You are on page 1of 19

Nama : Mohammad Harry K Saputra

NIM : 1322402172
Personal Assignment 4

1. Jelaskan jenis pengendalian yang dapat diimplementasikan pada perusahaan untuk


menghindari resiko berikut ini:
Assets fall into an unauthorized person
Assets are modified without authorization
Assets are lost or damaged.
Access to discontinued assets.
2. Jelaskan apa yang dimaksud dengan metode OCTAVE www.cert.org/octave/. Anda
diminta untuk menjelaskan hasil pengukuran resiko tersebut beserta solusi yang
anda

tawarkan

kepada

manajemen resiko.

perusahaan

tempat

untuk

mendukung

kebijakan

Jawaban :
Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang
sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi
tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau
organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi,
mempercepat kembalinya investasi dan memperluas peluang usah. Beragam bentuk
informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi
diantaranya : informasi yang tersimpan dalam komputer ( baik desktop komputer
maupun mobile komputer ), informasi yang ditransmisikan melalui network, informasi
yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket,cd,atau media
penyimpanan lain, informasi yang dilakukan dalam pembicaraan ( termasuk percakapan
melalui telepon ), dikirim melalui telex, email, informasi yang tersimpan dalam database,
tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain,
dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ideide baru organisasi atau perusahaan.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan,
secara umum diartikan sebagai quality or state of being secure-to be free from danger.
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan
bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya.
Contoh dari tinjauan keamanan informasi adalah:

Physical Security yang memfokuskan strategi untuk mengamankan pekerja

atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

Personal Security yang overlap dengan phisycal security dalam melindungi

orang-orang dalam organisasi

Operation Security yang memfokuskan strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

Communications Security yang bertujuan mengamankan media komunikasi,

teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.

Network Security yang memfokuskan pada pengamanan peralatan jaringan

data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan


jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Masing-masing komponen di atas berkontribusi dalam program keamanan
informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi
termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya.
Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin
kelangsungan

usaha,

meminimalisasi

kerusakan

akibat

terjadinya

ancaman,

mempercepat kembalinya investasi dan peluang usaha.


Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa
menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle
model, adalah sebagai berikut:

Confidentiality
Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak
yang boleh mengakses informasi tertentu.

Integrity
Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi,
kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.

Availability
Availability: adalah aspek keamanan informasi yang menjamin pengguna
dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format
yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau
komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses
informasi.

Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam
bukunya Management Of Information Security adalah:

Privacy
Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah
dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat
informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik
informasi dari orang lain.

Identification
Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu
pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses
ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam
penggunaan user name atau user ID.

Authentication
Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna
memang benar-benar orang yang memiliki identitas yang mereka klaim.

Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut
autorisasi

memberikan

jaminan

bahwa

pengguna

(manusia

ataupun

komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk


mengakses, mengubah, atau menghapus isi dari aset informasi.

Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua
aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang
melakukan aktifitas itu.

Untuk membuat proses keamanan informasi secara efektif, sangat penting


memahami beberapa prinsip dalam manajemen. Secara sederhana, manajemen adalah

proses untuk mencapai tujuan dengan menggunakan sumberdaya yang ada [3].
Manajer adalah seseorang yang bekerja dengan orang lain dan melalui orang lain
dengan cara mengkoordinasi kerja mereka untuk memenuhi tujuan organisasi. Tugas
manajer adalah untuk memimpin pengelolaan sumberdaya organisasi, melakukan
koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang
aturan-aturan yang diperlukan untuk memenuhi tujuan organisasi. Diantara aturanaturan itu adalah:

Aturan informasi : mengumpulkan, memproses, dan menggunakan informasi


yang dapat mempengaruhi pencapaian tujuan.

Aturan interpersonal : berinteraksi dengan stakeholder dan orang atau


organisasi lain yang mempengaruhi atau dipengaruhi oleh tercapainya tujuan
organisasi dimana dia menjadi manajer.

Aturan keputusan : memilih diantara beberapa alternatif pendekatan,


memecahkan konflik, dilema atau tantangan.

Manajer

mengelola

sumberdaya

organisasi

meliputi

perencanaan

biaya

organisasi, otorisasi pengeluaran biaya, dan menyewa pekerja.


