Kemarin malam saya berdiskusi dengan rekan2 saya dari pengurus ASLI. Ada rekan yang bertanya mengenai security risk assessment yang akan dilakukan di perusahaan kliennya. Seorang teman yang lain memberikan komentar mengenai risk matrix yang digunakan di dokumen SRA dianggap kurang tepat dan memberikan usulannya. Beliau dan satu rekan lain bahkan berbaik hati membagikan risk matrix yang dimiliki di organisasinya.
Risk Matrix
Banyak yang berpendapat bahwa pembuatan risk matrix tidak ada benar atau salah. Setiap perusahaan mungkin akan memiliki risk matrix yang berbeda2. Saya tidak sepenuhnya setuju, mungkin risk matrix tidak ada yang benar ataupun salah, namun bisa dilihat tepat atau tidaknya. Menurut saya paling tidak ada beberapa hal yang perlu dipertimbangkan dalam membuat risk matrix:
- Mencakup semua resiko yang ada di spektrum resiko termasuk resiko yang tidak mungkin (very unlikely) dialami oleh perusahaan, dan tidak tergantung pada risk appetite Ini penting agar pembaca bisa melihat kontrasnya dengan lebih jelas dan juga karena tidak ada satu organisasi pun yang sanggup meramalkan peristiwa yang akan terjadi. Sedangkan risk appetite lebih terkait pada tingkat resiko seperti apa yang bisa ditolerir oleh perusahaan.
- Mempertimbangkan tingkat resiko yang kemungkinan terjadinya rendah, tapi dampaknya besar. Ini topik bahasan utama dalam artikel ini.
- Mempertimbangkan nilai dampak dengan hati2 terutama aspek granularitynya (tingkat detilnya). Ini terutama relevan untuk perusahaan besar yang mungkin mengalami dilema dalam menentukan skala nilai dampak terutama dari perspektif finansialnya. Contoh, banyak perusahaan mungkin akan bangkrut apabila mengalami kerugian satu milyar rupiah. Tapi ada juga perusahaan yang rugi satu milyar dollar tapi tidak bergeming karena ekuitasnya jauh lebih besar dari itu.
Setiap kali melihat sebuah risk matrix, saya langsung membayangkan kira-kira resiko apa yang bakal lolos dari risk matrix tersebut. Risk matrix pertama yang dibagikan oleh rekan saya tersebut ada di gambar 1.
Gambar 1. Risk matrix pertama
Sekilas tidak ada yang salah dengan risk matrix tersebut, namun saya langsung membayangkan apabila kasus serangan teroris dianalisa menggunakan risk matrix tersebut? Jika kita lihat, pada umumnya (tidak selalu), serangan teroris di Indonesia dan mayoritas tempat di dunia itu memiliki kemungkinan yang kecil namun dampak yang serius/berat. Apabila kita menggunakan risk matrix di atas maka kita melihat bahwa untuk kemungkinan A, B, C, D, dan E untuk tingkat dampak 5 akan selalu memiliki tingkat resiko E atau Extreme Risk. Menurut saya ini agak tidak masuk akal karena beberapa hal:
- Mengabaikan pengaruh dari kemungkinan (likelihood) suatu peristiwa itu terjadi
- Menimbulkan overestimate terhadap tingkat resiko yang pada akibatnya akan menimbulkan over spending pada security countermeasures.
Seorang teman yang lain membagikan risk matrix berbeda dari organisasinya seperti ini:
Gambar 2. Risk matrix kedua
Apabila kita melihat risk matrix kedua, terlihat sekali bahwa likelihood memang sangat dipertimbangkan dalam risk matrix ini. Menurut saya, risk matrix ini lebih masuk akal dibandingkan yang pertama. Hanya ada satu hal yang mengganjal hati saya. Apabila kita kembali ke kemungkinan terjadinya serangan teroris yang mungkin kemungkinan terjadinya sangat rendah (very unlikely) tapi berdampak besar, dalam risk matrix ini akan dianggap sebagai resiko dengan tingkat rendah (Low). Apa konsekuensinya? Konsekuensinya kemungkinan besar resiko serangan teroris tidak akan dimitigasi oleh organisasi tersebut apabila dianggap kemungkinannya sangat rendah. Ingatan saya kembali melayang ke serangan 11 Sep di WTC dan serangan bom Bali. Seberapa besar kemungkinan organisasi pada masa itu memperhitungkan kemungkinan serangan teroris ke WTC? Di Bali? Kemungkinan tingkatnya juga very unlikely. Inilah peristiwa-peristiwa yang sering disebut sebagai fenomena angsa hitam (Black Swan). Ini bisa dihindari dengan langsung menetapkan bahwa untuk ancaman terorisme maka tingkat kemungkinannya minimal adalah Unlikely. Atau alternatif lain adalah membuat merevisi perpotongan Very Unlikely dan Critical menjadi Medium risk.
