facilitated risk analysis process...
TRANSCRIPT
1
FACILITATED RISK ANALYSIS
PROCESS (FRAP) (Terjemahan By: Ahmad UC, 2017)
Thomas R. Peltier
DALAM
Facilitated Risk Analysis Process (FRAP)
Ikhtisar; Mengapa Dibutuhkan FRAP; Memperkenalkan FRAP Enterprise Anda; Pre-FRAP
Meeting; The FRAP Tim; The FRAP Fasilitator; The FRAP Sesi; Pertemuan pasca-FRAP
PENGANTAR
Sebagian besar perusahaan sedang berusaha untuk mengelola jenis yang sama dari risiko
yang dihadapi setiap organisasi lainnya. Dengan budaya bisnis yang berubah, tim keamanan yang
sukses harus memodifikasi proses menanggapi risiko baru berprofil tinggi, lingkungan E-bisnis.
Bahkan dengan perubahan fokus, organisasi saat ini masih harus melindungi integritas,
kerahasiaan, dan ketersediaan sumber daya informasi mereka andalkan. Meskipun ada peningkatan
minat dalam keamanan dengan manajemen tingkat atas, faktanya menunjukan bahwa bisnis dari
perusahaan adalah bisnis. Program keamanan harus membantu unit bisnis dengan menyediakan
layanan handal berkualitas tinggi dalam membantu mereka melindungi aset perusahaan.
GAMBARAN ANALISIS PROSES RISIKO FASILITAS (FRAP)
Facilitated Risk Analysis Process (FRAP) dikembangkan sebagai proses yang efisien
dan disiplin untuk memastikan bahwa risiko keamanan informasi terkait dengan operasi bisnis akan
selalu dipertimbangkan dan didokumentasikan. Prosesnya terdiri dari menganalisis sebuah sistem,
aplikasi atau segmen operasi bisnis pada satu waktu dan membentuk sebuah tim individu yang
mencakup manajer bisnis yang akrab dengan kebutuhan informasi bisnis dan Staf teknis yang
memiliki pemahaman yang rinci tentang potensi kerentanan (vulnerabilities) sistem dan kontrol
terkait. Pada sesi ini, mengikuti suatu agenda standar, yang difasilitasi oleh anggota dari kantor
proyek atau staf perlindungan informasi dan bertanggung jawab untuk memastikan bahwa anggota
tim dapat berkomunikasi secara efektif dan mematuhi agenda.
Selama sesi ini, tim brainstorm/mengeluarkan pendapat (adalah teknik kreativitas
yang mengupayakan pencarian penyelesaian dari suatu masalah tertentu dengan
mengumpulkan gagasan/ide & kreativitas secara spontan dari anggota kelompok.)
mengidentifikasi potensi ancaman (threats), kerentanan (vulnerabilities), dan dampak negatif yang
dihasilkan pada integritas data, kerahasiaan (confidentiality), dan ketersediaan (availability).
Kemudian tim ini akan menganalisis efek dari dampak tersebut pada operasi bisnis dan secara luas
mengkategorikan risiko sesuai dengan tingkat prioritas mereka. Tim biasanya tidak berusaha untuk
2
mendapatkan atau mengembangkan nomor khusus kemungkinan terjadinya ancaman atau
perkiraan kerugian tahunan kecuali data untuk menentukan beberapa faktor seperti sudah tersedia.
Sebagai gantinya, tim akan mengandalkan pengetahuan umum mereka terhadap ancaman dan
kerentanan yang diperoleh dari pusat penanganan insiden nasional, asosiasi profesional dan sastra,
dan pengalaman mereka sendiri.
Ketika pembentukan tim, ini merupakan pengalaman yang memungkinkan mereka untuk
percaya bahwa upaya tambahan untuk mengembangkan risiko justru diukur dari biaya yang tidak
efektif karena:
Perkiraan tersebut mengambil banyak waktu dan usaha untuk mengidentifikasi dan
memverifikasi atau mengembangkan
Dokumentasi risiko menjadi terlalu besar sekali untuk digunakan secara praktis
Perkiraan kerugian tertentu umumnya tidak diperlukan untuk mengetahui apakah kontrol
diperlukan.
Setelah mengidentifikasi dan mengkategorikan risiko, tim ini akan mengidentifikasi kontrol
yang dapat diterapkan untuk mengurangi risiko, dengan fokus pada pengendalian biaya yang paling
efektif. Tim akan menggunakan titik awal dari 26 kontrol umum yang dirancang untuk mengatasi
berbagai jenis risiko. Pada akhirnya, keputusan untuk apa kontrol yang dibutuhkan terletak pada
manajer bisnis, yang memperhitungkan point utama yaitu aset informasi dan kepentingan mereka
untuk operasi bisnis dan kontrol biaya.
Kesimpulan dari tim yaitu mengenai risiko apa yang ditemukan, apa prioritas mereka, dan
kontrol apa yang diperlukan untuk didokumentasikan dan dikirimkan bersama untuk pimpinan
proyek dan manajer bisnis untuk penyelesaian rencana kegiatan. Seorang profesional keamanan
disini dapat membantu manajer unit bisnis dalam menentukan kontrol yang efektif dan memenuhi
kebutuhan bisnis mereka. Setelah setiap risiko telah ditetapkan ukuran kontrol atau telah disetujui
sebagai risiko berbisnis, maka manajer bisnis senior dan ahli teknis yang berpartisipasi
menandatangani dokumen yang telah lengkap. Dokumen dan semua surat-surat terkait dimiliki
oleh unit bisnis sponsor dan dipertahankan untuk periode yang akan ditentukan oleh prosedur
manajemen pencatatan (biasanya tujuh tahun).
Setiap proses analisis risiko dibagi menjadi empat sesi yang berbeda:
1. Pertemuan pre-FRAP (persiapan) berlangsung sekitar satu jam dan dihadiri manajer bisnis,
pimpinan proyek, dan fasilitator.
2. Sesi FRAP memakan waktu sekitar empat jam dan mencakup 7 sampai 15 orang, melalui
sesi sebanyak 50 dan sedikitnya empat orang.
3. Analisis FRAP dan laporan generasi biasanya memakan waktu 4 sampai 6 hari dan diisi
oleh fasilitator dan juru tulis.
4. Sesi Pasca FRAP memakan waktu sekitar satu jam dan memiliki peserta yang sama seperti
pertemuan pra-FRAP.
