|
BAB 2
LANDASAN TEORI
2.1
Sistem informasi
Menurut Gelinas, Dull, Wheeler (2012: 14) Information System is a man made
system that generally consist of an integrated set of computer based components and
manual components established to collect, store, and manage data, and to provide output
information to users.
Sistem informasi merupakan sistem buatan manusia yang secara umum terdiri
dari sekumpulan komponen berbasis komputer yang terintegrasi dan komponen manual
yang ditetapkan
untuk mengumpulkan, menyimpan, dan mengelola data, serta
menyediakan keluaran (output) informasi kepada user.
2.1.1
Informasi
Menurut Sawyer dan Williams (2007, p25), informasi adalah data yang telah
dirangkum atau dimanipulasi dalam bentuk lain untuk tujuan pengambilan keputusan.
Misalnya, jumlah suara untuk sebuah kandidat yang dipakai dalam penentuan pemenang
pemilu.
Menurut (Mardi, 2011, p. 4), informasi adalah hasil
proses atau hasil
pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan sistem
informasi komputerisasi.
|
|
2.1.2
Sistem
Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian bagian
yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu.
Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan sistem
apabila memenuhi 2 syarat, yaitu :
1.
Memiliki bagian-bagian yang saling berinteraksi dengan maksud untuk
mencapai suatu tujuan
2.
Bagian-bagian itu dinamakan subsistem dan harus memenuhi 3 unsur input-
proses-output.
2.1.3
Analisa Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Analysis is the process of
understanding and specifying in detail what the information system should accomplish.
Analisa sistem adalah proses pemahaman dan menetapkan apa yang seharusnya
dicapai oleh sistem secara detail.
Menurut Shelly, Rosenblatt (2012:
142) analisa sistem terdiri dari 4 aktivitas
utama :
1)
Requirements Modeling
Aktivitas yang dilakukan disini meliputi pencarian fakta-fakta yang
menggambarkan sistem berjalan dan mengidentifikasi kebutuhan-kebutuhan
|
|
untuk pembuatan sistem baru seperti input, output,
proses, kinerja, dan
keamanan sistem.
2)
Data and Process Modeling
Aktivitas yang dilakukan disini adalah melanjutkan pembuatan model proses
dengan mempelajari bagaimana data dan proses sistem digambarkan secara
grafis dengan menggunakan teknik analisa terstruktur yang mengidentifikasi
bagaimana aliran data dalam sebuah proses, aturan bisnis yang mengubah
data, dan output hasil aliran data.
3)
Object Modeling
Pada aktivitas ini dilakukan pembuatan model proses yang
mengkombinasikan data dan proses pengolahan data yang disebut dengan
objek. Objek-objek ini menggambarkan manusia, benda, transaksi, dan
peristiwa yang mempengaruhi sistem.
4)
Considerations of Development Strategies
Pada aktivitas ini dilakukan pertimbangan dari berbagai macam pilihan
pengembangan sistem dan melakukan persiapan untuk transisi ke fase
perancangan sistem.
2.1.4
Perancangan Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Design is the process of
specifying in detail how the many components of the information system should be
physically implemented.
|
|
Perancangan sistem adalah proses penetapan secara detail bagaimana komponen-
komponen sistem informasi yang banyak itu seharusnya diimplementasikan secara fisik.
Menurut Shelly, Rosenblatt (2012: 333) ada 3 aktivitas utama dalam perancangan
sistem :
1)
User Interface Design
Pada aktivitas ini dilakukan perancangan tampilan sistem yang
menggambarkan bagaimana user berinteraksi dengan sistem komputer dan
termasuk bagaimana semua tampilan, menu, fungsi, dan fitur yang ada pada
sistem mempengaruhi komunikasi dua arah diantara user dan komputer.
2)
Data Design
Pada aktivitas ini dilakukan penetapan bagaimana data akan diorganisir,
disimpan, dan diatur yang akan memberikan dampak pada kualitas dan
konsistensi data.
3)
System Architecture
Pada aktivitas ini dilakukan penetapan semua arsitektur sistem yang
mentranslasikan desain logis dari sebuah sistem informasi ke struktur fisik
(hardware, software, jaringan pendukung, metode pemrosesan, dan
keamanan) dengan tujuan untuk mengimplementasikan sistem informasi.
2.2
InformationTechnology(IT)
|
|
Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa manusia
terhadap proses penyampaian informasi dari pengirim ke penerima sehingga pengiriman
informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih lama
penyimpanannya.
2.2.1
Software
Menurut Wiliams dan Sawyer (2005,p12), perangkat lunak (software) adalah
instruksi tahapan demi tahapan yang diberikan kode secara elektronikal yang
memberitahu perangkat keras komputer untuk menampilkan tugas. Secara umum
software
dibagi menjadi 2tipe,
yaitu sistem software dan application software.Sistem
software membantu komputer untuk menjalankan tugas-tugas operasi yang penting dan
mengijinkan software aplikasi untuk dijalankan, Contohnya yaitu Windows XP, Linux.
Sedangkan application software memberikan pengguna untuk dapat mejalankan hal
spesifik –
memecahkan masalah atau menampilkan pekerjaan, contohnya yaitu Adobe
Photoshop, Microsoft Word, dll.
Sedangkan menurut (Syafrizal, 2007, p. 22)
mendefinisikan
perangkat
lunak
sebagai berikut :“Berfungsi
sebagai pengatur aktivitas kerja komputer dan semua
intruksi yang mengarah pada sistem komputer. Perangkat lunak menjembatani interaksi
user dengan komputer yang hanya memahami bahasa mesin.”
2.2.2
Jaringan Komputer
|
|
Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks) adalah suatu
himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa yang popular
dapat dijelaskan bahwa jaringan komputer adalah kumpulan beberapa komputer (dan
perangkat lain seperti printer, hub, dan sebagainya) yang saling terhubung satu sama lain
melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media
tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke
komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masing-masing
komputer yang terhubung tersebut bisa saling bertukar data atau sebagai perangkat keras.
Tujuan dari jaringan komputer adalah:
A. Membagi sumber daya: contohnya berbagi pemakaian printer,CPU,hardisk.
B. Komunikasi: contohnya e-mail, instant messenger, chatting.
C. Akses informasi: contohnya web browsing.
Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer
meminta dan
memberikan layanan (service). Pihak yang meminta / menerima layanan
disebut klien (client) dan yang memberikan / mengirim layanan disebut pelayan (server).
Arsitektur ini disebut dengan sistem client server, dan digunakan pada
hampir seluruh
aplikasi jaringan komputer.
Macam – macam Jaringan:
A.
Berdasarkan skala :
|
|
a.
Local Area Network
(LAN): suatu jaringan komputer yang menghubungkan
suatu komputer dengan komputer lain dengan jarak yang terbatas.
b.