Ketika sejumlah data penting dalam bentuk elektronik, maka data tersebut rentan
terhadap

berbagai

jenis

ancaman,

daripada

data

yang

tersimpan

secara

manual.Ancaman-ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan
lingkungan yang diperparah oleh akibat keputusan manajemen yang buruk.Bagi
perusahaan atau individu di dalam menyimpan data-data penting yang menyangkut
privasi atau kerahasiaan perusahaan, apalagi perusahaan yang menggunakan web,
sangat rentan terhadap penyalahgunaan, karena pada dasarnya web mempunyai akses
yang sangat luas dan dapat diakses oleh semua orang, membuat sistem perusahaan
dengan mudah mendapat serangan yang pada umumnya berasal dari pihak luar,
seperti hacker. seorang hacker adalah seseorang yang ingin mendapatkan akses
secara tidak sah dari suatu sistem komputer, dan biasanya hacker ini memiliki maksud
kriminal dengan tujuan tertentu, seperti karena tujuan keuntungan , kejahatan atau
kesenangan pribadi. Aktivitas hacker tidak hanya terbatas menyusup ke dalam sistem,
tetapi juga mencuri barang dan informasi dalam dan bisa merusak sistem melalui

serangan, diantaranya serangan DoS (Distributed Denial-of-Service), yaitu jaringan


serangan penolakan layanan terdistribusi yang menggunakan ribuan komputer untuk
membanjiri jaringan sasaran. DoS seringkali membuat situs mati dan tidak dapat
diakses oleh pengguna yang sah.Bagi perusahaan dengan jaringan Wi-Fi, tidak
menjamin terlepas dari para penyusup yang dengan mudah menggunakan programprogram sniffer dan spoofing untuk mendapatkan alamat untuk mengakses tanpa izin,
yang memungkinkan hacker mampu mencuri informasi berharga dari jaringan
manapun,

termasuk

pesan

e-mail,

file

serta

laporan

penting

perusahaan.

Kerusakan sistem informasi juga bisa terjadi karena adanya peranti lunak yang
berbahaya, seperti virus komputer yang menempelkan diri ke program lainnya tanpa
sepengetahuan dan seizin pengguna. Ancaman lainnya yatu worn (cacing) yang
mengakibatkan kehancuran data dan program serta bisa menghentikan kerja jaringan
komputer. Trojan Horse adalah program peranti lunak yang dianggap tidak terlalu
berbahaya, tetapi bisa menjadi jalan bagi virus lainnya untuk masuk ke dalam sistem
komputer, dan spyware adalah peranti lunak berbahaya yang memasang diri secara
sembunyi-sembunyi di komputer untuk memantau kegiatan penelusuran web oleh
pengguna komputer.
Kejahatan dalam sistem informasi juga meliputi pencurian identitas, seperti yang
dilakukan oleh pelaku phishing, yang membuat situs palsu atau mengirim pesan e-mail
yang mirip dengan pesan yang berasal dari perusahaan yang sah. Dengan maksud
untuk meminta pengguna mengisi data pribadi mereka yang sangat rahasia, seperti no
rekening pribadi pengguna.
Selain itu, pengguna akhir dalam sistem informasi juga dapat melakukan
kesalahan. Kita cenderung berpikir bahwa ancaman keamanan data dalam perusahaan
hanyan berasal dari luar, tetapim pada kenyataannya, ada pihak internal perusahaan
yang bisa mengancam keamanan, yaitu karyawan, mereka pada umumnya mempunyai
akses informasi yang istimewa, karena kesalahan memasukkan data dan prosedur
keamanan internal yang buruk dalam perusahaan, mereka dapat menjelajahi sistem
perusahaan tanpa meninggalkan jejak.
A. Nilai Bisnis dari Pengamanan dan Pengendalian

