Ringkasan
- Penilaian risiko kuantitatif (Quantitative Risk Assessment/QRA) mengubah risiko keamanan siber menjadi angka finansial.
- Hasil penilaian ini bisa digunakan untuk menentukan langkah selanjutnya: menghindari risiko, menerima risiko, mengalihkan risiko, atau mengurangi risiko.
- Kerangka kerja risk appetite (selera risiko) membantu menangani kasus yang tidak jelas atau membingungkan.
- Semua proses ini membantu organisasi menemukan keseimbangan antara kebutuhan keamanan dan tujuan bisnis.
Penilaian risiko kuantitatif memberikan pendekatan objektif untuk menganalisis risiko – tapi memahami risikonya saja tidak cukup. Artikel ini membahas cara menafsirkan hasilnya dan mengubahnya menjadi keputusan nyata dalam praktik sehari-hari.
(Catatan: Artikel ini tidak membahas cara melakukan penilaian risiko kuantitatif dari awal. Untuk itu, silakan baca Guide to Data-Driven Risk Assessment.)
Apa itu Penilaian Risiko Kuantitatif?
Penilaian risiko kuantitatif adalah metode untuk memberikan nilai dalam satuan uang terhadap suatu risiko keamanan siber, berdasarkan impact (dampak) dan kemungkinan kejadiannya. Bahasa kasarnya: “Kalau aset ini kena serangan karena celah ini, berapa biaya kerugiannya?”
Berbeda dengan metode kualitatif yang hanya memberi label “tinggi”, “sedang”, atau “rendah”, pendekatan kuantitatif jauh lebih jelas dan mudah dipahami oleh para pengambil keputusan non-teknis karena pakai bahasa bisnis: dolar dan sen.
Bagaimana Cara Menafsirkan Hasil Penilaian Risiko?
Ada beberapa elemen penting yang perlu dipahami:
- Asset Value (AV): Nilai dari aset yang ingin dilindungi.
- Exposure Factor (EF): Persentase nilai aset yang mungkin hilang jika terjadi insiden.
- Annualized Rate of Occurrence (ARO): Frekuensi kejadian risiko per tahun.
Dari sini, kita bisa hitung:
- Single Loss Expectancy (SLE): Nilai kerugian untuk satu kejadian. Rumus: AV × EF.
- Annual Loss Expectancy (ALE): Perkiraan total kerugian per tahun. Rumus: SLE × ARO.
- Residual ALE: Nilai kerugian tahunan setelah ada mitigasi (pengurangan risiko).
ALE inilah angka utama yang digunakan untuk menentukan langkah penanganan risiko. Tapi ingat, semua angka ini adalah perkiraan, jadi biasanya dilengkapi dengan tingkat kepercayaan (misalnya: 80%) dan daftar hal yang masih belum diketahui (uncertainty).
Menentukan Aksi: Respons Risiko
Setelah dapat hasil penilaian risiko, langkah berikutnya adalah memilih salah satu dari empat jenis respons risiko:
1. Hindari Risiko (Avoid)
Artinya: hentikan sepenuhnya proses atau sistem yang membawa risiko. Ini adalah pilihan ekstrem. Contoh: ingin nol risiko phishing? Matikan semua email dari luar. Bisa? Ya. Praktis? Tidak untuk kebanyakan organisasi.
Cocok digunakan kalau ALE sangat tinggi dan tidak ada cara lain untuk menguranginya, atau jika ada alternatif lain yang bebas risiko.
2. Terima Risiko (Accept)
Kadang, pilihan terbaik adalah tidak melakukan apa-apa.
Contoh klasik: jika biaya mitigasi lebih tinggi daripada kerugian yang mungkin terjadi (residual ALE), maka lebih masuk akal untuk menerima risikonya.
Atau, saat keamanan harus memilih antara dua risiko dan sumber dayanya terbatas – lebih baik fokus ke yang lebih serius.
Juga bisa terjadi dalam konteks bisnis: misalnya, membuka pusat data di negara baru demi pasar baru. Ada risikonya, tapi potensi pendapatannya bisa jauh lebih besar.
3. Alihkan Risiko (Transfer)
Biasanya dilakukan lewat asuransi keamanan siber. Cocok bila biaya asuransi lebih rendah dari ALE.
Tapi, ingat:
- Asuransi hanya menanggung kerugian finansial langsung. Kalau reputasi rusak, itu urusan lain.
- Biasanya ada syarat keamanan tertentu untuk bisa diasuransikan.
- Kalau insidennya berulang, asuransi bisa berhenti menanggungnya.
4. Mitigasi Risiko (Mitigate)
Ini adalah langkah aktif: mengurangi risiko dengan memperbaiki sistem, menambal celah, atau menambahkan kontrol keamanan.
Tujuannya menurunkan EF, ARO, atau keduanya. Hasilnya adalah residual ALE yang lebih kecil. Ini layak dilakukan jika biaya mitigasi lebih rendah dari selisih antara ALE dan residual ALE.
Menggunakan Risk Appetite untuk Kasus Abu-Abu
Tidak semua hasil penilaian akan menunjukkan keputusan yang jelas. Untuk itu, organisasi perlu punya panduan risk appetite – yaitu seberapa besar risiko yang bersedia diambil demi mencapai tujuan.
Risk appetite bisa berbeda tergantung jenis risikonya: risiko operasional, risiko hukum, risiko inovasi, dll.
Beberapa istilah penting:
- Risk Capacity: Seberapa besar risiko maksimal yang bisa ditanggung.
- Risk Tolerance: Seberapa jauh boleh melenceng dari target risiko.
- Risk Threshold: Garis batas di mana strategi harus diubah.
Risk appetite membantu dalam mengambil keputusan di situasi yang tidak hitam-putih.
Mengubah Insight Menjadi Aksi
Penilaian risiko kuantitatif bukan sekadar angka – nilainya baru terasa saat digunakan untuk membuat keputusan yang berdampak nyata. Mau itu menghindari, menerima, mengalihkan, atau mengurangi risiko, tujuannya sama: menyeimbangkan antara kebutuhan keamanan dan target bisnis.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pulsesecure indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi pulsesecure.ilogoindonesia.id untuk informasi lebih lanjut!