BAB 2 LANDASAN TEORI 2.1
Evaluasi Manajemen Resiko Teknologi Informasi
2.1.1
Pengertian Evaluasi Menurut Suharsimi Arikunto (2004 : 1) evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan informasi-informasi yang berguna bagi pihak decision maker untuk menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah dilakukan.
2.1.2
Pengertian Manajemen Menurut Robbins & Coulter (2005, p7), Manajemen adalah proses mengkoordinasi dan kegiatan-kegiatan pekerjaan agar selesai secara efisien dan efektif dengan dan melalui orang lain. Menurut Anthony dan Govindanajan (2007, p4), Manajemen adalah sebuah organisasi yang terdiri dari orang-orang yang berada dalam sebuah group yang bekerja secara bersama-sama untuk mencapai tujuan tertentu. Menurut Fayol (2002, p6), Proses manajemen merupakan serangkaian keputusan dan kegiatan kerja terus-menerus yang dijalani para manajer sewaktu mereka merencanakan, mengorganisasi, memimpin, dan mengendalikan.
7
8 2.1.3
Fungsi Manajemen Menurut Fayol (2002, p7), berdasarkan hasil penelitian ia mengusulkan bahwa semua manajer melaksanakan lima fungsi manajemen : 1. Merencanakan ( Planning) Merencanakan merupakan fungsi manajemen yang mencakup proses mendefinisikan sasaran, menetapkan strategi untuk mencapai sasaran itu, dan menyusun rencana untuk mengintegrasikan dan mengkoordinasikan sejumlah kegiatan. 2. Mengorganisasi (Organizing) Mengorganisasi merupakan fungsi manajemen yang mencakup proses menentukan tugas apa yang harus dilakukan, siapa yang harus melakukan, bagaimana cara mengelompokan tugas-tugas itu, siapa harus melapor kesiapa, dan dimana keputusan harus dibuat. 3. Memimpin (Actuating) Memimpin merupakan fungsi manajemen yang mencakup memotivasi bawahan, mempengaruhi individu atau tim sewaktu mereka bekerja, memiliki saluran komunikasi yang paling efektif, dan memecahkan dengan berbagai cara masalah perilaku karyawan. 4. Mengendalikan (Controlling) Mengendalikan merupakan fungsi manajemen yang mencakup memantau kinerja aktual, membandingkan aktual dengan standar, dan membuat koreksinya, jika perlu.
9 2.1.4
Pengertian Resiko Dalam buku
Manajemen Resiko dan Asuransi karangan Sentanoe
Kertonegoro ( 2003, p1 ), istilah resiko dirumuskan oleh beberapa ahli : Menurut Emmet J Vaughan dan Curtis M.Elliot sebagai : a. Resiko yaitu kans kerugian (the chance of loss) b. Kemungkinan kerugian (the possibility of loss) c. Resiko ketidakpastian (uncertainty) d. Penyimpangan kenyataan dari hasil yang diharapkan (the dispersion of actual from expected result) e. Probabilitas bahwa suatu hasil berbeda dari yang diharapkan (the probability of any outcome different from the one expected). Menurut Arthur William dan Richard, M.H (2005, p2) Resiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu. Dan ancaman dibedakan menjadi 3 : 1.
Ancaman Fisik (Physical Hazard) Yaitu sifat-sifat fisik yang menambah kemungkinan kerugian dari berbagai bahaya.
2.
Ancaman Mental (Moral Hazard) Yaitu tambahan kemungkinan kerugian yang diakibatkan tendensi kecurangan pada sifat manusia tertanggung.
3.
Ancaman Moril (Morale Hazard) Yaitu timbulnya sifat tak acuh pihak tertanggung terhadap terjadinya kerugian.
10 2.1.5
Pengertian Manajemen Resiko Menurut Djojosoendarso ( 2003,p4 ) Manajement Resiko adalah pelaksanaan fungsi – fungsi manajement dalam penanggulangan resiko,terutama adalah resiko yang dihadapi oleh prganasi / perusahaan, keluarga dan masyarakat. Jadi, mencakup kegiatan merencanakan, mengorgansisir, menyusun, memimpin / mengkoordinir, dan mengawasi ( termasuk mengevaluasi ) program penangulangan resiko. Menurut Mark S. Dorfman ( 2005,p44 ) Manajemen Resiko adalah we define risk management as the logical development and carrying out of plan to deal with potential losses. Manajemen resiko merupakan pendekatan logis untuk menangani masalahmasalah yang dihadapi perusahaan karena terekspos terhadap kemungkinan kerugian.