Sisa dari artikel ini akan meneliti mengapa FRAP dikembangkan, apa yang masing-masing
dari empat fase perlukan, dan apa yang masing-masing dapatkan dari setiap fase.
3
KEBUTUHAN TERHADAP FRAP
Sebelumnya adanya pengembangan FRAP, analisis risiko sering dianggap sebagai tugas
utama yang diperlukan perusahaan untuk membayar konsultan luar dan bisa memakan waktu yang
panjang. Seringkali proses analisis risiko memakan waktu berminggu-minggu untuk menyelesaikan
analisis dan memakan anggaran yang besar. Dengan mempekerjakan konsultan luar, keahlian staf
di dalam perusahaan sering diabaikan, dan hasil yang dihasilkan tidak dapat diterima oleh manajer
unit bisnis.
Hasil dari proses analisis dengan metode lama, yaitu manajer bisnis yang tidak mengerti
kontrol yang direkomendasikan, tidak menginginkan kontrol yang direkomendasikan dan sering
merusak proses implementasi.
Hal yang diperlukan adalah proses analisis risiko yang didorong oleh manajer bisnis,
memakan waktu dalam hitungan hari, bukan minggu atau bulan, biaya yang efektif, dan
menggunakan para ahli di perusahaan sendiri. FRAP memenuhi semua persyaratan ini dan
tambahan lain yang bisa dilakukan oleh seseorang dengan pengetahuan yang terbatas dari sistem
tertentu atau proses bisnis, tetapi dengan kemampuan fasilitasi yang baik.
FRAP adalah metodologi formal yang dikembangkan melalui pemahaman proses analisis
risiko kualitatif yang telah dikembangkan sebelumnya dan memodifikasinya untuk memenuhi
persyaratan saat ini. Hal ini didorong oleh sisi bisnis perusahaan dan memastikan bahwa kontrol
memungkinkan proses bisnis untuk memenuhi tujuan-tujuannya. Sebelumnya tidak pernah ada
diskusi tentang kontrol sebagai persyaratan keamanan atau audit. FRAP berfokus pada kebutuhan
bisnis dan keterbatasan waktu yang dapat dihabiskan untuk tugas-tugas tersebut.
Dengan melibatkan unit bisnis, FRAP menggunakannya untuk mengidentifikasi risiko dan
ancaman. Setelah pemilik sumber daya yang terlibat dalam mengidentifikasi ancaman, maka mereka
umumnya mengatur dan mencari bantuan dalam menerapkan biaya kontrol yang efektif untuk
membantu membatasi eksposur (objek yang rentan terhadap resiko). FRAP memungkinkan unit
bisnis untuk mengendalikan sumber daya mereka. Hal ini memungkinkan mereka untuk
menentukan perlindungan apa yang diperlukan dan siapa yang akan bertanggung jawab untuk
mengimplementasikan perlindungan.
Hasil dari FRAP adalah sebuah dokumen komprehensif yang mengidentifikasi
ancaman, memberikan prioritas kepada mereka mengenai ancaman dan mengidentifikasi
kontrol yang akan membantu mengurangi ancaman tersebut. Ini memberikan perusahaan dengan
action plan yang hemat biaya, memenuhi kebutuhan bisnis untuk melindungi sumber daya
perusahaan ketika melakukan bisnis. Yang paling penting, dengan keterlibatan manajer bisnis,
FRAP memberikan dukungan kepada klien atau pemilik yang percaya pada action plan.
Memperkenalkan FRAP untuk Perusahaan Anda
Ketika memulai FRAP, maka akan diperlukan untuk menjelaskan apa itu FRAP dan
bagaimana kerjanya. Ini akan diperlukan untuk beberapa bulan pertama pengenalan proses untuk
perusahaan Anda. Anda mungkin ingin melakukan sesi penggambaran FRAP untuk membantu
Anda dalam proses ini. Ini akan sangat bermanfaat untuk melakukan sesi awal dengan aplikasi dan
sistem pengembangan kelompok. Pada akhirnya, unit bisnis harus diperkenalkan ke proses.
4
Ini akan diperlukan bagi anda untuk menjual layanan ini didalam dunia usaha anda.
Menggunakan beberapa argumen yang dibahas di atas, tapi biarkan mereka tahu sendiri bahwa
proses hemat biaya ini akan memungkinkan unit bisnis untuk mengendalikan nasib mereka sendiri.
FRAP yang telah dilaksanakan untuk membantu perusahaan dalam memenuhi tujuan bisnis dan
melengkapi proses analisis risiko adalah biaya melakukan bisnis dalam lingkungan yang berjalan
sekarang.
Kunci dari proses ini akan membantu mengidentifikasi risiko bisnis. Risiko akan
diklasifikasikan sebagai kejadian yang tidak diinginkan atau tanpa izin tidak dalam hal efeknya pada
persyaratan keamanan atau audit, tetapi dalam hal efeknya pada menyelesaikan tujuan atau misi
dari bisnis perusahaan.
Ini akan diperlukan untuk memastikan bahwa semua karyawan memahami beberapa
definisi dasar dalam FRAP. Akan ada lebih banyak definisi nantinya, tapi untuk saat ini, akan
diperlukan untuk memastikan bahwa karyawan memahami lima definisi kunci:
1. Risiko - adalah peristiwa potensial yang akan berdampak negatif pada tujuan atau misi dari
perusahaan bisnis.
2. Control - adalah ukuran yang diambil untuk menghindari, mendeteksi, mengurangi atau
pemulihan dari risiko untuk melindungi proses bisnis atau misi perusahaan.
3. Integritas - informasi sebagaimana dimaksud, tanpa modifikasi yang tidak sah atau tidak
diinginkan atau korupsi.
4. Kerahasiaan - informasi tidak mengalami pengungkapan yang tidak sah atau tidak
diinginkan.
5. Ketersediaan - aplikasi, sistem, atau sumber daya informasi dapat diakses bila diperlukan.
Tujuan FRAP adalah untuk mengidentifikasi potensi kejadian yang tidak diinginkan atau
tanpa izin risiko yang bisa berdampak negatif terhadap tujuan atau misi dari bisnis perusahaan.
