BAB 2 LANDASAN TEORI
2.1
Konsep Manajemen Risiko 2.1.1
Pengertian Risiko Menurut Peltier (2001, p. 21), risiko merupakan kemungkinan
terjadinya beberapa ancaman yang mudah menyerang. 2.1.2
Manajemen Risiko Menurut Djojosoedarso (2003,p. 2) manajemen risiko merupakan
berbagai cara penanggulangan risiko. Dan menurut Peltier (2001, p. 224), manajemen risiko merupakan proses mengidentifikasi risiko, mengukur untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p. 8) manajemen risiko merupakan proses logik yang digunakan oleh perusahaan bisnis dan individual. Oleh karena itu dapat disimpulkan bahwa setiap orang harus selalu berusaha untuk mencegah terjadinya resiko, artinya bahwa adanya upaya untuk meminimumkan resiko yang terjadi. Dan pencegahan resiko tersebut dapat dilakukan dengan berbagai cara. Pengelolaan2 dari pencegahan resiko inilah yang kita sebut sebagai manajemen risiko. 2.2
Risiko Teknologi Informasi 2.2.1
Kategori Risiko Teknologi Informasi Menurut Hughes (2006, p. 36), dalam penggunaan teknologi
informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu: 1. Keamanan
4
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber. 2. Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), Perusahaan konfigurasi, dan kurangnya pengurangan arsitektur. 3. Daya pulih. Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 4. Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Daya skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. 6. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
5
2.3
Manajemen Risiko Teknologi Informasi Menurut Alberts, C dan Dorofee.A (2003, p. 8), manajemen risiko adalah
proses yang berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana untuk menunjuk mereka. Menurut Djojosoerdarso (2005,p. 4), manajemen risiko adalah pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, dan memimpin, dan mengawasi (termasuk mengevaluasi) program penanggulangan risiko. Jadi manajemen risiko adalah suatu proses identifikasi, mengatur risiko, serta membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia. Strategi yang dapat digunakan antara lain mentransfer risiko pada pihak lain, menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh konsekuensi dari risiko tertentu. Program manajemen risiko dengan demikian mencakup tugas-tugas, seperti (1) Mengidentifikasi risiko-risiko yang dihadapi; (2) Mengukur atau menentukan besarnya risiko tersebut; (3) Mencari jalan untuk menghadapi atau menanggulangi risiko; (4) Menyusun strategi untuk memperkecil ataupun mengendalikan risiko; (5) Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi program penanggulangan risiko yang telah di buat. 2.3.1
Fungsi- Fungsi Pokok Manajemen Risiko
Menurut Djojosoerdarso(2005, p.14), fungsi pokok manajemen risiko terdiri dari: 1. Menemukan Kerugian Potensial
6
Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko murni yang dihadapi perusahaan, yang meliputi (a) Kerusakan fisik dari harta kekayaan perusahaan; (b) Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan; (c) Kerugian akibat adanya tuntutan hukum dari pihak lain; (d) Kerugian-kerugian yang timbul karena penipuan, tindakan – tindakan kriminal lainnya, tidak jujurnya karyawan; (e) Kerugian-kerugian yang timbul akibat karyawan kunci (keymen) meninggal dunia, sakit dan cacat. 2. Mengevaluasi Kerugian Potensial Artinya melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan meliputi perkiraan mengenai (a) Besarnya kemungkinan frekuensi terjadinya
kerugian
artinya
memperkirakan
jumlah
kemungkinan
terjadinya kerugian selama suatu periode tertentu atau berapa kali terjadinya kerugian tersebut selama suatu periode tertentu; (b)Besarnya bahaya dari tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya dikaitkan dengan besarnya pengaruh kerugian tersebut, terutama terhadap kondisi financial perusahaan; (c) Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian. Pada intinya, ada empat cara yang dapat dipakai untuk menanggulangi risiko, yaitu mengurangi kesempatan terjadinya kerugian, meretensi, mengasuransikan, dan menghindari. Dimana tugas dari manajer risiko adalah memilih satu cara yang paling tepat untuk menanggulangi suatu
7
risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk menanggulangi risiko.
