Upload
letuyen
View
215
Download
0
Embed Size (px)
Citation preview
5
Bab II
LANDASAN TEORI
2.1 Teknologi Informasi
2.1.1 Pengertian Informasi
Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari
data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima
informasinya.
Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses
atau data yang memiliki arti.
Jadi, informasi adalah kumpulan data yang sudah diolah menjadi suatu
bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang
ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang
atau yang akan datang.
2.1.2 Pengertian Teknologi Informasi
Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah
istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk
memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan
informasi.
6
Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi
adalah kumpulan dari komponen teknologi individu yang secara khusus diatur
dalam komputer berbasis sistem informasi.
Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi
adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat
untuk menangkap, menyimpan, memproses dan menghasilkan digital.
Jadi, pengertian teknologi informasi adalah suatu teknologi yang
digunakan untuk mengolah data, termasuk memproses, mendapatkan,
menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk
menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat
dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan
pemerintahan dan merupakan informasi yang strategis untuk pengambilan
keputusan. Teknologi ini menggunakan seperangkat komputer untuk mengolah
data, sistem jaringan untuk menghubungkan satu komputer dengan komputer
yang lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi
digunakan agar data dapat disebar dan diakses secara global.
2.1.3 Infrastruktur Teknologi Informasi
2.1.3.1 Hardware dan Software
Menurut Haag, Cummings and McCubbrey (2005, p15), ada dua
kategori dasar dalam teknologi yaitu hardware dan software. Hardware
terdiri dari peralatan fisik yang menyusun sebuah komputer (sering dikenal
7
sebagai sistem komputer). Software adalah kumpulan instruksi-instruksi
yang menjalankan hardware untuk menyelesaikan tugas tertentu.
Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2)
output device, (3) storage device, (4) CPU dan RAM, (5)
telecommunications, (6) connecting device.
Input device adalah peralatan yang digunakan untuk memasukkan
informasi dan perintah yang terdiri dari keyboard, mouse, touch screen,
game controller, dan bar code reader. Output device adalah peralatan yang
digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari
permintaan proses informasi yang terdiri dari printer, monitor, dan speaker.
Storage device adalah peralatan yang digunakan untuk menyimpan
informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory
card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan
sistem dan instruksi-instruksi aplikasi software dan mengatur pengoperasian
dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk
informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software
yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah
peralatan yang digunakan untuk mengirim informasi dan menerima
informasi dari orang atau komputer lain dalam satu jaringan contohnya
modem. Connecting hardware termasuk hal-hal seperti terminal paralel
yang menghubungkan printer, kabel penghubung yang menghubungkan
printer ke terminal parallel dan peralatan penghubung internal yang
8
sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu
bagian hardware ke bagian lainnya.
Ada 2 tipe utama dari software, yaitu application dan system.
Application software yang memungkinkan untuk menyelesaikan masalah-
masalah spesifik atau menampilkan tugas-tugas spesifik. System software
yaitu menangani tugas-tugas spesifik untuk mengelola teknologi dan
mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system
software ditemukan operating system software dan utility software.
Operating system software adalah software sistem yang mengendalikan
software aplikasi dan mengelola bagaimana peralatan hardware bekerja
bersama-sama. Utility software adalah software yang menyediakan
tambahan fungsionalitas untuk mengoperasikan sistem software, seperti
antivirus software, screen savers, disk optimization software.
2.1.3.2 Jaringan
Menurut Turban, Rainer, Porter (2003, p178) , sebuah jaringan
komputer terdiri atas media komunikasi peralatan-peralatan dan software
yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan
peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area
Network) dan WAN (Wide Area Network). MAN (Metropolitan Area
Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua
atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang
sama). Jadi, setiap pengguna alat dalam jaringan memilliki potensi untuk
berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang
9
terdiri atas kumpulan telephone atau jaringan International seperti penyedia
layanan komunikasi global, mungkin milik komersial, swasta, atau publik.
2.1.3.3 Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, G11), Internet adalah
elektronik dan jaringan telekomunikasi yang besar yang menghubungkan
komputer bisnis, konsumen, instansi pemerintah, sekolah, dan organisasi
lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara
lancar tebuka. Intranet adalah jaringan pribadi yang menggunakan jaringan
internet dan perangkat lunak protocol TCP/IP, umumnya berupa, internet
swasta, atau segmen kelompok swasta dari jaringan internet public.
Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan
intranet melalui internet dengan menyediakan akses ke wilayah masing-
masing perusahaan intranet.
2.1.4 Arsitektur Teknologi Informasi
Arsitektur teknologi informasi yang dibuat oleh perencanaan strategi
bisnis/TI merupakan suatu desain konseptual atau cetak biru yang meliputi 4
komponen sebagai berikut (O’Brien dan George, 2006, p480):
1. Platform Teknologi (Technology Platform)
Internet, intranet, ekstranet, dan jaringan lainnya, sistem
komputer, sistem software, dan aplikasi software perusahaan
terintegrasi yang menyediakan infrastruktur komunikasi dan
10
komputansi atau platform yang mendukung penggunaan strategi TI
bagi e-business, e-commers, dan aplikasi bisnis/TI lainnya.
2. Sumber Daya Data (Data Resources)
Banyak jenis database operasional dan spesialisasi database
termasuk data warehouse dan database internet/intranet, yang
menyimpan dan menyediakan data serta informasi untuk proses
bisnis dan dukungan keputusan.
3. Arsitektur Aplikasi (Application Architecture)
Aplikasi bisnis dari teknologi informasi dirancang sebagai
sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang
mendukung usaha strategi bisnis, serta proses lintas fungsi bisnis.
Sebagai contoh, sebuah arsitektur aplikasi harus meliputi dukungan
untuk ERP (Enterprise Resource Planning) terintegrasi dan aplikasi
CRM (Costumer Resource Management).
4. Organisasi Teknologi Informasi (IT Organization)
Struktur organisasi dari fungsi sistem informasi dalam sebuah
perusahaan dan distribusi pakar sistem informasi dirancang untuk
memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI
tergantung pada filosofi manajerial dan strategi bisnis/TI yang
dibentuk selama proses perencanaan bisnis.
11
2.1.5 Strategi
2.1.5.1 Definisi Strategi
Strategi berasal dari kata Yunani strategos, yang berarti jenderal.
Kata strategi secara harfiah berarti “seni para jenderal”. Kata ini mengacu
pada apa yang merupakan perhatian utama manajeman puncak organisasi.