Setelah risiko ini diidentifikasi dan diprioritaskan, maka pengendalian yang tepat akan diidentifikasi
untuk membantu mengurangi tingkat risiko. Tim akan memeriksa semua jenis risiko, apakah
disengaja atau tidak disengaja. Fasilitator akan membantu tim meskipun proses brainstorming
dengan mengajukan pertanyaan terkemuka. Cobalah agar tim untuk dapat meneliti
program/masalah lain dari risiko. "Apa yang Anda pikirkan tentang hal ini?" atau "Apa yang akan
terjadi jika hal ini terjadi?”.
Pra-FRAP Meeting
Pertemuan pra-FRAP adalah kunci untuk keberhasilan proyek. Pertemuan biasanya
berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Pertemuan harus
memiliki/dihadiri manajer bisnis (perwakilan/representative), pimpinan pengembangan proyek,
dan fasilitator. Akan ada lima komponen utama yang keluar dari sesi satu jam ini.
1. Scope statement (Pernyataan Cakupan) - Pemimpin proyek dan manajer bisnis harus
membuat pernyataan kesempatan untuk hal yang di bahas. Mereka mengembangkan/
membangun kata apa sebenarnya yang akan ditinjau. Pernyataan ruang lingkup dibahas
dalam chapter 2 dan harus ditinjau kembali untuk konten.
5
2. Visual Model - perlu adanya model visual. Ini adalah satu halaman atau foil diagram yang
menggambarkan proses yang akan ditinjau. Model visual yang akan digunakan selama sesi
FRAP untuk memperkenalkan kepada tim mengenai dimana proses akan dimulai dan
berakhir.
3. Establish the FRAP team (Membangun tim FRAP) – Sebuah tim FRAP biasanya
memiliki antara 7 sampai 15 anggota dan memiliki perwakilan dari sejumlah bisnis serta
dukungan Area. Susunan tim FRAP akan dibahas kemudian dalam bab ini.
4. Meeting mechanics. (Pertemuan Mekanik). Ini adalah pertemuan bisnis Unit manajer
dan individu bertanggung jawab untuk mendapatkan ruangan, pengaturan jadwal,
mendapatkan bahan yang dibutuhkan (biaya overhead, flip chart, kopi, donat, dan camilan).
5. Agreement on definitions (Persetujuan tentang definisi). Sesi pre-FRAP adalah di
mana kesepakatan tentang definisi FRAP secara lengkap. Perlu ada kesepakatan tentang
definisi dari elemen ulasan (integrity (integritas), confidentiality (kerahasiaan), ketersediaan
(availability)).
Selain review elemen, maka akan diperlukan untuk menyepakati:
a. Risk (risiko)
b. Control (kontrol)
c. Impact (dampak)
d. Vulnerability (kerentanan/kelemahan)
Selama sesi pra-FRAP, sesi ini akan menjadi penting untuk berdiskusi mengenai proses
untuk memprioritaskan ancaman. Ada dua kelompok pemikiran untuk menjelaskan bagaimana
tentang proses ini berjalan. Yang pertama adalah untuk memiliki review tim FRAP tentang semua
ancaman yang diidentifikasi itu dimisalkan jika tidak ada kontrol di tempat. Maka, ini akan
membentuk set kontrol logis yang “ideal". Hal ini akan memungkinkan FRAP yang akan digunakan
analisis mengenai kesenjangan/gap antara "sebagai-adalah" (as-is) dan "untuk - akan"/menjadi (to-
be) yang menunjukkan kesenjangan dan kerentanannya.
Metode kedua adalah untuk menilai ancaman dengan kontrol yang ada di tempat. Ungkapan kunci
di sini adalah untuk "menilai" / “mengukur”. Ada tiga fase dalam proses perlindungan informasi:
1. Analisis risiko: untuk meninjau lingkungan yang ada, mengidentifikasi ancaman,
memprioritaskan ancaman, dan merekomendasikan perlindungan.
2. Pelaksanaan Safeguard: menentukan dan melaksanakan usaha-usaha perlindungan yang
masuk akal bisnis yang sehat.
3. Penilaian Keamanan: meninjau pengamanan (kontrol) dan menentukan efektivitas mereka.
TIM FRAP
Selama pertemuan pre-FRAP, manajer bisnis dan Pimpinan proyek perlu mengidentifikasi siapa
yang harus menjadi bagian tim dari sesi FRAP. Jumlah ideal peserta antara 7 dan 15. Disarankan
bahwa perwakilan dari bidang-bidang berikut disertakan dalam proses FRAP:
Pemilik fungsional
Pengguna sistem
6
Administrator sistem
Analisis sistem
Pemrograman sistem
Pemrograman aplikasi
Administrasi database
Informasi keamanan
Keamanan fisik
Telekomunikasi
Administrasi jaringan (network administration)
Penyedia layanan (Service Provider)
Audit (jika sesuai)
Hukum (jika sesuai)
Sumber daya manusia (jika sesuai)
Hubungan kerja (jika sesuai)
Tidak ada aturan keras dan cepat siapa yang harus hadir; tapi untuk menjadi sukses, pemilik bisnis
(functional business owner) dan pengguna sistem fungsional (system users) harus menjadi bagian dari
FRAP tersebut. Ini merupakan proses bisnis mereka yang akan dikaji dan itu akan menjadi hal
penting bahwa mereka akan menjadi bagian dari proses.
Kelompok “Sistem (s)" ini juga merupakan bagian penting dari tim FRAP. Administrator
sistem (system administrator) biasanya ditemukan di departemen pengguna dan telah memiliki
beberapa pelatihan dalam aplikasi baru atau sistem, dan merupakan titik awal
kontak/komunikasi untuk pengguna ketika mereka memiliki masalah.
Kelompok analisis sistem (systems analysis) terdiri dari orang-orang bilingual yang berbicara
fasih bisnis dan informasi sistem. Yang dapat menjadi vital adalah dalam memastikan
bahwa apa yang diucapkan pada pertemuan FRAP dipahami oleh semua pihak.
Kelompok pemrograman sistem (systems programming) terdiri dari orang-orang yang
mendukung platform dan memastikan bahwa lingkungan operasi saat bekerja dan sudah
dikonfigurasi dengan benar.
Aplikasi pemrograman (Applications programming ) adalah individu lain yang akan
menciptakan aplikasi baru atau menyesuaikan aplikasi atau perangkat lunak pihak ketiga
yang ada untuk memenuhi kebutuhan fungsional pemilik.
