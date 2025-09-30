Perusahaan menggunakan penilaian risiko keamanan siber untuk mengidentifikasi ancaman dan kerentanan, memperkirakan potensi dampaknya, dan memprioritaskan risiko yang paling kritis.

Bagaimana perusahaan melakukan penilaian risiko akan bergantung pada prioritas, ruang lingkup, dan toleransi risiko yang ditentukan dalam langkah pembingkaian. Kebanyakan penilaian mengevaluasi hal-hal berikut:

Ancaman adalah orang dan peristiwa yang dapat mengganggu sistem TI, mencuri data, atau membahayakan keamanan informasi. Ancaman termasuk serangan siber yang disengaja (seperti ransomware atau phishing) dan kesalahan karyawan (seperti menyimpan informasi rahasia dalam database yang tidak aman). Bencana alam, seperti gempa bumi dan angin topan, juga dapat mengancam sistem informasi.

Kerentanan adalah kekurangan atau kelemahan dalam sistem, proses, atau aset yang dapat dieksploitasi oleh ancaman untuk menimbulkan kerusakan. Kerentanan bisa bersifat teknis, seperti firewall yang salah konfigurasi yang memungkinkan malware masuk ke dalam jaringan atau bug sistem operasi yang bisa digunakan peretas untuk mengambil alih perangkat dari jarak jauh. Kerentanan juga dapat muncul dari kebijakan dan proses yang lemah, seperti kebijakan kontrol akses yang longgar yang memungkinkan orang mengakses lebih banyak aset daripada yang mereka butuhkan.

Dampak adalah apa yang dapat dilakukan oleh ancaman terhadap perusahaan. Ancaman siber dapat mengganggu layanan penting, yang menyebabkan waktu henti dan hilangnya pendapatan. Peretas dapat mencuri atau menghancurkan data sensitif. Para penipu dapat menggunakan serangan kompromi email bisnis untuk mengelabui karyawan agar mengirimkan uang kepada mereka.

Dampak dari suatu ancaman dapat menyebar ke luar organisasi. Pelanggan yang informasi identitas pribadinya (PII) dicuri saat terjadi pelanggaran data juga menjadi korban serangan.

Karena sulit untuk mengukur dampak pasti dari ancaman keamanan siber, perusahaan sering kali menggunakan data kualitatif seperti tren historis dan kisah serangan terhadap organisasi lain untuk memperkirakan dampaknya. Kekritisan aset juga merupakan faktor: Semakin kritis sebuah aset, semakin mahal biaya yang harus dikeluarkan untuk melawannya.

Risiko mengukur seberapa besar kemungkinan ancaman potensial memengaruhi organisasi dan seberapa besar kerusakan yang akan ditimbulkan oleh ancaman tersebut. Ancaman yang kemungkinan besar terjadi dan kemungkinan besar akan menyebabkan kerusakan yang signifikan adalah yang paling berisiko, sedangkan ancaman yang tidak mungkin terjadi dan akan menyebabkan kerusakan kecil adalah yang paling tidak berisiko.

Selama analisis risiko, perusahaan mempertimbangkan berbagai faktor untuk menilai seberapa besar kemungkinan terjadinya ancaman. Kontrol keamanan yang ada, sifat kerentanan TI, dan jenis data yang dimiliki perusahaan dapat memengaruhi kemungkinan ancaman. Bahkan industri perusahaan pun bisa berperan: Indeks X-Force Threat Intelligence menemukan bahwa organisasi di sektor manufaktur dan keuangan menghadapi lebih banyak serangan siber daripada organisasi di bidang transportasi dan telekomunikasi.

Penilaian risiko dapat memanfaatkan sumber data internal, seperti sistem informasi keamanan dan manajemen peristiwa (SIEM), dan intelijen ancaman eksternal. Mereka juga dapat melihat ancaman dan kerentanan dalam rantai pasokan perusahaan, karena serangan terhadap vendor dapat memengaruhi perusahaan.

Dengan menimbang semua faktor ini, perusahaan dapat membangun profil risikonya. Profil risiko menyediakan katalog potensi risiko perusahaan, yang memprioritaskannya berdasarkan tingkat kekritisan. Semakin berisiko suatu ancaman, semakin penting ancaman tersebut bagi organisasi.