2.1.6
Fungsi Pokok Manajemen Resiko Menurut Djojosoendarso ( 2003,p4 ), fungsi pokok manajement resiko adalah : 1. Menemukan kerugian potensial. Berupaya untuk menemukan atau mengidentifikasi seluruh resiko murni yang dihadapi oleh perusahaan. 2. Mengevaluasi kerugian potensial. Yaitu melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. 3. Memilih teknik yang tepat atau menentukan suatu kombinasi dari teknik – teknik yang tepat guna menangulangi kerugian.
11 Ada empat cara, yaitu : mengurangi kesempatan terjadinya kerugian, merentasi, mengansurasikan, dan menghindari.
2.1.7
Langkah-langkah Proses Pengurangan Risiko Dalam mengelola resiko, langkah-langkah proses yang harus dilalui adalah : 1.
Mengidentifikasi atau menetukan terlebih dahulu objektif / tujuan yang ingin dicapai melalui pengelolaan resiko
2.
Mengindentifikasi
kemungkinan-kemungkinan
terjadi
kerugian
atau
mengindentifikasi terjadi resiko-resiko yang dihadapi. 3.
Mengevaluasi dan mengukur besarnya kerugian potensial.
4.
Mencari cara atau kombinasi cara-cara yang paling baik, paling tepat dan paling ekonomis untuk menyelesaikan masalah-masalah yang timbul akibat terjadi suatu kerugian.
5.
Mengkoordinir dan mengimplementasikan / melaksanakan keputusankeputusan yang telah diambil untuk menanggulangi resiko.
6.
Mengadministrasi, memonitor dan mengevaluasi semua langkah-langkah atau strategi yang telah diambil dalam menanggulangi resiko.
2.1.8
Tujuan Proses Manajemen Resiko. Dalam
mengevaluasi
proses
manajemen
resiko,
manajer
harus
menyesuaikan antara proses dengan pencapaian lima kunci yang tercantum pada Pratice Advisory 2110 – 1, ” Penilaian Kecukupan Proses Manajement Resiko ” ( Barriyah, 2007, p24 ).
12 Tujuan – tujuan tersebut adalah : a. Resiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan. b. Manajement dan dewan komisaris telah menentukan tingkat resiko yang dapat diterima oleh perusahaan, termasuk penerimaan resiko yang dirancang untuk mencapai rencana strategis organisasi. c. Aktivitas penghindaran resiko dirancang dan diimplementasikan untuk mengurangi, atau mengelola resiko pada tingkat yang ditentuka dapat diterima oleh management dan dewan komisaris. d. Aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik menilai ulang resiko dan efektifitas kontrol untuk mengelola resiko. e. Dewan komisaris dan manajement menerima laporan secara periodik mengenai hasil proses management resiko. Proses tata kelola organisasi harus memberikan komunikasi periodik tentang resiko, strategi resiko, dan kontrol resiko untuk pihak yang berkepentingan. Sedangkan menurut Peltier, tujuan management resiko adalah : 1.
Mempertahankan Kepercayaan ( terhadap Organisasi ) a. Konsumen b. Konstituen c. Pembayar Pajak d. Pemegang Saham
2.
Melindungi kerahasiaan dari Sensifitas Informasi a. Personal
13 b. Finansial c. Rahasia Transaksi d. Dan lain - lain 3.
Melindungi data operasional yang sensitif dan disclosure yang tidak sesuai.
4.
Menghindari liabilitas pihak ktiga dari tindakan ilegal atau mailicius yang terikat dengan sistem organisasi.
5.
Memastikan bahwa komputer, jaringan, data organisasi tidak disia – siakan atau disalah gunakan.
2.1.9
6.
Menghindari Fraud
7.
Menghindari insiden yang mahal dan distruptif
8.
Taat pada aturan hukum yang berlaku
9.
Menghindari atmosfir tempat kerja yang hostile / kurang kondusif.
Prinsip –prinsip Manajemen Resiko Ada beberapa prinsip management resiko.yaitu : 1.
Mengukur resiko dan menentukan kebutuhan
2.
menentukan titik focal menagement sentral
3.
mengimplementasikan kebijakan yang sesuai dan pengendalian lainya.