Kebanyakan perusahaan memiliki aset informasi yang sangat penting untuk


dilindungi, seperti informasi aset keuangan atau mengenai rahasia perdagangan, dan
keengganan perusahaan menghabiskan anggarannya untuk keamanan, karena dinilai
tidak secara langsung berhubungan dengan pendapatan penjualan. Padahal keamanan
sebuah perusahaan bisa terancam dan perusahaan bisa menderita kerugiaan yang
lebih besar dari yang diperkirakan.
Perusahaan harus melindungi tidak hanya aset informasinya sendiri, tetapi juga
milik pelanggan, karyawan dan mitra bisnisnya. Kegagalan dalam melakukan hal ini
akan membuat perusahaan tersebut dapat dituntut dalam proses pengadilan, karena
mengekpos data atau melakukan pencurian data. Undang-undang baru seperti HIPAA
(Health Insurance Portability and Accountability Act), undang-undang-Gramm- LeachBliley (undang-undang Modernisasi Jasa Keuangan), undang-undang Sarbanes-Oxley
(undang-undang Reformasi Akuntansi Perusahaan Publik dan Perlindungan Terhadap
Investor), mengharuskan perusahaan untuk mempraktikkan manajemen catatan
elektronik yang ketat dan mematuhi standar-standar yang tegas dalam hal
pengamanan, privasi dan kontrol. Tindakan hukum yang membutuhkan bukti-bukti
elektronik dan ilmu forensik komputer juga mengharuskan perusahaan memberikan
perhatiaan lebih pada masalah pengamanan manajeman catatan elektronik.
B.

Merancang

Kerangka

Kerja

Organisasional

dalam

Pengamanan

dan

Pengendaliaan
Teknologi bukan hal utama yang harus mendapatkan perhatiaan khusus dalam
pengamanan dan pengendalian, tetapi apabila tidak adanya kebijakan manajemen yang
cerdas, bakan teknologi yang secanggih apapun juga akan dikalahkan dengan mudah.
Adanya kebijakan manajemen yang cerdas dengan menetapkan suatu kerangka
pengorganisasian dan pengelolaan dalam pengamanan dan pengendalian untuk
menggunakan teknologi dengan efektif untuk melindungi sumber informasi perusahaan.
Dalam menentukan kebijakan dalam hal pengamanan, perusahaan harus terlebih
dahulu mengetahui aset-aset mana saja yang membutuhkan perlindungan data dan
sejauh mana akses-akses tersebut terancam.

Penilaian resiko membantu menjawab pertanyaan tersebut da menentukan


perangkat pengendalian mana yang paling efektif dari segi biaya untuk melindungi aset
perusahaan. Setelah berhasil mengidentifikasi resiko utama bagi sistem dalam
perusahaan. Selanjutnya perlu membangun dan mengembangkan kebijakan keamanan
dengan merencanakan keberlangsungan bisnis pada saat terjadi bencana atau
kekacauan untuk melindungi aset perusahaan, yang terdiri dari kebijakan penggunaan
yang diterima, yaitu penggunaan sumber-sumber informasi perusahaan dan perangkat
komputasi yang diizinkan, kebijakan otorisasi, yang menentukan tingkat akses yang
berbeda

ke

aset

informasi

untuk

tingkat

pengguna

yang

berbeda

pula.

Rencana pemulihan bencana, merancang cara-cara merestorasi layanan komputasi


dan komunikasi setelah terganggu oleh suatu peristiwa seperti gempa bumi, fokus
utamanya adalah menjaga agar sistem tetap baik dan berjalan. Perencanaan
keberlangsungan bisnis, terfokus pada bagaimana perusahaan dapat mengembalikan
operasi bisnis setelah dilanda bencana. Mengidentifikasikan proses -proses bisnis yang
penting dan menentukan rencana tindakan untuk menangani fungsi-fungsi kritis jika
sistemnya mati.
C. Mengevaluasi Berbagai Perangkat dan Teknologi yang Paling Penting untuk
Melindungi Sumber-Sumber Informasi.
Perusahaan memerlukan upaya khusus untuk melindungi sistem dan data,
sehingga mendukung dalam proses bisnis, apalagi perusahaan digital. Sejumlah aturan
dan teknologi tersedia untuk mengamankan sistem dan data, di antaranya :
1. Perangkat autentikasi seperti token, kartu pintar dan autentikasi biometrik, biasa
digunakan untuk mengetahui pengguna sistem.
2. Firewall yang digunakan untuk menjaga agar pengguna tidak sah tidak masuk
ke jaringan pribadi.
3. Sistem deteksi gangguan, melakukan pemantauan yang diletakkan di titik-titik
yang paling rentan dalam jaringan perusahaan untuk secara kontinyu mendeteksi dan
menghalangi para penyusup.

