Skip to main content

Basic Principles of Security Management System


"Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)"


Pembahasan dari - Dirman Artib
 
Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian "Probability" seberapa besar kemungkinan hazard itu mengenai object dan "Consequence" seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan "jalan ampuh" dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara "Hazard" pada safety dan "Threat" pada security. Jika "Hazard" merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka "threat" juga demikian, tetapi bedanya adalah bahwa "threat" adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya "motivasi dan kapabilitas" dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada "threat" secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan bertindak, inilah yang disebut sebagai "adversaries" atau "enemies".

Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka "threat" = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka "threat" =0 (tidak ada)


Tanya - Dirman Artib


Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian "Probability" seberapa besar kemungkinan hazard itu mengenai object dan "Consequence" seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan "jalan ampuh" dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara "Hazard" pada safety dan "Threat" pada security. Jika "Hazard" merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka "threat" juga demikian, tetapi bedanya adalah bahwa "threat" adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya "motivasi dan kapabilitas" dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada "threat" secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan bertindak, inilah yang disebut sebagai "adversaries" atau "enemies".

Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka "threat" = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka "threat" =0 (tidak ada)

Lalu, bagaimana mengukur "Risk" ?
Risk dalam security dihitung dari penjumlahan "threat" dan "vulnerability"
Risk = Threat + Vulnerability

Vulnerability adalah kelemahan yang bisa dieksploitasi oleh adversary untuk memperbesar akses atau memperparah kerusakan/kerugian/cedera atau menghentikan fungsi tertentu dari sistem sebuah organisasi.

Persoalan nya adalah, bahwa risk tidak bisa diukur jika tingkat threat tidak diketahui, sementara pengukuran threat akan tergantung motivasi dan kapabilitas dari adversary/musuh. . Kedua hal tersebut senantiasa naik-turun karena tergantung bermacam-macam faktor. Motivasi menyerang misalnya akan meningkat jika individu/organisasi tertentu merasa kecewa, marah dan merasa diperlakukan tidak adil. Peningkatan motivasi bisa juga terjadi karena sebuah ideology yang terus menerus ditiupkan kedalam kepala seseorang/organisasi. Kapabilitas misalnya juga bisa meningkat saat-saat di mana musuh mendapatkan dana atau baru saja menemukan metode/teknologi baru untuk menyerang. Terkadang teknologi tidak perlu canggih karena terbukti WTC berhasil diserang dengan menggunakan kejelian bahwa penerbangan sipil beserta bahan bakarnya bisa dimanfaatkan untuk serangan yang efektif. Maka, di sinilah diperlukan sebuah operasi intelijen yang berfungsi secara terus
menerus memonitor/mengamati kedua hal penting tsb. yaitu naik-turun tingkat motivasi dan kapabilitas musuh.

Siapa yang berpotensi untuk menjadi adversaries/enemies ?
Potensi untuk menjadi adversaries/enemies adalah :
1. Partner bisnis yang curang
2. Pelanggan yang curang
3. Karyawan yang tidak puas (merasakan diperlakukan tak adil)
4. Organisasi/perorangan yg bertindak kriminal, organisasi militant (paramiliter) yg tak terkendali
5. Para aktivis (politik, lingkungan, sosial, perburuhan) yang bertindak negative
6. Teroris domestik/internasional

Bagaimana cara memitigasi Risk dari security aspek ini ?
Yang pertama-tama dilakukan adalah melakukan Risk Assessment dengan cara :
1. Mendefinisikan lokasi/peralatan atau kumpulan orang yang akan dilindungi--> Seberapa penting ? Seberapa menarik objek ini untuk diserang (target of atttactiveness") ?
2. Mengidentifikasi dan menetapkan karakter dari "threat" -> Membuat tipe-tipe threat yg mungkin, e.g. sabotase, ketidakstabilan pemerintahan akibat pemilu tak bermutu, hukum yg tidak dihormati/ditegakkan, pemerintahan yg tidak didukung rakyat, tekanan untuk meminta uang oleh
organisasi/kelompok orang, tekanan untuk bertindak korup, demonstrasi yg tak terkendali, gerakan militan, konflik antar kelompok di luar/di dalam organisasi, perselisihan antar karyawan, dll.
3. Identifikasi kelemahan dari sistem atau praktek manajemen yang ada -> Apakah ada prosedur yg relevan ? Apakah integritas peralatan/personnel bisa diandalkan?
4. Mengukur tingkat Risk -> Menilai kemungkinan tingkat kesuksesan dalam penyerangan , dan dampak dampaknya jika terjadi
5. Merangking Risk -> Bila tingkat Risk tinggi, maka harus dicari strategy/tactic/alat dan rekomendasi untuk menurunkan tingkat resiko
6. Mengidentifikasi dan mengevaluasi cara-cara mitigasi dengan option yang tersedia -> Risk reduction and cost benefit analyses

