Menghitung resiko

Di dalam IT Risk Manajemen, setelah kita melakukan proses indentifikasi dari

information assets dari sebuah perusahaan, kemudian kita melakukan assestment terhadap

resiko dari setiap vulnerability pada asset tersebut. Risk assessment adalah memberikan

bobot atau nilai kepada setiap informasi asset. Pemberian nilai ini tujuannya adalah untuk

mengetahui asset mana yang perlu diperhatikan dalam membuat control atau pencegahan

terhadap resiko yang mungkin terjadi pada asset tersebut. Jadi seharusnya asset dengan

bobot atau nilai yang tinggi merupakan asset yang penting dalam keberlangsungan hidup

suatu perusahaan dan seharusnya asset dilindungi dari resiko yang mungkin terjadi. Nilai

atau bobot ini sendiri adalah merupakan komponen untuk menghitung level resiko.

Perkiraan resiko dapat dilihat pada gambar dibawah ini.1

Dari buku Principles of Incident Response and Disaster Recovery, Whitman, M.E., Mattoro, H.J. (2007).

Ada banyak cara untuk menghitung resiko, tetapi yang menjadi acauan saya adalah dari buku Principles of Incident Response and Disaster Recovery, karangan Whitman, M.E., Mattoro, H.J. (2007). Di dalam model untuk menghitung resiko ini, sudah dimasukkan komponen likelihood, value, current control dan uncertainity.
Likelihood adalah menunjukkan berapa besar kemungkinan vulnerability atau resiko yang sudah diindentifikasikan dapat terjadi di perusahaan. Jadi kita harus memberikan nilai berapa besar kemungkinan dari setiap resiko tersebut dapat benar benar terjadi pada perusahaan. Likelihodd biasanya di beri nilai antara 0.1 sampai 1.0, bukan mulai dari 0, sebab jika nilai 0 berarti sama dengan tidak ada vulnerability atau tidak ada resiko.
Dalam model untuk menghitung resiko ini juga sudah dimasukkan komponen uncertainty, atau ketidak pastian. Hal ini bertujuan untuk lebih mengakuratkan hasil perhitungan, karena pada saat kita melakukan assessment atau pemberian nilai kepada asset ataupun kepada resiko tidak berdasarkan standar tetapi biasanya pemberian nilai atau bobot tersebut berdasarkan pengalaman karyawan yang bekerja pada perusahaan, sehingga bisa saja nilai atau bobot tersebut tidak akan sama antara satu staff dengan staff yang lainnya.
Dari gambar perhitungan risk diatas maka dapat dibuat model matematikanya sebagai berikut:
Risk = [likelihood of vulnerability x value] x [1 – % risk already controlled + uncertainty]
Untuk mengerti lebih jelas mengenai rumus ini silakan lihat contoh berikut:
Information asset A has a value score 50 and has one vulnerability that has a likelihood of 1.0 with no current control, and the estimate is that assumptions and data are 90% accurate.
Risk = [1.0 x 50] x [1 – 0 + 0.1] = 50 x 1.1 = 55.

 

Benfano Soewito