admin

28 Jan, 2019

Security Vulnerability Assessment (SVA)

Pemilik/operator harus memastikan keamanan fasilitas dan pelindungan terhadap publik, lingkungan, pekerja serta kelangsungan bisnis melalui manajemen resiko keamanan. Premis pedoman ini adalah bahwa resiko keamanan seharusnya dikelola di dalam proses manajemen yang berorerientasi kinerja dan berbasis resiko.

Fondasi pendekatan manajemen keamanan adalah kebutuhan untuk mengidentifikasi dan menganalisa ancaman dan kerentanan keamanan, dan mengevaluasi keakuratan langkah-langkah penanggulangan yang disediakan untuk mengurangi ancaman. Security Vulnerability Assessment adalah sebuah alat manajemen yang dapat digunakan untuk membantu mennyelesaikan tugas ini, dan memebantu pemilik/operator dalam membuat keputusan tentang keputusan dan nilai enhancement.

Strategi yang tepat guna untuk mengelola keamanan bisa sangat bervariasi tergantung keadaaan masing-masing fasilitas, termasuk tipe fasilitas dan ancaman-ancaman fasiltas yang dihadapi fasilitas itu. Akibatnya, pedoman itu ini tidak mendeskripsikan langkah-langkah keamanan melainkan menyarankan sarana untuk mengidentifikasi, menganalisis dan mengurangi kerentanan. Situasi spesifiknys harus dievaluasi secara individual oleh manajemen lokal dengan menggunakan judgement terbaik tentang praktik-praktik  yang dapat diterapkan. Keputusan manajemen risiko keamanan harus dibuat sepadan dengan risikonya. Pendekatan fleksibel ini mengakui bahwa tidak ada pendekatan yang seragam untuk keamanan dalam industri.

SVA adalah proses yang melibatkan menentukan kemungkinan keberhasilan musush untuk mengekploitasi kerentanan dan memperkirakan derajat kerusakan atau dampak yang diakibatkannya. Berdasarkan asesmen ini, judgment dapat dibuat tentang derajat risiko dan kebutuhan langkah-langkah penanggulangan tambahan.

SVA belum tentu berupa assessment Resiko kuantitatif, tetapi biasanya dilakukan secara kualiataif dengan menggunakan judgement terbaik tim SVA. Hasil yang diharapkan adalah sebuah determinasi resiko kuliatatif untuk menyediakan dasar yang baik untuk mengerutkan peringkat risiko-risiko terkait keamanan dan dengan demikian menetapkan prioritas untuk penetapan langkah-langkah penanggulangan. (SVA Methodology for Petroleeum, Second edition, API October 2004)

Untuk SVA, risiko peristiwa keamanan biasanya diperkirakan secara kualitatif. Ini didasarkan pada judgement konsensus sebuah tim yang terdiri atas orang-orang yang berpengetahuan luas tentang bagaimana kemungkinan dan konsekuaensi sebuah skenario peristiwa yang tidak diinginkan dibandingkan skenario peristiwa lain. Assessment didasarkan pada informasi terbaik yang tersedia, dengan menggunakan penglaman dan keahlian tim itu untuk membuat keputusan manajemen risiko yang baik. Tim dapat menggunakan sebuah matrik risiko, yaitu representasi grafis faktor-faktor risiko, sebagai alat untuk membuat keputusan assessment risiko.

Sebuah peristiwa berisiko tinggi, sebagai contoh adalah peristiwa yang direpresentasikan oleh kemungkinan keberhasilan yang tinggi dari sebuah serangan terhadap aset target kritis tertentu. Kemungkinan ditentukan dengan mempertimbangkan beberapa faktor, termasuk daya tariknya terhadap musuh, derajat ancaman dan derajat kerentanan. Kritikalitas ditentukan oleh arti penting atau nilai aset, dan konsekuensi potensialnya bila diserang. Jika kemungkinan sebuah serangan yang sukses terhadp sebuah aset penting tinggi, maka resikonya diangap tinggi, dan langkah-langkah yang tepat guna akan dibutuhkan untuk sebuah aset kritis yang berisiko tingi.

 


Salah satu premis dasar adalah bahwa semua risiko keamanan tidak dapat sepenuhnya dicegah. Tujuan keamanan adalah untuk melaksanakan empat strategi dasar untuk membantu meminimalkan resiko yaitu dengan cara: 

  • Deter (menghalangi/mencegah)
  • Detect (Mendeteksi)
  • Delay (menunda)
  • Respon (Merespon)


  • Risiko Keamananan adalah fungsi dari:
  •             Konsekuensi dari sebuah serangan yang sukses terhadap sebuah aset dan
  •             Kemungkinan keberhasilan sebuah serangan terhadap aset.
  • Kemungkinan adalah fungsi dari:
    • Daya Tarik aset bagi musuh.
    • Ancaman yang ditimbulkan oleh musuh.
    • Kerentanan aset


  • Pendekatan SVA

  • Proses SVA dilaksanakan dengan mempertimbangkan setiap fasilitas baik dari sudut pandang umum maupun dari sudut pandang aset tertentu. Pertimbangan ditingkat umum berguna untuk menentukan dampak kerugian, infrastruktur dan interdepensi secara keseluruhan di tingkat fasilitas dan analisis perimeter luar yang meliputi kontrol akses dan kemananan fisik umum.