Apa sub-sistem yang harus di establish ?
1. DETECT - Cara mendeteksi motivasi dan kapabilitas adversaries -> Salah satu cara adalah menyelenggarakan oprerasi intelijen atau membeli data dari hasil intelijen.

2. MONITOR - Menetapkan cara memonitor dan mengolah,
menganalisa data/informasi dari operasi intelijen

3. RESPONSE - Menetapkan sistem response (alert) yang berbeda untuk tiap-tiap tingkat "threat" agar bisa PREVENT, DELAY, REDUCE serangan. Perlu ditetapkan indikasi dari informasi/data untuk trigger kebutuhan naik ke alert level yang lebih tinggi e.g. Tawuran antar pendukung partai tertentu akan menaikkan tingkat alert SIAGA ke AWAS.

4. EVACUATE - Menetapkan sistem, proses, skenario dan jalur evakuasi (sementara, longterm) agar bisa mndukung point 3.

Terkadang misalnya pengawalan oleh tentara pada sebuah area konflik/pemberontakan justru meningkatkan Risk karena kita memperjelas "target of attractiveness".

Silahkan ditambahkan jika ada yang kurang, terutama rekan-rekan yg mendapatkan pendidikan formal dikepolisian, militer.



Tanggapan 1 - Alvin Alfiyansyah


Dear Pak Dirman,

Thanks a lot atas guideline yg singkat dan padat ini. Jangan-jangan baru aja selesai project utk security vulnerability analysis nich ….

Term yang dipakai Pak Dirman Europe sekali, term di Amrik standard agak berbeda walau maksudnya tidak jauh berbeda. Mungkin yang perlu ditambahkan adalah penjelasan mengenai Countermeasure yang akan banyak dibahas di step no. 6 dari risk assessment ala Pak Dirman dan sub system response. Penjelasan mengenai Layer of Protection, rings of protection, sampai jenis2 response yang dibutuhkan seperti physical security, information security, etc. haruslah diperhitungkan dengan seksama.
Setidaknya design basis utk area kompleks perumahan yang banyak terdapat instalasi penunjang ataupun instalasi pabrik maka security management system yang memperhitungkan vulnerability adalah melalui 5 langkah berikut [1] :
1. Project planning
2. Site characterization
3. Threat identification
4. Vulnerability analysis
5. Countermeasures assessment

[1] GUIDELINES FOR Analyzing and Managing the Security Vulnerabilities of Fixed Chemical Sites, CCPS AICHe, 2003.

CMIIW, silakan yang lain menambahkan lagi. I must attend other meeting ....


Tanggapan 2 - Crootth Crootth


Uda Dirman, Alvin,

Kalian ini, yang satu kerja untuk perusahaan eropa (AMEC) satunya untuk perusahaan States (Chevron)... heheheh.. tentu saja cultur perusahaan mempengaruhi cara seseorang menyelesaikan persoalan

Jadi ingat kalau Dyadem itu ngeluarin satu sofware khusus buat "Security-Vulnerability Analysis" yakni SVA Pro6.

Dulu saya sering coba coba itu software, dan menarik juga... mirip software HAZOPnya Dyadem PHA Pro6 (sekarang udah versi 8 barangkali).


Tanggapan 3 - Dirman Artib


Yang lebih menarik lagi tentunya mengamati minat para milister terhadap area ini, saya yakin beberapa orang yg melihat bahwa subject nya adalah "Security" maka langsung delete, karena persepsi nya yg nulis pasti Komandan Satpam :)
Padahal investasi milyaran dollar akan musnah hanya dalam hitungan detik jika memang ada realisasi serangan adversary yg sebelumnya tidak terdeteksi hanya karena misalnya memanfaatkan "vulnerability" dalam security of data.

