Tentunya aset informasi berbeda-beda nilanya mulai dari yang penting untuk bisnis hingga yang tidak terlalu atau tidak penting, dan penilaian risiko informasi dirancang untuk membedakan.
Kriteria penilaian
Nilai aset informasi yang dimiliki oleh perusahaan berdasarkan tiga kriteria berikut:
-
Kerahasiaan (Confidentiality)
Kerahasiaan informasi seperti catatan Sumber Daya Manusia atau gaji, akun finansial, data pelanggan dan kekayaan intelektual. Misalnya, jika detail pribadi milik karyawan atau pelanggan dibobol, kejadian ini bisa melanggar peraturan perlindungan data.
-
Integritas (Integrity)
Integritas informasi yang harus akurat dan tetap terjaga keakuratannya untuk mempertahankan fungsi utama organisasi, seperti data desain dan produksi, informasi kesehatan & keselamatan untuk tugas tertentu atau pelaporan keuangan untuk perusahaan yang terdaftar di bursa. Misalnya, jika pesaing atau karyawan yang menyimpan dendam mengakses dan mengubah data, dampaknya bisa sangat besar.
-
Ketersediaan (Availability)
Ketersediaan informasi saat dibutuhkan, seperti time sheet karyawan pada akhir bulan, atau data operasi lini produksi pada hari kerja pukul 8.00 pagi hingga 6 sore, 50 minggu dalam setahun. Jika data tidak tersedia dalam jadwal tersebut, hal ini bisa menjadi masalah kritis. Misalnya jika catatan time sheet tidak dapat diakses, karyawan tidak dapat digaji.
Akronim ‘CIA’ (Confidentiality, Integrity, Availability) memudahkan kita mengingat ketiga kriteria ini.
Ketika mengakses informasi, lakukan penilaian menggunakan kriteria CIA atas risiko yang muncul jika informasi tersebut dibobol, dan tingkat keparahan konsekuensinya.
Analisis dampak bisnis
Dari penilaian aset informasi Anda, Anda mendapat wawasan untuk membuat analisis dampak bisnis, yang menunjukkan risiko dan konsekuensi masing-masing baik keuangan, manusia, logistik atau reputasi.
Dengan demikian Anda dapat mengelola risiko dengan cara yang paling tepat untuk organisasi Anda, dengan memilih dan menjustifikasi langkah penanganan yang paling sesuai sebagai bagian dari strategi keamanan informasi Anda. Termasuk menganalisis biaya penanganan yang proporsional dengan dampak ancaman yang akan dimitigasi. Langkah penanganan wajar yang dimiliki mungkin tidak menjamin pihak tak berwenang – yang memiliki motif dan tekad kuat – tidak akan berhasil mengakses informasi yang menarik bagi mereka.
Tentunya, mungkin dianggap tidak ada langkah penanganan yang diperlukan untuk melindungi dari risiko tertentu, tapi setidaknya Anda mengetahui konsekuensinya.
Penilaian risiko informasi harus dilakukan secara periodik dan teratur, atau untuk mencerminkan perubahan dalam jenis informasi yang disimpan, struktur bisnis dan lanskap ancaman yang terus berkembang.