Metropolitant Area Network
(MAN): prinsip samadengan LAN, hanya saja
jaraknya lebih luas, yaitu 10-50 km.
c.
Wide Area Network (WAN): jaraknya antar kota, negara, dan benua. Ini sama
dengan internet.
B.
Menurut(Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan fungsi
masing – masing komputer jaringan dapat dibagi menjadi:
a.
Peer to peer
Peer to peer adalah jenis jaringan komputer dimana setiap komputer bisa
menjadi server dan sekaligus client. Setiap komputer dapat menerima dan
member access
dari dank e-computer
lainnya. Pola ini banyak di
implementasikan pada jaringan LAN.
b.
Client Server
Client server adalah jaringan komputer yang salah satunya di fungsikan
menjadi server untuk melayani komputer lain. Komputer yang dilayani oleh
server dinamakan client.
C.
Menurut (Sofana, 2010, p. 114), jenis–jenis topologi jaringan LAN di bagi
menjadi :
a.
Topologi Bus
Topologi bus
menggunakan sebuah kabel backbonedan semua host
terhubung secara langsung pada kabel backbone tersebut.
|
|
b.
Topologi Star
Topologi starmenghubungkan semua komputer pada
sentral atau
konsentrator,biasanya konsentrator adalah sebuah hub dan switch.
c.
Topologi Ring
Topologi ringmenghubungkan host
dengan hostlainnya hingga
membentuk ring (lingkaran tertutup).
d.
Topologi Mesh
Topologi mesh
menghubungkan setiap komputer secara
point to point
yang berarti semua komputer akan saling terhubung satu dengan yang lainnya.
D.
Berdasarkan media transmisi data
a.
Jaringan Berkabel (Wired Network)
Pada jaringan ini, untuk menghubungkan satu komputer dengan komputer
lain diperlukan penghubung berupa kabel jaringan. Kabel jaringan berfungsi
dalam mengirim informasi dalam bentuk sinyal listrik antar komputer jaringan.
b.
Jaringan Nirkabel (WI-FI)
Jaringan nirkabel menjadi trend sebagai alternatif dari jaringan kabel,
terutama untuk pengembangan Local Area Network (LAN) tradisional karena
bisa mengurangi biaya pemasangan kabel dan mengurangi tugas-tugas relokasi
kabel apabila terjadi perubahan dalam arsitektur jaringan. Topologi ini dikenal
dengan berbagai nama, misalnya WLAN, WaveLAN, HotSpot, dan sebagainya.
2.3
Manajemen Risiko Teknologi Informasi
2.3.1
Risiko
|
|
Risiko akan selalu ditemukan dalam kehidupan dimana apabila dikelola
dengan baik dapat menjadi sebuah kesempatan (opportunity) dan sebaliknya,
apabila manajemennya buruk maka akan menjadi
sebuah ancaman (threat).
Definisi risiko menurut ISO (ISO Guide 73:2009, p.9) adalah suatu efek dari
ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan
bahwa efek tersebut bisa bersifat negatif maupun positif.
2.3.2
Manajemen Risiko
Menurut William Hotopf (2009, p.4) mendefinisikan manajemen
risiko
sebagai
manajemen
yang dilakukan berdasarkan analisis terhadap potensial
keterjadian dan dampak yang dapat terjadi apabila risiko penting tidak
dikendalikan atau dimitigasi. Dari dua definisi manajemen risiko diatas maka
dapat ditarik kesimpulan bahwa
manajemen risiko untuk setiap bidang bisnis
akan berbeda dan
manajemen
risiko harus dilakukan secara berkelanjutan,
karena risiko akan semakin berkembang seiring dengan pertumbuhan
perusahaaan.
2.3.3
Jenis–Jenis Risiko
Menurut (Gondodiyoto, 2009, pp. 110-111)dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis :
a.
Risiko Bisnis (Business Risks)
|
|
Risiko bisnis adalah risiko yang dapat disebabkan oleh factor-
faktor
internmaupun ekstern
yang berakibat kemungkinan tidak
tercapainya tujuan organisasi.
b.
Risiko Bawaan (Inherent Risks)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang
melekat pada suatu kegiatan jika tidak ada pengendalian internal.
c.
Risiko Pengendalian (Control Risks)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara optimal terhadap
setiap potensi risiko.Risiko pengendalian ialah masih adanya risiko
meskipun sudah ada pengendalian.
d.
Risiko Deteksi (Detection Risks)
Risiko deteksi ialah risiko yang terjadi karena prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya erroryang cukup
materialitas atau adanya kemungkinan fraud.
e.
Risiko Audit (Audit Risks)
Risiko audit sebenarnya kombinasi dari inherent risks, control
risks, dan detection risks. Risiko audit adalah risiko bahwa hasil
pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang
sesungguhnya.
2.4
Risiko-Risiko yang Terkait dengan Teknologi Informasi
2.4.1
Risiko Teknologi Informasi
|
|
Menurut Jordan dan Silcock (2005, p48), risiko teknologi informasi adalah
suatu kemungkinan kesalahan dengan teknologi informasi dan menyebabkan
suatu dampak negatif pada bisnis.
2.4.2
Ancaman
Menurut Peltier (2001, p21), ancaman adalah sebuah kejadian dengan
potensi yang menyebabkan akses yang tidak terotorisasi, modifikasi, perusakan
dari sumber daya informasi, aplikasi atau sistem.
2.4.3
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p 49-52), ada 7 kelas risiko TI, di
mana dalam setiap kelasnya teknologi informasinya dapat salah, dan
menyebabkan konsekuensi negatif untuk perusahaan. Tujuh kelas tersebut yaitu:
1.
Proyek – kegagalan untuk menyampaikan Kelas ini berfokus pada
kegagalan proyek TI, mempertimbangkan penunjukan proyek TI
dan proyek bisnis dengan suatu komponen TI yang kritis dan
penting.
2.
Kesinambungan pelayanan TI – ketika operasi bisnis terhenti Kelas
ini berkaitan dengan ketidakandalan pelayanan TI sehingga
menyebabkan gangguan kepada bisnis.
3.
Aset-aset informasi –
kegagalan untuk melindungi Kelas ini
berhubungan
secara
khusus pada kerusakan, kehilangan atau
eksploitasi dari aset informasi yang ada pada sistem TI.
4.