Oh....mana tahaaaaan ......tuh asset yg sudah capek-capek didesain dan dibangun dengan seabrek-abrek "well known" standards, tapi hanya akan menjadi puing bilamana "motivasi" of "sabotage & vandalism" didukung dengan "Capability" (personnel, alat, dana, knowlefge for gaining hydrocarbon effect) is sucessfull attack. Akibatnya crued price naik lagi sampai di atas USD 100, semakin dekat resesi tp bagi sebahagian orang seperti duren runtuh karena komoditi ikutan akan juga naik spt. emas, coal, karet, jagung, bahkan kacang kedele :)

Comments

Popular posts from this blog

DOWNLOAD BUKU: THE TRUTH IS OUT THERE KARYA CAHYO HARDO

  Buku ini adalah kumpulan kisah pengalaman seorang pekerja lapangan di bidang Migas Ditujukan untuk kawan-kawan para pekerja lapangan dan para sarjana teknik yang baru bertugas sebagai Insinyur Proses di lapangan. Pengantar Penulis Saya masih teringat ketika lulus dari jurusan Teknik Kimia dan langsung berhadapan dengan dunia nyata (pabrik minyak dan gas) dan tergagap-gagap dalam menghadapi problem di lapangan yang menuntut persyaratan dari seorang insinyur proses dalam memahami suatu permasalahan dengan cepat, dan terkadang butuh kecerdikan – yang sanggup menjembatani antara teori pendidikan tinggi dan dunia nyata (=dunia kerja). Semakin lama bekerja di front line operation – dalam hal troubleshooting – semakin memperkaya kita dalam memahami permasalahan-permasalahan proses berikutnya. Menurut hemat saya, masalah-masalah troubleshooting proses di lapangan seringkali adalah masalah yang sederhana, namun terkadang menjadi ruwet karena tidak tahu harus dari mana memulainya. Hal tersebut

[Lowongan Kerja] QA System Coordinator, Pipe Yard Coordinator, Customer Assistant Coordinator

With over 30 years' experience, Air Energi are the premier supplier of trusted expertise to the oil and gas industry. Headquartered in Manchester UK, Air Energi has regional hubs in Houston, Doha, Singapore and Brisbane. We have offices in 35 locations worldwide, experience of supply for 50 countries worldwide, and through our company values: Safe, knowledgeable, innovative, passionate, inclusive, and pragmatism, WE DELIVER, each and every time. At the moment we are supporting a multinational OCTG processing operation in seeking of below positions: 1.       QA System Coordinator Coordinates Quality System development in plant, directing the implementation of specifications and quality norms. Administers complaints regarding non-conformities and provides quality process information in support of decision making. Develops the necessary procedures, instructions and specifications to ensure Quality System conformity. Coordinates and organizes the execution of interna

API 6D atau API 598

Kalau berbicara standard: maka yang dipakai untuk inspeksi dan pengetesan VALVE adalah API STD 598 dan ANSI/ASME B16.34. Makanya jika kita nanti membuka perihal pengetesan (valve testing) di API STD 598, disana akan akan note bahwa besaran pressure test-nya mengacu ke ANSI/ASME B16.34. Perlu diketahui bahwa API 6D adalah specification for Pipeline Valve. Makanya disebut API SPEC 6D. API ini khusus menjelaskan spesifikasi untuk katup yang digunakan pada Pipeline. Tanya - Zachari Alamsyah Dear para miliser  migas sekalian..Bapak2 saudara-saudari sekalian Saya ingin menanyakan untuk pengetesan katup (Valve), seperti butterfly, globe, needle, ball, gate valve standar apa yang harus digunakan. setelah saya melakukan pencarian terdapat 2 standar yati API 6D (pipeline Valves) atau API 598 (Valves testing). Standar mana yang jadi acuan untuk pengetesan tersebut? Demikian pertanyaan saya. Terima Kasih Tanggapan - Sabar Simatupang Dear pak Alamsyah dan rekan-rekan Migas, Kalau