4.Peranti lunak anti virus dirancang untuk memeriksa adanya virus komputer
dalam sistem dan drive komputer.
5. Ekripsi, pengodean dan pengacauan pesan, merupakan teknologi yang biasa
digunakan untuk pengamanan dalam mengirim data melalui internet dan jaringan Wi-Fi.
6. Tanda tangan digital dan sertifikat digital, digunakan untuk membantu proses
autentikasi

lebih

jauah

lagi

pada

saat

transaksi

elektronik.

atau dengan
Menutup atau menonaktifkan servis-servis yang tidak digunakan
Salah satu hal yang mungkin tidak kita sadari adalah membiarkan keberadaan
servis-servis yang kurang penting dalam kondisi terbuka atau aktif yang dapat menjadi
celah keamanan pada sistem komputer kita. Ada beberapa alasan yang menyebabkan
kita membiarkan servis-servis sistem kita terpasang atau terbuka. Salah satunya adalah
karena kurangnya pengetahuan kita tentang servis-servis yang memang telah aktif
secara default setelah kita menginstal sistem komputer kita. Hal ini menyebabkan
ketakutan kita untuk menonaktifkan servis-servis tersebut, khawatir karena akan ada
kerusakan yang akibat tidak aktifnya servis-servis itu, dan banyak hal lainnya. Bila
perlu, coba perhatikan servis yang ada pada sistem kalian, pasti sangat banyak
ragamnya dan kita juga tidak tau apa fungsi masing-masing servis dan tidak tau servis
mana yang paling penting dan paling kita butuhkan saat ini.
Mengatur Akses Control Access
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme authentication dan access
control. Implementasi dari mekanisme ini antara lain dengan menggunakan
password. Paling tidak inilah 1 hal yang paling mudah kita lakukan untuk
mengamankan sistem kita.

Memasang Prokteksi
Untuk

lebih

meningkatkan

keamanan

sistem

informasi,

proteksi

dapat

ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik
adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau
bahkan dalam level package tertentu. Penangkal lainnya adalah untuk memproteksi
sistem kita adalah dengan memasang, meng-update terus anti virus kita.
Firewall
Apa itu firewall? nah firewall ini adalah dinding pemabatas atau didinding pelindung kita
dari luar dan dalam sistem kita sendiri. Saya ibaratkan seperti pagar garasi ruamh kita,
atau dinding-dinding kanan kiri depan belakang rumah kita, yang pada umumnya
merupakan cara pengamanan kita dari dalam dan luar rumah kita. Jadi begini, satu PC
atau sistem komputer kita atau disebut dengan istilah host, adalah sebuah rumah untuk
data-data kita. Artinya, sebuah firewall itu akan menjadi pembatas antara data-data
yang akan masuk dan akan keluar dari dan ke sistem kita.
Pemantau adanya seranga
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu
tak diundang (intruder) atau adanya serangan (attacking). Nama lain dari sistem ini
adalah intruder detection system (IDS). Sistem ini dapat memberitahu administrator
melalui e-mail maupun melalui mekanisme lainnya.
Backup secara rutin
Backup merupakan salah satu tindakan yang bertujuan untuk menyimpan suatu
data pada media lain, sehingga suatu-waktu data yang tersimpan itu dapat diambil dan
dipergunakan kembali untuk kepentingan fungsionalitas yang sama. Seringkali tamu tak
diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus
berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk
sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus
seluruh berkas. Kondisi ketika intruder menjadi super user dan menyerang sistem
disebut dengan istilah Replay Attacking.

Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang
ini. Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan
memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat
terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan
kesenjangan antara operasional organisasi dengan persyaratan teknologi informasi
sehingga menempatkan aset dalam resiko. Banyak pendekatan manajemen resiko
keamanan informasi yang tidak lengkap, sehingga gagal mencakup seluruh komponen
resiko ( aset, ancaman, dan vulnerability )Banyak organisasi kemudian menyewa
konsultan untuk mengevaluasi resiko keamanan informasi dalam organisasinya.
Hasilnya mungkin tidak sesuai dengan perspektif organisasi tersebut. Risk assessment
yang dilakukan sendiri oleh organisasi yang bersengkutan memberikan pengetahuan
untuk memahami resiko dan membuat keputusan yang tepat.
Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali
apakah resiko organisasi yang menerapkannya. Setelah resiko diidentifikasi, organisasi
dapat membuat rencana penanggulangan dan reduksi resiko terhadap masing-masing
resiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset,
and Vulnerability Evaluation) memungkinkan organisasi melakukan hal di atas.
OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi
yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun
dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko
keamanan informasi

Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim
(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi.
Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset
informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog
informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun
strategi proteksi. Katalog ini meliputi:

catalog of practices sebuah koleksi strategi dan praktek keamanan informasi

generic threat profile sebuah koleksi sumber ancaman utama

catalog of vulnerabilities sebuah koleksi dari vulnerability berdasarkan platform


dan aplikasi

Langkah-langkah metode OCTAVE


Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu
teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang
dibutuhkan oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk
melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan
informasi dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan

setiap proses memiliki satu atau lebuh lokakarya yang dipimpin oleh tim analisis.
Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk
suksesnya evaluasi secara keseluruhan.

