan memiliki nilai yang ditetapkan dalam dolar. Dengan demikian, Anda kemudian dapat membuat hasil penilaian risiko menggunakan istilah keuangan yang lebih mudah dipahami oleh manajemen puncak, anggota dewan, dan eksekutif. Kemudian pengambil keputusan akan memprioritaskan opsi mitigasi berdasarkan analisis biaya-manfaat.

Namun, metode ini mungkin tidak cocok untuk semua orang, terutama karena tidak semua risiko dan aset dapat dikuantifikasi. Selain itu, menempatkan nilai finansial pada mereka tidaklah mudah dan sering kali merusak objektivitas penilaian. Perusahaan harus memiliki ahli dengan pengetahuan dan kemampuan yang tepat untuk melakukannya dan tidak semua perusahaan memiliki ahli internal tersebut.

Metode kualitatif

Metode ini menggunakan pendekatan jurnalistik untuk menempatkan risiko pada skala tertentu. Para penilai akan berkomunikasi dengan karyawan di perusahaan untuk membicarakan tentang bagaimana mereka akan atau bahkan jika mereka dapat melakukan pekerjaan mereka jika sistem perusahaan tidak dapat diakses.

Kemudian input tersebut akan digunakan untuk membuat skala pada masing-masing risiko dengan nilai rendah, sedang dan tinggi. Metode ini dapat menunjukkan situasi keseluruhan tentang bagaimana risiko dapat mempengaruhi operasi perusahaan.

Namun, jenis pendekatan ini bersifat subyektif dan penilai harus dapat menjelaskan skenario yang dapat dengan mudah dimengerti oleh karyawan dengan berbagai latar belakang teknis. Mereka juga harus menggunakan metodologi wawancara dengan menggunakan pertanyaan-pertanyaan yang dapat membantu menghindari bias.

Metode semi-kuantitatif

Metode ini menggabungkan kedua metode yang kami jelaskan di atas. Dengan begitu, dalam pendekatan ini, nilai akan ditetapkan dengan menggunakan skala numerik. Kemudian risiko akan dikategorikan lebih lanjut dengan risiko bernilai sepertiga lebih rendah sebagai risiko rendah, risiko bernilai sepertiga menengah sebagai risiko menengah, kemudian risiko bernilai sepertiga lebih tinggi sebagai risiko tinggi.

Dengan menggabungkan kedua metode tersebut maka Anda dapat menghindari probabilitas dan intensitas perhitungan nilai sambil tetap dapat menggunakan penilaian analitis. Dengan demikian, metode ini dianggap lebih obyektif dengan dasar yang lebih baik dalam memprioritaskan risiko.

Metode Berbasis Aset

Ini adalah pendekatan tradisional yang digunakan banyak perusahaan saat menilai risiko, terutama untuk departemen TI. Metode ini populer karena selaras dengan budaya, operasi, dan struktur departemen. Metodologi penilaian risiko ISO 27001 ini dapat dilakukan dalam beberapa langkah seperti:

  • Mencatat semua aset
  • Mengevaluasi seberapa efektif kontrol saat ini
  • Mengidentifikasi kerentanan dan ancaman pada setiap aset
  • Menilai dampak potensial untuk setiap risiko

Satu hal yang perlu diperhatikan adalah bahwa pendekatan ini tidak dapat membuat penilaian yang lengkap karena beberapa risiko bukan merupakan bagian dari infrastruktur informasi terutama faktor lunak seperti proses, kebijakan dan lain-lain. Faktor-faktor tersebut dapat memberikan risiko yang lebih tinggi terhadap keamanan perusahaan.

Metode Berbasis Kerentanan

Pada metode ini, penilaian dilakukan lebih jauh dari sekadar aset perusahaan. Penilaian dapat dimulai dengan memeriksa kekurangan dan kelemahan yang diketahui dari lingkungan dan sistem perusahaan.

Langkah selanjutnya adalah mengidentifikasi kemungkinan ancaman yang dapat mengeksploitasi kerentanan dan potensi konsekuensinya. Meskipun pendekatan ini dapat menemukan lebih banyak risiko daripada metode berbasis aset, namun pendekatan ini hanya dilakukan berdasarkan kerentanan yang diketahui. Ini berarti ada ancaman lain yang mungkin tidak tertangkap dalam penilaian.

Metode Berbasis Ancaman

Metodologi penilaian risiko ISO 27001 ini dapat memberikan postur risiko yang lebih lengkap yang dimiliki perusahaan. Pendekatan ini dilakukan dengan mengevaluasi kondisi yang dapat menimbulkan risiko. Untuk melakukannya, Anda juga perlu mengaudit aset perusahaan karena pengendalian aset sering kali berkontribusi sebagai kondisi yang dapat menimbulkan risiko.

Dengan demikian, metode ini sebenarnya lebih dari sekadar infrastruktur fisik. Melalui penilaian ini, Anda dapat menemukan metode yang dapat digunakan untuk mengurangi risiko termasuk biaya yang dibutuhkan.

Bagaimana Memilih Metodologi yang Sesuai untuk Perusahaan Anda

Hal berikutnya yang perlu Anda lakukan adalah memilih metodologi mana yang lebih cocok untuk perusahaan Anda. Ada beberapa hal yang dapat Anda lakukan untuk memilih metodologi yang sesuai seperti:

  • Memilih produk penilaian risiko lengkap yang dibuat oleh pihak eksternal perusahaan.

