JURNAL SECURITY | Ketika sebuah perusahaan ingin beroperasi di daerah baru atau mempertimbangkan ekspansi, seringkali pertanyaan tentang “tingkat risiko” atau “risk level” menjadi perhatian utama manajemen. Namun, ada kesalahpahaman umum terkait istilah “tingkat risiko” ini. Dalam banyak kasus, istilah tersebut digunakan secara tidak tepat dan dapat menimbulkan persepsi yang salah dalam pengambilan keputusan.
Menurut definisi ISO 31000, risiko adalah gabungan antara kemungkinan terjadinya suatu kejadian (likelihood) dan dampaknya (consequence/impact). Artinya, risk adalah hasil perkalian antara likelihood dan impact. Namun, untuk suatu perusahaan yang memiliki banyak operasi dalam satu area, misalnya satu provinsi, tingkat kerawanan (vulnerability) dan dampak (consequence/impact) bisa sangat bervariasi antara satu operasi dengan operasi lainnya.
Risiko yang Relevan Harus Dibahas Secara Spesifik
Sesuai dengan definisi risiko, pembahasan mengenai “risk level” yang sebenarnya harus mencakup kerawanan dan dampak, yang berarti diperlukan pembahasan secara lebih spesifik pada area tertentu. Dalam operasi perusahaan di daerah yang luas, faktor-faktor seperti lokasi fasilitas, jenis operasi, dan daya tarik aset bagi ancaman tertentu (attractiveness to threat) akan menentukan seberapa rentan setiap fasilitas terhadap ancaman.
Misalnya, operasi di pelabuhan utama mungkin memiliki tingkat kerawanan lebih tinggi dibandingkan dengan fasilitas di lokasi terpencil karena daya tariknya bagi ancaman potensial. Oleh karena itu, untuk menilai risk level secara akurat, perusahaan harus “zoom in” ke area yang lebih spesifik, mengevaluasi masing-masing operasi secara mendalam sesuai dengan kerawanan dan dampaknya.
Perbedaan Penerapan dalam Keamanan Siber (InfoSec)
Namun, pendekatan ini mungkin berbeda jika diterapkan dalam konteks keamanan informasi (InfoSec). Infrastruktur IT di perusahaan kelas dunia umumnya diset secara seragam dengan standar keamanan yang seragam, termasuk penggunaan gateway terbatas (titik keluar/masuk, seperti koneksi internet) untuk mengontrol lalu lintas data. Selain itu, serangan siber bersifat global dan tidak mengenal batas wilayah geografis.
Dalam konteks InfoSec, sistem IT yang seragam dan gateway yang terbatas memungkinkan perusahaan untuk menerapkan standar keamanan yang konsisten di seluruh jaringan mereka. Karena kerentanan dan dampak relatif sama di berbagai titik dalam sistem yang seragam, konsep “risk level” menjadi lebih relevan dalam InfoSec. Hal ini berbeda dengan keamanan fisik, di mana faktor-faktor lokal, seperti lokasi dan jenis operasi, sangat memengaruhi tingkat risiko.
Apa yang Sebenarnya Dikalkulasi?
Dalam konteks penilaian keamanan fisik, yang bisa benar-benar dihitung adalah kemungkinan suatu insiden keamanan terjadi di suatu daerah—atau dalam bahasa yang lebih tepat, “tingkat kemungkinan insiden terjadi.” Menurut API Security Risk Assessment (SRA) Standard 780, risiko dapat didefinisikan sebagai fungsi dari dampak (consequences), kerawanan (vulnerability), dan ancaman (threat) atau:
Risk = f(C, V, T)
Di sini, C adalah konsekuensi (dampak), V adalah kerawanan, dan T adalah ancaman. Dalam praktiknya, hanya T yang mungkin dapat diperkirakan dalam skala besar, karena kerentanan dan dampak setiap operasi sangat bervariasi tergantung lokasi dan kondisi operasi masing-masing.
Menilai Likelihood dalam API SRA
Jika kita menggunakan pendekatan likelihood sebagai faktor risiko, maka:
R = C x L
Di mana L (likelihood) dapat diuraikan menjadi:
L = L1 x L2
Dengan:
L1 sebagai kemungkinan suatu ancaman muncul atau menyerang, dan
L2 sebagai kemungkinan keberhasilan serangan tersebut.
Penjelasan Mengenai L1
L1, atau Likelihood of the Act, adalah estimasi kemungkinan suatu ancaman akan muncul dan mencoba melakukan serangan terhadap aset atau operasi tertentu. Faktor ini melibatkan evaluasi dua komponen utama: daya tarik aset bagi ancaman (attractiveness, disimbolkan sebagai A) dan tingkat ancaman (threat, disimbolkan sebagai T). Secara matematis, L1 dapat dirumuskan sebagai:
L1 = A x T
Attractiveness (A): Menunjukkan seberapa menarik aset tersebut bagi ancaman tertentu. Misalnya, sebuah fasilitas penting dengan nilai tinggi atau yang memiliki bahan berbahaya mungkin lebih menarik bagi pelaku kejahatan atau kelompok teroris, sehingga memiliki nilai A yang lebih tinggi.
Threat (T): Mengacu pada tingkat ancaman atau potensi serangan yang dihadapi oleh aset tersebut. Faktor ini mempertimbangkan jenis ancaman yang mungkin ada di area tersebut, seperti potensi serangan dari kelompok tertentu atau adanya sejarah ancaman terhadap fasilitas serupa.
Secara singkat, L1 menggambarkan potensi bahwa ancaman tertentu akan tertarik dan berusaha untuk melakukan serangan terhadap aset tersebut. Faktor ini penting untuk menilai apakah aset atau operasi rentan terhadap serangan yang berpotensi terjadi, tanpa mempertimbangkan apakah serangan tersebut akan berhasil.