Administrator database (database administrators ) adalah individu teknis yang memahami
bagaimana mekanisme kinerja database dan sering bertanggung jawab untuk memastikan
bahwa mekanisme keamanan database bekerja dengan benar.
7
Keamanan informasi (Information security ) harus memiliki perwakilan sebagai bagian dari
tim FRAP. Banyak FRAPS difasilitasi oleh seseorang dari keamanan informasi, tapi ini
sering timbuk konflik kepentingan. Fasilitator harus memiliki aura/kemampuan netralitas
tentang mereka.
keamanan fisik (Physical security) (atau seseorang dari fasilitas teknis/insinyur) harus menjadi
bagian dari tim. Ini akan membawa perspektif keprihatinan melihat dari operasi lingkungan
fisik.
Jika sumber daya dikaji akan mengakses jaringan, atau perangkat telekomunikasi lainnya,
maka wakil-wakil dari daerah-daerah harus bagian dari proses.
Jika sumber daya dikaji untuk mengakses jaringan, atau perangkat telekomunikasi lainnya,
maka wakil-wakil dari bidangnya harus menjadi bagian dari proses.
Setiap aplikasi berbasis web akan membutuhkan perwakilan untuk membentuk organisasi
dukungan Internet, termasuk Web master dan administrator firewall.
Empat kelompok berikutnya diklasifikasikan sebagai opsi "jika sesuai/disesuaikan". Staf
Audit (audit staff) adalah kelompok yang dapat menawarkan beberapa ide yang baik, tetapi mereka
sering mempengaruhi arus informasi yang bebas. Kecuali terdapat hubungan kerja yang sangat baik
dengan staf audit, dianjurkan bahwa mereka tidak mengambil bagian dalam sesi FRAP. Tim audit
akan melihat hasil FRAP nanti dan mungkin akan menggunakan output ketika mereka melakukan
audit sumber daya.
Staf hukum (legal staff) biasanya terlalu sibuk untuk setiap FRAP. Namun, jika ada sumber
daya di bawah review yang memiliki dampak besar pada perusahaan, itu mungkin akan sesuai untuk
memperpanjang undangan ke departemen hukum. Penulis merekomendasikan untuk bertemu
dengan staf hukum agar mendiskusikan apa itu FRAP dan untuk menetapkan pedoman kapan
mereka perlu menjadi bagian dari proses atau untuk melihat kekhawatiran risiko tertentu.
Setiap kali sumber daya dikaji akan berdampak pada karyawan, maka Sumber Daya
Manusia dan, bagi karyawan yang diwakili, Hubungan Tenaga Kerja perlu dilibatkan dalam FRAP.
Daftar ini tidak termasuk semua, juga tidak mewakili campuran yang benar dari pemain jika FRAP
bergerak menjauh dari analisis informasi risiko keamanan tradisional. Kuncinya di sini adalah untuk
memahami bahwa FRAP akan menjadi sukses, maka harus ada perwakilan dari spectrum (cakupan)
yang luas dari kelompok karyawan.
The FRAP Fasilitator
Untuk memfasilitasi FRAP sebagai fasilitator, membutuhkan penggunaan sejumlah
keterampilan khusus. Keterampilan ini dapat ditingkatkan dengan menghadiri pelatihan khusus
dan ikut dalam memfasilitasi. Keterampilan yang dibutuhkan mencakup kemampuan untuk:
8
Dengarkan (Listen): memiliki kemampuan untuk responsif terhadap perilaku verbal dan
non-verbal dari peserta. Mampu mengutip tanggapan untuk topik kajian dan dapat
memperjelas tanggapan.
Memimpin (lead): Menyiapkan sesi FRAP dimulai dan mendorong diskusi dengan menjaga
tim terfokus pada topik yang sedang dibahas.
Mencerminkan (Reflect): mengulangi ide-ide dalam kata-kata segar atau untuk penekanan.
Meringkas (Summarize): mampu menarik tema dan ide-ide bersama-sama.
Berhadapan (Confront): mampu memberi feedback pendapat, bereaksi jujur untuk masukan
dari tim dan mampu mengambil komentar tajam/kasar dan mengubahnya menjadi
pernyataan positif.
Dukungan (Support): menciptakan iklim/suasana kepercayaan dan penerimaan.
intervensi krisis (Crisis intervention): membantu untuk memperluas visi seseorang dari pilihan
atau alternatif dan untuk memperkuat poin tindakan yang dapat membantu menyelesaikan
konflik atau krisis.
Pusat (Center): membantu tim untuk menerima pandangan lain dan membangun
kepercayaan diri untuk semua agar merespon dan berpartisipasi.
Memecahkan masalah (Solve Problems): mengumpulkan informasi yang relevan tentang
masalah yang dihadapi dan membantu tim membangun tujuan pengendalian yang efektif.
Mengubah perilaku (Change Behavior): mencari orang-orang yang tampaknya tidak menjadi
bagian dari proses dan membawa mereka ke dalam partisipasi aktif.
Aturan dasar untuk memfasilitasi proses harus diperhatikan oleh semua fasilitator jika
FRAP ingin menjadi sukses. Pemimpin FRAP harus:
1. Perhatikan dengan seksama dan mendengarkan semua yang tim katakan dan lakukan.
2. Kenali (Recognize) semua masukan dan mendorong partisipasi.
3. Jadilah jeli (observant) menanggapi tanggapan nonverbal.
4. Jangan pernah memberi ceramah/mengajari (never lecture); mendengarkan dan mendapatkan
tim yang terlibat.
5. Jangan pernah melupakan tujuan.
6. Tetap netral (atau selalu muncul untuk tetap netral).
7. Belajar untuk mengharapkan permusuhan, tetapi tidak pernah menjadi bermusuhan.
8. Hindari menjadi "otoritas ahli." Peran fasilitator adalah untuk mendengarkan, pertanyaan,
menegakkan proses, dan menawarkan alternatif.
