JURNALSECURITY | Jakarta — Saya menemukan sebuah gambar yang kemudian saya share ke rekan-rekan saya di ASLI untuk mendengarkan pendapat mereka. Gambarnya adalah seperti ini:
Ada beberapa tanggapan yang masuk mengomentari gambar tersebut. Ada yang bilang itu adalah gambar sekelompok lebah yang numpang terbang di pesawat, ada yang bilang itu adalah pengalihan tabrakan dengan burung, tapi ada juga yang menjawab dengan tepat yaitu menggambarkan titik yang paling banyak tertembak. Saya melemparkan pertanyaan berikutnya, setelah menganalisa data tersebut, kira-kira bagian mana dari pesawat yang perlu untuk diperkuat? Ada yang menjawab perlu diperkuat dengan doa, mental pilotnya juga perlu diperkuat.
Dua jawaban tersebut tidak terkait dengan data tembakan ke tubuh pesawat. Namun ada yang menjawab seluruh bagian bawah permukaan pesawat. Sayangnya hal ini sulit dilakukan, karena bobot pesawat juga harus ringan agar mudah untuk bermanuver.
Ada satu lagi yang menjawab yang perlu diperkuat adalah yang ada titik-titiknya. Ini adalah jawaban yang menarik dan menjadi topik bahasan utama kita, tapi sebelum sampai kesitu ada yang menjawab dengan tepat sebagian, yaitu di daerah bawah dan samping kokpit, dan ada yang menjawab baling-baling. Jawaban yang paling tepat tentunya adalah gabungan dari dua jawaban tersebut yaitu bawah/samping kokpit, baling-baling dan juga bagian lain yang tidak ada titik-titik pelurunya. Kenapa demikian? Karena itu menunjukkan bahwa pesawat yang terkena peluru di daerah itu kemungkinan besar tidak ada yang pulang dengan selamat, jadi tidak ada data yang dikumpulkan oleh para ilmuwan Amerika Serikat terkait pesawat yang tertembak di bagian ini. Hal ini yang sering disebut sebagai survivorship bias. Kenapa saya membahas masalah survivorship bias di sini?
Survivorship bias atau jenis-jenis bias lainnya banyak kita alami di dalam kehidupan sehari-hari, termasuk di dalam dunia industrial security. Bias bisa didefinisikan sebagai kecenderungan yang sifatnya pribadi dan kadang-kadang tidak rasional, atau kalau dalam dunia statistika adalah penyimpangan dari nilai yang seharusnya dari suatu perkiraan statistika terhadap hal yang diestimasi. Kapan hal ini kita alami dalam dunia industrial security? Hampir di semua tahapan kalau tidak mau dikatakan di semua tahapan. Karena kita harus membuat keputusan dan semua keputusan pasti berdasarkan pada pandangan/perspektif pribadi sehingga berpotensi mengalami bias.
Dalam aktivitas security risk analysis, keterlibatan bias yang terlalu besar bisa menyebabkan salah diagnosa. Penilaian likelihood sebuah peristiwa terjadi biasanya akan menjadi contoh betapa personal bias akan menjadi sangat terlihat. Berdasarkan pengalaman penulis dalam banyak sesi security risk analysis, misalnya, cukup sering peserta menilai peristiwa terorisme sebagai sesuatu peristiwa yang memiliki nilai cukup tinggi dalam skala kemungkinan untuk terjadi. Hal ini mungkin dipengaruhi oleh banyak hal, misalnya pemberitaan yang luas mengenai kasus terorisme, ketertarikan terhadap kasus terorisme, rasa kuatir yang mendalam atau penyebab-penyebab yang lain. Tapi kecuali untuk wilayah tertentu di Indonesia, kemungkinan terjadinya kasus terorisme masih bisa dinilai cukup rendah baik secara penilaian kualitatif maupun kuantitatif.
Selain likelihood, identifikasi vulnerability juga bisa mengalami bias, terutama oleh tim yang terlibat dalam membangun system security di organisasi tersebut. Hal ini tidak bisa disalahkan, karena memang mungkin tim tersebut sudah berusaha maksimal, berdasarkan pengetahuan mereka, untuk merencanakan dan membangun system security yang terbaik bagi organisasinya. Namun sayangnya dalam hal menentukan mitigasi, pengetahuan dan pengalaman akan sangat menentukan. Pihak luar mungkin memiliki pandangan yang lebih segar, sehingga bisa menemukan kelemahan-kelemahan pada system tanpa memiliki beban. Selain pandangan yang lebih segar, pihak lain juga mungkin memiliki pengetahuan dan pengalaman yang lebih luas, sehingga bisa membantu dalam menemukan mitigasi yang lebih tepat.
