Setiap alat penilaian risiko harus berkontribusi pada pengambilan keputusan tentang pengelolaan risiko individu. Para eksekutif dan pemimpin manajemen risiko makin sering dihadapkan pada keputusan yang tidak memiliki informasi yang dibutuhkan, terutama dalam bentuk peristiwa “angsa hitam” atau black swan.
Istilah black swan merujuk pada peristiwa yang sangat tidak dapat diprediksi, tetapi berdampak besar. Namun, dengan melihat ke belakang, peristiwa tersebut sebenarnya dapat dirasionalisasi sebagai sesuatu yang seharusnya sudah jelas.
Kuantifikasi Risiko Siber (Cyber Risk Quantification/CRQ) dan pendekatan Analisis Faktor Risiko Informasi (Factor Analysis of Information Risk/FAIR) dibangun sebagai kerangka kerja pengambilan keputusan. CRQ membantu menganalisis kejadian-kejadian black swan dengan membandingkan risiko secara lebih efektif.
Menurut whitepaper IRIS 2022 dari Cyentia Institute, meskipun rata-rata jumlah kerugian dolar yang terkait dengan pelanggaran tidak berubah secara signifikan, jumlah kerugian yang terkait dengan peristiwa ekstrem telah menjadi tren selama beberapa tahun terakhir. Keterkaitan organisasi dan teknologi telah memperluas rentang potensi kerugian, yang pada akhirnya meningkatkan potensi peristiwa black swan. Contoh peristiwa yang sedang atau berpotensi terjadi adalah sebagai berikut.
- Pandemi Covid-19
- Serangan siber pada infrastruktur penting
- Risiko pasca-kuantum
Selain istilah black swan, ada pula istilah lain yang digunakan praktisi manajemen risiko, yaitu “angsa abu-abu” atau gray swan. Istilah ini merujuk pada kejadian yang sebenarnya bisa diprediksi, tetapi sulit diduga waktu dan frekuensi kejadiannya.
Beberapa risiko cenderung dianggap sebagai gray swan alih-alih black swan, misalnya
- Sebagian besar kerentanan zero-day individual; dan
- Perluasan ancaman ransomware yang sedang berlangsung.
Setiap organisasi harus berurusan dengan “banjir” risiko baru, yang beberapa di antaranya dapat dianggap sebagai peristiwa black swan yang potensial. Ketika berfokus pada kejadian yang berpotensi menjadi bencana atau kejadian ekstrem, proses analisis risiko dapat diadaptasi sebagai berikut.
- Pahami aset penting
Organisasi dapat memanfaatkan perangkat enterprise risk management (ERM), audit, atau manajemen aset yang ada untuk mengidentifikasi aset dengan nilai bisnis yang penting bagi tujuan strategis organisasi.
- Fokus pada kemungkinan ancaman
Selesaikan analisis berbasis FAIR tentang skenario kerugian potensial terhadap aset-aset ini dan visualkan skenario yang berpotensi menimbulkan kerugian tahunan rata-rata yang signifikan.
Gambar 1. Kerugian ‘Rata-Rata”
- Jangan lupakan kemungkinan atau potensi
Dengan daftar risiko yang terkuantifikasi, kita dapat mengidentifikasi risiko-risiko yang rapuh. Jika daftar risiko tidak dapat dengan mudah mengidentifikasi potensi risiko yang tinggi tanpa kontrol yang memadai (perhatikan Gambar 2), kita akan kehilangan separuh dari gambarannya.
Gambar 2. Visualisasi Risiko Ketahanan
- Batasi kerugian
Ketika melihat skenario kejadian kerugian yang terukur, kita dapat mulai memodelkan skenario alternatif.
Cara Kerja FAIR-CAM
Pada 2021, FAIR Control Analytics Model (FAIR-CAM) dirilis dan memperkenalkan metode untuk menghubungkan kontrol dan efektivitas dengan skenario kerugian FAIR individu. Model ini memungkinkan kita untuk memvisualisasikan kontrol tunggal atau kontrol yang tidak efektif, yang dapat dengan mudah diperbarui dengan hasil penilaian dunia maya untuk memunculkan potensi risiko ketahanan. Lihat Gambar 3 di bawah ini untuk contoh pemetaan.
Dengan model ini, kita bisa dengan cepat dan teratur menganalisis banyak skenario dan mengevaluasi opsi penanganan risiko. Gambar 4 dua alternatif ini menggunakan kuantifikasi risiko.
Gambar 4. Pilihan Penanganan Risiko
Memahami Risiko Bencana
Organisasi perlu berinvestasi dalam analisis risiko kuantitatif untuk memahami risiko yang paling besar. Organisasi diminta untuk lebih jelas “menunjukkan hasil kerjanya” oleh regulator. Di samping itu, kerangka kerja perlu terbukti, transparan, dan bersumber terbuka seperti FAIR dan FAIR-CAM agar dapat dapat membantu.
Organisasi perlu secara proaktif mengidentifikasi area kesenjangan atau kekurangan kontrol yang meningkatkan kerentanan organisasi terhadap kerugian besar. Organisasi harus mengantisipasi dan belajar dengan cepat dari peristiwa ancaman untuk meningkatkan kemampuan dalam menghadapi potensi ancaman ketahanan.
Artikel ini telah diterbitkan oleh Protiviti, dengan judul Using Cyber Risk Quantification to Manage Chaos. Artikel selengkapnya dapat dibaca di sini.