9
9. Patuhi frame waktu dan tepat waktu.
10. Gunakan istirahat untuk membebaskan diskusi.
11. Jadilah pelayan/penyedia untuk melayani tim FRAP.
12. Hentikan FRAP jika grup tersebut lamban dan sulit dikendalikan.
Sebagai fasilitator FRAP, maka akan diperlukan menyiapkan toolkit FRAP sendiri. toolkit
ini harus mencakup:
flipchart
selotip dan mendorong pin
pena warna / spidol
kartu tenda
sesi perjanjian
Sesi perjanjian dikembangkan beberapa tahun yang lalu, dan beberapa anggota tim. Penulis
telah dilaminasi mereka dan posting mereka di ruang sesi FRAP (lihat Exhibit 5.1). Perjanjian
mengharuskan:
Semua orang berpartisipasi (Everyone participates): Seseorang akan melihat bagaimana hal
ini terjadi dalam proses sesi FRAP.
Semua orang tetap dengan peran/rule yang telah diidentifikasi: fasilitator akan
memfasilitasi dan juru tulis akan menulis, semua orang akan berpartisipasi.
Semua orang menempel pada agenda / focus sekarang (Everyone sticks to the
agenda/current focus): Ruang lingkup pernyataan dan visual yang akan diposting atau
diberikan kepada semua peserta.
Semua ide memiliki nilai yang sama (All ideas have equal value): dimana George Orwell
mengatakan bahwa "semua hewan adalah sama, tetapi beberapa lebih sama dari yang
lain," kesetaraan ditekankan di sini.
Semua orang mendengarkan sudut pandang lain (Everyone listen to other points of view):
berusaha mendapatkan tim untuk benar-benar mendengarkan pembicara dan bukan
hanya menunggu giliran mereka dengan token.
Tidak ada "menjatuhkan" ... semua masalah dicatat: Jack Durner dari Grup Mendon
memberi kami istilah ini; tidak ada "menjatuhkan" ke lantai.
Penangguhan (Defered) masalah akan disimpan: apakah item berada di luar lingkup apa
yang sedang dikaji, maka dicatat pada daftar masalah tangguhan dan akan memiliki
seseorang yang ditugaskan untuk melihat ke dalam masalah ini.
Memposting ide sebelum membahas ide itu: dapatkan di flipchart pertama.
Membantu juru tulis untuk memastikan bahwa semua masalah dicatat: membawa
seorang juru tulis bersama untuk merekam apa yang diposting pada flipchart.
Satu percakapan pada suatu waktu: di sini adalah di mana keterampilan fasilitasi
seseorang akan diuji.
Satu orang marah pada satu waktu: penulis biasanya menjadi relawan untuk pekerjaan
itu.
Terapkan 3 sampai 5 menit aturan: semua diskusi harus disimpulkan dalam menyetujui
kerangka waktu. Dan jadilah:
10
- cepat
- adil
- bagus
- kreatif
Selamat bersenang-senang.
The FRAP Sesi
Sesi FRAP umumnya dijadwalkan selama empat jam. Beberapa organisasi telah
memperluas proses untuk bertahan selama tiga hari, tetapi biasanya, batas empat jam didasarkan
pada jadwal sibuk dan fleksibilitas dari FRAP. Sesi FRAP dapat dibagi menjadi tiga bagian yang
berbeda, dengan sembilan elemen membawa tiga penyampaian.
Tahap 1: Logistik - selama fase ini, tim FRAP akan memperkenalkan diri, memberikan nama,
judul, departemen, dan nomor telepon (semua ini akan disimpan oleh juru tulis). Peran tim FRAP
akan diidentifikasi dan dibahas.
Biasanya terdapat lima peran:
1. Pemilik
2. Leader Proyek
3. Fasilitator
4. juru tulis
5. beberapa anggota tim
Selama fase awal ini, tim FRAP akan diberikan gambaran tentang proses yang mereka akan
ambil bagian didalamnya. Mereka juga akan terkena pernyataan tentang ruang lingkup, dan
kemudian seseorang dari tim teknis akan memberikan gambaran lima menit proses yang dikaji
(model visual). Akhirnya, definisi akan ditinjau dan masing-masing anggota harus diberikan salinan
definisi.
11
Tahap 2 : Setelah pendahuluan yang lengkap, tim FRAP akan memulai proses brainstorming
(teknik kreativitas yang mengupayakan pencarian penyelesaian dari suatu masalah tertentu dengan
mengumpulkan gagasan/ide & kreativitas secara spontan dari anggota kelompok) (lihat Exhibit 5.2). Ini
adalah Tahap 2, yang mengambil setiap elemen Ulasan (integritas, kerahasiaan, dan ketersediaan)
dan mengidentifikasi risiko, ancaman, kekhawatiran, dan masalah untuk setiap elemen.
Proses brainstorming menjelaskan bahwa fasilitator akan menampilkan definisi dan
beberapa contoh kerja dari risiko. Tim ini kemudian diberi waktu tiga menit untuk menuliskan
risiko yang menjadi perhatian mereka. Fasilitator kemudian akan berjalan disekitar ruang untuk
mendapatkan satu risiko dari masing-masing anggota tim. Akan banyak memiliki lebih dari satu
risiko, namun pada proses ini untuk mendapatkan satu risiko dan kemudian pindah ke orang
berikutnya. Dengan cara ini, semua orang mendapat giliran untuk berpartisipasi. Proses berlanjut
sampai semua orang lewat (yaitu, tidak ada lagi risiko yang tim bisa fikirkan).
Contoh Risiko (Bukan daftar lengkap)
Ancaman terhadap Kerahasiaan
• akses tanpa otorisasi
• mengungkapkan tanpa otorisasi
• mengamati atau memonitor transaksi
• copy tanpa otorisasi
• packet sniffing pada jaringan
• kontraktor mengakses informasi rahasia
Definisi:
Kerahasiaan: Informasi tidak mengalami pengungkapan yang tidak sah atau tidak
diinginkan.
Proses brainstorming akan terus berjalan secara kontinyu sampai setiap dari tinjauan
unsur telah selesai. Setelah proses ini selesai, dianjurkan bahwa tim akan diberikan coffee break.
Ketika anggota tim kembali ke ruang konferensi, mereka telah meninjau risiko yang diposting di
sekitar ruangan dan kemudian mengambil beberapa menit untuk membersihkan duplikat risiko
dan lakukan pengeditan di mana yang dianggap tepat.
12
Setelah pembersihan selesai (hanya memungkinkan sekitar 10 sampai 15 menit untuk
proses ini), tim sekarang akan berkonsentrasi pada memprioritaskan risiko. Hal ini dilakukan
dengan menentukan kerentanan perusahaan terhadap risiko dan dampak bisnis jika risiko yang
terjadi. Definisi ini disepakati pada pertemuan pra-FRAP dan disajikan untuk tim selama
pendahuluan.
