Business Impact Assessment (Jarot S Suroso)
- Resource Profiling
Sebelum penilaian risiko apa pun dapat dilakukan, profil risiko keamanan harus dibuat terlebih dahulu untuk sumber daya yang bersangkutan. Pembuatan profil sumber daya adalah langkah pertama dari alur kerja tujuh bagian yang diperkenalkan sebelumnya.
Membuat kategori atau tingkatan sumber daya berdasarkan kepentingannya bagi organisasi, atau potensi dampak jika keamanannya dilanggar, akan membantu menginformasikan keputusan Anda tentang di mana harus memfokuskan upaya Anda. Mungkin sulit bagi profesional keamanan untuk dengan sengaja menyisihkan sumber daya dengan kerentanan yang diketahui, tetapi disiplin ini diperlukan untuk tetap fokus pada fungsi penting organisasi.
Bergantung pada bisnis Anda, Anda mungkin menghabiskan banyak waktu untuk membuat profil untuk unit bisnis, proses utama, penyedia layanan, dan sebagainya. Profil risiko keamanan adalah istilah lain yang dapat memiliki banyak arti dan kegunaan dalam industri. Sebenarnya, profil risiko keamanan mengumpulkan informasi tentang sumber daya untuk membantu menilai sensitivitasnya terhadap risiko keamanan. Ini dianggap terlepas dari ancaman atau kerentanan tertentu untuk aset tersebut. Ini mungkin tidak tampak seperti perbedaan penting saat ini, tetapi ketika Anda mulai membuat profil beberapa sumber, Anda akan segera menemukan betapa mudahnya untuk mengacaukan perbedaan, dan menggabungkan konsep-konsep ini benar-benar dapat mengubah peringkat risiko Anda, jadi berhati-hatilah.
Faktor-faktor yang harus dipertimbangkan dalam setiap profil risiko termasuk kerugian finansial, hukum, dan reputasi atau kendala/pembatasan peraturan yang mungkin diakibatkan oleh pelanggaran keamanan. Idenya adalah agar pemilik bisnis menilai pentingnya sumber daya bagi organisasi dari perspektif keamanan informasi dan relatif terhadap semua aset organisasi lainnya. Profil ini harus berada pada tingkat yang cukup tinggi sehingga dapat diselesaikan bahkan sebelum keputusan implementasi dibuat untuk sumber daya. Karena tidak terikat dengan spesifik tentang implementasi, seperti lingkungan atau jenis enkripsi, itu dapat dinilai pada tingkat bisnis pada tahap pengembangan atau akuisisi yang sangat awal. Tim keamanan biasanya akan menetapkan format dan pertanyaan profil risiko, tetapi pemilik bisnis bertanggung jawab untuk memberikan jawaban dan konteks bisnis.
Resource Profiling dapat bervariasi dalam detail dan format, tetapi ada beberapa poin data dasar yang ingin Anda ambil di setiap profil:
- Gambaran umum
- Fungsi dan fitur
- Klasifikasi informasi
- Kekritisan terhadap organisasi
- Peraturan yang berlaku