4.
memonitor kebijakan dan efektifitas pengendalian
2.1.10 Keuntungan Manajement Resiko Menurut Susanto ( 2003, pI2 ), keuntungan yang dapat diperoleh dari management resiko yang efektif adalah dapat membantu organisasi untuk :
14 a. Mencapai kesinambungan pemberian pelayanan terhadap publik atau pihak yang berkepentingan terhadap organisasi. b. Mencapai hasil yang lebih baik berupa efisiensi dan efektifitas pelayanan, seperti : meningkatkan pelayanan kepada klien dan meningkatkan sumberdaya yang lebih baik. c. Memberikan dasar penyusunan rencana strategi dengan memesukan pertimbangan atas resiko. d. Menghindari biaya – biaya yang mengejutkan, karena perusahaan telah mengidentifikasi dan mengelola resiko yang tidak diperlukan, dan dapat menghindari biaya dan waktu yang dihabiskan dalam suatu hal bila resiko terjadi. e. Meningkatkan akuntanbilitas dan corporate governance.
2.1.11 Penanggulangan Resiko Pada pokoknya ada 2 pendekatan/cara yang digunakan oleh seorang manajer resiko untuk menaggulangi resiko yang dihadapi oleh perusahaannya yaitu : 1. Penanganan resiko 2. Pembiayaan resiko Selanjutnya dalam masing-masing pendekatan ada beberapa alat yang dapat dipakai untuk menanggulangi resiko yang dihadapi. Biasanya dan sebaiknya manajer resiko menggabungkan kedua cara tersebut atau lebih, agar upaya penanggulangan resiko dapat berjalan efektif dan efisien.
15 Dalam pendekatan dan penanganan resiko ada beberapa metode yang dapat digunakan antara lain : 1. Menghindarinya 2. Mengendalikan 3. Memisahkan 4. Melakukan kombinasi 5. Memindahkan Sedangkan dalam penanggulangan resiko dengan membiayai resiko ada dua metode yang digunakan yaitu : 1. Pemindahan resiko melalui asuransi 2. Melalui retensi
2.2
Pengertian Teknologi Informasi Menurut O’Brien (2005,p9), ”Teknologi Informasi merupakan hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer. Menurut Thompson, Cats-Baril dan William(2003,p3), ”Teknologi Informasi perangkat keras dan perangkat lunak yang digunakan oleh sistem dengan dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses, dan menghasilkan suatu produk. Menurut Turban, Rainer dan Potter(2003,p3), ”Teknologi Informasi yaitu kumpulan dari komponen teknologi yang diorganisir ke dalam suatu sistem informasi berbasis komputer. In-House Application
16 In-House Application adalah perangkat lunak yang digunakan untuk membantu proses bisnis dalam satu divisi. Hardware dan Software Hardware, adalah perangkat keras yang meliputi semua bagian fisik komputer yang
dibedakan dengan data yang berada di dalamnya atau yang
beroperasi di dalamnya. Software, adalah perangkat lunak yang menyediakan instruksi bagi hardware ( perangkat keras ) untuk menyelesaikan tugasnya. 2.3 Octave - S The Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®) approach defines a risk-based strategic assessment and planning technique for security. OCTAVE is a self-directed approach, meaning that people from an organization assume responsibility for setting the organization’s security strategy. OCTAVE-S is a variation of the approach tailored to the limited means and unique constraints typically found in small organizations (less than 100 people). To conduct OCTAVE-S effectively, the team must have broad knowledge of the organization’s business and security processes, so it will be able to conduct all activities by itself. Alberts et al (2005,xi). Pendekatan oktav mendefinisikan sebuah resiko berbasis strategi penilaian dan perencanaan teknik untuk sekuriti (keamanan). Octave adalah sebuah pendekatan dari dari sendiri, yang berarti bahwa orang dari suatu organisasi mengasumsikan tanggung jawab untuk mengatur strategi keamanan organisasi. Octave-s adalah sebuah variasi dari
17 pendekatan yang disesuaikan untuk tujuan/sarana yang terbatas dan kendala-kendala unik yang biasanyaditemukan pada perusahaan kecil ( kurang dari 100 orang). Untuk mengembangkan octave-s secara efektif, tim harus memiliki pengetahuan yang luas mengenai bisnis organisasi dan proses sekuriti ( keamanan ), jadi tim dapat mengembangkan seluruh aktifitas dari dalam tim sendiri. Alberts et al (2005,xi). 2.3.1 Tahap OCTAVE - S OCTAVE-S is based upon the three phases described in the OCTAVE criteria, although the number and sequencing of activities differ from those used in the OCTAVE Method. This section provides a brief overview of the phases, processes, and activities of OCTAVE-S. Alberts et al (2005,5). Octave-s berdasarkan atas tiga fase yang dijelaskan pada kriteria OCTAVE, walaupun nomor dan urutan dari aktifitas berbeda dari yang digunakan dalam metode OCTAVE. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan dari OCTAVE - S. Alberts et al (2005,5) Phase 1: Build Asset-Based Threat Profiles Phase 1 is an evaluation of organizational aspects. During this phase, the analysis team defines impact evaluation criteria that will be used later to evaluate risks. It also identifies important organizational assets and evaluates the security current practice of the organization. The team completes all tasks by itself, collecting additional information only when needed.
