FRAP (Facilitated Risk Analysis Process) merupakan suatu pendekatan dalam melakukan analisis risiko kualitatif. FRAP dikembangkan sebagai proses yang efisien dan disiplin
untuk menjamin risiko informasi terkait keamanan. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan.
Sumber gambar: https://www.professionalpensions.com/professional-pensions/news/2439669/wyg-de-risks-last-db-scheme-with-option-for-buyout
Selama sesi FRAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integrity data, confidentiality, serta availability. Lalu tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri.
Setelah mengidentifikasi dan mengkategorikan risiko, tim mengidentifikasi pengendalian pengendalian yang dapat diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian.
Kesimpulan tim mengenai risiko-risiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada pimpinan proyek dan manajer bisnis.
Tiap proses analisis risiko dibagi menjadi tiga sesi yang berbeda: pre-FRAP meeting, FRAP session, dan post-FRAP session.
Pre-FRAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 5 komponen utama yang muncul dalam tahap ini yaitu scope statement, visual model, team members, meeting mechanics, dan agreement of definition.
FRAP session di tahap ini biasanya pertemuan berlangsung selama 4 jam. Komponen yang muncul antara lain identify risks, priotized risks, dan suggested controls.
Post-FRAP meeting ada 3 jenis elemen pada tahap ini yaitu creation on teh cross reference sheet, identification of existing controls, dan selection of controls for open risks or acceptance of risk.
Sumber: http://journal.binus.ac.id/index.php/comtech/article/viewFile/2387/1813