2.3.2
Tahap Manajemen Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p. 62), jalan kehidupan
manajemen risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda Pengenalan/penemuan – menaruh risiko teknologi informasi pada radar manajemen (1) Penilaian/analisis – mengerti risiko informasi teknologi dalam konteks tas surat keseluruhan risiko informasi teknologi dan menilai kemungkinan munculnya dan pengaruhnya pada bisnis; (2) Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan; (3) Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat risiko teknologi informasi.
2.3.3 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p. 60), kemampuan manajemen risiko teknologi informasi yang efektif adalah kemampuan manajemen yang memenuhi kebutuhan bisnis, di mana elemen desain penting yang harus dipertimbangkan adalah: 1.
Strategi dan Kebijakan
8
Strategi-strategi
dan
kebijakan-kebijakan
manajemen
risiko
teknologi informasi diperlukan untuk menentukan tujuan dari manajemen risiko teknologi informasi secara keseluruhan, membangun prioritas dan pentingnya manajemen risiko teknologi informasi, memastikan cakupan area yang potensial dari risiko teknologi informasi dan menyediakan landasan peraturan dan prinsip-prinsip untuk mengelola risiko. Kebijakan manajemen risiko teknologi informasi harus didokumentasikan secara formal dan didukung oleh tim tata kelola teknologi informasi dan dikomunikasikan secara aktif kepada seluruh organisasi. 2.
Peran dan Tanggung Jawab Peran yang perlu ditentukan terlebih dahulu dan sesudah itu orang
yang tepat yang harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal yang perlu dipertimbangkan adalah: a. Pemisahan tugas: untuk memastikan bahwa setiap peran kelas risiko independen menjalankan pemantauan dan melakukan tinjauan ulang. b. Menyeimbangkan kebutuhan masukkan untuk spesialis: kontribusi pengertian proses, sistem dan risiko spesifik, manajerial pembuatan keputusan-mempertimbangkan semua factor dan menentukan tindakan. c. Mencocokkan peran manajemen risiko teknologi informasi ke dalam struktur di mana dia seharusnya ditempatkan. Misalnya, aktivitas perawatan manajemen risiko teknologi informasi harus sejalan dengan manajer proyek untuk risiko proyek.
9
d. Membuat peran manajemen risiko teknologi informasi yang baru ketika dibutuhkan, misalnya, lintas fungsional bisnis dengan koordinasi peran secara berkelanjutan. e. Mengalokasikan tanggung jawab bersama jika diperlukan dan memastikan semua tempat telah diambil. 3.
Proses dan Pendekatan Siklus hidup manajemen risiko memiliki beberapa langkah, yang
dikembangkan dengan beberapa langkah yang berbeda untuk berbagai jenis risiko: a.
Identifikasi/Penemuan: Mendapatkan risiko teknologi informasi
berdasarkan radar dari manajemen. b.
Penilaian/Analisis: Memahami risiko dalam konteks keseluruhan
portfolio risiko teknologi informasi dan menilai kemungkinan terjadinya dan dampak potensial terhadap bisnis. c.
Perawatan: Menentukan pilihan terbaik dari banyaknya program
untuk menangani risiko, perencanaan dan menyelesaikan tindakan yang diperlukan. d.
Pemantauan dan Tinjauan: Menindaklanjuti untuk memastikan
rancana apa yang telah dilakukan dan memahami adanya perubahan lebih lanjut dalam risiko dari portfolio.
4.
Orang dan Performa Manajemen risiko teknologi informasi juga tentang orang dan
performa mereka. Kemampuan dan pengetahuan dari orang-orang dalam
10
manajemen risiko teknologi harus dikembangkan dan dipelihara. Pengembangan dan pemeliharaan ini memerlukan beberapa kombinasi pendidikan dan pelatihan penanggulangan risiko teknologi informasi sesuai dengan peran dan tanggung jawab yang ada. 5.