Konsep ini relevan dengan situasi zaman dulu yang sering diwarnai perang,
di amana jenderal dibutuhkan untuk memimpin suatu angkatan perang agar
dapat selalu memenangkan perang. Strategi militer di dasarkan pada
pemahaman akan kekuatan dan penempatan posisi lawan, karakteristik fisik
medan perang, kekuatan dan karekter sumberdaya yang tersedia, sikap
orang-orang yang menempati teritorial tertentu, serta antisipasi terhadap
setiap perubahan yang mungkin terjadi.
Menurut Steiner dan Miner (1988) strategi adalah penempatan misi
perusahaan, penempatan sasaran organisasi dengan mengingat kekuatan
eksternal dan internal, perumusahan kebijakan dan strategi tertentu untuk
mencapai sasaran dan memastikan implementasinya secara tepat, sehingga
tujuan dan sasaran organisasi akan tercapai. Menurt Tjiptono (1995) strategi
menggambarkan arah bisnis yang mengikuti lingkungan yang dipilih dan
merupakan pedoman untuk mengalokasikan sumberdaya dan usaha suatu
organisasi.
Menurut Stoner dan Freeman (Tjiptono, 1995), konsep strategi
dapat didefinisikan berdasar dua perspektif yang berbeda, yaitu (1) dari
12
perspektif apa suatu organisasi ingin lakukan, dan (2) dari persektif apa yang
organisasi akhirnya lakukan.
Berdasarkan perspektif yang pertama, strategi dapat didefinisikan
sebagai program untuk menentukan dan mencapai tujuan organisasi dan
mengimplementasikan misinya. Makna yang terkandung dari strategi ini
adalah bahwa manajer memainkan peranan yang aktif, sadar dan rasional
dalam merumuskan strategi organisasi. Dalam lingkungan yang selalu
berubah, pandangan ini banyak diterapkan. Perspektif ini secara tidak
langsung mensyaratkan pernyataan strategi secara eksplisit.
Pernyataan strategi secara eksplisit tersebut merupakan kunci
keberhasilan dalam menghadapi perubahan lingkungan bisnis. Strategi
memberikan kesatuan arah bagi semua anggota organisasi. Bila konsep
strategi tidak jelas, maka keputusan yang diambil akan bersifat subjektif atau
bersifat intuisi belaka, mengabaikan pertimbangan yang lain.
Sedangkan berdasarkan perspektif kedua, strategi didefinisikan
sebagai pola tanggapan atau respon organisasi terhadap lingkungannya
sepanjang waktu. Pada definisi ini, setiap organisasi pasti memiliki strategi,
meskipun strategi tersebut tidak pernah dirumuskan secara eksplisit.
Pandangan ini diterapkan bagi para manajer yang bersifat reaktif, yaitu
hanya menanggapi dan menyesuaikan diri terhadap lingkungan secara pasif
manakala dibutuhkan.
Kebijakan/strategi yang yang ditetapkan oleh perusahaan memiliki
dampak yang signifikan terhadap lingkungan. Kebijakan dan strategi seperti
perundingan dengan serikat buruh, investasi, penetapan harga jelas sekali
13
mempengaruhi lingkungan. Demikian juga sebalinya lingkungan akan
berpengaruh atas organisasi bisnis (Steiner dan Miner, 1988).
Suatu analisis strategi membantu perusahaan untuk
mengidentifikasikan isu-isu strategi yang akan dihadapi dimasa yang akan
datang sehingga perusahaan siap menghadapi perubahan-perubahan
lingkungan yang akan datang. Faktor lingkungan penting yang harus
diperhatikan para manajer dalam penyusunan dan pelaksanaan strategi
perusahaan di antaranya adalah (Steiner dan Miner, 1988):
1. Lingkungan Ekonomi
Lingkungan ekonomi meliputi wilayah yang luas dan
merupakan sumber peluang yang besar dan juga sumber ancaman
yang serius. Perubahan lingkungan ekonomi yang sangat cepat
harus diadaptasi perusahaan demi kelangsungan hidupnya dan
pertumbuhan yang menguntungkan.
2. Pemerintah
Hampir bagi semua perusahaan, pemerintah adalah mitra.
Bagi semua perusahaan umumnya, pemerintah merupakan salah
satu pengaruh paling signifikan dalam gerak usaha seperti:
pertumbuhan, penetapan harga, produksi, kualitas produk,
persaingan, upah, laba, investasi, pasar, dan tingkat bunga atas
modal.
Setiap organisasi membutuhkan strategi manakala
menghadapi situasi berikut (Jain dalan Tjiptono, 1995):
1. Sumberdaya yang dimiliki terbatas.
14
2. Ada ketidakpastian mengenai kekuatan bersaing organisasi.
3. Komitment terhadap sumberdaya tidak dapat diubah lagi.
4. Keputusan-keputusan harus dikoordinir antar bagian
sepanjang waktu.
5. Ada ketidak pastian mengenai pengendalian inisiatif.
Tujuan utama strategi adalah untuk membimbing keputusan
manajemen dan ikut andil dalam penentuan misi, visi, serta kebijakan
perusahaan dalam membentuk dan mempertahankan keunggulan kompetitif
perusahaan sehingga perusahaan tersebut dapat mencapai sukses. Agar
tujuan-tujuan perusahaan dapat tercapai dalam kondisi lingkungan yang
selalu berubah dan subsistem-subsistem internal yang berinteraksi aktif
dengan lingkungan, caranya antara lain dengan menyususn strategi yang
mantap dan menetapkan kebijakan-kebijakan yang tepat.
Menurut Ahmad S. Adnanputra, pakar humas dalam naskahnya
berjudul PR Strategi mengatakan bahwa arti strategi adalah bagian terpadu
dari suatu rencana (plan), sedangkan rencana merupakan produk dari suatu
perencanaan (planning) (Ruslan, 2002).
2.2 Manajemen Resiko Keamanan Informasi
2.2.1 Resiko
Menurut Alberts dan Dorofee dalam bukunya yang berjudul
“Managing Information Security Risks: The OCTAVESM Approach” (July 2002)
Resiko adalah kemungkinan menderita kerugian.Ini mengacu pada situasi di
mana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian
15
yang alami ini dapat mengakibatkan hasil yang tidak diinginkan, sehingga
terjadi dampak negatif atau konsekuensi.
