Select Page
“Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)”

Pembahasan dari – Dirman Artib

 
Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator 🙂

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian “Probability” seberapa besar kemungkinan hazard itu mengenai object dan “Consequence” seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan “jalan ampuh” dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara “Hazard” pada safety dan “Threat” pada security. Jika “Hazard” merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka “threat” juga demikian, tetapi bedanya adalah bahwa “threat” adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya “motivasi dan kapabilitas” dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada “threat” secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan bertindak, inilah yang disebut sebagai “adversaries” atau “enemies”.

Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka “threat” = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka “threat” =0 (tidak ada)


Tanya – Dirman Artib


Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator 🙂

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian “Probability” seberapa besar kemungkinan hazard itu mengenai object dan “Consequence” seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan “jalan ampuh” dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara “Hazard” pada safety dan “Threat” pada security. Jika “Hazard” merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka “threat” juga demikian, tetapi bedanya adalah bahwa “threat” adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya “motivasi dan kapabilitas” dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada “threat” secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan ber
tindak, inilah yang disebut sebagai “adversaries” atau “enemies”.


Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka “threat” = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka “threat” =0 (tidak ada)

Lalu, bagaimana mengukur “Risk” ?
Risk dalam security dihitung dari penjumlahan “threat” dan “vulnerability”
Risk = Threat + Vulnerability

Vulnerability adalah kelemahan yang bisa dieksploitasi oleh adversary untuk memperbesar akses atau memperparah kerusakan/kerugian/cedera atau menghentikan fungsi tertentu dari sistem sebuah organisasi.

Persoalan nya adalah, bahwa risk tidak bisa diukur jika tingkat threat tidak diketahui, sementara pengukuran threat akan tergantung motivasi dan kapabilitas dari adversary/musuh. . Kedua hal tersebut senantiasa naik-turun karena tergantung bermacam-macam faktor. Motivasi menyerang misalnya akan meningkat jika individu/organisasi tertentu merasa kecewa, marah dan merasa diperlakukan tidak adil. Peningkatan motivasi bisa juga terjadi karena sebuah ideology yang terus menerus ditiupkan kedalam kepala seseorang/organisasi. Kapabilitas misalnya juga bisa meningkat saat-saat di mana musuh mendapatkan dana atau baru saja menemukan metode/teknologi baru untuk menyerang. Terkadang teknologi tidak perlu canggih karena terbukti WTC berhasil diserang dengan menggunakan kejelian bahwa penerbangan sipil beserta bahan bakarnya bisa dimanfaatkan untuk serangan yang efektif. Maka, di sinilah diperlukan sebuah operasi intelijen yang berfungsi secara terus
menerus memonitor/mengamati kedua hal penting tsb. yaitu naik-turun tingkat motivasi dan kapabilitas musuh.

Siapa yang berpotensi untuk menjadi adversaries/enemies ?
Potensi untuk menjadi adversaries/enemies adalah :
1. Partner bisnis yang curang
2. Pelanggan yang curang
3. Karyawan yang tidak puas (merasakan diperlakukan tak adil)
4. Organisasi/perorangan yg bertindak kriminal, organisasi militant (paramiliter) yg tak terkendali
5. Para aktivis (politik, lingkungan, sosial, perburuhan) yang bertindak negative
6. Teroris domestik/internasional

Bagaimana cara memitigasi Risk dari security aspek ini ?
Yang pertama-tama dilakukan adalah melakukan Risk Assessment dengan cara :
1. Mendefinisikan lokasi/peralatan atau kumpulan orang yang akan dilindungi–> Seberapa penting ? Seberapa menarik objek ini untuk diserang (target of atttactiveness”) ?
2. Mengidentifikasi dan menetapkan karakter dari “threat” -> Membuat tipe-tipe threat yg mungkin, e.g. sabotase, ketidakstabilan pemerintahan akibat pemilu tak bermutu, hukum yg tidak dihormati/ditegakkan, pemerintahan yg tidak didukung rakyat, tekanan untuk meminta uang oleh
organisasi/kelompok orang, tekanan untuk bertindak korup, demonstrasi yg tak terkendali, gerakan militan, konflik antar kelompok di luar/di dalam organisasi, perselisihan antar karyawan, dll.
3. Identifikasi kelemahan dari sistem atau praktek manajemen yang ada -> Apakah ada prosedur yg relevan ? Apakah integritas peralatan/personnel bisa diandalkan?
4. Mengukur tingkat Risk -> Menilai kemungkinan tingkat kesuksesan dalam penyerangan , dan dampak dampaknya jika terjadi
5. Merangking Risk -> Bila tingkat Risk tinggi, maka harus dicari strategy/tactic/alat dan rekomendasi untuk menurunkan tingkat resiko
6. Mengidentifikasi dan mengevaluasi cara-cara mitigasi dengan option yang tersedia -> Risk reduction and cost benefit analyses

Apa sub-sistem yang harus di establish ?