Penyedia jasa layanan dan vendor – kerusakan pada rantai nilai TI
Dewasa ini penyedia jasa layanan dan vendor memegang peranan
|
|
yang penting dalam pengiriman proyek TI dan operasi sehari -
hari. Ketika sebuah penyedia jasa layanan gagal mengirimkan,
maka akan muncul potensi dampak yang segera dan signifikan
pada sistem TI dan layanan. Vendor dipercayakan untuk banyak
aplikasi yang mengendalikan bisnis saat ini, bila ada kesalahan
pada produk mereka, maka penyelesaian sengketa dengan
penengahan kembali yang mereka ajukan bisa mungkin adalah
setengah –
setengah dan mereka boleh memilih untuk
menghapuskan setahap demi setahap aplikasi kunci perusahaan.
5.
Aplikasi – system flaky Kelas ini berhubungan dengan kagagalan
aplikasi TI. Aplikasi adalah sistem khusus yang
berinteraksi
dengan
user dan dalam
kebanyakan organisasi
merupakan
kombinasi dari software paket dan software khusus yang tujuannya
sampai tahap tertentu terintegrasi bersama-sama.
6.
Infrastruktur – fondasi yang rapuh Kelas ini berhubungan dengan
kegagalan dalam infrastruktur TI. Infrastruktur adalah nama umum
untuk berbagai komputer dan sumber daya jaringan terpusat dan
terdistribusi di mana aplikasi dijalankan.
7.
Strategis dan emergent –
dilumpuhkan oleh TI Kelas ini
berhubungan dengan kemampuan TI membiarkan eksekusi
menurun dari strategi bisnis. Dampaknya tidak segera terasa tetapi
akan menjadi signifikan dalam perencanaan bisnis strategis.
|
 2.4.4
Tahap Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62),
jalan kehidupan manajemen
risiko teridiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda
untuk jenis risiko yang berbeda:
1.
Pengenalan / Penemuan : menaruh risiko teknologi informasi pada radar
manajemen.
2.
Penilaian/ Analisis : mengerti risiko teknologi informasi dalam kontek tas
surat keseluruhan risiko informasi teknologi dan menilai kemungkinan
munculnya dan pengaruhnya pada bisnis.
3.
Perawatan : menetukan pilihan yang terbaik dari beberapa langkah
tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan
menyelesaikan tindakan yang diperlukan.
4.
Pengamatan / Peninjauan : menindaklanjuti untuk memastikan apa yang
direncanakan itu dikerjakan dan mengerti perubahan yang apa pada tas
surat risiko teknologi informasi.
2.4.5
Pengelolaan Teknologi Informasi
Information
Technology
Management
Managing the IT
organization and
Infrastructure
Managing Application
Development and
Technology
Managing Business and
IT Strategy
|
|
Gambar 2.1
Tabel 2.2Komponen Utama Pengelolaan TI
Menurut
O’Brien (2006, p. 478) Teknologi informasi merupakan sumber daya bisnis
penting yang harus dikelola dengan benar. O’brien dan George (2006, p478), mengemukakan
sebuah pendekatan
yang terkenal untuk mengelola teknologi informasi dalam
perusahaan
besar. Pendekatan
untuk
menggunakan TI agar dapat mendukung prioritas strategi bisnis
dalam perusahaan. Proses perencanaan bisnis/TI sesuai dengan tujuan strategi bisnis TI.
Proses tersebut juga meliputi evaluasi proses bisnis/TI yang diajukan. Mengelola
pengembangan dan implementasi aplikasi dan teknologi bisnis/TI baru (Managing the
development and implementation of new business/IT applications and technologies). Pengelolaan
pada bagian ini merupakan tanggung jawab dari top level management. Area manajemen TI ini
melibatkan pengelolaan proses pengembangan dan implementasi sistem informasi, serta
tanggung jawab penelitian ke dalam
penggunaan
bisnis yang strategi atas TI yang baru.
Mengelola organisasi TI dan
infrastruktur TI (Managing the IT organization and IT
infrastructure). Pengelolaan pada bagian ini merupakan tanggung jawab dari manajer TI dalam
mengelola tugas dari para pakar TI yang biasanya diatur dalam berbagai tim proyek dan subunit
organisasi lainnya. Selain itu, manajer TI juga bertanggung jawab dalam mengelola infrastruktur
TI yang meliputi hardware, software, database, jaringan telekomunikasi, dan sumber daya TI
lainnya yang harus diperoleh, dioperasikan, dimonitor dan dipelihara.
|
 2.5
Metode Pengukuran Risiko Teknologi Informasi
Menurut Maulana dan Supangkat (2006, p121), terdapat banyak metode yang bisa
digunakan dalam penerapan manajemen risiko teknologi informasi, diantaranya
menggunakan metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation ), COBIT (Control Objectives for Information and Related Technology), dan
NIST Special Publication 800-30.
2.5.1 OCTAVE
Gambar 2.1 Information Security Risk Management Framework
(Sumber : Muhammad Mahreza Maulana, Permodelan Framework ManajemenRisiko
Teknologi Informasi Untuk Perusahaan Di Negara Berkembang)
|
|
Menurut Muhammad Mahreza Maulana, Framework manajemen risiko
menggunakan pendekatan OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) Adalah :
1.
Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu
tentang seberapa baik aset organisasi dilindungi dari risiko. Tugas yang
harus dilakukan adalah identifikasi profil risiko (aset kritis, ancaman
terhadap aset, kebutuhan keamanan untuk aset kritis, deskripsi tentang
dampak risiko pada organisasi, dan komponen infrastruktur utama yang
berhubungan dengan aset kritis) dan identifikasi informasi organisasi 3
(kebijakan, praktek dan prosedur keamanan, kelemahan teknologi dan
kelemahan organisasi saat ini ).
2.
Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana
risiko-risiko ekstensif dan bagaimana menggunakan proyeksi tersebut
untuk membuat skala prioritas. Tugas dalam proses analisa adalah
melakukan evaluasi risiko (Nilai-nilai untuk mengukur risiko, dampak dan
peluang) dan skala prioritas risiko (pendekatan pengurangan risiko,
menerima atau mengurangi risiko).
3.
Perencanaan
|
|
Perencanaan merupakan proses untuk menentukan aksi-aksi yang
akan diambil untuk meningkatkan postur dan perlindungan keamanan aset
kritis tersebut. Langkah dalam perencanaan
adalah mengembangkan
strategi proteksi, rencana mitigasi risiko, rencana aksi, budget, jadwal,
kriteria sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasan
personil untuk implementasi rencana aksi.
4.
Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang
direncanakan untuk meningkatkan keamanan
sistem berdasarkan jadwal
dan kriteria sukses yang didefinisikan selama perencanaan risiko.
Implementasi menghubungkan antara perencanaan dengan monitor dan
kontrol.
5.
Monitor
Proses ini memonitor jejak rencana aksi untuk menentukan status
saat ini dan meninjau ulang data organisasi sebagai tanda adanya risiko
baru dan perubahan risiko yang ada. Langkah dalam proses monitor
adalah melakukan eksekusi rencana aksi 4 secara lengkap,
mengambil
data (data untuk melihat jalur rencana aksi terkini, data tentang indikator
risiko utama) dan laporan-laporan terkini dan indikator risiko utama.