Beberapa definisi tentang risiko lainnya:
• Risiko adalah fungsi dari kemungkinan yang diberikan dari sumber-
sumber ancaman yang mempunyai potensi kerentanan tertentu dan
dampak yang dihasilkan dari peristiwa buruk di organisasi (NIST, 2002).
• Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan
proses dan peristiwa yang tidak memadai (Symantec, 2007).
Dengan definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang
tidak dapat diduga / tidak diinginkan. Jadi merupakan ketidak pastian atau
kemungkinan terjadinya sesuatu, yang bila terjadi akan mengakibatkan
kerugian.
Langkah pertama dalam mengelola risiko adalah untuk memahami apa
risiko dalam kaitannya dengan misi organisasi dan aset kunci. Pemahaman ini
dicapai dengan melakukan evaluasi risiko yang komprehensif untuk
mengidentifikasi risiko organisasi. Setelah risiko tersebut diidentifikasi,
organisasi personel harus memutuskan apa yang harus dilakukan untuk
mengatasinya.
2.2.1.1 MACAM-MACAM RESIKO
Risiko dapat dibedakan dengan berbagai macam cara, antara lain :
1. Menurut sifatnya resiko dapat dibedakan kedalam :
16
a. Resiko Murni (risiko yang tidak disengaja), adalah risiko yang
apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa
disegaja.
Contoh : risiko terjadinya kebakaran, bencana alam, pencurian, dsb.
b. Resiko Spekulatif (risiko disengaja), adalah resiko yang sengaja
ditimbullkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya.
Contoh : resiko produksi, resiko moneter (kurs valuta asing).
c. Resiko Fundamental, adalah risko yang penyebabnya tidak dapat
dilimpahkan kepada seseorang dan yang menderita tidak hanya satu
atau beberapa orang saja, tetapi banyak orang.
Contoh : risiko terjadinya kebakaran, bencana alam, resiko perang,
polusi udara.dsb.
d. Resiko Khusus, adalah risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal
kandas, pesawat jatuh, tabrakan mobil dan sebagainya.
e. Resiko Dinamis, adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan
teknologi, seperti risiko keusangan, risiko penerbangan luar
angkasa. Kebalikannya disebut, Resiko Statis, seperti risiko hari tua,
risiko kematian dan sebagainya.
2. Menurut sumber / penyebab timbulnya, risiko dapat dibedakan
kedalam:
17
a. Resiko Intern, yaitu risiko yang berasal dari dalam : kebakaran yang
berasal dari rumah si tertanggung sendiri.
b. Resiko extern, yaitu risiko yang berasal dari luar , seperti risiko
kebakaran dari rembetan rumah yang bersebelahan, bencana alam,
pencurian, perampokan dan sebagainya.
2.2.2 Manajemen Resiko
Manajemen resiko menurut Australian National Audit Office (ANAO
2000) adalah proses yang berjalan yang telah di desain untuk melakukan
penilaian terhadap kejadian-kejadian yang merugikan, tindakan untuk
mengurangi resiko-resiko seperti kejadian-kejadian yang terjadi secara tidak
sengaja dan menjamin organisasi dapat merespon atau menghadapi dengan
berbagai jalan keluar untuk memperkecil konsekuensi dari kejadian tersebut.
Menurut Alberts dan Dorofee (2002) manajemen risiko adalah proses
berkelanjutan mengidentifikasi risiko dan melaksanakan rencana-rencana untuk
mengatasinya. Sebuah pendekatan pengelolaan risiko melibatkan seluruh
organisasi, termasuk personil dari kedua departemen teknologi informasi dan
lini bisnis dari organisasi.
Manajemen risiko menurut (ISACA, 2008) adalah proses
mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi
yang digunakan oleh sebuah organisasi dalam mencapai tujuan bisnis dan
memutuskan apa penanggulangannya, jika ada, untuk mengurangi risiko ke
tingkat yang dapat diterima, berdasarkan nilai dari sumber informasi bagi
organisasi.
18
2.2.3 Keamanan Informasi
Menurut Alberts dan Dorofee (2002) Keamanan informasi lebih
daripada membangun firewall, menerapkan patch untuk memperbaiki
kelemahan baru yang ditemukan pada perangkat lunak sistem anda, atau
mengunci kabinet dengan backup tape. Keamanan informasi adalah
menentukan apa yang perlu dilindungi dan mengapa, dari apa yang perlu
dilindungi, dan bagaimana untuk melindunginya selama itu ada.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang
yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima
dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa
ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan
keutuhan informasi serta metode prosesnya untuk menjamin aspek
integritas ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia
saat dibutuhkan, memastikan user yang berhak dapat menggunakan
informasi dan perangkat terkait (aset yang berhubungan bila diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,
19
praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti
lunak.
Gambar 2.1 Elemen-elemen keamanan informasi
Menurut Alberts dan Dorofee (2002), terdapat empat pendekatan pada
keamanan informasi :
1. Vulnerability Assessment
Sebuah penilaian kerentanan yang sistematis, pemeriksaan
organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup
analisis lengkap tentang keamanan lingkungan komputasi internal dan
kerentanan terhadap serangan internal dan eksternal. Teknologi ini
berbasis pada umumnya penilaian:
• Gunakan standar untuk kegiatan keamanan IT tertentu (seperti pengerasan
jenis platform tertentu)
• Menilai seluruh infrastruktur komputasi
• Menggunakan (kadang-kadang berpemilik) perangkat lunak untuk
menganalisis infrastruktur dan seluruh komponen
20
• Menyediakan analisis rinci yang menunjukkan teknologi yang terdeteksi
kerentanan dan mungkin merekomendasikan langkah-langkah spesifik
untuk mengatasi kerentanan mereka
2. Audit Sistem Informasi
Audit sistem informasi penilaian independen dari kontrol internal
perusahaan untuk memastikan manajemen, peraturan pemerintah, dan
pemegang saham perusahaan informasi yang akurat dan valid.Audit
biasanya industri memanfaatkan model proses tertentu, benchmark,
standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat
kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan
pada proses bisnis milik pengendalian risiko dan metode dan alat analisis.
Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan
memiliki implikasi hukum dan kewajiban
3. Evaluasi Resiko Keamanan Informasi
Memperluas evaluasi resiko keamanan atas penilaian kerentanan
untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah
perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta
berbasis elektronik dan orang-orang yang berbasis risiko.Evaluasi
multifaset ini berusaha untuk menyesuaikan evaluasi risiko dengan driver
atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan:
Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan
keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat
membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk
21
analisis komparatif yang peringkat informasi ini terhadap standar industri dan
praktik terbaik.
1) Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan
pemeriksaan keamanan fisik.
2) Mereka memeriksa infrastruktur TI untuk menentukan kemampuan
teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap
salah satu situasi berikut:
a. Pengenalan kode berbahaya
b. Korup atau kerusakan data
c. Exfiltration informasi
d. Denial of service
e. Perubahan yang tidak sah hak akses dan keistimewaan
3) Mereka membantu para pengambil keputusan trade-off memeriksa untuk
memilih biaya penanggulangan efektif
4. Managed Service Providers
Dikelola penyedia layanan keamanan, bergantung pada keahlian
untuk mengelola sistem dan jaringan perusahaan. Mereka menggunakan
mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk
melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan
secara proaktif memonitor dan melindungi suatu infrastruktur komputasi
organisasi dari serangan dan penyalahgunaan.
22
Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko
keamanan informasi membantu Anda menandai isu keamanan Anda, tapi
tidak mengelolanya. Penyedia layanan yang dikelola mengelola keamanan
Anda untuk Anda.
2.2.4 Dasar Manajemen Keamanan Informasi
2.2.4.1 Informasi Sebagai Aset
Informasi adalah salah satu aset bagi sebuah perusahaan atau
organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi
perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk
menjamin kelangsungan perusahaan atau organisasi, meminimalisir
kerusakan karena kebocoran sistem keamanan informasi, mempercepat
kembalinya investasi dan memperluas peluang usaha. Beragam bentuk
informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi
meliputi diantaranya: informasi yang tersimpan dalam komputer (baik
desktop komputer maupun mobile komputer), informasi yang ditransmisikan
melalui network, informasi yang dicetak pada kertas, dikirim melalui fax,
tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain,
informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui
telepon), dikirim melalui telex, email, informasi yang tersimpan dalam
database, tersimpan dalam film, dipresentasikan dengan OHP atau media
presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk
menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.
23
2.2.4.2 Mengapa Diperlukan Keamanan Informasi?
Keamanan informasi memproteksi informasi dari ancaman yang
luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan
memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen
sistem informasi memungkinkan data untuk terdistribusi secara elektronis,
sehingga diperlukan sistem untuk memastikan data telah terkirim dan
diterima oleh user yang benar.
Hasil survey ISBS (Information Security Breaches Survey) pada
tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak
cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey
yang terkait dengan hal ini dapat dilihat dalam gambar berikut:
Gambar 2.2 Grafik persentase ancaman keamanan sistem informasi
Survey tersebut juga menunjukkan bahwa 60% organisasi
mengalami serangan atau kerusakan data karena kelemahan dalam sistem
keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh
faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini
24
diantaranya kesalahan dalam pengoperasian sistem (40%) dan
diskontinuitas power supply (32%).
Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat
banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari
luar.
Gambar 2.3 UK business network attack
Langkah-langkah untuk memastikan bahwa sistem benar-benar
mampu menjamin keamanan data dan informasi dapat dilakukan dengan
menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar
ini.
2.2.4.3 Informasi yang Perlu Dilindungi Keamanannya
Informasi yang merupakan aset harus dilindungi keamanannya.
Keamanan, secara umum diartikan sebagai “quality or state of being secure-
to be free from danger”. Untuk menjadi aman adalah dengan cara dilindungi
25
dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi
yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu
dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan
dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan
keamanan informasi adalah:
• Physical Security yang memfokuskan strategi untuk mengamankan
pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari
berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi,
dan bencana alam.
• Personal Security yang overlap dengan ‘phisycal security’ dalam
melindungi orang-orang dalam organisasi.
• Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa
gangguan.
• Communications Security yang bertujuan mengamankan media
komunikasi, teknologi komunikasi dan isinya, serta kemampuan
untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
• Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan
untuk menggunakan jaringan tersebut dalam memenuhi fungsi
komunikasi data organisasi.
Masing-masing komponen di atas berkontribusi dalam program
keamanan informasi secara keseluruhan. Keamanan informasi adalah
26
perlindungan informasi termasuk sistem dan perangkat yang digunakan,
menyimpan, dan mengirimkannya. Keamanan informasi melindungi
informasi dari berbagai ancaman untuk menjamin kelangsungan usaha,
meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat
kembalinya investasi dan peluang usaha.
2.2.4.4 Aspek Lain Keamanan Informasi
Keamanan informasi memiliki beberapa aspek yang harus
dipahami untuk dapat diterapkan. Beberapa aspek tersebut, tiga yang
pertama disebut C.I.A (Confidentiality, Integrity & Availability) ”triangle
model” [Gambar 2.1 Elemen-elemen keamanan informasi, seperti yang
diuraikan pada point 2.2.3 Keamanan Informasi (pembahasan sebelumnya).
Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan
Herbert J. Mattord dalam bukunya Management Of Information Security
adalah:
• Privacy
Informasi yang dikumpulkan, digunakan, dan disimpan oleh
organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus
bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin
keamanan data bagi pemilik.
• Identification
Sistem informasi memiliki karakteristik identifikasi jika bisa
mengenali individu pengguna. Identifikasi adalah langkah pertama
27
dalam memperoleh hak akses ke informasi yang diamankan.
Identifikasi secara umum dilakukan dalam penggunaan user name
atau user ID.
• Authentication
Authentication terjadi pada saat sistem dapat membuktikan bahwa
pengguna memang benar-benar orang yang memiliki identitas yang
mereka klaim.
• Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut
autorisasi memberikan jaminan bahwa pengguna (manusia ataupun
komputer) telah mendapatkan autorisasi secara spesifik dan jelas
untuk mengakses, mengubah, atau menghapus isi dari aset informasi.
• Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data
semua aktifitas terhadap aset informasi yang telah dilakukan, dan
siapa yang melakukan aktifitas itu.
2.3 Evaluasi dan Manajemen Risiko
Saat ini, sistem informasi sangat penting bagi kebanyakan organisasi,
karena hampir semua informasi yang diambil, disimpan, dan diakses dalam
bentuk digital. Kami mengandalkan data digital yang dapat diakses, bisa
diandalkan, dan dilindungi dari penyalahgunaan. Sistem saling berhubungan
dengan cara-cara yang tidak dapat terbayangkan sepuluh tahun yang lalu. Sistem
28
jaringan memungkinkan akses ke informasi yang belum pernah terjadi
sebelumnya. Sayangnya, informasi kami ke mereka juga terkena berbagai
ancaman baru. Organisasi ini telah menerapkan berbagai infrastruktur komputasi
yang kompleks, mereka membutuhkan pendekatan yang fleksibel yang
memungkinkan mereka untuk memahami informasi mereka risiko keamanan yang
spesifik dan kemudian untuk membuat strategi untuk mengatasi risiko tersebut.
