Pertanyaan yang paling mendasar dalam analisis keamanan informasi adalah metode analisis risiko apakah yang paling cocok untuk diterapkan? Seperti yang dijelaskan oleh NIST bahwa baik metode kualitatif ataupun kuantitatif mempunyai kelebihan dan kekurangan. Hingga saat ini, masih sering menjadi perdebatan terkait metode apakah yang paling cocok dalam menganalisis risiko di manajemen keamanan informasi.
Jadi apa kelebihan analisis risiko kualitatif pada analisis risiko ?**
Memang diantara 2 metode tersebut memiliki beberapa kelebihan dan keuntangan nya sendiri-sendiri. Kelebihan utama yang dimiliki oleh metode kualitatif adalah metode tersebut dapat langsung mengidentifikasi dan menggambarkan berbagai macam bentuk risiko khususnya yang berhubungan dengan analisis dampak. Metode kualitatif pun mampu memberikan analisis area mana saja yang perlu untuk diperbaiki serta menetapkan prioritas risiko.
Kesulitan yang dihadapi oleh metode kualitatif adalah tidak mampu untuk memberikan ukuran numerik yang jelas terkait dampak yang dihasilkan. Akibatnya, metode ini kurang efektif bila harus menganalisis dampak yang terjadi secara cost and benefit.
Metode kuantitatif sendiri memiliki keuntungan dibandingkan kualitatif. Metode ini memiliki keuntungan untuk menjelaskan secara kuantitatif dampak yang terjadi dari adanya risiko disertai dengan perhitungan cost and benefit yang dapat digunakan dalam risk control.
Seperti halnya kualitatif, metode kuantitatif ini memiliki kelemahan. Kuantitatif sangat bergantung pada angka sehingga sering kali ditemui adanya kesulitan untuk mendeskripsikan seperti apa dampak risiko itu bila terjadi. Untuk mendeskripsikannya perlu bantuan dari metode kualitatif. Ada tiga hal yang perlu diperhatikan bila ingin menggunakan metode kuantitatif dalam manajemen keamanan informasi, yaitu:
Ganjar Imansantosa, Director of Information Security Specialty Retail Company di California, AS mengatakan bahwa dalam industri mereka kehilangan data atau hilangnya informasi sensitif adalah risiko yang paling sering terjadi. Metode yang umumnya sering digunakan oleh Ganjar adalah metode yang bersifat kualitatif.
“Penilaian risiko yang berbasis kualitatif masih dominan dan sering digunakan.”, ujar pria yang pernah menjabat sebagai Manager Technology Risk and Services, Ernst and Young Indonesia. Pola kualitatif digunakan untuk mengidentifikasi skenario risiko berdasarkan peringkat tertentu yang menyatakan tentang dampak dan kemungkinan risiko itu terjadi. Walaupun demikian, metode ini sangat penuh dengan subjektifitas yang tinggi dan penilaian dari para ahli.
Ganjar pun mengatakan bahwa dalam industri retail seperti ini terkadang menggunakan metode kuantitatif untuk menganalisis risiko dalam manajemen keamanan informasi. Salah satunya adalah menggunakan studi yang dapat digunakan untuk mengkuantifikasi jumlah cost dari data-data yang hilang. Metode ini sangat umum, walaupun kemungkinan error sangat tinggi untuk beberapa industri spesifik. Oleh karena itu, metode ini digunakan hanya untuk menganalisis untuk kasus-kasus analisis risiko yang spesifik.
Jadi setiap metode memiliki beberapa kelibihan terhadap object yang sedang di analisis sehingga untuk menentukan apa yang cocok untuk keamanan sistem informasi,kita harus menentukannya dari kualitas dan ketersediaan input dari kebutuhan tiap metode tersebut.Semoga bermanfaat.
Referensi :
Analisis Risiko Di Keamanan Informasi