6.
Kontrol
Mengontrol risiko adalah proses yang didesain agar personil
melakukan penyesuaian rencana aksi dan menentukan apakah merubah
|
|
kondisi organisasi akan menyebabkan timbulnya risiko baru. Langkah
dalam proses monitor risiko adalah analisa data (analisa laporan terkini
dan analisa indikator risiko), membuat keputusan (keputusan tentang
rencana aksi dan keputusan tentang identifikasi risiko baru), dan
melakukan eksekusi keputusan (mengkomunikasikan keputusan,
mengimplementasikan perubahan rencana aksi, dan memulai aktifitas
identifikasi risiko).
2.5.2 OCTAVE-S
Menurut Alberts et al. (2005, p3), OCTAVE-S adalah sebuah variasi dari
pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan
kecil, organisasi-organisasi yang tidak memiliki hierarki.
2.5.2.1 Tahapan, Proses, dan Aktivitas OCTAVE-S
Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar pada 3 tahap yang
dideskripsikan dalam kriteria OCTAVE,
meskipun nomor dan urutan kegiatan
berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan
singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahap satu adalah sebuah
evaluasi dari aspek organisasi. Selama dalam tahap ini,
tim analisis
menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi risiko. Hal ini juga mengindentifikasi aset-aset organisasi saat ini.
Dimana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi
dan membuat profil ancaman serta memiliki enam aktivitas.
Tahap kedua yaitu tim
analisis melakukan peninjuan ulang level tinggi
dari perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang di
|
|
pertimbangkan pemelihara dari infrast ruktur. Tahap ini memiliki satu proses
yaitu memeriksa perhitungan infrastruktur dalam
kaitannya dengan aset yang
kritis dimana terdapat aktivitas. Selama tahap ketiga, tim analisis mengidentifikasi
risiko dari aset kritis organisasi
dan
memutuskan apa yang
harus dilakukan
mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat
strategi perlindungan untuk organisai dan rencana mitigasi risiko yang ditujukan
pada aset kritis. Tahap ini terdiri atas 2 proses, 3 yaitu identifikasi dan analisis
risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana
proses ini memiliki delapan aktivitas.
2.5.2.2 Proses OCTAVE-S
Proses-proses metode OCTAVE-S, yaitu:
1. Fase I (Organizational View)
Fase pertama dalam OCTAVE-S adalah Asset-Based Threat
Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk
memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh
setiap aset, area yang diperhatikan, strategi proteksi yang sedang
diterapkan,dan risiko yang ada saat ini di perusahaan. Pada fase ini data
yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil
aset kritis organisasi. Fase pertama ini meliputi empat proses yang harus
dilakukan.
? Keempat proses ini dibahas dalam penjelasan berikut :
A. Fase I proses I (Identify Senior Manager Knowledge)
|
|
Proses pertama dalam fase I adalah melakukan identifikasi
pengetahuan manajer senior dalam hal keamanan informasi.Tim analisis
melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas
dalam proses ini terdiri dari:
1.
Mengidentifikasi aset penting –
Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk perusahaan. Mereka
juga membuat skala prioritas untuk mengidentifikasi lima aset
yang terpenting.
2.
Mendeskripsikan aset-aset yang rawan risiko –
Untuk lima aset
terpenting, manajer senior mendeskripsikan skenario bagaimana
aset-aset tersebut terancam.
3.
Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting –
Manajer senior mendefinisikan kebutuhan keamanan yang
diperlukan untuk aset terpenting.
4. Mengidentifikasi strategi proteksi terkini
risiko ada di
perusahaan –
Manajer senior melengkapi survey berdasarkan
catalog of practices. Mereka mendiskusikan jawaban survey
mereka untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
5. Meninjau kembali cakupan evaluasi –
Ini adalah kesempatan
kedua untuk manajer senior terlibat dalam lokakarya proses
|
|
pertama jika akan menambah atau mengurangi daftar area operasi
atau manajer.
B.
Fase I proses II ( IdentifyOperational Management Knowledge)
Pada proses ke dua ini diperoleh gambaran pengetahuan dari
manajer operasional. Manajer
ini adalah manajer dimana area yang
dikelolanya termasuk dalam cakupan OCTAVE-S.Tim analisis
memfasilitasi lokakarya dengan manajer area operasional sebagai
parsisipannya. Aktifitas dalam proses ke-2 ini terdiri dari:
1. Mengidentifikasi aset penting – Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk organisasi.
Mereka juga membuat skala prioritas untuk mengidentifikasi
lima aset yang terpenting.
2. Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset
terpenting, manajer senior mendeskripsikan skenario
bagaimana asset-aset tersebut terancam. Mendefinisikan
kebutuhan keamanan
untuk setiap aset terpenting – Manajer
senior mendefinisikan kebutuhan keamanan yang diperlukan
untuk aset terpenting. Mengidentifikasi strategi proteksi
terkini dan tingkat risiko yang ada di perusahaan – Manajer
senior
melengkapi survey berdasarkan catalog of practices.
Mereka mendiskusikan jawaban survey mereka untuk
memberikan tambahan informasi terhadap apa yang sudah dan
|
|
apa yang belum di laksanakan dengan baik dalam pandangan
keamanan.
Memverifikasi staf yang menjadi partisipan –
Manajer area meninjau kembal siapa saja staf yang akan
menjadi part isipan dalam OCTAVE-S.
C. Fase I proses III (Identify Staff Knowledge)
Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para
staf umum dan staf teknologi informasi. Para staf ini adalah para staf
dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S.Tim
analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya.
Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf
lebih dar i lima orang, maka akan diadakan beberapa lokakarya dengan
partisipan yang berbeda pada setiap lokakarya. Aktifitas dalam proses 3
ini terdiri dari:
1. Mengidentifikasi aset penting –
para staf mendefinisikan aset
apa yang penting untuk mereka dan untuk organisasi. Mereka
juga membuat skala prioritas untuk mengident ifikasi lima aset
yang terpenting.
2. Mendeskripsikan aset-aset yang rawan risiko – Untuk lima aset
terpent ing, para staf mendeskripsikan skenario bagaimana
asset-aset tersebut terancam.