Satu set dasar definisi yang mungkin:
Kerentanan tinggi (High Vulnerability): kelemahan yang sangat besar berada di sistem
atau rutin operasional; dan potensi dari dampak bisnis berakibat parah atau signifikan,
kontrol harus ditingkatkan.
Kerentanan sedang (Medium Vulnerability) : terdapat beberapa kelemahan; dan di mana
potensi dampak bisnis parah atau signifikan, kontrol dapat dan harus ditingkatkan.
Kerentanan Rendah (Low Vulnerability): sistem sudah dibangun dengan baik dan
dioperasikan dengan benar. Namun tidak ada kontrol tambahan yang diperlukan untuk
mengurangi kerentanan.
Dampak parah (Severe Impact (High)): cenderung menempatkan perusahaan keluar dari
bisnis atau sangat merusak prospek bisnis dan pengembangan.
Dampak signifikan (Significant Impact (Medium)): akan menyebabkan kerusakan yang
signifikan dan biaya, tetapi perusahaan akan tetap bertahan.
Dampak Minor (Minor Impact (Low)): jenis dampak operasional satu mengharapkan
untuk harus mengelola sebagai bagian dari kehidupan bisnis biasa.
Tim akan dibantu dengan menggunakan prioritas model yang ditampilkan di Exhibit 5.3.
Kotak yang dipilih akan sesuai dengan penilaian huruf yang ditetapkan/ditentukan untuk risiko
sebagai prioritas.
Tanggapan dari tim FRAP adalah sebagai berikut:
A - tindakan korektif harus dilaksanakan
B - tindakan korektif disarankan untuk dilaksanakan
C - memerlukan pemantauan
D - tidak ada tindakan yang diperlukan
Ada sejumlah cara yang berbeda di mana tim dapat menetapkan prioritas untuk setiap
risiko. Tiga cara yang paling populer adalah:
1. Fasilitator berjalan di atas masing-masing risiko satu per satu dan tim membahas setiap
risiko hingga mencapai konsensus/kesepakatan.
2. Fasilitator meninjau tiga atau empat risiko untuk memastikan bahwa tim memiliki ide yang
tepat tentang bagaimana proses bekerja, dan kemudian masing-masing anggota tim diberi
penanda berwarna dan diminta untuk menetapkan prioritas. Jika mereka tidak memiliki
pendapat, maka mereka meninggalkan satu kosong dan beralih ke risiko berikutnya. Ketika
tim selesai, fasilitator akan meninjau pekerjaan dan di mana tampaknya ada konflik,
fasilitator akan membuka proses diskusi. Sebagai contoh, di mana ada 15 anggota tim
FRAP, dan sepuluh menetapkan nilai "C" untuk risiko dan lima menetapkan baik sebagai
13
"A" atau "B", maka fasilitator akan membahas masalah untuk memastikan bahwa "C"
adalah jawaban yang paling benar.
3. Metode ketiga yang dapat digunakan adalah bahwa fasilitator memberikan setiap anggota
tim sepuluh titik (jenis yang dapat dibeli di toko kantor dan menancapkan). Setiap anggota
tim diperbolehkan untuk memilih sepuluh risiko "besar". Mereka dengan titik-titik akan
membutuhkan kontrol; mereka yang tidak dianggap maka termasuk risiko kecil.
Sesi FRAP akan menghasilkan tiga penyampaian:
identifikasi risiko (identification of risks)
prioritas risiko (prioritization of risks)
kontrol disarankan untuk risiko utama atau prioritas tinggi (prioritization of risks)
Didalam Exhibit 5.4, di double-outlined area (Blok) menunjukkan 120 risiko yang
diidentifikasi dalam proses FRAP ini.
Kunci untuk Exhibit 5.4 adalah:
Risiko = risiko yang sebenarnya disuarakan oleh anggota tim FRAP (double-garis)
Type = integritas, kerahasiaan, atau risiko ketersediaan
Prioritas = tingkat prioritas A, B, C, atau D (tebal garis)
Kontrol = kontrol diidentifikasi untuk membantu mengurangi risiko
14
Proses terakhir dalam sesi FRAP adalah mengidentifikasi kontrol untuk risiko-risiko yang
telah diidentifikasi sebagai kebutuhannya. Ketika undangan untuk sesi FRAP dikirim keluar,
manajer bisnis termasuk juga daftar 26 kontrol, seperti yang ditunjukkan dalam Exhibit 5.5, yang
akan digunakan selama fase sesi FRAP ini.
Daftar kontrol yang terkandung dalam dokumentasi untuk FRAP dan saat ini merupakan
bagian dari spreadsheet Excel. 26 kontrol yang merupakan penggabungan dari kontrol yang
dikembangkan oleh berbagai fasilitator FRAP selama beberapa tahun terakhir. Daftar
Kontrol digunakan sebagai titik awal untuk tim FRAP dan dapat diubah atau ditambahkan
sesuai yang diperlukan oleh tim. Jika terdapat perubahan yang dibuat selama sesi, maka
perubahan tersebut harus dilakukan di Excel Tab berjudul "Kontrol."
Exhibit 5.5 FRAP Control List
Nomor
Kontrol Deskriptor Deskripsi Kontrol
1 Backup
Persyaratan backup akan ditentukan dan dikomunikasikan ke
operasional, termasuk request electronic notification bahwa backup
siap dikirim ke application system administrator. Operasional akan
diminta untuk menguji prosedur backup. Backup diperusahaan
dilakukan setiap hari.
15
2 Recovery Plan
Mengembangkan, mendokumentasikan, dan menguji prosedur
pemulihan yang dirancang untuk memastikan bahwa aplikasi dan
informasi dapat diperoleh kembali, dengan menggunakan backup
yang telah dibuat, jika terjadinya kemungkinan kehilangan data.
3 Access Control
Menerapkan mekanisme kontrol akses untuk mencegah akses tidak
sah ke informasi. Mekanisme ini akan mencakup kemampuan untuk
mendeteksi, login, dan pelaporan upaya untuk pelanggaran keamanan
informasi ini.
4 Access Control Akses bersumber: Melaksanakan mekanisme untuk membatasi akses
ke informasi rahasia ke jalur jaringan tertentu atau lokasi fisik.
