Skip to main content

Basic Principles of Security Management System


"Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)"


Pembahasan dari - Dirman Artib
 
Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian "Probability" seberapa besar kemungkinan hazard itu mengenai object dan "Consequence" seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan "jalan ampuh" dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara "Hazard" pada safety dan "Threat" pada security. Jika "Hazard" merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka "threat" juga demikian, tetapi bedanya adalah bahwa "threat" adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya "motivasi dan kapabilitas" dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada "threat" secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan bertindak, inilah yang disebut sebagai "adversaries" atau "enemies".

Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka "threat" = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka "threat" =0 (tidak ada)


Tanya - Dirman Artib


Security Management termasuk area sistem manajemen yang sudah diapplikasikan sejak dulu kala. Walaupun belum membaca referensi terdokumentasi, saya bisa memastikan bahwa zaman Roman Caesar security management ini telah secara sistematic direncanakan, diimplementasikan dan terus ditingkatkan berdasarkan kegagalan/insiden atau memang ada forum khusus untuk me-review sistem yang telah ada agar paling tidak misalnya mengamankan rahasia praktek perselingkuhan kaisar agar misalnya tidak diserang para senator :)

Dalam Safety Management System, sebahagian besar menggunakan pendekatan Risk Management (Manajemen Resiko) dimana Hazard diidentifikasi, kemudian Risk dikalkulasi berdasarkan perkalian "Probability" seberapa besar kemungkinan hazard itu mengenai object dan "Consequence" seberapa besar dampak/kerugian yang ditimbulkan ya. Metode dan data kualitiatif dan kuantitatif telah dikembangkan dan dicatat/digunakan untuk mendukung keakuratan perhitungan ini.

Pendekatan Risk Management juga merupakan "jalan ampuh" dalam merencanakan, mendokumentasikan dab mengimplementasikan Security Management System. Tetapi perbedaan sangat prinsip adalah antara "Hazard" pada safety dan "Threat" pada security. Jika "Hazard" merupakan sumber atau situasi yang berpotensi mencelakai manusia, merusak peralatan, dan lingkungan kerja maka "threat" juga demikian, tetapi bedanya adalah bahwa "threat" adalah persamaam matematika yg varibale nya adalah MOTIVASI dan KAPABILITAS dari enemy, jadi threat tercipta karena adanya "motivasi dan kapabilitas" dari seseorang atau organisasi untuk mencelakai, merusak peralatan dan/atau lingkungan kerja tersebut. Jadi pada "threat" secara prinsip bahwa ada individu/organisasi tertentu yang berencana dan bertindak, inilah yang disebut sebagai "adversaries" atau "enemies".

Jadi :

Threat = Fn (Motivasi, Kapability of Adversary/Enemy)

Jika adversary mempunyai motivasi, tetapi dia tidak punya cukup kapabilitas dalam melakukan penyerangan/tindakan maka "threat" = 0 (tidak ada) Atau sebaliknya, adversary mempunyai kapabilitas, tetapi dia tidak punya niat/motivasi untuk menyerang maka "threat" =0 (tidak ada)

Lalu, bagaimana mengukur "Risk" ?
Risk dalam security dihitung dari penjumlahan "threat" dan "vulnerability"
Risk = Threat + Vulnerability

Vulnerability adalah kelemahan yang bisa dieksploitasi oleh adversary untuk memperbesar akses atau memperparah kerusakan/kerugian/cedera atau menghentikan fungsi tertentu dari sistem sebuah organisasi.

Persoalan nya adalah, bahwa risk tidak bisa diukur jika tingkat threat tidak diketahui, sementara pengukuran threat akan tergantung motivasi dan kapabilitas dari adversary/musuh. . Kedua hal tersebut senantiasa naik-turun karena tergantung bermacam-macam faktor. Motivasi menyerang misalnya akan meningkat jika individu/organisasi tertentu merasa kecewa, marah dan merasa diperlakukan tidak adil. Peningkatan motivasi bisa juga terjadi karena sebuah ideology yang terus menerus ditiupkan kedalam kepala seseorang/organisasi. Kapabilitas misalnya juga bisa meningkat saat-saat di mana musuh mendapatkan dana atau baru saja menemukan metode/teknologi baru untuk menyerang. Terkadang teknologi tidak perlu canggih karena terbukti WTC berhasil diserang dengan menggunakan kejelian bahwa penerbangan sipil beserta bahan bakarnya bisa dimanfaatkan untuk serangan yang efektif. Maka, di sinilah diperlukan sebuah operasi intelijen yang berfungsi secara terus
menerus memonitor/mengamati kedua hal penting tsb. yaitu naik-turun tingkat motivasi dan kapabilitas musuh.

