Pengertian Facilitated Risk Analysis and Assessment Process (FRAAP)
Menurut Peltier (2005:129) lebih spesifikmenyatakan bahwa, “Facilitated Risk Analysis and Assessment Process (FRAAP) adalah sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi risiko keamanan yang terkait dengan operasi bisnis dapat dipertimbangkan dan didokumentasikan. Metode ini merupakan pendekatan dalam melakukan resiko kualitatif. Dengan menggunakan FRAAP diharapkan proses analisis resiko dapat dilakukan dalam hitungan hari, bukan mingguan, atau bulanan. Dengan demikian analisis resiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan. Proses ini melibatkan menganalisis satu sistem, aplikasi, proses bisnis, atau operasi bisnis pada suatu waktu.”
FRAAP terdiri dari 3 komponen utama, diantaranya:
1. The Pre-FRAAP Meeting
Pertemuan Pre-FRAAP adalah kunci bagi keberhasilan proyek. Pada tahap ini pertemuan biasanya berlangsung selama satu jam dan biasanya dilakukan di kantor klien. Pertemuan ini dihadiri oleh Manajer perusahaan (perwakilan perusahaan), pemimpin proyek, fasilitator dan orang yang berkepentingan dalam proyek.
Peraturan ThePre-FRAAP Meeting, Setiap proses analisis risiko dibagi menjadi tiga sesi yang berbeda:
a. Pertemuan Pre-FRAAP biasanya memakan waktu sekitar satu jam, termasuk pemilik bisnis, pemimpin proyek, juru tulis, dan fasilitator.
b. Sesi FRAAP berlangsung sekitar empat jam dan terdiri 15 sampai 30 orang.
c. The Post-FRAAP adalah di mana hasil yang telah dianalisis dan ringkasan laporan selesai. Proses ini bisa memakan waktu hingga lima hari kerja untuk menyelesaikan.
Ada 6 komponen utama yang muncul dari sesi ini:
a. Prescreening Results
Hasil prescreening yang dilakukan dapat mengubah kebutuhan untuk melakukan penilaian resiko.
b. Scope Statement
Pemimpin proyek dan manajer bisnis akan membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau.
c. Visual Diagram
Pembuatan diagram proses (dalam bentuk 1 halaman atau diagram bentuk gambar) mengenai pernyataan ruang lingkup untuk ditinjau kembali. Visual Diagramakan digunakan selama sesi FRAAP untuk memperkenalkan tim dengan mengenalkan proses dimulai dan berakhir.
Tiga cara dasar dalam proses mengidentifikasi adalah:
1) Auditory
Orang-orang ini harus mendengar sesuatu, lalu memahaminya selama pemilik proyek sedang menyajikan ruang lingkup proyek kepada tim.
2) Mechanical
Jenis pembelajaran ini harus dapat menuliskan elemen-elemen apa yang harus dipelajari.
3) Visual
Jenis pembelajaran ini perlu melihat gambar atau diagram yang digunakan untuk memahami apa yang sedang dibahas. Orang-orang yang belajar melalui metode ini biasanya mereka memiliki papan putih di dalam kantor mereka, karena mereka sering menggunakannya.
d. Establish The FRAAP team
Sebuah tim FRAAP biasanya memiliki anggota antara 15-30 orang. Tim ini terdiri dari perwakilan proses bisnis,serta infrastruktur dan bidang pendukung bisnis.
e. Meeting Mechanics
Dalam pertemuan ini manajer bisnis bertangung jawab dalam penyediaan ruang meeting, melakukan penjadwalan ruang meeting, pengaturan waktu meeting, dan menyediakan bahan-bahan yang mendukung berjalannya meeting tersebut.
f. Agreement on Definitions
Dalam sesi pre-FRAAP dibutuhkan persetujuan terhadap definisi FRAAP. Persetujuan tersebut haruslah berdasarkan pada adanya review (integritas, kerahasiaan, ketersediaan). Selama sesi pre-FRAAP sangatlah penting untuk mendiskusikan ancaman utama dalam proses bisnis.
