Facilitated Risk Analysis Process (FRAP) adalah proses analisis risiko yang efisien dan disiplin untuk memastikan bahwa risiko keamanan informasi terkait operasi bisnis dipertimbangkan dan didokumentasikan.
Apa yang dimaksud dengan pendekatan Facilitated Risk Analysis Process (FRAP) dalam manajemen risiko ?
Facilitated Risk Analysis Process (FRAP) menurut Peltier (2001: 69-70) bukanlah suatu metodologi tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol keamanan. FRAP memungkinkan suatu organisasi untuk dapat menggunakan sumber dayanya sendiri dalam melakukan penilaian risiko sebanyak yang bisa dilakukan oleh pendekatan lainnya (Visintine, 2003).
FRAP pada dasarnya sesuai dengan pola standar penilaian untuk risiko kualitatif. Metode FRAP mengidentifikasi para pemegang kepentingan (stakeholder) dan menempatkan aset informasi di bawah kepemilikan mereka (Innerhover, 2006). Dari segi waktu, FRAP memakan waktu yang cukup singkat yaitu beberapa hari dan bukannya beberapa minggu atau bulan, efektif dari segi biaya (cost effective), serta memanfaatkan kemampuan para ahli yang ada di dalamnya (Peltier, 2001).
FRAP dikembangkan sebagai proses yang efisien dan disiplin untuk memberikan keyakinan risiko informasi terkait keamanan yang berhubungan dengan operasi bisnis telah diantisipasi dan dipertimbangkan. Proses FRAP melibatkan analisis sistem, aplikasi, atau segmen dari operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individu-individu, termasuk manajer bisnis yang paham dengan kebutuhan informasi bisnis dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem yang potensial.
Proses pengukuran risiko dengan menggunakan FRAP dibagi beberapa sesi (Peltier, 2001), antara lain:
Tahap ini merupakan sesi yang paling penting dalam proses menganalisis risiko. Sesi ini melibatkan manajer TI, pimpinan proyek dan fasilitator. Terdapat tiga komponen penting yang dihasilkan dalam proses ini, antara lain:
Scope Statement: pada bagian ini dilakukan pembatasan terhadap hal-hal apa saja yang akan ditinjau.
Visual Model: Merupakan gambaran dari proses analisis atau foil diagram yang menggambarkan proses yang akan di-review.
Establish the FRAP team: Tim FRAP biasanya terdiri dari beberapa anggota yang mewakili bidangnya masing-masing.
Sesi FRAP dapat diperpanjang sampai 3 hari tapi pada umumnya proses ini hanya memakan waktu selama 4 jam dan melibatkan orang sekitar 7 (tujuh) sampai 15 (lima belas) orang dan paling banyak 50 (lima puluh) orang dan paling sedikit 4 (empat) orang. Dalam metode ini terdapat tiga proses yaitu:
Risk Identified: dilakukan proses mengidentifikasi risiko-risiko yang berkemungkinan mengancam sistem informasi.
Risk Prioritized: membuat prioritas dari risiko-risiko yang akan dihadapi, dimulai yang paling tinggi ke rendah dengan menggunakan tabel yang berhubungan dengan dampaknya terhadap bisnis dan kerentanannya.
Controls Identified: berdasarkan risiko-risiko yang akan dihadapi, dibuat kontrol perlindungan yang bisa dilakukan untuk menghadapi atau mengurangi risiko-risiko tersebut.
Berdasarkan tingkat kerentanan terhadap suatu resiko, ada beberapa definisi yang harus disetujui dalam pertemuan FRAP, yaitu:
High Vulnerability: terdapat kelemahan yang sangat besar pada sistem atau rutinitas operasional, di mana ada potensi yang berdampak fatal atau signifikan pada sistem, kontrol harus ditingkatkan.
Medium Vulnerability: Kerentanan terhadap risiko tergolong cukup besar karena masih ditemukan beberapa kelemahan dalam sistem aplikasi dan juga operasional sistem, kontrol dapat dan harus ditingkatkan.
Low Vulnerability: Sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada tambahan kontrol yang diperlukan untuk mengurangi kerentanan.
High Impact: Risiko yang dapat berdampak fatal terhadap sistem, membahayakan aset informasi dan pengembangan sistem.
Medium Impact: Risiko akan menyebabkan kerusakan yang signifikan dan mengeluarkan biaya yang besar namun sistem masih tetap akan bertahan.
Low Impact: Jenis dampak operasional yang wajar terjadi dan patut dikelola sebagai bagian dari kegiatan sehari-hari.
Gambar Contoh Matriks Prioritas (Peltier, 2001)
Keterangan:
A = harus dilaksanakan tindakan corrective
B = disarankan untuk melakukan tindakan corrective
C = memerlukan pemantauan D = tidak diperlukan tindakan
Proses ini merupakan sesi terakhir dari FRAP. Post FRAP Meeting dibagi menjadi dua proses yaitu sebagai berikut :
Cross Reference Sheet: merupakan kertas kerja yang dibuat berdasarkan tabel risiko dan tabel pengendalian untuk mengidentifikasi pengendalian yang cocok dengan risiko yang telah teridentifikasi.