Implementasi dan Pengembangan Orang tidak hanya akan menerima cara baru dalam pengelolaan
risiko teknologi informasi tanpa pernah diberitahu mengapa diperlukan. Sebuah cerita yang menyakinkan pentingnya hal tersebut untuk organisasi dan apakah itu penting untuk organisasi.
2.4
Pengukuran Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa metode pengukuran risiko teknologi informasi diantaranya, yaitu metode OCTAVE dan NIST yang digunakan untuk perbandingan. 2.4.1 NIST ( National Institute of Standard and Technology ) Special Publication 800-30 NIST ( National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800 – 30 tentang Risk Management Guide for Information Technology System. Terdapat tiga proses pengelolaan risiko, yaitu: 1. Proses Penilaian Risiko a. Karakteristik Sistem Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah untuk menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap sistem yang
11
diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem. Karakteristik sebuah sistem TI membentuk ruang lingkup dari risiko usaha, yang menggambarkan operasional otorisasi atau akreditasi batas-batas, dan menyediakan informasi (misalnya, perangkat keras, perangkat lunak, sistem konektivitas, dan divisi yang bertanggung jawab atau dukungan personil) yang penting untuk menentukan risiko.
b. Identifikasi Ancaman Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI. Sebuah kelemahan atau kerentanan dapat dipicu dari kesengajaan ataupun ketidaksengajaan, sebuah sumber ancaman tidak akan menghasilkan sebuah risiko jika tidak ada kelemahan yang dibiarkan. Dalam mempertimbangkan kemungkinan adanya ancaman, hal yang tidak boleh diabaikan, yaitu mempertimbangkan sumber ancaman, potensi kerentanan, dan kontrol yang ada. c. Identifikasi Kerentanan Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari kerentanan yang terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah untuk mengetahui kekurangan atau kelemahan dari sistem yang dapat dieksploitasi oleh sumber ancaman. d. Analisis Pengendalian Tujuan dari langkah ini adalah menganalisa pengendalian yang telah dilaksanakan atau direncanakan untuk meminimalkan atau menghilangkan kemungkinan-kemungkinan ancaman dari kelemahan atau kekurangan yang ada.
12
e. Penentuan Kemungkinan / Kecenderungan Untuk mendapatkan keseluruhan penilaian terhadap kemungkinan atau kecenderungan yang menunjukan adanya peluang kelemahan yang dapat dilakukan oleh lingkungan ancaman. Berikut ini faktor-faktor yang harus dipertimbangkan : (1) Motivasi dan Sumber Ancaman; (2) Sifat dan Kerentanan; (3) Keberadaan dan Efektifitas Pengendalian Saat Ini.
Kemungkinan / kecenderungan dari kelemahan potensial yang dapat terjadi, dideskripsikan dalam tingkatan tinggi, sedang, atau rendah: Level Definisi kemungkinan/kecenderungan Kemungkinan Tinggi
Sumber ancaman yang memiliki motivasi tinggi, memiliki
kemampuan
yang
cukup,
dan
pengendalian untuk mencegah kerentanan yang mungkin terjadi tidak efektif. Sedang
Sumber ancaman termotivasi dan mampu, tetapi pengendalian
yang
ada,
dapat
menghambat
kerentanan dengan sukses. Rendah
Sumber ancaman kurang termotivasi dan mampu, atau pengendalian yang ada untuk mencegah atau setidaknya
secara
signifikan
kerentanan yang mungkin terjadi.
Tabel 2.1: Definisi kemungkinan/kecenderungan
13
menghambat
f. Analisis Dampak Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi sebagai (1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem TI); (2) Sistem dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi); (3) Sistem dan Sensitivitas Data.