3. Mendefinisikan kebutuhan keamanan untuk setiap aset
terpenting –
Para staf mendefinisikan kebutuhan keamanan
yang diperlukan untuk aset terpenting.
|
|
4. Mengidentifikasi strategi proteksi terkini dan vulnerability
organisasi – Para staf melengkapi survei berdasarkan catalog of
practices. Mereka mendiskusikan jawaban survei mer eka
untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
D. Fase I proses IV( Create Threat Profile)
Proses ke empat menggabungkan semua informasi yang diperoleh
dalam proses pertama sampai proses ketiga dan membuat sebuah profil
ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis
(beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri
dari:
1. Konsolidasi data –
tim analisis mendata daftar aset terpenting,
kebutuhan keamanan masing-masing aset ,dan melihat aset yang
r awan terhadap risiko pada proses pertama sampai proses ke
tiga.
2. Memilih aset kritis -
Dari keseluruhan aset terpent ing yang
diajukan oleh manajer senior, manajer area operasional dan para
staf, aset yang terpenting diseleksi oleh t im analisis.
3. Mendefinisikan kebutuhan keamanan untuk aset kritis –
tim
analisisi menyempurnakan informasi yang
diperoleh pada
|
|
proses pertama sampai ke tiga untuk sampai pada sebuah
rancangan akhir kebutuhan keamanan.
4. Menentukan ancaman terhadap aset krit is –
t im analisis
menyempurnakan
informasi mengenai aset-aset yang rawan
risiko yang diperoleh dari proses 3 pertama sampai proses ke t
iga dan menjabarkannya dalam profil ancaman keamanan.
2. Fase II (Identify Infrastructure Vulnerability)
Fase ke dua dalam OCTAVE-S adalah Identify Infrastructure Vulnerabil
ities.Fase ini melihat kerawanan risiko secara teknis yang terjadi pada aset kritis
dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase ke dua ini
meliputi dua proses yang akan dibahas lebih lanjut.
A. Fase II proses V (Identify Key Components)
Proses kelima mengident ifikasi
komponen kunci dar i
infrastruktur yang harus diuji kerawanan r isiko-nya secara teknis untuk
setiap aset kritis. Tim analisis mempertimbangkan
berbagai
macam
sistem dalam organisasi dan masing-masing komponennya. Tim analisis
mencari “system of interest” untuk setiap aset kritis, yaitu sistem yang
paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan
terdiri dari:
1. Mengidentifikasi klasifikasi utama pada setiap komponen dari
sebuah systems of interest diident ifikasikan untuk set iap aset
. Topologi atau pemetaan jaringan jenis lain digunakan untuk
meninjau di mana aset kritis berada dan bagaimana diakses.
|
|
Klasifikasi komponen utama dipilih berdasarkan bagaimana
aset diakses dan digunakan.
2. Mengidentifikasi komponen infrastruktur yang akan diuji.
Untuk setiap tipe komponen, tim analisis memilih komponen
tertentu untuk dievaluasi. Departemen
teknologi informasi
harus memberikan alamat jaringan secara spesifik atau lokasi
fisiknya dan akan diperlukan untuk menyusun evaluasi.
B. Fase II proses VI (Evaluate Selected Components)
Pada proses ini, komponen infrast ruktur yang dipilih untuk setiap
aset kritis dievaluasi untuk mengetahui tingkat kerawanan secara teknis.
Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan
membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri
dari:
1. Prework: menjalankan peralatan evaluasi vulnerability pada
komponen infrast ruktur sebelum lokakarya. Peralatan
evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga
disewa dari pihak lain.
2. Mengkaji tingkat kerawanan teknologi dan merangkum
hasilnya, dimana pemimpin evaluasi mempresentasikan
rangkuman hasil evaluasi kepada tim analisis. Mereka
kemudian mendiskusikan tingkat kerawanan yang mana yang
memer lukan perbaikan dalam jangka waktu dekat, menengah
|
|
atau
jangka panjang,
memodif ikasi
rangkuman
jika
diperlukan. Secara umum, hal ini berhubungan dengan derajat
kerumitan penentuan tingkat kerawanan dan aset kritis yang
dipengaruhinya.
3. Fase III (Develop Security Strategy and Plans)
Fase ketiga dalam OCTAVE-S adalah Develop Security Strategy and
Plans.Pada fase ini didefinisikan risiko
terkait dengan aset kritis, membuat
rencana mitigasi untuk risiko tersebut, dan membuat strategi perlindungan bagi
perusahaan.Rencana dan strategi dikaji dan diterima oleh manajer senior.Terdapat
dua proses dalam fase ke tiga yang akan dibahas berikutnya.
A. Fase III proses VII (Conduct Risk Analysis)
Selama proses ke tujuh, tim analisis mengkaji semua informasi
yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil
risiko
untuk setiap aset kritis. 3 Profil risiko
merupakan perluasan dari
profil ancaman, menambahkan pengukuran kualitatif terhadap akibat
kepada organisasi untuk setiap kemungkinan ancaman yang
terjadi.Kemungkinan untuk setiap kejadian tidak digunakan. Karena
menetapkan sebuah alasan kemungkinan secara akurat dari set iap
kejadian sangat sulit dan senantiasa berubah-ubah, maka kemungkinan
untuk setiap cabang diasumsikan sama. Aktifitas pada proses ini terdiri
dari:
|
|
1. Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis –
untuk setiap aset kritis, dilihat seberapa besar ancaman akan
mempengaruhi aset krit is diperusahaan.
2. Membuat kriteria evaluasi – dengan menggunakan pernyataan
akibat pada akt ifitas pertama, sebuah kriteria evaluasi akibat
ditetapkan untuk ancaman terhadap aset kritis perusahaan.
Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan
rendah) ditetapkan untuk banyak aspek (misalnya finansial atau
akibat operasional).
3. Mengevaluasi akibat dari ancaman terhadap aset krit is –
berdasarkan kriteria evaluasi setiap akibat dar i setiap ancaman
didef inisikan sebagai tinggi, menengah, atau rendah. Semua
informasi mengenai hal ini dicatat dalam Asset Profile
Workbook.
B. Fase III proses VIII (Develop Protection Strategy)
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan
strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk
risiko
terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada
lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun
proposal strategi dan perencanaan. Pada 3 lokakarya ke dua (disebut
lokakarya B), manajer senior mengkaji proposal, membuat perubahan
yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan
|
|
strategi dan perencanaan. Aktifitas pada Lokakarya A proses ini terdiri
dari:
1. Prework: Mengkompilasi hasil survey – hasil ini diperoleh dar i
kompilasi survey pada proses 1 sampai proses 3. Hasilnya
digunakan untuk melihat praktek mana yang telah dianggap
baik oleh sebagian besar responden dan mana yang dianggap
buruk oleh sebagian besar responden
2. Mengkaji informasi –
Informasi yang diperoleh dari proses-
proses sebelumnya dikaji ulang. Pengkajian ini meliputi
vulnerability, praktek, informasi risiko, dan kebutuhan
keamanan aset kritis.