Black Swan (Angsa Hitam)
Fenomena angsa hitam saya kenal dari buku bestseller Nassim Nicholas Taleb berjudul The Black Swan. Istilah angsa hitam itu sendiri timbul karena sejak lama dianggap semua angsa berwarna putih sampai ditemukan oleh orang Eropa angsa berwarna hitam di Australia tahun 1697. Istilah ini sendiri sudah dikenal jauh sebelumnya dan berasal dari kalimat bahasa Latin, “rara avis in terris nigroque simillima cygno” (“burung langka di daratan dan kelihatan seperti angsa hitam”) untuk menggambarkan sesuatu yang langka karena pada saat itu memang angsa hitam dianggap tidak pernah ada. Menurut istilah ahli statistik angsa hitam itu adalah outlier (titik data yang sangat berbeda dari titik observasi lainnya).
Contoh dari angsa hitam menurut Nassim Nicholas Taleb adalah lahirnya internet, personal computer, perang dunia I, bubarnya Uni Soviet dan juga serangan terhadap WTC di 11 Sep 2001. Yang menarik dari buku The Black Swan adalah kita tidak perlu repot-repot berusaha meramalkan angsa hitam, karena fenomena angsa hitam itu memiliki ciri-ciri berikut:
- Rarity (jarang). Foto di gambar 3 yang saya ambil di hotel Crowne Plaza Reading UK, itu menggambarkan kawanan angsa dimana si hitam adalah minoritas. Serangan yang sering terjadi misalnya apabila kita beroperasi di daerah konflik itu bukanlah angsa hitam.
- Extreme impact (berdampak sangat besar). Serangan yang tidak berdampak besar tidak masuk dalam kategori angsa hitam.
- Retrospective (though not prospective) predictability. Setelah terjadi, peristiwa itu memang jadinya masuk akal untuk terjadi, bukan sebelumnya.
Dari situ saja terlihat bahwa sangat sulit memprediksi angsa hitam (sifat prediktabilitasnya retrospektif bukan prospektif), padahal di sisi lain kita perlu menjabarkan di dalam risk matrix yang sifatnya lebih prospektif.
Gambar 3. Angsa hitam bersama teman-temannya di Reading, United Kingdom
Tantangan buat Security
Sebagai professional di bidang security, tantangan kita memang besar. Menganalisa kemungkinan terjadinya ancaman yang rendah kemungkinan terjadinya, namun besar dampaknya mungkin adalah tantangan terbesar bagi seorang profesional security. Biasanya dalam mendefinisikan ancaman kita diminta atau diharapkan untuk mendefinisikan secara detil seperti apa ancaman yang akan menimpa kita. Tentu hal ini dilakukan dengan pertimbangan bahwa semakin detil ancamannya, semakin baik mitigasi yang bisa dipilih. Untuk itu ada beberapa pertimbangan yang bisa diambil:
- Belajar dari buku di atas, khusus untuk serangan terorisme, mungkin kita bisa berpikir agak retrospektif dengan melilhat ancaman-ancaman sejenis di perusahaan lain. Walaupun memang sekali lagi sulit untuk membayangkan angsa hitam macam apa yang akan datang, tapi kitab bisa membangun daya tahan (resilience) infrastruktur kita terhadap kemungkinan serangan yang akan datang. Fokus bisa kita alihkan pada kerawanan apa yang masih kita miliki dalam infrastruktur security dari perspektif People, Process, Technology/Equipment.
- Membangun kemampuan intelijen baik HUMINT (Human Intelligence), OSINT (Open Source Intelligence) maupun bentuk intelijen lainnya untuk memperkecil kemungkinan angsa hitam berenang ke arah kita.
- Masih terkait dengan point no 2 adalah membangun jaringan seluas mungkin sehingga kita bisa mendapatkan banyak informasi.
Sebagai penutup, satu hal lagi dari Nassim Taleb, angsa hitam itu adalah tergantung masalah perspektif. Bagi seekor burung kalkun, peristiwa dia disembelih sebelum perayaan Thansgiving itu adalah fenomena angsa hitam, tapi buat tukang jagal, itu sama sekali bukan fenomena angsa hitam. Jadi yang penting buat kita, adalah hindarilah menjadi burung kalkun, dengan mengindentifikasi area-area kelemahan kita untuk mengubah angsa hitam menjadi angsa putih.
Profil Penulis
Andreas Immanuel Mulianto, PMP, PSP, CCTP, CSMP, M.ISMI menjabat sebagai Managing Director dari PT Heiland Andalan Indonesia, sebuah lembaga pelatihan dan konsultasi security. Andreas adalah seorang profesional yang berpengalaman lebih dari 25 tahun dalam industry IT dan security, dan berpengalaman memegang proyek2 besar di bidang IT dan security di perusahaan migas terbesar di Indonesia. Andreas belajar mengenai security management di Oxford, United Kingdom, dan memegang beberapa berbagai sertifikasi professional di bidang information technology, manajemen proyek, Physical Security, Counter Terrorism, Security Management dan juga sebagai Master Trainer dari BNSP. Dalam dunia industrial security, Andreas adalah anggota CPSC Board (Certified Physical Security Consultant) di Singapore, pengajar pada program CCTP (Certified Counter Terrorism Practitioner), anggota pada International Security Management Institute (United Kingdom) dan pengajar pada program Gada Utama.
