Facilitated Risk Analysis Process (FRAP) menurut Peltier (2001: 69-70) bukanlah suatu metodologi tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol keamanan. FRAP memungkinkan suatu organisasi untuk dapat menggunakan sumber dayanya sendiri dalam melakukan penilaian risiko sebanyak yang bisa dilakukan oleh pendekatan lainnya (Visintine, 2003).
FRAP pada dasarnya sesuai dengan pola standar penilaian untuk risiko kualitatif. Metode FRAP mengidentifikasi para pemegang kepentingan (stakeholder) dan menempatkan aset informasi di bawah kepemilikan mereka (Innerhover, 2006). Dari segi waktu, FRAP memakan waktu yang cukup singkat yaitu beberapa hari dan bukannya beberapa minggu atau bulan, efektif dari segi biaya (cost effective), serta memanfaatkan kemampuan para ahli yang ada di dalamnya (Peltier, 2001).
FRAP dikembangkan sebagai proses yang efisien dan disiplin untuk memberikan keyakinan risiko informasi terkait keamanan yang berhubungan dengan operasi bisnis telah diantisipasi dan dipertimbangkan. Proses FRAP melibatkan analisis sistem, aplikasi, atau segmen dari operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individu-individu, termasuk manajer bisnis yang paham dengan kebutuhan informasi bisnis dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem yang potensial.
Proses pengukuran risiko dengan menggunakan FRAP dibagi beberapa sesi (Peltier, 2001), antara lain:
1. Pre-FRAP Meeting
Tahap ini merupakan sesi yang paling penting dalam proses menganalisis risiko. Sesi ini melibatkan manajer TI, pimpinan proyek dan fasilitator. Terdapat tiga komponen penting yang dihasilkan dalam proses ini, antara lain:
-
Scope Statement: pada bagian ini dilakukan pembatasan terhadap hal-hal apa saja yang akan ditinjau.
-
Visual Model: Merupakan gambaran dari proses analisis atau foil diagram yang menggambarkan proses yang akan di-review.
-
Establish the FRAP team: Tim FRAP biasanya terdiri dari beberapa anggota yang mewakili bidangnya masing-masing.
2. The FRAP Session
Sesi FRAP dapat diperpanjang sampai 3 hari tapi pada umumnya proses ini hanya memakan waktu selama 4 jam dan melibatkan orang sekitar 7 (tujuh) sampai 15 (lima belas) orang dan paling banyak 50 (lima puluh) orang dan paling sedikit 4 (empat) orang. Dalam metode ini terdapat tiga proses yaitu:
-
Risk Identified: dilakukan proses mengidentifikasi risiko-risiko yang berkemungkinan mengancam sistem informasi.
-
Risk Prioritized: membuat prioritas dari risiko-risiko yang akan dihadapi, dimulai yang paling tinggi ke rendah dengan menggunakan tabel yang berhubungan dengan dampaknya terhadap bisnis dan kerentanannya.
-
Controls Identified: berdasarkan risiko-risiko yang akan dihadapi, dibuat kontrol perlindungan yang bisa dilakukan untuk menghadapi atau mengurangi risiko-risiko tersebut.
Berdasarkan tingkat kerentanan terhadap suatu resiko, ada beberapa definisi yang harus disetujui dalam pertemuan FRAP, yaitu:
-
High Vulnerability: terdapat kelemahan yang sangat besar pada sistem atau rutinitas operasional, di mana ada potensi yang berdampak fatal atau signifikan pada sistem, kontrol harus ditingkatkan.
-
Medium Vulnerability: Kerentanan terhadap risiko tergolong cukup besar karena masih ditemukan beberapa kelemahan dalam sistem aplikasi dan juga operasional sistem, kontrol dapat dan harus ditingkatkan.
-
Low Vulnerability: Sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada tambahan kontrol yang diperlukan untuk mengurangi kerentanan.
-
High Impact: Risiko yang dapat berdampak fatal terhadap sistem, membahayakan aset informasi dan pengembangan sistem.
-
Medium Impact: Risiko akan menyebabkan kerusakan yang signifikan dan mengeluarkan biaya yang besar namun sistem masih tetap akan bertahan.
-
Low Impact: Jenis dampak operasional yang wajar terjadi dan patut dikelola sebagai bagian dari kegiatan sehari-hari.
Gambar Contoh Matriks Prioritas (Peltier, 2001)
Keterangan:
A = harus dilaksanakan tindakan corrective
B = disarankan untuk melakukan tindakan corrective
C = memerlukan pemantauan D = tidak diperlukan tindakan
3. Post FRAP Session
Proses ini merupakan sesi terakhir dari FRAP. Post FRAP Meeting dibagi menjadi dua proses yaitu sebagai berikut :
-
Cross Reference Sheet: merupakan kertas kerja yang dibuat berdasarkan tabel risiko dan tabel pengendalian untuk mengidentifikasi pengendalian yang cocok dengan risiko yang telah teridentifikasi.
-
Action Plan: merupakan kertas kerja yang dibuat untuk menentukan jenis penanggulangan risiko yang tepat sesuai dengan keadaan sistem, selain itu juga ditentukan oleh siapa dan kapan penanggulangan tersebut akan dilakukan.
Dalam proses ini cross reference sheet memakan waktu yang cukup lama dibandingkan dengan proses lainnya. Cross reference sheet digunakan untuk menentukan pengendalian yang cocok dengan risiko.
Hasil komprehensif dari FRAP adalah dokumen yang mengidentifikasi ancaman, memprioritaskan ancaman-ancaman, dan mengidentifikasikan kontrol yang dapat membantu mengurangi ancaman-ancaman tersebut.
Keuntungan Menggunakan FRAP
Metode FRAP merupakan metodologi yang dikembangkan untuk merubah atau memodifikasi proses analisis resiko sebelumnya yang bersifat kualitatif dan kuantitatif untuk memenuhi segala persyaratan yang ada pada saat ini. Selain itu FRAP digunakan untuk memastikan adanya pengendalian terhadap proses bisnis agar dapat memenuhi tujuan dari organisasi atau lembaga tersebut. FRAP fokus pada kebutuhan bisnis dan fokus dengan waktu yang digunakan untuk menganalisis resiko dalam suatu organisasi atau perusahaan.
Dalam proses analisis risiko dengan menggunakan metode FRAP, akan dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan prioritas terhadap ancaman serta membuat
Untuk mengetahui lebih detail terkait dengan pendekatan FRAP, dapat melihat pada dokumen dibawah ini.
Pendekatan FRAP- Manajemen Risiko.pdf (193,2 KB)