Cara ini dilakukan oleh banyak perusahaan karena terlihat lebih mudah. Namun, produk tersebut biasanya memiliki banyak kurva pembelajaran dan beberapa pengguna mungkin tidak memiliki cukup kesabaran untuk mengikutinya.

  • Meminjam metodologi dari perusahaan lain.

Ini adalah metode lain yang dapat Anda gunakan, namun biasanya sangat sulit untuk menemukan metode yang cocok dengan perusahaan Anda. Terutama jika Anda tidak memahami dasar yang digunakan saat membuat metodologi, maka akan sulit untuk mengimplementasikannya.

  • Membuat metodologi Anda sendiri

Seperti yang Anda lihat, setiap metodologi penilaian risiko ISO 27001 memiliki kelemahannya masing-masing karena tidak ada yang sempurna, tetapi masing-masing juga memiliki kekuatannya sendiri. Untungnya, metode-metode tersebut sebenarnya tidak eksklusif.

Ini berarti Anda dapat membuat metodologi Anda sendiri yang menggabungkan pendekatan-pendekatan tersebut sehingga akan lebih cocok untuk perusahaan Anda. Untuk melakukannya, Anda perlu mengetahui tujuan serta sifat perusahaan.

Sebagai contoh, jika persetujuan manajemen puncak adalah sesuatu yang sangat penting maka Anda mungkin perlu membuat metodologi yang menggunakan metode kuantitatif. Dengan begitu, Anda dapat menyajikan hasil penilaian risiko dengan nilai yang lebih mudah dipahami oleh manajemen puncak.

Namun, jika Anda perlu mendapatkan dukungan dari pemangku kepentingan dan karyawan maka Anda mungkin perlu membuat metodologi yang menggunakan metode kualitatif.

Komponen yang Harus Dimiliki Metodologi

Ketika memilih dan membuat metodologi yang akan digunakan, Anda harus memastikan bahwa metode tersebut benar-benar memenuhi persyaratan ISO 270001 seperti yang dinyatakan dalam Klausul 6.1.2. Klausul ini sebenarnya memiliki daftar yang dapat Anda ikuti yang mencakup beberapa hal penting seperti:

  • Menentukan metode yang digunakan untuk mengidentifikasi kerentanan dan risiko yang dapat membahayakan kerahasiaan, integritas, atau/dan ketersediaan data yang ditransmisikan, dikelola, dan disimpan oleh perusahaan Anda.

Yang perlu Anda lakukan adalah membuat daftar untuk semua kerentanan dan ancaman yang Anda temukan melalui penilaian.

  • Mengidentifikasi pemilik risiko dan metode yang digunakan untuk mengidentifikasinya. Anda perlu menugaskan tim atau orang yang memiliki kemampuan, pengetahuan, dan pelatihan yang tepat untuk menangani risiko atau menemukan seseorang dengan posisi dan kekuatan yang tepat yang dapat melakukan tugas tersebut.
  • Metodologi penilaian risiko ISO 27001 harus dapat mengidentifikasi kriteria yang dapat digunakan untuk mengukur seberapa besar kemungkinan risiko akan terjadi dan konsekuensinya. Anda dapat menggunakan beberapa skala yang digunakan dalam metode yang telah kita bicarakan sebelumnya. Sebagai contoh, Anda dapat menggunakan skala numerik atau mengkategorikannya ke dalam prioritas yang berbeda.
  • Tentukan metode yang digunakan untuk menghitung risiko. Jangan lupa bahwa Anda perlu membuat rincian lengkap tentang metode tersebut dalam bentuk dokumentasi karena diperlukan untuk proses audit nantinya.
  • Tentukan kriteria yang akan digunakan untuk menerima risiko. Sebagai contoh, Anda mungkin ingin memprioritaskan risiko yang memiliki tingkat tinggi atau nilai numerik yang lebih besar sebelum menangani risiko lainnya.

Lihat bagaimana Paireds mengotomatiskan proses sertifikasi ISO 27001 di sini

Kesimpulan

Memiliki metodologi yang kuat untuk digunakan dalam menilai risiko dapat menjadi hal pertama yang dapat Anda lakukan untuk menciptakan manajemen risiko yang baik. Ini memberi perusahaan Anda kerangka kerja yang dapat digunakan oleh tim untuk menilai probabilitas dalam mengimplementasikan ISO 27001 dengan sukses. Oleh karena itu, sangat penting bagi Anda untuk mempelajari dan memilih metodologi penilaian risiko ISO 27001 yang sesuai untuk perusahaan Anda.

Deskripsi : Pelajari tentang berbagai metodologi penilaian risiko yang digunakan dalam ISO 27001 dan cara memilih yang tepat untuk organisasi Anda. Memahami proses penilaian risiko dan pentingnya mengidentifikasi dan memitigasi risiko.

Tag : Metodologi penilaian risiko ISO 27001, jenis metodologi penilaian risiko ISO 27001, memilih metodologi penilaian risiko ISO 27001, metodologi penilaian risiko ISO 27001 terbaik, persyaratan metodologi penilaian risiko ISO 27001,

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d