Persiapan
Mempersiapkan OCTAVE membuat dasar evaluasi yang berhasil. Beberapa
kunci untuk keberhasilan evaluasi adalah:

Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini


merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen
tertinggi mendukung proses, maka orang-orang dalam organisasi akan
berpartisipasi secara aktif. Dukungan, dalam hal ini terwujud sebagai berikut:
dukungan nyata dan berkesinambungan dalam aktifitas OCTAVE, peningkatan
partisipasi aktif anggota organisasi, pendelegasian tanggungjawab dan otoritas
untuk menyelesaikan seluruh aktifitas OCTAVE, komitmen untuk mengalokasikan
sumberdaya

yang

dibutuhkan,

persetujuan

untuk

meninjau

hasil

dan

memutuskan langkah yang tepat yang harus diambil dengan adanya hasil
evaluasi yang telah dilakukan.

Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan
keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus
mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di
luar tim.

Secara umum,

tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan

bisnis

dan

perspektif

teknologi

informasi,

memiliki

pengetahuan dalam proses bisnis dan teknologi informasi, memiliki kemampuan


yang baik dalam berkomunikasi dan memfasilitasi, serta berkomitmen untuk
mengerahkan kemampuan yang dimiliki demi keberhasilan OCTAVE.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer
dalam menentukan cakupan eveluasi, memilih partisipan,dan menjadwalkan
aktifitas

OCTAVE;

berkoordinasi

dengan

manajer

senior

atau

manajer

operasional dan pendukung teknologi informasi untuk mengevaluasi vulnerability;


mendapatkan, menganalisa dan mengelola data dan hasil selama proses
OCTAVE; mengaktifkan aktifitas assessment, yang fungsi utamanya adalah
menjamin bahwa personil yang diinginkan hadir dalam lokakarya yang
ditentukan; mengurus dukungan logistik.
Secara

umum,

tim

inti

analisis

harus

memiliki

kemampuan

berikut:

fasilitasi,komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer


senior, manajer operasional dan anggota organisasi, memahami lingkungan
bisnis organisasi, memahami lingkungan teknologi informasi dalam organisasi
dan mengetahui bagaimana staf bisnis menggunakan teknologi informasi
organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau
memperolehnya melalui anggota tim tambahan: lingkungan taknologi informasi
organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui
aksploitasi

terkini

menginterpretasikan

terhadap
hasil

vulnerability,

evaluasi

vulnerability

mengetahui
oleh

bagaimana

perangkat

lunak,

mengetahui praktekperencanaan organisasi, serta mampu mengembangkan


perencanaan.

Menentukan cakupan OCTAVE. Evaluasi harus mencakup area operasi yang


penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika
cakupan terlalu sempit maka hasilnya tidak akan banyak berarti.

Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan


menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area
kerja mereka.

Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang diperlukan


dalam setiap aktifitas OCTAVE meliputi: penjadwalan, koordinasi persiapan ruang
pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE, menangani
kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam
pertemuan.
Fase Pertama. Organizational View
Fase pertama dalam OCTAVE adalah Asset-Based Threat Profiles. Fase ini
meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai
aset, keamanan yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi
proteksi yang sedang diterapkan,dan vulnerability organisasi terkini. Pada fase ini data
yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis
organisasi.
Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat proses
ini dibahas dalam penjelasan berikut :
Fase I proses I. Identify Senior Manager Knowledge
Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan
manajer senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya
dengan manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:

Mengidentifikasi aset penting Manajer senior mendefinisikan aset apa yang


penting untuk mereka dan untuk organisasi. Mereka juga membuat skala
prioritas untuk mengidentifikasi lima aset yang terpenting.

Mendeskripsikan area of concern Untuk lima aset terpenting, manajer senior


mendeskripsikan skenario bagaimana aset aset tersebut terancam.

Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting Manajer


senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset
terpenting.

Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi Manajer


senior

melengkapi

survey

berdasarkan

catalog

of

practices.