The Pre-FRAAP Meeting mempunyai Definisi yaitu:
a. Threat (Ancaman)
Peristiwa potensial yang memiliki dampak negative pada suatu tujuan bisnis atau misi suatu perusahaan.
b. Control (Kontrol)
Tindakan yang diambil untuk mencegah, mendeteksi, mengurangi, atau menghilangkan, yang beresiko untuk tujuan bisnis atau pernyataan misi perusahaan.
c. Integrity (Integritas)
Informasi adalah sebagaimana dimaksud, tanpa adanya modifikasi atau korupsi.
d. Confidentiality (Kerahasiaan)
Informasi bersifat rahasia.
e. Availability (Ketersediaan)
Perlindungan dari upaya untuk menjaga informasi bagi yang hanya membutuhkan informasi.
f. High probability
Tingkat kelemahan yang sangat besar yang ada dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan.
g. Medium probability
Ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan.
h. Low probability
Sistem sudah harus dibangun dengan baik dan dioperasikan dengan benar.Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan.
i. High impact
Cenderung menempatkan perusahaan diluar dari bisnis atau sangat merusak prospek usaha dan pembangunan.
j. Medium impact
Akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan.
k. Low impact
Operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.
2. The FRAAP Session
Dalam tahap The FRAAPSession ini dibagi menjadi 2 tahap. Tahap pertama dijadwalkan selama empat jam, dan biasanya memiliki anggota sebanyak 15-25 orang. Beberapa lembaga pemerintah telah memperluas sesi berlangsung selama 3 hari, tetapi biasanya didalam sektor bisnis dan sebagian instansi pemerintah berlangsung selama 4 jam, adalah terdiri dari setiap kelompok orang yang dapat mengabdikan untuk proyek tersebut.
Tahap Pertama TheFRAAPSession:
a. Mengidentifikasikan ancaman
b. Menetapkan tingkat resiko
c. Mendokumentasikan kontrol
Tahap Kedua TheFRAAPSession:
a. Mengidentifikasikan kontrol yang sudah ada.
b. Apabila ada risiko tingkat tinggi yang tidak memiliki kontrol, makapemilik akan memilih kontrol yang akan diambil untuk risiko high-level.
c. Untuk setiap kontrol baru yang terpilih, tim akan mengidentifikasi kelompok atau individu yang bertanggung jawab untuk pelaksanaan kontrol tersebut.
Sejumlah ancaman yang diidentifikasi secara langsung terkait dengan unsur-unsur dalam program keamanan informasi, terdapat ancaman seperti:
a. Password yang di-posting pada workstation.
b. Karyawan meninggalkan workstation login dan tanpa pengawasan.
c. Karyawan meninggalkan bahan kerja setelah jam kantor.
d. Password berselancar atau kode akses lainnya.
e. Akses tidak sah ke daerah terlarang.
Posisi terakhir dalam The FRAAPSession adalah untuk mengidentifikasi kontrol bagi mereka yang merupakan ancaman yang harus diidentifikasi karena memiliki resiko tinggi.
Gambar Matrix Prioritas
Sumber: Thomas R Peltier (2005)
Keterangan Gambar:
A - Tindakan korektif harus diterapkan
B - Tindakan perbaikan yang diusulkan
C - Membutuhkan pemantauan
D - Tidak ada tindakan yang diperlukan saat ini
3. The Post-FRAAP
Konsep bahwa FRAAP dapat diselesaikan dalam waktu empat jam. The Pre-FRAAPMeeting membutuhkan waktu satu jam dan The FRAAP session akan memakan waktu sekitar empat jam. Kedua bagian ini adalah proses pengumpulan informasi dari proses analisis resiko. Aturan standar praktis adalah bahwa untuk setiap jam pengumpulan informasi, memungkinkan 4-5 jam untuk analisis dan pelaporan tertulis.
Rencana ini akan mencakup The FRAAPSession tahap 1 dan tahap 2:
a. Mengidentifikasi ancaman.
b. Menetapkan tingkat resiko yang akan terjadi.
c. Mencatat kemungkinan pengendalian yang dilakukan
d. Mengidentifikasi pengendalian.
e. Menentukan orang yang bertanggung jawab yang akan mendokumentasikan informasi dan kombinasi dalam pemeriksaan pengendalian biaya, dan laporan akhir yang akan muncul.