1. DETECT – Cara mendeteksi motivasi dan kapabilitas adversaries -> Salah satu cara adalah menyelenggarakan oprerasi intelijen atau membeli data dari hasil intelijen.

2. MONITOR – Menetapkan cara memonitor dan mengolah,
menganalisa data/informasi dari operasi intelijen

3. RESPONSE – Menetapkan sistem response (alert) yang berbeda untuk tiap-tiap tingkat “threat” agar bisa PREVENT, DELAY, REDUCE serangan. Perlu ditetapkan indikasi dari informasi/data untuk trigger kebutuhan naik ke alert level yang lebih tinggi e.g. Tawuran antar pendukung partai tertentu akan menaikkan tingkat alert SIAGA ke AWAS.

4. EVACUATE – Menetapkan sistem, proses, skenario dan jalur evakuasi (sementara, longterm) agar bisa mndukung point 3.

Terkadang misalnya pengawalan oleh tentara pada sebuah area konflik/pemberontakan justru meningkatkan Risk karena kita memperjelas “target of attractiveness”.

Silahkan ditambahkan jika ada yang kurang, terutama rekan-rekan yg mendapatkan pendidikan formal dikepolisian, militer.



Tanggapan 1 – Alvin Alfiyansyah


Dear Pak Dirman,

Thanks a lot atas guideline yg singkat dan padat ini. Jangan-jangan baru aja selesai project utk security vulnerability analysis nich ….

Term yang dipakai Pak Dirman Europe sekali, term di Amrik standard agak berbeda walau maksudnya tidak jauh berbeda. Mungkin yang perlu ditambahkan adalah penjelasan mengenai Countermeasure yang akan banyak dibahas di step no. 6 dari risk assessment ala Pak Dirman dan sub system response. Penjelasan mengenai Layer of Protection, rings of protection, sampai jenis2 response yang dibutuhkan seperti physical security, information security, etc. haruslah diperhitungkan dengan seksama.
Setidaknya design basis utk area kompleks perumahan yang banyak terdapat instalasi penunjang ataupun instalasi pabrik maka security management system yang memperhitungkan vulnerability adalah melalui 5 langkah berikut [1] :
1. Project planning
2. Site characterization
3. Threat identification
4. Vulnerability analysis
5. Countermeasures assessment

[1] GUIDELINES FOR Analyzing and Managing the Security Vulnerabilities of Fixed Chemical Sites, CCPS AICHe, 2003.

CMIIW, silakan yang lain menambahkan lagi. I must attend other meeting ….


Tanggapan 2 – Crootth Crootth


Uda Dirman, Alvin,

Kalian ini, yang satu kerja untuk perusahaan eropa (AMEC) satunya untuk perusahaan States (Chevron)… heheheh.. tentu saja cultur perusahaan mempengaruhi cara seseorang menyelesaikan persoalan

Jadi ingat kalau Dyadem itu ngeluarin satu sofware khusus buat “Security-Vulnerability Analysis” yakni SVA Pro6.

Dulu saya sering coba coba itu software, dan menarik juga… mirip software HAZOPnya Dyadem PHA Pro6 (sekarang udah versi 8 barangkali).


Tanggapan 3 – Dirman Artib


Yang lebih menarik lagi tentunya mengamati minat para milister terhadap area ini, saya yakin beberapa orang yg melihat bahwa subject nya adalah “Security” maka langsung delete, karena persepsi nya yg nulis pasti Komandan Satpam 🙂
Padahal investasi milyaran dollar akan musnah hanya dalam hitungan detik jika memang ada realisasi serangan adversary yg sebelumnya tidak terdeteksi hanya karena misalnya memanfaatkan “vulnerability” dalam security of data.

Oh….mana tahaaaaan ……tuh asset yg sudah capek-capek didesain dan dibangun dengan seabrek-abrek “well known” standards, tapi hanya akan menjadi puing bilamana “motivasi” of “sabotage & vandalism” didukung dengan “Capability” (personnel, alat, dana, knowlefge for gaining hydrocarbon effect) is sucessfull attack. Akibatnya crued price naik lagi sampai di atas USD 100, semakin dekat resesi tp bagi sebahagian orang seperti duren runtuh karena komoditi ikutan akan juga naik spt. emas, coal, karet, jagung, bahkan kacang kedele 🙂
Share This