Besarnya dampak Definisi dampak Tinggi
Penerapan kerentanan: (1) dapat menghasilkan kehilangan biaya yang sangat tinggi dari aset nyata utama atau sumber daya, (2) dapat menyebabkan
pelanggaran,
kerugian
atau
rintangan dalam misi organisasi, reputasi atau pendapatan
yang
signifikan,
(3)
dapat
menyebabkan kematian atau cedera serius. Sedang
Penerapan kerentanan: (1) dapat menghasilkan kehilangan biaya yang tinggi dari aset nyata utama
atau
menyebabkan
sumberdaya, pelanggaran,
(2)
dapat
kerugian
atau
rintangan dalam misi organisasi, reputasi atau pendapatan, (3) dapat menyebabkan cedera serius. Rendah
Penerapan kerentanan: (1) dapat menghasilkan kehilangan
14
sebagian
aset
nyata
atau
sumberdaya, (2) dapat mempengaruhi misi, reputasi dan pendapatan organisasi.
Tabel 2.2 : Besarnya Definisi Dampak
g. Penentuan Risiko Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem TI. Penentuan tingkat risiko ini merupakan suatu fungsi (1) Kecenderungan suatu sumber ancaman menyerang vulnerability dari sistem TI; (2) Besarnya dampak yang akan terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI; (3) Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan resiko. h. Rekomendasi Pengendalian Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi. Faktor-faktor yang harus dipertimbangkan dalam rekomendasi pengendalian dan solusi alternative untuk meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu : keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan, kebijakan organisasi, dampak operasional, keselamatan dan kehandalan i. Dokumentasi Hasil-hasil setelah pengukuran risiko selesai (sumber ancaman, dan kerentanan
telah
diidentifikasi,
penilaian
15
risiko,
dan
rekomendasi
pengendalian tersedia), hasil-hasil yang ada harus di dokumentasikan dalam laporan resmi. 2. Proses Pengurangan Risiko Terdapat beberapa strategi dalam melakukan pengurangan risiko, yaitu dengan menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance), membatasi level resiko (risk limitation), perencanaan risiko (risk plan), penelitian dan pengakuan (research and acknowledgment), mentransfer risiko (risk transference). Metodologi
pengurangan
risiko
menggambarkan
pendekatan
untuk
mengimplementasikan control, yang terdiri dari : memprioritaskan aksi, evaluasi terhadap kontrol yang direkomendasikan, melakukan Cost-Benefit Analysis, memilih control, memberikan tanggung jawab, mengembangkan rencana implementasi perlindungan, implementasikan control yang dipilih.
3. Proses Evaluasi Risiko Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum teridentifikasi.
16
Gambar 2.1 : Model Framework Manajemen Resiko TI
2.4.1.1
Risk Level Matrix Penentuan akhir dari risiko diperoleh dengan mengalikan threat
likelihood (contoh: probability) dan impact. Matriks di bawah ini adalah matriks 3 x 3 kemungkinan ancaman (Tinggi, Sedang, dan Rendah) dan dampak ancaman (Tinggi, Sedang, dan Rendah). Tergantung pada kebutuhan dan seberapa detail penilaian risiko yang diinginkan, beberapa tempat dapat menggunakan matrix 4 x 4 atau 5 x 5. Yang terakhir ini dapat mencakup sebuah Sangat rendah / Sangat Tinggi kemungkinan ancaman dan Sangat rendah / Sangat dampak Tinggi ancaman untuk menghasilkan sebuah Sangat rendah / Sangat tingkat risiko tinggi. Sampel matriks pada Tabel 2.3 menunjukkan bagaimana tingkat risiko keseluruhan Tinggi, Sedang, dan Rendah berasal. Penentuan tingkattingkat risiko atau peringkat mungkin subjektif. Alasan untuk pembenaran ini dapat dijelaskan dalam hal kemungkinan sudah ditetapkan untuk setiap tingkat kemungkinan ancaman dan nilai yang ditetapkan untuk setiap tingkat dampak. Sebagai contoh, • Probabilitas ditetapkan untuk setiap tingkat kemungkinan ancaman adalah 1,0
untuk
Tinggi,
0,5
untuk
17
Medium,
0.1
untuk
Rendah
• Nilai diberikan untuk setiap tingkat dampak adalah 100 untuk High, 50 untuk sedang, dan 10 untuk rendah.