Siapa yang berpotensi untuk menjadi adversaries/enemies ?
Potensi untuk menjadi adversaries/enemies adalah :
1. Partner bisnis yang curang
2. Pelanggan yang curang
3. Karyawan yang tidak puas (merasakan diperlakukan tak adil)
4. Organisasi/perorangan yg bertindak kriminal, organisasi militant (paramiliter) yg tak terkendali
5. Para aktivis (politik, lingkungan, sosial, perburuhan) yang bertindak negative
6. Teroris domestik/internasional

Bagaimana cara memitigasi Risk dari security aspek ini ?
Yang pertama-tama dilakukan adalah melakukan Risk Assessment dengan cara :
1. Mendefinisikan lokasi/peralatan atau kumpulan orang yang akan dilindungi--> Seberapa penting ? Seberapa menarik objek ini untuk diserang (target of atttactiveness") ?
2. Mengidentifikasi dan menetapkan karakter dari "threat" -> Membuat tipe-tipe threat yg mungkin, e.g. sabotase, ketidakstabilan pemerintahan akibat pemilu tak bermutu, hukum yg tidak dihormati/ditegakkan, pemerintahan yg tidak didukung rakyat, tekanan untuk meminta uang oleh
organisasi/kelompok orang, tekanan untuk bertindak korup, demonstrasi yg tak terkendali, gerakan militan, konflik antar kelompok di luar/di dalam organisasi, perselisihan antar karyawan, dll.
3. Identifikasi kelemahan dari sistem atau praktek manajemen yang ada -> Apakah ada prosedur yg relevan ? Apakah integritas peralatan/personnel bisa diandalkan?
4. Mengukur tingkat Risk -> Menilai kemungkinan tingkat kesuksesan dalam penyerangan , dan dampak dampaknya jika terjadi
5. Merangking Risk -> Bila tingkat Risk tinggi, maka harus dicari strategy/tactic/alat dan rekomendasi untuk menurunkan tingkat resiko
6. Mengidentifikasi dan mengevaluasi cara-cara mitigasi dengan option yang tersedia -> Risk reduction and cost benefit analyses

Apa sub-sistem yang harus di establish ?
1. DETECT - Cara mendeteksi motivasi dan kapabilitas adversaries -> Salah satu cara adalah menyelenggarakan oprerasi intelijen atau membeli data dari hasil intelijen.

2. MONITOR - Menetapkan cara memonitor dan mengolah,
menganalisa data/informasi dari operasi intelijen

3. RESPONSE - Menetapkan sistem response (alert) yang berbeda untuk tiap-tiap tingkat "threat" agar bisa PREVENT, DELAY, REDUCE serangan. Perlu ditetapkan indikasi dari informasi/data untuk trigger kebutuhan naik ke alert level yang lebih tinggi e.g. Tawuran antar pendukung partai tertentu akan menaikkan tingkat alert SIAGA ke AWAS.

4. EVACUATE - Menetapkan sistem, proses, skenario dan jalur evakuasi (sementara, longterm) agar bisa mndukung point 3.

Terkadang misalnya pengawalan oleh tentara pada sebuah area konflik/pemberontakan justru meningkatkan Risk karena kita memperjelas "target of attractiveness".

Silahkan ditambahkan jika ada yang kurang, terutama rekan-rekan yg mendapatkan pendidikan formal dikepolisian, militer.



Tanggapan 1 - Alvin Alfiyansyah


Dear Pak Dirman,

Thanks a lot atas guideline yg singkat dan padat ini. Jangan-jangan baru aja selesai project utk security vulnerability analysis nich ….

Term yang dipakai Pak Dirman Europe sekali, term di Amrik standard agak berbeda walau maksudnya tidak jauh berbeda. Mungkin yang perlu ditambahkan adalah penjelasan mengenai Countermeasure yang akan banyak dibahas di step no. 6 dari risk assessment ala Pak Dirman dan sub system response. Penjelasan mengenai Layer of Protection, rings of protection, sampai jenis2 response yang dibutuhkan seperti physical security, information security, etc. haruslah diperhitungkan dengan seksama.
Setidaknya design basis utk area kompleks perumahan yang banyak terdapat instalasi penunjang ataupun instalasi pabrik maka security management system yang memperhitungkan vulnerability adalah melalui 5 langkah berikut [1] :
1. Project planning
2. Site characterization
3. Threat identification
4. Vulnerability analysis
5. Countermeasures assessment

[1] GUIDELINES FOR Analyzing and Managing the Security Vulnerabilities of Fixed Chemical Sites, CCPS AICHe, 2003.

CMIIW, silakan yang lain menambahkan lagi. I must attend other meeting ....


Tanggapan 2 - Crootth Crootth


Uda Dirman, Alvin,

Kalian ini, yang satu kerja untuk perusahaan eropa (AMEC) satunya untuk perusahaan States (Chevron)... heheheh.. tentu saja cultur perusahaan mempengaruhi cara seseorang menyelesaikan persoalan

Jadi ingat kalau Dyadem itu ngeluarin satu sofware khusus buat "Security-Vulnerability Analysis" yakni SVA Pro6.