5 Access Control
Menerapkan mekanisme otentikasi pengguna (seperti firewall, kontrol
dial-in, ID yang aman) untuk membatasi akses ke petugas yang
berwenang.
6 Access Control
Menerapkan mekanisme enkripsi (data, end-to end) untuk mencegah
akses yang tidak sah untuk melindungi integritas dan kerahasiaan
informasi.
7 Application
Control
Merancang dan menerapkan pengendalian aplikasi (pengecekan
pemasukan data lapangan yang memerlukan validasi, indikator alam,
kemampuan kadaluarsa sandi, checksums) untuk menjamin integritas,
kerahasiaan, dan ketersediaan informasi aplikasi.
8 Acceptance
Testing
Membuat testing procsedur untuk diikuti selama pengembangan
aplikasi dan modifikasi bagi aplikasi yang sedang berjalan yang
meliputi partisipasi dan penerimaan user.
9 Change
Management
Mematuhi proses perubahan manajemen yang dirancang untuk
memfasilitasi pendekatan terstruktur untuk modifikasi dari aplikasi,
untuk memastikan langkah-langkah dan tindakan pencegahan yang
tepat diikuti. "Darurat" modifikasi harus disertakan dalam proses ini,
10 Anti-Virus
Memastikan administrator LAN menginstal anti-virus perangkat lunak
perusahaan di semua komputer. Serta adanya pelatihan dan kesadaran
teknik pencegahan virus yang digabungkan dalam program
organisasi.
11 Policy Membuat kebijakan dan prosedur untukmembatasi akses dan hak
operasi bagi pihak-pihak yang memiliki keperluan bisnis.
12 Training
Pengguna pelatihan akan mencakup instruksi dan dokumentasi
tentang penggunaan aplikasi secara benar. Pentingnya menjaga
kerahasiaan dari account pengguna atau rekening pemakai, sandi, sifat
rahasia dan kompetitif informasi akan ditekankan.
13 Review
Menerapkan mekanisme untuk memantau, melaporkan, dan
mengaudit aktivitas yang teridentifikasi sebagai aktivitas yang
membutuhkan review yang independen, termasuk periodik reviews
untuk user ID untuk memastikan dan memverifikasi kebutuhan bisnis.
16
14 Backup
Operasi kontrol: Pelatihan untuk cadangan untuk sistem administrator
akan diberikan dan tugas digilir di antara mereka untuk memastikan
kecukupan program pelatihan.
15 Training
Operasi kontrol: Pengembang aplikasi akan menyediakan
dokumentasi, bimbingan, dan dukungan kepada staf operasi (PSOU)
dalam melaksanakan mekanisme untuk memastikan bahwa transfer
informasi antara aplikasi ini aman.
16 Access Control
Kontrol Keamanan : Mekanisme untuk melindungi database dari
akses yang tidak terotorisasi dan modifikasi yang dibuat dari luara
plikasi,akan ditentukandan diimplementasikan.
17 Interface
Dependencies
Operasi kontrol: Sistem yang memberikan informasi akan
diidentifikasi dan dikomunikasikan kepada PSOU menekankan
dampak untuk fungsi jika aplikasi pengumpan ini tidak tersedia.
18 Maintenance
Operasi kontrol: Persyaratan Waktu untuk pemeliharaan teknis akan
dilacak dan permintaan untuk penyesuaian akan dikomunikasikan
kepada manajemen jika pengalaman menjamin.
19 Training
Pengguna kontrol: Melaksanakan program pengguna (evaluasi kinerja
pengguna) yang dirancang untuk mendorong kepatuhan terhadap
kebijakan dan prosedur untuk memastikan pemanfaatan yang tepat
dari aplikasi.
20 Service Level
Agreement
Memperoleh perjanjian tingkat layanan untuk membangun tingkat
harapan pelanggan dan jaminan dari operasi yang mendukung.
21 Maintenance Memperoleh perjanjian pemeliharaan atau pemasok untuk
memfasilitasi status operasional lanjutan dari aplikasi.
22 Physical
Security
Melakukan analisis risiko untuk menentukan tingkat pengungkapan
bagi ancaman yang teridentifikasi dan mengidentifikasi keamanan atau
kontrol yang memungkinkan.
23 Management
Support
Meminta dukungan dari pihak manajemen untuk memastikan kerja
sama dan koordinasi dari unit-unit bisnis yang berbeda-beda.
24 Proprietary Kontrol kepemilikan
25 Corrective
Strategies
Tim pengembangan akan mengembangkan strategi perbaikan seperti
proses ulang, direvisi logika aplikasi, dll
26 Change
Management
kontrol migrasi produksi seperti proses pencarian dan menghapus
untuk memastikan menyimpan data bersih.
Kontrol dapat diidentifikasi secara umum dalam dua cara:
Fasilitator dapat mengarahkan ke setiap risiko prioritas yang tinggi dan memiliki tim yang
meninjau kembali jumlah risiko yang menurut mereka merasa akan membantu
meringankan risiko itu.
17
Fasilitator dapat bekerja antara tiga atau empat risiko dari prioritas pertama dan kemudian
memungkinkan tim untuk kembali dan menuliskan pilihan mereka. Jika pilihan risiko
mereka telah dipilih, maka tidak perlu untuk memasangnya di sana lagi.
Tim perlu memahami bahwa apa yang telah semua mereka pilih bukan merupakan apa
yang akan dilaksanakan. Misalnya, di Row 7 dari Exhibit 5.4, tim memilih sembilan kontrol yang
mungkin. Manajer bisnis, Pemimpin proyek, dan fasilitator akan bekerja sama dalam pertemuan
pasca-FRAP untuk menentukan satu atau dua kontrol yang akan bekerja terbaik.
Tim FRAP harus memahami bahwa pertukaran harus dibuat antara tujuan bisnis dan
risiko. Setiap kontrol atau safeguard akan berdampak pada proses bisnis dalam beberapa cara
sebagai sumber daya yang dikeluarkan untuk menerapkan kontrol. Kecelakaan, kesalahan, dan
kelalaian umumnya memperhitungkan kerugian lebih dari tindakan yang disengaja. Tidak ada
kontrol dapat atau bekerja 100 persen efektif.