Mereka

mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi


terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
Meninjau kembali cakupan evaluasi Ini adalah kesempatan kedua untuk manajer
senior terlibat dalam lokakarya proses pertama jika akan menambah atau mengurangi
daftar area operasi atau manajer
Fase I proses II. Identify Operational Management Knowledge
Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area
operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam
cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan manajer area
operasional sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:

Mengidentifikasi aset penting Manajer senior mendefinisikan aset apa yang


penting untuk mereka dan untuk organisasi. Mereka juga membuat skala
prioritas untuk mengidentifikasi lima aset yang terpenting.

Mendeskripsikan area of concern Untuk lima aset terpenting, manajer senior


mendeskripsikan skenario bagaimana aset aset tersebut terancam.

Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting Manajer


senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset
terpenting.

Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi Manajer


senior

melengkapi

survey

berdasarkan

catalog

of

practices.

Mereka

mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi


terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
Memverifikasi staf yang menjadi partisipan Manajer area meninjau kembali siapa saja
staf yang akan menjadi partisipan dalam OCTAVE
Fase II proses VI. Evaluate Selected Components
Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis
dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan
peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset
kritis. Aktifitas pada proses initerdiri dari:

Prework:

menjalankan

peralatan

evaluasi

vulnerability

pada

komponen

infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh


organisasi atau bisa juga disewa dari pihak lain.
Mengkaji vulnerability teknologi dan merangkum hasilnya pemimpin evaluasi
mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian
mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka
waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan.
Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis
yang dipengaruhinya.
Fase III. Develop Security Strategy and Plans
Fase ke tiga dalam OCTAVE adalah Develop Security Strategy and Plans. Pada fase ini
didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi untuk resiko
tersebut, dan membuat strategi proteksi organisasi.Rencana dan strategi dikaji dan
diterima oleh manajer senior. Terdapat
dibahas berikutnya

dua proses dalam fase ke tiga yang akan

Fase III proses VII. Conduct Risk Analysis


Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh
dari proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis.
Profil resiko merupakan perluasan dari profil ancaman , menambahkan pengukuran
kualitatif terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang
terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan
sebuah alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan
senantiasa berubah-ubah, maka kemungkinan untuk setiap cabang diasumsikan sama.
Proses 7 meliputi aktifitas:

Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis Untuk setiap


aset kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk
setiap akibat dari ancaman.

Membuat kriteria evaluasi dengan menggunakan pernyataan akibat pada


aktifitas pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman
terhadap aset kritis organisasi. Definisi tiga tingkatan evaluasi kualitatif (tinggi,
menengah, dan rendah) ditetapkan untuk banyak aspek (misalnya finansial atau
akibat operasional).

Mengevaluasi akibat dari ancaman terhadap aset kritis berdasarkan kriteria


evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai

tinggi,

menengah, atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset
Profile Workbook.
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi
proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset
kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai
lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada
lokakarya ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat
perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan
strategi dan perencanaan. Lokakarya A meliputi aktifitas:

Prework: Mengkompilasi hasil survey hasil ini diperoleh dari kompilasi survey
pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana

yang telah dianggap baik oleh sebagian besar responden dan mana yang
dianggap buruk oleh sebagian besar responden

Mengkaji informasi Informasi yang diperoleh dari proses-proses sebelumnya


dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan
kebutuhan keamanan aset kritis.

Membuat strategi proteksi strategi ini meliputi setiap praktek yang dianggap
harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah
dilaksanakan dengan baik.Membuat rencana mitigasi untuk setiap aset,
rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan
pemulihan dari setiap resiko dan menjelaskan bagaimana mengukur efektifitas
dari kegiatan mitigasi.

Membuat daftar aktifitas sebuah daftar aktifitas yang segera dilaksanakan, biasanya
meliputi vulnerability yang memerlukan perbaikan dengan segera.
Lokakarya B meliputi aktifitas:

Prework: Membuat presentasi untuk manajer senior

Mengkaji informasi resiko tim analisis mempresentasikan informasi berkaitan


dengan aset kritis dan ringkasan hasil survey kepada manajer senior.

Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar
aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta
perubahan, penambahan, atau pengurangan.

Menetapkan langkah selanjutnya Manajer senior memutuskan bagaimana


mengimplementasikan strategi, perencanaan, dan aktifitas.

You might also like