Dulu saya sering coba coba itu software, dan menarik juga... mirip software HAZOPnya Dyadem PHA Pro6 (sekarang udah versi 8 barangkali).


Tanggapan 3 - Dirman Artib


Yang lebih menarik lagi tentunya mengamati minat para milister terhadap area ini, saya yakin beberapa orang yg melihat bahwa subject nya adalah "Security" maka langsung delete, karena persepsi nya yg nulis pasti Komandan Satpam :)
Padahal investasi milyaran dollar akan musnah hanya dalam hitungan detik jika memang ada realisasi serangan adversary yg sebelumnya tidak terdeteksi hanya karena misalnya memanfaatkan "vulnerability" dalam security of data.

Oh....mana tahaaaaan ......tuh asset yg sudah capek-capek didesain dan dibangun dengan seabrek-abrek "well known" standards, tapi hanya akan menjadi puing bilamana "motivasi" of "sabotage & vandalism" didukung dengan "Capability" (personnel, alat, dana, knowlefge for gaining hydrocarbon effect) is sucessfull attack. Akibatnya crued price naik lagi sampai di atas USD 100, semakin dekat resesi tp bagi sebahagian orang seperti duren runtuh karena komoditi ikutan akan juga naik spt. emas, coal, karet, jagung, bahkan kacang kedele :)

Comments

Popular posts from this blog

DOWNLOAD BUKU: THE TRUTH IS OUT THERE KARYA CAHYO HARDO

  Buku ini adalah kumpulan kisah pengalaman seorang pekerja lapangan di bidang Migas Ditujukan untuk kawan-kawan para pekerja lapangan dan para sarjana teknik yang baru bertugas sebagai Insinyur Proses di lapangan. Pengantar Penulis Saya masih teringat ketika lulus dari jurusan Teknik Kimia dan langsung berhadapan dengan dunia nyata (pabrik minyak dan gas) dan tergagap-gagap dalam menghadapi problem di lapangan yang menuntut persyaratan dari seorang insinyur proses dalam memahami suatu permasalahan dengan cepat, dan terkadang butuh kecerdikan – yang sanggup menjembatani antara teori pendidikan tinggi dan dunia nyata (=dunia kerja). Semakin lama bekerja di front line operation – dalam hal troubleshooting – semakin memperkaya kita dalam memahami permasalahan-permasalahan proses berikutnya. Menurut hemat saya, masalah-masalah troubleshooting proses di lapangan seringkali adalah masalah yang sederhana, namun terkadang menjadi ruwet karena tidak tahu harus dari mana memulainya. Hal tersebut

Apa itu HSE ?

HSE adalah singkatan dari Health, Safety, Environment. HSE merupakan salah satu bagian dari manajemen sebuah perusahaan. Ada manejemen keuangan, manajemen sdm, dan juga ada Manajemen HSE. Di perusahaan, manajemen HSE biasanya dipimpin oleh seorang manajer HSE, yang bertugas untuk merencanakan, melaksanakan, dan mengendalikan seluruh program HSE. Program  HSE disesuaikan dengan tingkat resiko dari masing-masing bidang pekerjaan. Misal HSE Konstruksi akan beda dengan HSE Pertambangan dan akan beda pula dengan HSE Migas . Pembahasan - Administrator Migas Bermula dari pertanyaan Sdr. Andri Jaswin (non-member) kepada Administrator Milis mengenai HSE. Saya jawab secara singkat kemudian di-cc-kan ke Moderator KBK HSE dan QMS untuk penjelasan yang lebih detail. Karena yang menjawab via japri adalah Moderator KBK, maka tentu sayang kalau dilewatkan oleh anggota milis semuanya. Untuk itu saya forward ke Milis Migas Indonesia. Selain itu, keanggotaan Sdr. Andry telah saya setujui sehingga disk

Penggunaan Hydrostatic Test & Pneumatic Test

Pneumatic test dengan udara (compressed air) bukan jaminan bahwa setelah test nggak ada uap air di internal pipa, kecuali dipasang air dryer dulu sebelum compressed air dipake untuk ngetest.. Supaya hasilnya lebih "kering", kami lebih memilih menggunakan N2 untuk pneumatic test.. Tanya - Cak Ipin  Yth rekan-rekan milis Saat ini saya bekerja di power plant project, ditempat saya bekerja ada kasus tentang pemilihan pressure test yang akan digunakan pada pipa Instrument, Pihak kontraktor hanya melakukan hydrostatic test sedangkan fluida yg akan digunakan saat beroperasi adalah udara dimana udara tersebut harus kering atau tidak boleh terkontaminasi dengan air, pertanyaan saya : 1. Apakah boleh dilakukan hydrostatic test pada Instrument air pipe?? 2. Jika memang pneumatic test berbahaya, berapa batasan pressure untuk pneumatic test yg diijinkan?? Mohon pencerahan dari para senior, terima kasih. Tanggapan 1 - Apriadi Bunga Cak Ipin, Sepanjang yang saya tahu, pneum