3. Membuat strategi proteksi – strategi ini meliputi setiap praktek
yang dianggap harus dilaksanakan atau ditingkatkan, termasuk
praktek mana yang sudah dilaksanakan dengan baik. Membuat
rencana mitigasi –
untuk setiap aset, rencana mitigasi dibuat
untuk melakukan pencegahan, pengenalan, dan pemulihan dari
setiap risiko dan menjelaskan bagaimana mengukur efektifitas
dari kegiatan mitigasi.
4. Membuat daftar aktifitas – sebuah daftar aktifitas yang segera
dilaksanakan, biasanya meliputi vulnerability yang memerlukan
perbaikan dengan segera.
Lokakarya B meliputi aktifitas:
1.
Prework: Membuat presentasi untuk manajer senior
|
|
2.
Mengkaji informasi risiko –
tim analisis mempresentasikan
informasi berkaitan dengan aset kritis dan ringkasan hasil survey
kepada manajer senior.
3.
Mengkaji ulang dan memperbaiki strategi proteksi, rencanan
mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A.
Manajer senior dapat meminta perubahan, penambahan, atau
pengurangan.
4.
Menetapkan langkah selanjutnya –
Manajer senior memutuskan
bagaimana mengimplementasikan strategi, perencanaan, dan
aktifitas.
Untuk mempersiapkan proses OCTAVE-S, ada beberapa hal yang menjadi dasar
untuk keberhasilan evaluasi, yaitu:
1.
Mendapatkan dukungan sepenuhnya dari tingkatan manajemen
tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan
evaluasi. Jika manajemen tertinggi mendukung proses, maka orang-
orang dalam perusahaan akan berpartisipasi secara aktif. Dukungan,
dalam hal ini terwujud sebagai berikut: dukungan nyata dan
berkesinambungan dalam aktifitas OCTAVE-S, peningkatan
partisipasi aktif anggota perusahaan, pendelegasian tanggungjawab
dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S,
komitmen untuk mengalokasikan sumberdaya yang dibutuhkan,
persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat
yang harus diambil dengan adanya hasil evaluasi yang telah dilakukan.
|
|
2.
Memilih tim analisis. Anggota tim analisis harus memiliki
kemampuan dan keahlian yang mencukupi untuk memimpin
evaluasi.Mereka juga harus mengatahui bagaimana menambah
pengetahuan dan kemampuan mereka di luar tim. Secara umum, tim
analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan bisnis dan perspektif teknologi informasi, memiliki
pengetahuan dalam proses bisnis dan teknologi informasi, memiliki
kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta
berkomitmen untuk mengerahkan kemampuan yang dimiliki demi
keberhasilan OCTAVE-S.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja
dengan manajer dalam menentukan cakupan evaluasi, memilih part
isipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan
manajer senior atau manajer operasional dan pendukung teknologi
informasi untuk mengevaluasi
kerawanan (vulnerability);
mendapatkan, menganalisa dan mengelola data dan hasil selama
proses OCTAVE-S; mengakt ifkan akt ifitas assessment , yang fungsi
utamanya adalah menjamin bahwa personil yang diinginkan hadir
dalam lokakarya yang ditentukan; mengurus dukungan logistik.
Secara umum, tim inti analisis harus memiliki kemampuan berikut
: fasilitasi,komunikasi yang baik, analisis yang baik, beker jasama
dengan manajer senior, manajer operasional dan anggota organisasi,
memahami lingkungan bisnis organisasi, memahami lingkungan
|
|
teknologi informasi dalam organisasi dan mengetahui bagaimana staf
bisnis menggunakan teknologi informasi organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan
berikut ini, atau memperolehnya melalui anggota tim tambahan:
lingkungan teknologi informasi yang ada diperusahaan dan
pengetahuan topologi jaringan dalam perusahaan, mengetahui
aksploitasi terkini terhadap risiko yang ada, mengetahui bagaimana
menginterpretasikan hasil evaluasi terhadap risiko oleh perangkat
lunak, mengetahui praktek perencanaan perusahaan, serta mampu
mengembangkan perencanaan.
3. Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area
operasi yang penting. Jika cakupan terlalu luas, maka akan sulit
menganalisa data, dan jika cakupan terlalu sempit maka hasilnya
tidak akan banyak berarti.
4. Memilih part isipan. Setiap karyawan berbagai tingkatan divisi akan
menyumbangkan
pengetahuannya. Dan setiap karyawan perlu
mengetahui area kerja mereka.
5. Mengkoordinasi logistik. Tim inti analisis melakukan koordinasi
logistik yang
diperlukan dalam setiap aktifitas OCTAVE-S
meliputi: penjadwalan, koordinasi persiapan ruang pertemuan,
peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S,
menangani kejadian tidak terduga misalnya penggantian jadwal dan
perubahan personil dalam pertemuan.
|
|
Dari uraian tahap, proses dan akt ivitas diatas, tim analisis
memandang keamanan dari berbagai perspektif, memastikan
rekomendasi mencapai keseimbangan dasar yang sesuai pada
kebutuhan perusahaan.Dan hal tersebut dapat dilihat penjabaran tiga
puluh langkah OCTAVE-S yang terdapat pada lampiran.
Dari tahap-tahap yang sudah di jelaskan, berikut langkah–langkah penelitian yang
kami gunakan :
Tahap 1 : Build Asset- Based Thread Profile
Proses 1 : Identifikasi Informasi Organisasi
1.1
Membangun dampak dari kriteria evaluasi
Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (tinggi,
sedang, rendah) terhadap efek risiko yang akan dievaluasi dalam
misi organisasi dan tujuan bisnis organisasi.
1.2
Mengidentifikasi aset organisasi
Langkah 2 : Mengidentifikasi aset yang berhubungan dengan informasi dalam
organisasi (informasi, sistem, aplikasi dan orang).
1.3
Mengevaluasi praktek keamanan organisasi
Langkah 3 :
A.
Menentukan batasan pada setiap praktek dalam survey yang digunakan
dalam organisasi.
|
|
B.
Mengevaluasi praktek pengamanan dengan mempergunakan survey
dari langkah sebelumnya.
Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (merah,
kuning, hijau) untuk area praktek pengamanan.
Proses 2 : Membuat Profil Ancaman
2.1
Memilih aset kritis
Langkah 5 :
Mengkaji ulang aset yang berhubungan dengan informasi yang telah
diidentifikasi pada saat langkah dua dan memilih kurang lebih lima
aset yang paling kritis dalam organisasi.
Langkah 6 :
Memulai sebuah kertas kerja informasi aset kritis untuk stiap aset
kritis. Catat nama aset kritis pada kertas kerja informasi aset kritis
yang tepat.