Penjelasan Mengenai L2
L2, atau Likelihood of Success of the Act, adalah perkiraan seberapa besar kemungkinan ancaman akan berhasil dalam melaksanakan aksinya setelah upaya serangan dilakukan. L2 memperhitungkan kerentanan (vulnerability) dari aset atau fasilitas terhadap serangan yang dilakukan. Ini adalah kondisi yang akan menentukan apakah serangan itu akan berhasil mencapai tujuannya atau tidak.
Faktor L2 ini berkaitan langsung dengan efektivitas langkah-langkah pengamanan yang ada. Misalnya, suatu fasilitas dengan sistem keamanan yang kuat, pengawasan ketat, dan prosedur respons yang cepat mungkin memiliki nilai L2 yang lebih rendah karena kemungkinan serangan berhasil lebih kecil. Sebaliknya, jika langkah-langkah keamanan lemah atau mudah ditembus, maka nilai L2 akan lebih tinggi karena serangan kemungkinan besar akan berhasil.
Sifat Spesifik dari L2 dan A
Penting untuk dicatat bahwa L2 bersifat sangat spesifik untuk lokasi atau aset yang dianalisis. Setiap lokasi mungkin memiliki tingkat kerentanan yang berbeda-beda berdasarkan faktor-faktor uniknya, seperti keamanan fisik, prosedur yang diterapkan, dan kapasitas respons insiden. Karena itu, L2 tidak dapat digeneralisasi dan harus dihitung secara khusus untuk setiap operasi atau fasilitas.
Demikian pula, variabel A dalam formula L1 juga sangat spesifik untuk masing-masing aset. Attractiveness atau daya tarik sebuah aset bagi ancaman akan bergantung pada nilai atau kepentingan strategis aset tersebut di mata pelaku ancaman. Misalnya, fasilitas penyimpanan minyak mungkin lebih menarik bagi kelompok tertentu dibandingkan fasilitas administrasi karena dampak yang lebih besar jika diserang.
Generalisasi pada Variabel T
Di sisi lain, variabel T (Threat) memiliki sifat yang lebih umum dan dapat digeneralisasi. T menggambarkan tingkat ancaman yang ada di suatu wilayah atau konteks tertentu, yang sering kali berkaitan dengan faktor-faktor eksternal seperti tingkat aktivitas kelompok kejahatan atau teroris di wilayah tersebut. Misalnya, suatu daerah dengan tingkat kriminalitas tinggi atau adanya sejarah ancaman dari kelompok tertentu bisa dikategorikan memiliki T yang tinggi, tanpa memandang daya tarik spesifik dari aset yang ada di sana.
Dengan demikian, dalam penilaian risiko untuk area yang luas atau dengan aset yang beragam, variabel T dapat digunakan sebagai acuan umum untuk menilai ancaman yang mungkin ada. Namun, untuk penilaian yang lebih detail dan akurat, variabel A dan L2 harus diperhitungkan secara spesifik untuk masing-masing lokasi atau aset.
Istilah yang Lebih Tepat: Tingkat Kemungkinan Insiden Keamanan
Dengan mempertimbangkan berbagai faktor yang telah dijelaskan, maka istilah yang lebih tepat adalah “tingkat kemungkinan insiden keamanan terjadi” di suatu daerah, bukan “tingkat risiko daerah.” Hal ini mengacu pada seberapa besar kemungkinan ancaman tertentu akan muncul dan berhasil melakukan serangan terhadap suatu operasi di wilayah tersebut, tanpa mengasumsikan dampak atau kerentanan yang sama di semua operasi.
Dengan pendekatan ini, manajemen dapat membuat keputusan yang lebih cerdas berdasarkan estimasi kemungkinan insiden keamanan, serta memprioritaskan investasi pengamanan di lokasi-lokasi dengan kerentanan yang lebih tinggi dan potensi dampak yang besar.
Profil Singkat Penulis:
Andreas Immanuel Mulianto, Dipl. CSMP, SKom, MM, PMP, PSP, CCTP, CPO, CPP, CRP
Andreas Immanuel Mulianto adalah seorang profesional keamanan dengan pengalaman yang luas di industri migas, bekerja di sebuah perusahaan Badan Usaha Milik Negara (BUMN) di sektor energi. Dengan latar belakang akademis dalam bidang Teknologi Informasi (S.Kom) dan Manajemen (MM), serta sejumlah sertifikasi internasional seperti Dipl. CSMP (Certified Security Management Professional), PMP (Project Management Professional), PSP (Physical Security Professional), CCTP (Certified Counter-Terrorism Practitioner), CPO (Certified Protection Officer), CPP (Certified Protection Professional), dan CRP (Certified Risk Professional), Andreas memiliki kompetensi yang kuat dalam manajemen risiko, keamanan fisik, dan perlindungan aset.
Saat ini, Andreas juga menjabat sebagai Chairman ASIS International Indonesia Chapter, sebuah organisasi internasional terkemuka di bidang keamanan yang berfokus pada peningkatan standar profesional keamanan di Indonesia. Selain itu, Andreas adalah Board Member di Certified Physical Security Consultant Board yang berbasis di Singapura, di mana ia berkontribusi pada pengembangan dan sertifikasi profesional keamanan fisik di kawasan Asia Tenggara.[]
Disclaimer: Artikel ini adalah pendapat pribadi Andreas Immanuel Mulianto dan tidak mewakili pandangan atau kebijakan dari organisasi atau perusahaan tempat ia bekerja.