Tabel 2.3 : Risk Level Matrix
2.4.1.2 Mitigasi Resiko Mitigasi risiko adalah suatu metodologi sistematis yang digunakan oleh manajemen untuk mengurangi risiko. mitigasi risiko dapat dicapai melalui salah satu dari pilihan berikut : • Risk Assumption Menerima risiko potensial dan terus mengoperasikan sistem TI atau untuk menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat diterima • Risk Avoidance Menghindari risiko dengan menghilangkan penyebab risiko dan / atau konsekuensi (misalnya, mematikan sistem ketika risiko diidentifikasi) • Risk Limitation Membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak merugikan dari ancaman yang berlangsung
18
• Risk Planning Mengelola risiko dengan membangun suatu rencana mitigasi risiko yang memprioritaskan, menerapkan, dan memelihara kontrol • Research and Acknowledgment Untuk mengurangi risiko kerugian dengan menyadari kelemahan atau cacat dan meneliti sebuah kontrol untuk memperbaiki kerentanan • Risk Transference Melakukan transfer risiko dengan menggunakan pilihan lain / pihak ketiga untuk mengganti kerugian, seperti pembelian asuransi.
Tujuan dan misi perusahaan harus dipertimbangkan dalam memilih salah satu opsi mitigasi risiko. Ini mungkin tidak praktis untuk menangani semua risiko yang teridentifikasi, jadi prioritas harus diberikan kepada ancaman dan kerentanan yang memiliki potensi untuk menimbulkan dampak yang signifikan atau membahayakan misi perusahaan. Karena setiap organisasi memiliki lingkungan yang unik dan tujuan yang berbeda, pilihan yang digunakan untuk mengurangi risiko dan metode yang digunakan untuk menerapkan kontrol akan bervariasi.
19
Sumber Ancaman
Design System
YA
YA Vulnerable ?
TIDAK
TIDAK
No Risk
Unacceptable Risk
Loss Anticipated > Threshold
Vulnerability to Attack exist
Exploitable ?
No Risk
YA
Attacker's Cost < Gain ?
TIDAK
YA Risk Exist
TIDAK
Risk Accept
Risk Accept
Gambar 2.2 Mitigasi Resiko Sistem Informasi
Mitigasi resiko sistem informasi dijabarkan sebagai berikut ( poinpoin ini adalah tindak pengendalian jika apa yang ditunjukkan oleh diagram adalah “YA” ) : •
Ketika kerentanan dari sistem (Cacat, kelemahan) ada , maka dapat menerapkan risk assurance untuk mengurangi kemungkinan kerentanan tersebut dimanfaatkan.
•
Ketika kerentanan dari sistem dapat dimanfaatkan, gunakan proteksi berlapis, design arsitektur, dan kontrol administratif untuk meminimalisasi atau mencegah resiko.
•
Ketika pendapatan potensial lebih besar daripada biaya untuk menanggulangi penyerangan, maka gunakan proteksi untuk mengurangi
motivasi
penyerang,
dengan
menambah
biaya
penanggulangan ( penggunaan akses control, dengan membatasi system apa saja yang dapat diakses oleh user ) •
Ketika kerugian terlalu besar, maka dapat menerapkan ulang prinsip perancangan system, architecture, technical dan non
20
technical protection untuk membatasi waktu serangan , untuk mengurangi potensi kerugian.