Kesalahan diagnosa atau kesalahan analisis bisa menyebabkan beberapa kemungkinan dengan resiko paling besar adalah kegagalan untuk melakukan mitigasi secara tepat sehingga dampak resiko masih tetap ada. Hal ini tentu saja bisa menimbulkan kerugian yang besar bagi organisasi. Karena dampak bias yang cukup serius, kita perlu mengurangi bias tersebut, walaupun untuk menghilangkan sama sekali jelas tidak mungkin.
Beberapa saran berikut bisa digunakan untuk mengurangi bias dalam security risk analysis:
- Libatkan banyak fungsi dalam aktivitas security risk analysis. Walaupun memiliki tim yang kuat, tim Security akan sulit untuk bisa mengenali semua potensi masalah dalam setiap titik di proses bisnis organisasi yang mungkin menimbulkan ancaman terhadap asset perusahaan. Untuk itu keterlibatan seluruh tim/departemen menjadi hal yang sangat penting.
- Walaupun ada banyak fungsi yang terlibat, pastikan bahwa Security yang memegang kendali dalam proses security risk analysis.
- Bedakan antara identifikasi threat dan identifikasi vulnerability. Threat sifatnya outward looking (melihat keluar), walaupun ancaman bisa juga berasal dari dalam organisasi, tapi dalam identifikasi asset, tim perlu melihat “keluar” ancaman apa saja yang bisa menimpa asset organisasi. Sedangkan dalam identifikasi vulnerability, sifatnya adalah inward looking (melihat kedalam), karena tim perlu melihat “ke dalam” apakah masih ada kelemahan-kelemahan dalam sistem pengamanan perusahaan.
- Apabila fasilitas yang dilindungi beresiko tinggi (high risk), bisa mempertimbangkan menggunakan metode kuantitatif dalam menentukan likelihood sehingga tingkat akurasinya diharapkan lebih baik.
- Idealnya mitigasi bisa digunakan untuk menurunkan resiko hingga titik ALARP (as low as reasonably practicable) seperti dalam gambar 2, namun apabila harus memilih antara overprotective atau under protective, lebih baik memilih overprotective atau istilah Bahasa Inggrisnya err on the side of caution atau lebih berhati-hati dalam menentukan pilihan. Hal ini akan semakin relevan apabila tingkat resikonya semakin besar sehingga bisa menimbulkan kerugian yang besar bagi organisasi.
- Ada tiga kategori dalam mitigasi yaitu People, Process dan Teknologi. Atau bisa juga empat yaitu Environment, apabila kita masih dimungkinkan untuk merubah lingkungan di mana organisasi kita berada. Jangan terlalu fokus ke dalam satu kategori mitigasi, karena semua kategori harus digunakan untuk dapat mencapai layered security (pengamanan berlapis) yang baik untuk melindungi asset organisasi.
- Dalam beberapa kasus, keterlibatan pihak ketiga/pihak luar seperti konsultan security mungkin diperlukan untuk dapat memberikan masukan mengenai proses security risk analysis.
- Selalu meningkatkan kompetensi tim security sehingga dapat meningkatkan kualitas pengamanan terhadap asset perusahaan. Kompetensi yang lebih baik mungkin akan membantu dalam melakukan analisa yang lebih berkualitas dengan mengurangi personal bias yang mungkin tetap kita miliki.
Sebagai penutup, saya ingin menyitir perkataan dari Robertson Davies dalam bukunya Tempest-Tost: “The eye sees only what the mind is prepared to comprehend.” Artinya “Mata hanya melihat apa yang pikiran siap untuk memahami”. Jadi dalam melakukan tugas sebagai professional security, persiapkan akal dan pikiran kita lebih dahulu untuk dapat memahami apa yang kita lihat dalam dunia industrial security. Jangan pernah berhenti belajar, karena suatu hari mungkin nyawa seseorang atau nasib organisasi kita tergantung pada apa yang kita pelajari.
Profil Penulis
Andreas Immanuel Mulianto, PMP, PSP, CCTP, CSMP, CPO menjabat sebagai Managing Director dari PT Heiland Andalan Indonesia, sebuah lembaga pelatihan dan konsultasi security. Andreas adalah seorang profesional yang berpengalaman lebih dari 25 tahun dalam industry IT dan security, dan berpengalaman memegang proyek-proyek besar di bidang IT dan security di perusahaan migas terbesar di Indonesia. Andreas belajar mengenai security management di Oxford, United Kingdom, dan memegang beberapa berbagai sertifikasi professional di bidang information technology, Project Management Professional, Physical Security Professional, Certified Counter Terrorism Practitioner, Certified Security Management Professional, Certified Protection Officer dan juga sebagai Master Trainer dari BNSP. Dalam dunia industrial security, Andreas adalah anggota CPSC Board (Certified Physical Security Consultant) di Singapore, pengajar pada program CCTP (Certified Counter Terrorism Practitioner), anggota pada International Security Management Institute (United Kingdom), advisor pada Asosiasi Security Leader Indonesia (ASLI) dan pengajar pada program Gada Utama.