Sebuah organisasi yang ingin meningkatkan postur keamanan harus siap untuk
mengambil langkah-langkah berikut:
1. Perubahan dari reaktif, pendekatan berbasis masalah untuk proaktif
pencegahan masalah.
2. Pertimbangkan keamanan dari berbagai perspektif.
3. Membangun infrastruktur yang fleksibel pada semua tingkat organisasi
mampu bereaksi dengan cepat terhadap perubahan teknologi dan
kebutuhan keamanan.
4. Memulai yang berkelanjutan dan terus-menerus upaya untuk
mempertahankan dan meningkatkan posisi keamanan.
Evaluasi risiko keamanan informasi adalah sebuah proses yang dapat
membantu memenuhi tujuan. Ini menimbulkan pandangan organizationwide
risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk
fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu
"research" dari awal dengan melakukan evaluasi lain. Waktu antara evaluasi
dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya,
reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi).
29
Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah
organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko.
Evaluasi risiko hanya merupakan tahap pertama dari manajemen risiko,
berikut gambar yang mengambarkan peranan evaluasi risiko terhadap keseluruhan
tahap dari manajemen risiko. Dengan demikian evaluasi memainkan peranan
penting dalam manajemen risiko sistem informasi.
Gambar 2. 4 IS Risk Evaluation Activities in Relation to an ISRM
Framework
2.3.1 Kegiatan Evaluasi
Pertimbangkan apa yang terjadi selama evaluasi. Ketika sebuah
organisasi menyelenggarakan evaluasi risiko keamanan informasi, ia
melakukan kegiatan:
• Identifikasi risiko keamanan informasi
• Menganalisis risiko untuk menentukan prioritas
30
• Rencana untuk perbaikan dengan mengembangkan strategi
perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko
untuk mengurangi risiko kritis aset organisasi
Evaluasi hanya memberikan arah bagi kegiatan keamanan informasi
organisasi, itu tidak selalu mengarah pada perbaikan yang bermakna. Tidak ada
evaluasi, tidak peduli seberapa terperinci atau bagaimana pakar, akan
meningkatkan keamanan organisasi kecuali postur organisasi berikut melalui
dengan menerapkan hasil. Setelah evaluasi, organisasi harus mengambil
langkah-langkah berikut:
1. Rencana bagaimana menerapkan strategi perlindungan dan rencana
mitigasi risiko dari evaluasi dengan mengembangkan rencana aksi
yang rinci.Kegiatan ini dapat mencakup rinci analisis biaya-manfaat
antara strategi dan tindakan.
2. Mengimplementasikan rencana aksi yang rinci yang dipilih.
3. Rencana untuk memantau kemajuan dan keefektifan.Kegiatan ini
mencakup pemantauan risiko untuk setiap perubahan.
4. Kontrol variasi di dalam rencana pelaksanaan dengan mengambil
tindakan koreksi yang tepat.
2.3.1.1 Pendekatan Evaluasi Resiko Keamanan
Informasi
Evaluasi resiko keamanan informasi harus mengidentifikasi
organisasi dan isu-isu teknologi menjadi efektif.Ini harus alamat baik
31
infrastruktur komputasi dan cara di mana orang menggunakannya ketika
mereka melakukan pekerjaan mereka. Dengan demikian, evaluasi perlu
memasukkan konteks di mana orang menggunakan infrastruktur untuk
memenuhi tujuan-tujuan bisnis dari organisasi serta masalah keamanan
teknologi yang berkaitan dengan infrastruktur. Ini harus mempertimbangkan
apa yang membuat organisasi berhasil dan apa yang membuatnya gagal.
Kami melihat risiko keamanan informasi dengan menggunakan
evaluasi untuk meningkatkan keamanan organisasi postur sebagai praktek
bisnis yang sehat. Karena sebagian besar perusahaan mengandalkan akses ke
data elektronik untuk melakukan bisnis, data perlu cukup terlindungi dari
penyalahgunaan. Kemampuan suatu organisasi untuk mencapai misi dan
memenuhi tujuan bisnis secara langsung dan strategis terkait dengan kondisi
infrastruktur komputasi dan cara di mana personel berinteraksi dengannya.
Bagi suatu organisasi untuk berada dalam posisi terbaik untuk mencapai
misi mereka, orang-orangnya perlu memahami informasi yang terkait
dengan aset yang paling penting dan apa yang harus mereka lakukan untuk
melindungi aset-aset. Dengan kata lain, orang-orang dalam organisasi harus
terlibat dalam evaluasi.
2.4 Risk Assessment
Risk assessment memegang peranan penting dalam penerapan sistem
manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk
melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi
yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang
32
terkenal diantaranya adalah OCTAVE-S yang dikembangkan oleh Carnegie
Mellon Software Engineering Institute, Pittsburg.
2.4.1 Pengenalan OCTAVE-S
OCTAVE-S adalah sebuah pendekatan terhadap evaluasi resiko
keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan
sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan
elemen esensial dari evaluasi resiko keamanan informasi.
Gambar 2.5 Kriteria OCTAVE-S
Kriteria OCTAVE-S memerlukan eveluasi yang harus dilakukan oleh
sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan
bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan
berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya,
kriteria OCTAVE-S memerlukan katalog informasi untuk mengukur praktek
organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog
ini meliputi:
OCTAVE criteria
OCTAVE Method
(As defined in OCTAVE Method Implementation Guide v2.0)
An OCTAVE-Consistent Method for Small Organizations Under development by the SEI
Other Methods Consistent with the OCTAVE criteria Developed by others
33
• Catalog of practices – sebuah koleksi strategi dan praktek keamanan
informasi.
• Generic threat profile – sebuah koleksi sumber ancaman utama.
• Catalog of vulnerabilities – sebuah koleksi dari Vulnerability
berdasarkan platform dan aplikasi.
2.4.2 Langkah-langkah metode OCTAVE-S
Metode OCTAVE-S menggunakan pendekatan tiga fase untuk menguji
isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan
informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini
menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi
mengenai aset, praktek keamanan informasi dan strategi keamanan informasi.
Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau
lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan
juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi
secara keseluruhan.
Gambar 2.6 Octave-S Process
34
2.4.2.1 Persiapan
Mempersiapkan OCTAVE-S membuat dasar evaluasi yang
berhasil. Beberapa kunci untuk keberhasilan evaluasi adalah:
• Mendapatkan dukungan sepenuhnya dari tingkatan manajemen
tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan
evaluasi. Jika manajemen tertinggi mendukung proses, maka orang-
orang dalam organisasi akan berpartisipasi secara aktif. Dukungan,
dalam hal ini terwujud sebagai berikut: dukungan nyata dan
berkesinambungan dalam aktifitas OCTAVE-S, peningkatan
partisipasi aktif anggota organisasi, pendelegasian tanggung jawab
dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S,
komitmen untuk mengalokasikan sumberdaya yang dibutuhkan,
persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat
yang harus diambil dengan adanya hasil evaluasi yang telah
dilakukan.
• Memilih tim analisis. Anggota tim analisis harus memiliki
kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi.
Mereka juga harus mengatahui bagaimana menambah pengetahuan
dan kemampuan mereka di luar tim. Secara umum, tim analisis terdiri
dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan bisnis dan perspektif teknologi informasi, memiliki
pengetahuan dalam proses bisnis dan teknologi informasi, memiliki
kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta
35
berkomitmen untuk mengerahkan kemampuan yang dimiliki demi
keberhasilan OCTAVE-S.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja
dengan manajer dalam menentukan cakupan eveluasi, memilih
partisipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan
manajer senior atau manajer operasional dan pendukung teknologi informasi
untuk mengevaluasi vulnerability; mendapatkan, menganalisa dan
mengelola data dan hasil selama proses OCTAVE-S; mengaktifkan aktifitas
assessment, yang fungsi utamanya adalah menjamin bahwa personil yang
diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan
logistik.
Secara umum, tim inti analisis harus memiliki kemampuan berikut:
fasilitasi, komunikasi yang baik, analisis yang baik, bekerjasama dengan
manajer senior, manajer operasional dan anggota organisasi, memahami
lingkungan bisnis organisasi, memahami lingkungan teknologi informasi
dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan
teknologi informasi organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan
berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan
teknologi informasi organisasi dan pengetahuan topologi jaringan dalam
organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui
bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat
36
lunak, mengetahui praktek perencanaan organisasi, serta mampu
mengembangkan perencanaan.
• Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area
operasi yang penting. Jika cakupan terlalu luas, maka akan sulit
menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak
akan banyak berarti.
• Memilih partisipan. Anggota organisasi dari berbagai tingkatan
struktural akan menyumbangkan pengetahuannya. Anggota organisasi
perlu mengetahui area kerja mereka.
• Mengkoordinasi logistik. Tim inti analisis melakukan
koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE-S
meliputi: penjadwalan, koordinasi persiapan ruang pertemuan,
peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S,
menangani kejadian tidak terduga misalnya penggantian jadwal dan
perubahan personil dalam pertemuan.
2.4.2.1.1 Fase 1. Organizational View
Fase 1 dalam OCTAVE-S adalah Asset-Based Threat Profiles.
Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh
informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area
yang diperhatikan, strategi proteksi yang sedang diterapkan,dan
vulnerability organisasi terkini. Pada fase ini data yang diperoleh
dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis
organisasi.
37
Fase 1 ini meliputi empat proses yang harus dilakukan.
Keempat proses ini dibahas dalam penjelasan berikut :
1) Fase 1 proses 1. Identify Senior Manager Knowledge
Proses pertama dalam fase I adalah melakukan identifikasi
pengetahuan manajer senior dalam hal keamanan informasi. Tim
analisis melakukan lokakarya dengan manajer senior sebagai
partisipan. Aktifitas dalam proses ini terdiri dari:
• Mengidentifikasi aset penting – Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk organisasi. Mereka
juga membuat skala prioritas untuk mengidentifikasi lima aset
yang terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting,
manajer senior mendeskripsikan skenario bagaimana aset –aset
tersebut terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting –
Manajer senior mendefinisikan kebutuhan keamanan yang
diperlukan untuk aset terpenting.
• Mengidentifikasi strategi proteksi terkini dan vulnerability
organisasi – Manajer senior melengkapi survey berdasarkan
catalog of practices. Mereka mendiskusikan jawaban survey
mereka untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
38
• Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua
untuk manajer senior terlibat dalam lokakarya proses 1 jika akan
menambah atau mengurangi daftar area operasi atau manajer.
Gambar 2.7 Fase 1 proses 1. Identify Senior Manager Knowledge
Process 1:
Identify Senior Management Knowledge
Inputs
Current knowledge of senior managers
Organizational data
Catalog of practices
Outputs
Senior management assets with relative priorities
Senior management areas of concern
Security requirements for senior management assets
Current senior management protection strategy practices
Senior management organizational vulnerabilities
Worksheets Asset worksheet (W1.1)
Areas of concern worksheet (W1.2) Security requirements worksheet (W1.3)
Senior management survey (W1.4)
Protection strategy worksheet (W1.5)
39
2) Fase 1 proses 2. Identify Operational Management
Knowledge
Pada proses ke dua ini diperoleh gambaran pengetahuan dari
manajer area operasional. Manajer ini adalah manajer dimana area
yang dikelolanya termasuk dalam cakupan OCTAVE-S. Tim analisis
memfasilitasi lokakarya dengan manajer area operasional sebagai
parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:
• Mengidentifikasi aset penting – Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk organisasi. Mereka
juga membuat skala prioritas untuk mengidentifikasi lima aset
yang terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting,
manajer senior mendeskripsikan skenario bagaimana aset –aset
tersebut terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting –
Manajer senior mendefinisikan kebutuhan keamanan yang
diperlukan untuk aset terpenting.
• Mengidentifikasi strategi proteksi terkini dan vulnerability
organisasi – Manajer senior melengkapi survey berdasarkan
catalog of practices. Mereka mendiskusikan jawaban survey
mereka untuk memberikan tambahan informasi terhadap apa yang
40
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
• Memverifikasi staf yang menjadi partisipan – Manajer area
meninjau kembali siapa saja staf yang akan menjadi partisipan
dalam OCTAVE-S.