2.4.2
OCTAVE-S
2.4.2.1 Pengertian OCTAVE dan OCTAVE-S Alberts, C dan Dorofee.A (OCTAVEsm Catalog of Practices, Version 2.0) mendefinisikan OCTAVE sebagai pendekatan terhadap risiko keamanan informasi evaluasi yang bersifat komprehensif, sistematis, kontekstual, dan dapat diarahkan sendiri. Hal ini memerlukan sebuah analisis tim untuk menguji resiko keamanan di sebuah aset organisasi dalam hubungannya dengan objective bisnis. Dengan mengimplementasi hasil-hasil dari OCTAVE, sebuah organisasi berusaha melindungi semua informasi dengan lebih baik dan meningkatkan keseluruhan bidang keamanan. Definisi OCTAVE-S menurut Alberts, C dan Dorofee.A (2003, p3) adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan kecil, organisasi-organisasi yang tidak memiliki hierarki. Dapat disimpulkan, pengertian OCTAVE-S adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk melakukan penilaian resiko terhadap organisasi skala kecil yang bersifat komprehensif, sistematis, kontekstual, dan dapat diarahkan sendiri.
21
2.4.2.2 Tahap, Proses, dan Aktivitas OCTAVE-S Menurut Alberts, C dan Dorofee.A (2003, p5), OCTAVE-S berdasar pada 3 tahap yang dideskripsikan dalam criteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahapan-tahapan OCTAVE-S yang berbasis pada framework OCTAVE yaitu: a. Membangun Aset Berbasis Profil Ancaman Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk mengevaluasi risiko. Tahap ini juga mengidentifikasi aset-aset organisasi yang penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini. Tim menyelesaikan tugasnya sendiri dan mengumpulkan informasi tambahan hanya ketika diperlukan. Kemudian memilih 3 dari 5 aset kritikal untuk menganalisa dasar kedalaman dari hubungan penting dalam organisasi. Akhirnya, tim menggambarkan kebutuhan-kebutuhan keamanan dan menggambarkan profil ancaman pada setiap aset. Di mana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil ancaman serta memiliki enam aktivitas. b. Mengidentifikasi kerentanan infrastruktur Tahap kedua yaitu tim analisis melakukan peninjauan ulang level tinggi dari perhitungan infrastruktur organisasi, yang berfokus pada
22
keamanan yang dipertimbangkan pemelihara dari infrastruktur. Tim analisis pertama menganalisis bagaimana orang-orang menggunakan infrastruktur komputer pada akses aset kritis, menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang kritis dimana terdapat dua aktivitas. c. Mengembangkan Strategi Keamanan dan Perencanaan. Selama tahap ketiga tim analisis mengidentifikasi risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat strategi perlindungan untuk organisasi dan rencana mitigrasi risiko yang ditujukan pada aset kritis. Kertas kerja OCTAVE yang digunakan selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek katalog OCTAVE, memungkinkan tim untuk mengubungkan rekomendasirekomendasinya untuk meningkatkan praktek keamanan dari penerimaan benchmark. Tahap ini terdiri atas 2 proses, yaitu : identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini memiliki delapan aktivitas. Manajemen risiko keamanan informasi memerlukan sebuah keseimbangan kegiatan reaksi dan proaktif. Selama dalam evaluasi OCTAVE, tim analisis memandang keamanan dari berbagai perspektif, memastikan rekomendasi mencapai keseimbanagn dasar yang sesuai pada kebutuhan organisasi.
23
2.4.2.3 Hasil OCTAVE-S Menurut Alberts, C dan Dorofee.A (2003, p. 6), selama mengevaluasi OCTAVE,-S tim analisis melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi. Hasil utama dari OCTAVE-S, yaitu: 1. Strategi perlindungan organisasi yang luas: Perlindungan strategi menguraikan secara singkat arah organisasi dengan mematuhi praktek keamanan informasi. 2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi risiko aset kritis untuk meningkatkan praktek keamanan yang di pilih. 3. Daftar tindakan: Termasuk tindakan jangka pendek yang dibutuhkan untuk menunjukkan kelemahan yang spesifik.
Hasil OCTAVE-S yang berguna lainnya, yaitu: 1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan sasaran organisasi. 2. Hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik. 3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap aset. Jadi, setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan organisasi.
24
sikap keamanan