Tujuan utamanya adalah untuk mencapai tingkat yang dapat diterima dari tingkat
keamanannya. FRAP tidak akan menghilangkan setiap risiko. Manajemen memiliki tugas untuk
menentukan risiko berikut dengan menerapkan kontrol dan kontrol mana yang diterima. Tim
FRAP dibentuk untuk membantu manajemen dalam membuat keputusan informasi bisnis.
Sesi FRAP selesai ketika tiga penyampaian selesai.
Ketiga langkah tersebut adalah:
1. risiko yang teridentifikasi
2. risiko diprioritaskan
3. kontrol diidentifikasi
Pertemuan pasca-FRAP (Post-FRAP)
Sebagaimana proses analisis risiko selama 30 menit adalah keliru, sehingga konsep FRAP
dapat diselesaikan dalam empat jam. Seperti yang telah diamati, pertemuan pra-FRAP
membutuhkan waktu satu jam dan sesi FRAP akan memakan waktu sekitar empat jam. keduanya
bersama-sama hanya bagian dari pengumpulan informasi dan dari proses analisis risiko. Untuk
mendapatkan laporan lengkap, manajer bisnis, pimpinan proyek, dan fasilitator harus
menyelesaikan rencana aksi (Action Plan).
Proses pasca-FRAP memiliki lima penyampaian:
1. Cross-referensi sheet
2. Identifikasi kontrol yang ada
3. Konsultasi dengan pemilik pada risiko yang terbuka
4. Identifikasi kontrol untuk risiko yang terbuka
5. Laporan Akhir
Pada tingkat saat kemajuan teknis ini, Lembar Cross-referensi adalah proses yang paling
memakan waktu untuk fasilitator dan juru tulis. Dokumen ini akan mengambil setiap kontrol dan
mengidentifikasi semua risiko yang akan terkena dampak dengan kendali/kontrol tunggal.
18
Misalnya, di Row 2 di Exhibit 5.4, tim FRAP telah mengidentifikasi tiga kontrol (9, 13, 26)
yang akan membantu mengendalikan risiko ini. Lembar referensi silang untuk Control Number 9
akan terlihat seperti tabel di Exhibit 5.6.
Dalam contoh ini, Kontrol 9 akan membantu mengurangi 11 risiko yang berbeda. Lembar
Cross reference akan membantu manajer bisnis untuk menentukan di mana sumber daya yang
kurang dapat digunakan dengan baik.Setelah Lembar Cross-referensi selesai (dua hari kerja harus
cukup), Rencana Aksi dan Lembar Cross-referensi dikirim ke manajer bisnis.
Seperti halnya di atas, sesi FRAP akan menghasilkan laporan seperti yang ditunjukkan di
Exhibit 5.7. Dengan Rencana Aksi dan Lembar Cross-referensi, fasilitator dan pimpinan proyek
biasanya duduk bersama untuk menentukan kontrol yang sudah siap. Setelah ini selesai, mereka
kemudian bertemu dengan manajer bisnis untuk meninjau dokumen dan merekomendasikan
kontrol yang dapat membantu mereka terhadap risiko yang masih terbuka.
Item yang ada pada Frame dalam Exhibit 5.7 sudah ditutup; yaitu, kontrol yang sudah di
tempatkan. Dalam kebanyakan proses analisis risiko, ketika tim akan turun ke tingkat ini, mereka
menemukan bahwa hampir 80 persen dari risiko yang sudah memiliki beberapa kontrol di
perusahaan client.
19
Untuk risiko terbuka, fasilitator, pemimpin proyek, dan manajer bisnis akan menentukan
kontrol mana yang dapat mengontrol biaya yang paling efektif dan kemudian menentukan siapa
yang akan melaksanakannya, dan dengan tanggal berapa. Ingat, jika pihak ketiga akan diminta untuk
menerapkan kontrol, kemudian beberapa diskusi dengan mereka harus berlangsung untuk
menentukan tanggal penyelesaian.
Setelah semua risiko yang terbuka memiliki kontrol yang telah ditetapkan atau bahwa
pemilik telah ditunjukkan di bagian komentar bahwa mereka menerima risiko, Laporan Akhir,
seperti yang ditunjukkan pada Exhibit 5.8, maka siap untuk diinisiasi.
20
Kesimpulan FRAP
Proses yang difasilitasi Analisis Risiko (FRAP) saat ini merupakan bentuk yang paling
banyak digunakan untuk analisis risiko kualitatif saat ini.
FRAP terdiri dari tiga bagian utama, yaitu:
1. pre-FRAP Meeting yang berlangsung sekitar 1 jam dan memiliki lima kiriman:
a. pernyataan lingkup
b. Visual diagram
c. Anggota tim
d. Mekanika pertemuan
e. Definisi :
1. risiko
2. kontrol
3. Ulasan elemen (integritas, kerahasiaan, ketersediaan)
4. dampak kerentanan
2. Sesi FRAP, yang biasanya berlangsung sekitar empat jam dan memiliki tiga penyampaian:
a. risiko yang teridentifikasi
b. risiko diprioritaskan
c. kontrol yang disarankan
3. Proses pasca-FRAP, yang dapat memakan waktu hingga sepuluh hari dan memiliki tiga
unsur:
a. penciptaan pada Lembar Cross-referensi
b. identifikasi kontrol yang ada
c. pemilihan kontrol untuk risiko atau penerimaan risiko terbuka
Sebagian besar organisasi setuju bahwa pertimbangan risiko dan terkait manfaat biaya
timbal balik adalah fokus utama dari program keamanan yang efektif. Keamanan tidak dapat dilihat
sebagai tujuan itu sendiri, tetapi sebagai satu set kebijakan dan proses yang dirancang untuk
mendukung operasi bisnis. Melaksanakan proses analisis risiko yang digunakan dan diarahkan
untuk mendukung proses bisnis akan membuat penerimaan kontrol yang lebih mudah.
Informasi dan sistem yang memproses sumber daya tersebut merupakan aset penting
untuk mendukung bisnis atau misi perusahaan apapun dan harus dilindungi. Proses analisis risiko
yang efektif memastikan bahwa kebutuhan bisnis ini terpenuhi.
Sumber : Ebook [Thomas_R._Peltier]_Information_Security_Risk_Anal (BookFi)
Link :
http://dl.lux.bookfi.net/genesis/534000/8ccbd850bc7bfb6300a916314f2e1ed3/_as/%5BThom
as_R._Peltier%5D_Information_Security_Risk_Anal(BookFi).pdf