Action Plan: merupakan kertas kerja yang dibuat untuk menentukan jenis penanggulangan risiko yang tepat sesuai dengan keadaan sistem, selain itu juga ditentukan oleh siapa dan kapan penanggulangan tersebut akan dilakukan.
Dalam proses ini cross reference sheet memakan waktu yang cukup lama dibandingkan dengan proses lainnya. Cross reference sheet digunakan untuk menentukan pengendalian yang cocok dengan risiko.
Hasil komprehensif dari FRAP adalah dokumen yang mengidentifikasi ancaman, memprioritaskan ancaman-ancaman, dan mengidentifikasikan kontrol yang dapat membantu mengurangi ancaman-ancaman tersebut.
Metode FRAP merupakan metodologi yang dikembangkan untuk merubah atau memodifikasi proses analisis resiko sebelumnya yang bersifat kualitatif dan kuantitatif untuk memenuhi segala persyaratan yang ada pada saat ini. Selain itu FRAP digunakan untuk memastikan adanya pengendalian terhadap proses bisnis agar dapat memenuhi tujuan dari organisasi atau lembaga tersebut. FRAP fokus pada kebutuhan bisnis dan fokus dengan waktu yang digunakan untuk menganalisis resiko dalam suatu organisasi atau perusahaan.
Dalam proses analisis risiko dengan menggunakan metode FRAP, akan dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan prioritas terhadap ancaman serta membuat
Untuk mengetahui lebih detail terkait dengan pendekatan FRAP, dapat melihat pada dokumen dibawah ini.
Pendekatan FRAP- Manajemen Risiko.pdf (193,2 KB)
Pendekatan FRAP (Facilitated Risk Analysis Process) adalah bentuk pendekatan analisis resiko kualitatif yang paling banyak digunakan saat ini. Dari teknik yang ada untuk mengukur resiko teknologi informasi, penulis memutuskan untuk menggunakan pendekatan FRAP. FRAP dikembangkan sebagai proses yang efisien dan disiplin untuk menjamin resiko informasi terkait keamanan yang berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan. Dengan menggunakan FRAP diharapkan proses analisis resiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis resiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan.
FRAP (Peltier, 2001) dikembangkan sebagai proses yang efisien dan disiplin untuk menjamin resiko informasi terkait keamanan yang berhubungan dengan operasi bisnis dipertimbangkan dan didokumentasikan. Prosesnya melibatkan penganalisisan satu sistem, aplikasi, atau segmen dari operasi bisnis pada satu waktu dan mengumpulkan sebuah tim dari individu-individu termasuk manajer bisnis yang akrab dengan kebutuhan informasi bisnis dan staf teknis yang memiliki pemahaman yang rinci tentang kelemahan sistem yang potensial dan terkait kontrol.
Selama sesi FRAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integrity data, confidentiality, serta availability. Lalu tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan resiko menurut prioritas levelnya. Tim biasanya tidak mencoba untuk mendapatkan atau mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri.
Setelah mengidentifikasi dan mengkategorikan resiko, tim mengidentifikasi pengendalianpengendalian yang dapat diimplementasikan untuk mengurangi resiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 26 kontrol umum yang dirancang untuk mengatasi berbagai jenis resiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian.
Tiap proses analisis resiko (Peltier, 2001) dibagi menjadi tiga sesi yang berbeda: pre-FRAP meeting, FRAP session, dan post-FRAP session.
Pre-FRAP : Pre-FRAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 5 komponen utama yang muncul dari sesi ini: (1) scope statement – pimpinan proyek dan manajer bisnis harus menentukan ruang lingkup pembahasan; (2) visual model – pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali; (3) team members - membangun tim FRAP yang terdiri dari 7 - 15 orang; (3) meeting mechanics - manajer bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan - bahan yang dibutuhkan; (4) agreement of definition - dalam sesi pre_FRAP dibutuhkan persetujuan terhadap definisi FRAP. Persetujuan tersebut haruslah berdaasarkan pada adanya risk, control, impact, dan vulnerability. selama sesi pre-FRAP sangatlah penting untuk mendiskusikan ancaman utama dalam proses bisnis.
FRAP Session : Pada tahap ini pertemuan biasanya berlangsung selama empat jam. komponen - komponen yang muncul dari tahap ini diantaranya : (1) identify risk - mendefinisikan resiko yang akan terjadi (2) priotized risks menentukan resiko utama dari semua resiko yang mungkin terjadi (3) suggested controls - memberikan solusi pengendalian untuk meminimalisir resiko dan juga ancaman yang mungkin terjadi.
Post-FRAP Meeting : Pada tahap ini pertemuan biasanya berlangsung selama empat jam dan memiliki tiga elemen: (1) creation on the cross-reference sheet – membuat cross-reference sheet yang berisikan masingmasing kontrol dan resiko-resiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut; (2) identification of existing controls – meninjau ulang, mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi resiko-resiko yang masih terbuka; (3) selection of controls for open risks or acceptance of risk - menentukan control apa saja yang perlu dilakukan untuk menganggulangi resiko yang masih ada. Atau bahwa ternyata resiko tersebut tidaklah bersifat high impact sehingga bisnis manajer mengindikasikan resiko tersebut sebagai resiko yang dapat diterima.
Sumber : Jurnal Universitas Binus
http://journal.binus.ac.id/index.php/comtech/article/viewFile/2387/1813