Gambar 2.8 Fase 1 proses 2. Identify Operational Management Knowledge
Inputs
Current knowledge of operational area managers
Organizational data
Catalog of practices
Process 2:
Identify Operational Area Management Knowledge
Outputs
Operational area management assets with relative priorities
Operational area management areas of concern
Security requirements for operational area management assets
Current operational area management protection strategy practices
Worksheets Asset worksheet (W2.1)
Areas of concern worksheet (W2.2)
Security requirements worksheet (W2.3)
Operational area management survey (W2.4)
Protection strategy worksheet (W2.5)
41
3) Fase 1 proses 3. Identify Staff Knowledge
Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para
staf umum dan staf teknologi informasi. Para staf ini adalah para staf
dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S.
Tim analisis memfasilitasi lokakarya dengan para staf sebagai
parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang,
jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa
lokakarya dengan partisipan yang berbeda pada setiap
lokakarya.Aktifitas dalam proses 3 ini terdiri dari:
• Mengidentifikasi aset penting – para staf mendefinisikan aset apa
yang penting untuk mereka dan untuk organisasi. Mereka juga
membuat skala prioritas untuk mengidentifikasi lima aset yang
terpenting.
• Mendeskripsikan area of concern – Untuk lima aset terpenting,
para staf mendeskripsikan skenario bagaimana aset –aset tersebut
terancam.
• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting –
Para staf mendefinisikan kebutuhan keamanan yang diperlukan
untuk aset terpenting.
• Mengidentifikasi strategi proteksi terkini dan vulnerability
organisasi – Para staf melengkapi survey berdasarkan catalog of
practices. Mereka mendiskusikan jawaban survey mereka untuk
42
memberikan tambahan informasi terhadap apa yang sudah dan apa
yang belum dilaksanakan dengan baik dalam pandangan
keamanan.
Gambar 2.9. Fase 1 proses 3. Identify Staff Knowledge
Process 3:
Identify Staff Knowledge
Inputs
Current knowledge of staff
Organizational data
Catalog of practices
Outputs
Staff assets with relative priorities
Staff areas of concern
Security requirements for staff assets
Current staff protection strategy practices
Staff organizational vulnerabilities
Worksheets Asset worksheet (W3.1)
Areas of concern worksheet (W3.2)
Security requirements worksheet (W3.3)
Staff survey (W3.4)
IT staff survey (W3.4 IT)
Protection strategy worksheet (W3.5)
43
4) Fase 1 proses 4. Create Threat Profile
Proses ke empat menggabungkan semua informasi yang diperoleh
dalam proses 1 sampai proses ke 3 dan membuat sebuah profil
ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim
analisis (beserta tim tambahan jika diperlukan). Aktifitas yang
dilakukan terdiri dari:
• Konsolidasi data – tim analisis mendata daftar aset terpenting,
kebutuhan keamanan masing-masing aset, dan area of concern
yang diperoleh pada proses pertama sampai proses ke tiga.
• Memilih aset kritis - Dari keseluruhan aset terpenting yang
diajukan oleh manajer senior, manajer area operasional dan para
staf, aset yang terpenting diseleksi oleh tim analisis.
• Mendefinisikan kebutuhan keamanan untuk aset kritis – tim
analisisi menyempurnakan informasi yang diperoleh pada proses 1
sampai ke 3 untuk sampai pada sebuah rancangan akhir kebutuhan
keamanan.
• Menentukan ancaman terhadap aset kritis – tim analisis
menyempurnakan informasi area of concern yang diperoleh dari
proses 1 sampai proses ke 3 dan menjabarkannya dalam profil
ancaman keamanan.
44
Gambar 2.10. Fase 1 proses 4. Create Threat Profile
Process 4:
Create Threat Profiles Inputs
Current knowledge of analysis team
Generic threat profile
Results from Process 1
Results from Process 2
Results from Process 3
Outputs
Consolidated information
• Assets
• Security requirements
• Areas of concern Critical assets
Security requirements for critical assets
Threats to critical assets
Worksheets Asset group worksheet (W4.1)
Security requirements group worksheet (W4.2)
Areas of concern group worksheet (W4.3)
Asset Profile Workbook (WK)
45
2.4.2.1.2 Fase 2. Identify Infrastructure Vulnerability
Fase 2 dalam OCTAVE-S adalah Identify Infrastructure
Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi
pada aset kritis dan komponen infrastruktur kunci yang mendukung aset
tersebut. Fase 2 ini meliputi dua proses yang akan dibahas lebih lanjut.
1) Fase 2 proses 5. Identify Key Components
Proses 5 mengidentifikasi komponen kunci dari infrastruktur yang
harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim
analisis mempertimbangkan berbagai macam sistem dalam organisasi
dan masing-masing komponennya. Tim analisis mencari “system(s) of
interest” untuk setiap aset kritis – yaitu sistem yang paling dekat
hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari:
• Mengidentifikasi klasifikasi kunci setiap komponen – sebuah
systems of interest diidentifikasikan untuk setiap aset. Topologi
atau pemetaan jaringan jenis lain digunakan untuk meninjau di
mana aset kritis berada dan bagaimana diakses. Klasifikasi
komponen kunci dipilih berdasarkan bagaimana aset diakses dan
digunakan.
• Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk
setiap tipe komponen, tim analisis memilih komponen tertentu
untuk dievaluasi. Departemen teknologi informasi harus
46
memberikan arah jaringan secara spesifik atau lokasi fisiknya dan
akan diperlukan untuk menyusun evaluasi.
Gambar 2.11. Fase 2 proses 5. Identify Key Components
Process 5:
Identify Key Components
Inputs
Current knowledge of analysis team and key IT staff
Current network topology diagrams (including IP addresses for components)
Outputs
Key classes of components
Infrastructure components to examine
Selected approach for evaluating each infrastructure component
Worksheets Asset Profile Workbook (WK)
47
2) Fase 2 proses 6. Evaluate Selected Components
Pada proses ini komponen infrastruktur yang dipilih untuk setiap
aset kritis dievaluasi untuk mengetahui vulnerability secara teknis.
Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya
dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses
ini terdiri dari:
• Prework: menjalankan peralatan evaluasi vulnerability pada
komponen infrastruktur sebelum lokakarya. Peralatan evaluasi
mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari
pihak lain.
• Mengkaji vulnerability teknologi dan merangkum hasilnya –
pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi
kepada tim analisis. Mereka kemudian mendiskusikan vulnerability
yang mana yang memerlukan perbaikan dalam jangka waktu dekat,
menengah atau jangka panjang, memodifikasi rangkuman jika
diperlukan. Secara umum hal ini berhubungan dengan derajat
kerumitan vulnerability dan aset kritis yang dipengaruhinya.