  • Metodologi SVA

  • Proses SVA adalah sebuah metodologi berbasis risiko dan berbasis kinerja. Pengguna dapat memilih sarana yang berbeda untuk menyelesaikan metode SVA selama hasil akhirnya memenuhi kriteria kinerja yang sama.
  • Pendekatan 5 langkah metodologi SVA adalah sebagai berikut:

  • 1.  Karakteristik aset

Karakteristik aset melibatkan menganalisis informasi yang mendeskripsikan detail teknis aset yang dibutuhkan untuk mendukung analisis, mengidentifikasi aset kritis potensial, megidentifikasi bahaya dan konsekuensi dari kekhawatiran atas fasilitas dan area sekitar serta infrastruktur pendukungnya, serta mengidentifikasi lapisan-lapisan perlindungan yang sudah ada.

Langkah dalam menentukan karakteristik aset:

  • Mengidentifikasi aset-aset dan infrastruktur kritis.
  • Mengevaluasi langkah-langkah penanggulangan yan sudah ada.
  • Mengevaluasi keparahan dampak


2. Assesmen Ancaman

Pertimbangan tentang berbagai kemungkinan ancaman yang encakup ancaman internal, ancman eksternal dan ancaman yang dibantu secara internal (artinya kolusi antara orang-orang dalam dengan agen-agen luar). Pemilihan ancaman seharusnya memasukkan informasi intelejen lokal. Regional dan nasional. Langkah ini termasuk menentukan daya tarik target masing-masing aset dari perspektif masing-masing musuh.

Langkah dalam melakukan Assesmen Ancaman:

  • Identifikasi Musuh
  • Karakteristik musuh
  • Daya tarik target
  • Memilih target untuk dianalisis lebih jauh.


    • 3. Analisis Kerentanan
  • Analisis kerentanan mencakup pemasangan relatif masing-masing aset target dan ancamanuntuk mengidentifikasi kerentanan-kerentanan potensial yang terkait dengan peristiwa keamanan proses. Ini melibatkan pengidentifikasian langkah-langkah penanggulangan yang sudah ada dan tingkat efektivitas mereka dalam mengurangi kerentanan.

  • Derajat pemasangan kerentanan masing-masing aset berharga dan ancaman evaluasi berdasarkan formulasi skenario terkait keamanan atau berdasarkan perlindungan aset. Jika kriteria tertentu terpenuhi , misalnya nilai peringkat konsekuensi dan daya tarik yang lebih tinggi, maka mungkin ada gunanya untuk menerapkan pendekatan berbasis resiko untuk melakukan analisis kerentanan. Ini termasuk pemberian peringkat resiko pada pada skenario terkait keamanan yang dikembangkan. Jika pendekatan berbasis aset digunakan, penentuan konsekuensi dan daya tarik aset mungkin sudah cukup untuk menetapkan nilai peringkat target dan perlindungan melalui perlindungan standart yang ditetapkan untuk target tersebut.

  • Langkah dalam menetapkan Analisis kerentanan:
  •  Menetapkan skenario dan mengevaluasi konsekuensi tertentu
  • Mengaevaluasi efektivitas langkah-langkah kemanan yang sudah ada
  • Mengidentifikasi kerentanan dan memperkirakan derajat kerentanan.

4  Assesmen Risiko

 Assesmen Risiko menentukan derajat relatif risiko bagi fasilitas dala kaitannya dengan efek yang diduga pada masing-masing aset kritis sebagai fungsi dari konsekuensi dan kemungkinan yang terjdadi. Dengan menggunakan aset yang telah di identifikasi dalam langkah 1, risiko-risiko diprioritaskan berdasarkan kemungkinan serangan yang sukses. Kemungkinan ditentukan oleh tim setelah mempertimbangkan daya tarik aset-aset yang ditargetkan yang diases dalam langkah 2, derajat ancaman yang diases dalam langkah 2, dan derajat kerentanan yamg didentifikasi dalam langkah 3.

Assesmen Risiko dengan cara:

  • Memperkirakan kemungkinan serangan berdasarkan kerentanan, ancaman dan daya tarik.
  • Mengevaluasi rsiko dan kebutuhan akan langkah-langkah menanggulangan tambahan.


  • 5. Analisis langkah-langkah penanggulangan
  • Berdasarkan kerentanan-kerentanan yang diidentifikasi dan risiko bahwa lapisan keamana dilanggar, pengingkatan yang tepat guna pada countermeasures (lankah-langkah penaggulangan) keamanan dapat direkomendasikan. Ini termasuk penyempurnaan langkah-langkah penaggulangan yang mengikuti doktrin keamanan proses, yaitu menghalangi, menunda, merespon, mengurangi dan mungkin mencegah. Beberapa faktor yang harus dipertimbankan adalah:

                       a.  Berkurangnya kemungkinan serangan yang berhasil.

                        b. Derajat pengurangan risiko berdasarkan berbagai opsi

                        c. Reabilitas dan maintability berbagai opsi

                        d. Kapabilitas dan efektivitas berbagai opsi mitigasi

                        e. Biaya berbagai opsi mitigasi

                        f. Fisibilitas berbagai opsi

Opsi-opsi langka penanggulangan seharusnya diperingkat untuk mengevaluasi efektivitas, dan prioritas untuk membantu pengambilan keputsan manajemen untuk mengimplementasikan peningkatan program keamanan.