Apa itu penilaian risiko keamanan siber?

Tentukan ruang lingkup penilaian

• Tentukan ruang lingkup, yang bisa berupa seluruh organisasi atau unit, lokasi, atau proses bisnis tertentu.
  
• Pastikan dukungan pemangku kepentingan dan biasakan semua orang dengan terminologi penilaian dan standar yang relevan.

Identifikasi dan prioritaskan aset

• Lakukan audit data untuk membuat inventaris aset TI (perangkat keras, perangkat lunak, data, jaringan) yang komprehensif dan terkini.
  
• Klasifikasikan aset berdasarkan nilai, kedudukan hukum, dan kepentingan bisnis. Identifikasi aset penting.
  
• Buat diagram arsitektur jaringan untuk memvisualisasikan interkonektivitas aset dan titik masuk.

Identifikasi ancaman dan kerentanan siber

•  Identifikasi kerentanan, seperti kesalahan konfigurasi TI, sistem yang belum ditambal, dan kata sandi yang lemah.
  
•  Identifikasi ancaman, seperti malware, phishing, ancaman orang dalam, dan bencana alam.
  
•  Gunakan kerangka kerja seperti MITRE ATT & CK dan Database Kerentanan Nasional untuk referensi.

Nilai dan analisis risiko

• Lakukan analisis risiko, evaluasi kemungkinan setiap ancaman yang memanfaatkan kerentanan dan dampak potensial terhadap organisasi.
  
• Gunakan matriks risiko untuk memprioritaskan risiko berdasarkan kemungkinan dan dampaknya.
  
• Pertimbangkan faktor-faktor seperti kemampuan kerentanan untuk ditemukan, dieksploitasi, dan direproduksi.

Hitung probabilitas dan dampak risiko

• Tentukan probabilitas serangan dan dampaknya terhadap kerahasiaan, integritas, dan ketersediaan data.
  
• Kembangkan alat penilaian yang konsisten untuk mengukur dampak kerentanan dan ancaman.
  
• Terjemahkan penilaian ini menjadi kerugian moneter, biaya pemulihan dan denda, serta kerugian reputasi.

Prioritaskan risiko berdasarkan analisis biaya-manfaat

• Tinjau kerentanan dan prioritaskan berdasarkan tingkat risiko dan potensi dampaknya terhadap anggaran.
  
• Kembangkan rencana perawatan, termasuk tindakan pencegahan, untuk mengatasi risiko dengan prioritas tinggi.
  
• Pertimbangkan kebijakan organisasi, kelayakan, peraturan dan sikap organisasi terhadap risiko.

Terapkan kontrol keamanan

• Mitigasikan risiko yang teridentifikasi dengan mengembangkan dan menerapkan kontrol keamanan.
  
• Kontrol bisa bersifat teknis (misalnya, firewall dan enkripsi) atau nonteknis (kebijakan dan physical security).
  
• Pertimbangkan kontrol pencegahan dan deteksi dan pastikan dikonfigurasi dan terintegrasi dengan benar.

Pantau dan dokumentasikan hasil

• Terus pantau efektivitas kontrol yang diterapkan dan lakukan audit dan penilaian secara teratur.
  
• Dokumentasikan seluruh proses, termasuk skenario risiko, hasil penilaian, tindakan remediasi, dan status kemajuan.
  
• Siapkan laporan terperinci untuk pemangku kepentingan dan perbarui daftar risiko secara teratur.

Peningkatan postur keamanan

Penilaian risiko keamanan siber meningkatkan keamanan secara keseluruhan di seluruh lingkungan TI dengan:

• Meningkatkan visibilitas ke dalam aset dan aplikasi TI.
  
• Membuat inventaris lengkap hak pengguna, aktivitas Active Directory, dan identitas.
  
• Mengidentifikasi kelemahan di seluruh perangkat, aplikasi, dan identitas pengguna.
  
• Menyoroti kerentanan spesifik yang mungkin digunakan oleh pelaku ancaman dan penjahat siber.
  
• Mendukung pengembangan respons insiden yang kuat dan rencana pemulihan.

Peningkatan ketersediaan

Meningkatkan ketersediaan aplikasi dan layanan dengan menghindari waktu henti dan gangguan yang disebabkan oleh insiden keamanan.

Risiko regulasi yang diminimalkan

Memastikan kepatuhan yang lebih andal terhadap persyaratan dan standar perlindungan data yang relevan.

Sumber daya yang telah dioptimalkan

Mengidentifikasi aktivitas dengan prioritas tinggi berdasarkan risiko dan dampaknya, sehingga memungkinkan alokasi tindakan keamanan yang lebih efektif.

Penurunan biaya

Membantu mengurangi biaya dengan memungkinkan mitigasi kerentanan lebih awal dan mencegah serangan sebelum terjadi.