Langkah 7 :
Mencatat dasar pemikiran untuk memilih setiap aset kritis pada
kertas kerja informasi aset kritis.
Langkah 8 : Mencatat deskripsi untuk setiap aset kritis pada kertas kerja informasi
aset kritis. Pertimbangkan siapa saja yang menggunakan setiap aset
kritis dan yang bertanggung jawab.
Langkah 9 : Mencatat aset yang terkait dengan setiap aset kritis pada kertas kerja
informasi aset kritis. Pada kertas kerja identifikasi aset menentukan
aset yang berhubungan dengan aset kritis.
2.2
Identifikasi kebutuhan keamanan untuk aset kritis
Langkah 10 : Mencatat persyaratan pengamanan yang dibutuhkan untuk setiap
aset kritis pada kertas kerja informasi aset kritis.
|
|
Langkah 11 : Untuk setiap aset kritis, mencatat persayaratan keamanan yang
paling penting pada aset kertas kerja informasi aset kritis.
2.3
Identifikasi ancaman pada aset kritis
Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk setiap aset
kritis. Tandai setiap bagian dari tiap skema untuk ancaman yang
tidak dapat diabaikan terhadap aset.
Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada kertas kerja
profil risiko untuk setiap kombinasi motif pelaku yang sesuai.
Langkah 14 : Mencatat kekuatan motif ancaman yang disengaja karena tindakan
manusia. Catat seberapa besar kepercayaan terhadap perkiraan
kekuatan atas motif pelaku.
Langkah 15 : Mencatat seberapa sering ancaman telah terjadi dimasa lalu. Catat
seberapa keakuratan data.
Langkah 16 : Mencatat area yang terkait untuk setiap sumber ancaman yang
sesuai. Area yang terkait menjadi suatu skenario yang
mendefinisikan seberapa spesifik ancaman dapat
mempengaruhi
aset kritis.
Tahap 2 : Identify Infrastructure Vulnerabilities
Proses 3 : Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan
Aset Kritis
3.1
Memeriksa jalur aset
|
|
Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis, yaitu sistem
yang paling berkaitan erat dengan aset kritis.
Langkah 18a : Memeriksa jalur yang digunakan untuk mengakses setiap aset
kritis dan memilih kelas kunci dari komponen yang terkait untuk
setiap aset kritis.
Langkah 18b : Menentukan kelas komponen
yang berfungsi sebagai jalur aset
(misalnya, komponen yang digunakan untuk mengirimkan
informasi dan aplikasi dari sistem yang menarik untuk orang).
Langkah 18c : Menentukan kelas komponen, baik internal
maupun eksternal ke
jaringan organisasi, yang digunakan oleh orang (misalnya,
pengguna, penyerang) untuk mengakses sistem.
Langkah 18d : Menentukan dimana informasi yang menarik dari sistem disimpan
untuk membuat back up.
Langkah 18e : Menentukan sistem lain yang dapat mengakses informasi atau
aplikasi dari system of interest dan kelas-kelas komponen mana
yang dapat digunakan untuk mengakses informasi penting.
3.2
Menganalisa proses yang terkait dengan teknologi
Langkah 19a : Tentukan kelas komponen yang terkait dengan satu atau lebih aset
kritis dan yang dapat memberikan akses ke aset tersebut.
Langkah 19b : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan aset kritis mana yang terkait dengan kelas
tersebut.
|
|
Langkah 20 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan orang atau kelompok yang bertanggung jawab
untuk memelihara dan melindungi kelas komponen.
Langkah 21 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan sejauh mana kelas tersebut dapat bertahan
terhadap serangan jaringan. Juga catat bagaimana kesimpulan
tersebut diperoleh. Akhirnya dokumen konteks tambahan yang
berhubungan dengan analisis infrastruktur.
Tahap 3 : Develop Security Strategy And Plans
Proses 4 : Identifikasi dan Analisa Risiko
4.1
Mengevaluasi dampak ancaman
Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan,
menetapkan
nilai dampak (tinggi, sedang, atau rendah) untuk
ancaman aktif setiap aset kritis.
4.2
Membangun kemungkinan kriteria evaluasi
Langkah 23 : Tentukan ukuran
kualitatif pengukuran (tinggi, sedang, rendah)
terhadap kemungkinan terjadinya ancaman yang akan di evaluasi.
4.3
Mengevaluasi kemungkinan ancaman
Langkah 24 : Menggunakan kriteria evaluasi probabilitas sebagai panduan,
menetapkan nilai probabilitas (tinggi, sedang, atau rendah) untuk
masing-masing ancaman aktif untuk setiap aset kritis.
Proses 5 : Mengembangkan Strategi Perlindungan dan Rencana Mitigasi
|
|
5.1
Menggambarkan strategi perlindungan saat ini
Langkah 25 : mengirim status spotlight dari setiap area praktek keamanan yang
sesuai dengan area yang terkait pada kertas kerja
strategi
perlindungan. Untuk setiap wilayah praktek keamanan,
identifikasikan pendekatan organisasi saat ini untuk mengatasi
area tersebut.
5.2
Memilih pendekatan mitigasi
Langkah 26 : mengirim status spotlight dari setiap praktek keamanan dari kertas
kerja praktek keamanan ke "area praktek keamanan" bagian
(Langkah 26) dari setiap aset kritis dari kertas kerja profil risiko.
Langkah 27 : Pilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk
setiap risiko yang aktif. Untuk setiap risiko diputuskan untuk
ditangani, lingkaran satu atau lebih area praktek keamanan untuk
dilaksanakan kegiatan mitigasi.
5.3
Mengembangkan rencana mitigasi risiko
Langkah 28 : Mengembangkan rencana mitigasi untuk setiap area praktek
keamanan yang dipilih pada Langkah 27.
5.4
Mengidentifikasi perubahan untuk strategi perlindungan
Langkah 29 : Tentukan apakah rencana mitigasi mempengaruhi strategi
perlindungan organisasi. Catat setiap perubahan kertas kerja
strategi perlindungan. Selanjutnya, meninjau ulang strategi
perlindungan, termasuk perubahan yang diajukan.