48
Gambar 2.12 Fase 2 proses 6. Evaluate Selected Components
Process 6:
Evaluate Selected Components
Inputs
Current knowledge of analysis team and key IT staff
Software tools
• Catalog of vulnerabilities Current network topology diagrams (including IP addresses for components) Infrastructure components to examine
Selected approach for evaluating each infrastructure component
Outputs
Technology vulnerabilities
Technology vulnerability summary
Worksheets Asset Profile Workbook (WK)
49
2.4.2.1.3 Fase 3. Develop Security Strategy and Plans
Fase 3 dalam OCTAVE-S adalah Develop Security Strategy
and Plans. Pada fase ini didefinisikan resiko terkait dengan aset kritis,
membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi
proteksi organisasi.Rencana dan strategi dikaji dan diterima oleh manajer
senior. Terdapat dua proses dalam fase 3 yang akan dibahas.
1) Fase 3 proses 7. Conduct Risk Analysis
Selama proses 7, tim analisis mengkaji semua informasi yang
diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil
resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari
profil ancaman , menambahkan pengukuran kualitatif terhadap akibat
kepada organisasi untuk setiap kemungkinan ancaman yang terjadi.
Kemungkinan untuk setiap kejadian tidak digunakan. Karena
menetapkan sebuah alasan kemungkinan secara akurat dari setiap
kejadian sangat sulit dan senantiasa berubah-ubah, maka
kemungkinan untuk setiap cabang diasumsikan sama. Proses 7
meliputi aktifitas:
• Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis –
Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap
organisasi ditetapkan untuk setiap akibat dari ancaman.
50
• Membuat kriteria evaluasi – dengan menggunakan pernyataan
akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat
ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi
tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan rendah)
ditetapkan untuk banyak aspek (misalnya finansial atau akibat
operasional).
• Mengevaluasi akibat dari ancaman terhadap aset kritis –
berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman
didefinisikan sebagai tinggi, menengah, atau rendah. Semua
informasi mengenai hal ini dicatat dalam Asset Profile Workbook.
Gambar 2.13 Fase 3 proses 7. Conduct Risk Analysis
Process 7:
Conduct Risk Analysis
Inputs
Current knowledge of analysis team and key staff
Critical assets
Security requirement for critical assets
Threats to critical assets
Areas of concern for critical assets
Outputs
Impact of threats to critical assets
Risk evaluation criteria
Impact values
Worksheets Asset Profile Workbook (WK)
51
2) Fase 3 proses 8. Develop Protection Strategy
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan
strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk
resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada
lokakarya pertama (disebut sebagai lokakarya A), tim analisis
menyusun proposal strategi dan perencanaan. Pada lokakarya ke dua
(disebut lokakarya B), manajer senior mengkaji proposal, membuat
perubahan yang diinginkan, dan menetapkan langkah selanjutnya
untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi
aktifitas:
• Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari
kompilasi survey pada proses 1 sampai proses 3. Hasilnya
digunakan untuk melihat praktek mana yang telah dianggap baik
oleh sebagian besar responden dan mana yang dianggap buruk oleh
sebagian besar responden
• Mengkaji informasi – Informasi yang diperoleh dari proses-proses
sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability,
praktek, informasi resiko, dan kebutuhan keamanan aset kritis.
• Membuat strategi proteksi – strategi ini meliputi setiap praktek
yang dianggap harus dilaksanakan atau ditingkatkan, termasuk
praktek mana yang sudah dilaksanakan dengan baik. Membuat
rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat untuk
melakukan pencegahan, pengenalan, dan pemulihan dari setiap
52
resiko dan menjelaskan bagaimana mengukur efektifitas dari
kegiatan mitigasi.
• Membuat daftar aktifitas – sebuah daftar aktifitas yang segera
dilaksanakan, biasanya meliputi vulnerability yang memerlukan
perbaikan dengan segera.
Gambar 2.14 Fase 3 proses 8. Develop Protection Strategy A
Process 8:
Develop Protection Strategy Workshop A Inputs
Current knowledge of analysis team and key staff
Consolidated information
• Assets
• Security requirements
• Areas of concern Current protection strategy practices from each organizational level
Organizational vulnerabilities from each organizational level
Critical assets
Security requirements for critical assets
Threats to critical assets
Key classes of components
Infrastructure components to examine
Technology vulnerability summary
Key classes of components
Technology vulnerabilities
Outputs
Current protection strategy practices
Current organizational vulnerabilities
Proposed protection strategy
Proposed mitigation plan
Proposed action list
Worksheets Current strategic practices worksheet (W8A.1)
Current operational practices worksheet (W8A.2)
Protection strategy for strategic practices worksheet (W8A.3)
Protection strategy for operational practices worksheet (W8A.4)
Action list worksheet (W8A.5)
Asset Profile Workbook (WK)
53
Lokakarya B meliputi aktifitas:
• Prework: Membuat presentasi untuk manajer senior
• Mengkaji informasi resiko – tim analisis mempresentasikan
informasi berkaitan dengan aset kritis dan ringkasan hasil survey
kepada manajer senior.
• Mengkaji ulang dan memperbaiki strategi proteksi, rencanan
mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A.
Manajer senior dapat meminta perubahan, penambahan, atau
pengurangan.
• Menetapkan langkah selanjutnya – Manajer senior memutuskan
bagaimana mengimplementasikan strategi, perencanaan, dan
aktifitas.
Gambar 2.15 Fase 3 proses 8. Develop Protection StrategyB
Process 8:
Develop Protection Strategy B
Outputs
Protection strategy
Mitigation plan
Action list
Next steps
Inputs
Current knowledge of analysis team and key staff
Current knowledge of senior managers
Proposed protection strategy
Proposed mitigation plan
Proposed action list
Consolidated information
• Assets
• Security requirements
• Areas of concern
• Protection strategy practices
• Organizational vulnerabilities
Worksheets Asset summary worksheet (W8B.1)
Risk profile for critical assets (W8B.2)
Organization protection strategy worksheet (W8B.3)
Mitigation plan worksheet (W8B.4)
Action list worksheet (W8B.5)
Current strategic practices worksheet (W8A.1)
Current operational practices worksheet (W8A.2)
Protection strategy for strategic practices worksheet (W8A.3)
Protection strategy for operational practices worksheet (W8A.4)
Action list worksheet