5.5
Mengidentifikasi langkah selanjutnya
|
|
Langkah 30 : Tentukan apakah organisasi perlu melakukan penerapan hasil
evaluasi ini dan mengembangkan sikap keamanan.
|
 2.5.3.. Perbandingan Model Framework
Tabel 2.2 Ruang Lingkup Proses Model
(Sumber : Muhammad Mahreza Maulana, Permodelan Framework Manajemen
Risiko Teknologi Informasi Untuk Perusahaan Di Negara Berkembang)
Model framework manajemen risiko berdasarkan studi best practice COBIT,
rekomendasi NIST Spesial Publication
80-300, dan OCTAVE terdiri dari proses
identifikasi risiko (sumber risiko, kejadian risiko, dampak risiko), analisa risiko (tingkat
kecenderungan dan besarnya dampak risiko), respon risiko (hilangkan risiko, kurangi
risiko, cegah risiko atau transfer risiko) dan evaluasi risiko (adakah sisa risiko atau risiko
baru) (Tabel 2.2). Model framework
manajemen risiko yang sederhana ini dapat
membantu perusahaan TI di negara-negara berkembang untuk dapat mengenal risiko TI
di perusahaannya, menganalisa risiko, dan memilih respon terhadap risiko yang
teridentifikasi tersebut.
|
|
2.5.4. Perbandingan OCTAVE dengan OCTAVE-s
Sebelum menggunakan metode OCTAVE-s, ada dua perbedaan utama dan
OCTAVE-s yang harus diketahui, yaitu:
1. OCTAVE-S memerlukan tim kecil antar 3-5 orang yang memahami seluk
beluk perusahaan. Versi ini tidak dimulai dengan pengetahuan formal elicitation
workshops untuk mengumpulkan informasi tentang aset penting, persyaratan 4
keamanan, ancaman, dan praktik keamanan. Asumsinya adalah bahwa tim analisis telah
mengetahui informasi ini.
2. OCTAVE-S
hanya mencakup eksplorasi yang terbatas dari infrastruktur
komputerisasi.
Perusahaan kecil
sering melakukan outsourcingIT mereka secara
keseluruhan tidak memiliki kemampuan untuk menjalankan atau menafsirkan hasil alat
kerentanan. OCTAVE-S dikembangkan dan dikemudikan dengan organisasi-organisasi
kecil mulai 20-80 orang.Pengendali organisasi bersama. Pertama, struktur organisasi
mereka yang relatif datar, dan orang-orang dari berbagai tingkat organisasi yang terbiasa
bekerja dengan satu sama lain. Kedua, orang-orang sering diharuskan untuk multitask,
memperlihatkan anggota staf dengan proses dan prosedur yang digunakan di seluruh
perusahaan. Menurut Christopher Alberts (2003, P 5 -
6), OCTAVE-s didasarkan
tahapan yang dijelaskan dalam kriteria OCTAVE. Meskipun jumlah dan urutan kegiatan
yang berbeda dari yang digunakan dalam Metode OCTAVE. Bagian ini memberikan
gambaran singkat mengenai tahapan, proses, dan aktivitas OCTAVE –S :
1. Fase 1 : Pembangunan Aset Berdasarkan Profil ancaman
|
|
Fase 1 merupakan evaluasi terhadap aspek organisasi. Selama fase ini, tim
analisis mendefinisikan dampak kriteria evaluasi yang akan digunakan kemudian untuk
mengevaluasi risiko. Ini juga mengidentifikasi aset organisasi yang penting dan
mengevaluasi praktik keamanan terkini didalam organisasi. Tim menyelesaikan semua
tugas dengan sendirinya, mengumpulkan informasi tambahan hanya jika diperlukan. 4
Kemudian memilih 3-5 aset penting untuk menganalisis secara mendalam berdasarkan
relatif penting bagi organisasi. Akhirnya, tim mendefinisikan persyaratan keamanan dan
mendefinisikan profil ancaman untuk setiap aset kritis. Tabel 2.5
menggambarkan
proses dan kegiatan Fase 1.
|
 Phase
Process
Activity
Phase 1:build asset-
based thread profile
Proses s1:Indentify
OrganizaTional
Information
S1.1 Establish
Impact Evaluation
Criteria
S1.2 Identify
Organizational
Security Practices
Process S2:Create
Threat Profile
S2.1 Select Critical
Assets
S2.2 Identify
Security
Requirements for
Critical Assets
S3.2 Analyze
Technology Related
Processes
Tabel 2.3 Proses dan Aktivitas dari Fase 1
(Sumber : Albert Christopher, OCTAVE -s Implemention Guide, Version
1.0,Volume 1 : Introduction to Octave-s)
2. Fase 2 : Mengidentifikasi Kerentanan Infrastruktur
|
 Selama fase ini, tim analisis melakukan review tingkat tinggi pada infrastruktur
organisasi yang terkomputerisasi, dengan fokus pada sejauh mana keamanan dianggap
oleh pengelola infrastruktur. Tim analisis pertama menganalisa bagaimana orang
menggunakan infrastruktur komputeriasi untuk mengakses aset kritis, menghasilkan
kelas-kelas utama dari komponen komponenseperti siapa yang bertanggung jawab untuk
mengkonfigurasi dan memelihara komponen-komponen itu. Tim kemudian meneliti
sejauh mana masing-masing pihak bertanggung jawab atas keamanan yang terdapat
dalam teknologi informasi praktik dan proses. Proses dan kegiatan fase 2 diperlihatkan
dalam Tabel 2.6
Phase
Phase 2: Identify
Infrastructure
Vulnerabilities
Process S3:Examine
Computing
Infrastructure in
Relation to Critical
Assets
S3.1 Examine Access
Paths
S3.2 Analiyze
Technology Related
Processes
Tabel 2.4 Proses dan Aktivitas dari Fase 2
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,Volumme 1 :
Introduction to Octave-s)
3. Fase 3 : Mengembangkan Strategi Keamanan dan Perencanaan
|
|
Selama Fase 3, tim analis mengidentifikasi risiko terhadap aset kritis organisasi
dan memutuskan apa yang harus dilakukan tentang mereka. Berdasarkan analisis
informasi yang dikumpulkan, tim membuat strategi perlindungan bagi organisasi dan
rencana mitigasi untuk mengatasi risiko terhadap aset kritis. Lembar kerja OCTAVE-s
yang digunakan selama Tahap 3 ini sangat terstruktur dan terkait erat dengan praktek
katalog OCTAVE, yang memungkinkan tim untuk berhubungan dengan rekomendasi
untuk perbaikan yang dapat diterima kedalam praktik keamanan ke benchmark.
Tabel 2.7 menggambarkan proses dan kegiatan fase 3.
|
 Phase
Process
Activity
Phase 3:Develop Security
Strategy and plans
Process S4 : Identify and
analyze risks
S4.1 Evaluate Impacts of
Threats
S4.2Establish Probabilities
Evaluation criteria
S4.3 Establish
Probabilities of Threath
Process S5:Develop
Protection Strategy and
Mitigation Plans
S5.1 Describe Current
Protection Strategy
S5.2 Select Mitigation
Approaches
S5.3Develop Risk
Mitigation Plans
S5.4 Identify changes to
Protection Strategy
S5.5 Identify Next Steps
Tabel 2.5 Proses dan Aktivitas dari Fase 3
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,
Volumme 1 : Introduction to Octave-s)
|