18 It then selects three to five critical assets to analyze in depth based on relative importance to the organization. Finally, the team defines security requirements and defines a threat profile for each critical asset. Table 1 illustrates the processes and activities of Phase 1. Tahap 1: Bangun Aset Berbasis Ancaman Profil Tahap 1 adalah evaluasi terhadap aspek organisasi. Selama tahap ini, tim analisis mendefinisikan kriteria dampak evaluasi yang akan digunakan kemudian untuk mengevaluasi resiko.Tim juga mengidentifikasi aset penting organisasi dan mengevaluasi praktek keamanan organisasi saat ini.Tim menyelesaikan seluruh tugas sendiri, mengumpulkan informasi tambahan hanya jika diperlukan.Setelah itu tim kemudian memilih tiga dari lima kritikal aset untuk dianalisa secara mendalam berdasarkan
kepentingan
relatif bagi organisasi.Akhirnya,
tim mendefinisikan
persyaratan keamanan dan mendefinisikan sebuah profil ancaman berdasarkan setiap kritikal aset. Tabel 1 memperlihatkan proses dan kegiatan Tahap 1. Phase 2: Identify Infrastructure Vulnerabilities During this phase, the analysis team conducts a high-level review of the organization’s computing infrastructure, focusing on the extent to which security is considered by maintainers of the infrastructure.
19 The analysis team first analyzes how people use the computing infrastructure to access critical assets, yielding key classes of components as well as who is responsible for configuring and maintaining those components. Table 2 illustrates the processes and activities of Phase 2. Tahap 2: Identifikasi Kerentanan Infrastruktur Selama tahap ini, tim analisis melakukan review tingkat tinggi dari infrastruktur komputer organisasi, dengan fokus pada sejauh mana keamanan dipertimbangkan oleh pemelihara infrastruktur. Pertama-tama tim analisis menganalisa bagaimana orang menggunakan infrastruktur komputer untuk mengakses kritikal aset, memberikan kunci kelas serta komponen yang bertanggung jawab untuk memelihara dan mengkonfigurasi komponen tersebut. Tabel 2 memperlihatkan proses dan kegiatan Tahap 2. Phase 3: Develop Security Strategy and Plans During Phase 3, the analysis team identifies risks to the organization's critical assets and decides what to do about them. Based on an analysis of the information gathered, the team creates a protection strategy for the organization and mitigation plans to address the risks to the critical assets. The OCTAVE-S worksheets used during Phase 3 are highly structured and tightly linked to the OCTAVE catalog of practices, enabling the team to relate its recommendations for improvement to an accepted benchmark of security practice.
20 Table 3 depicts the processes and activities of Phase 3. Tahap 3: Mengembangkan Keamanan Strategi dan Rencana Selama tahap 3, team analisis mengidentifikasi resiko kepada aset penting organisasi untuk memutuskan apa yang akan mereka lakukan. Berdasarkan analisis dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan mitigasi rencana untuk mengatasi resiko pada kritikal aset. Kertas kerja OCTAVE-S yang digunakan pada tahap 3 sangat terstruktur dan terkait erat dengan katalog OCTAVE untuk praktek, memungkinkan tim untuk menghubungkan rekomendasinya demi perbaikan dan dapat diterima oleh tolak ukur dari praktek keamanan. Tabel 3 menggambarkan proses dan kegiatan Tahap 3 Tabel 2.1 Processes and Activities of Phase 1 Phase
Process
Activity
Phase 1: Build
Process S1: Identify
S1.1 Establish Impact Evaluation
Asset-Based
Organizational
Threat Profiles
Information
Criteria S1.2 Identify Organizational Assets
21 Phase
Process
Activity S1.3 Evaluate Organizational Security Practices
Process S2: Create Threat Profiles
S2.1 Select Critical Assets S2.2 Identify Security Requirements for Critical Assets S2.3 Identify Threats to Critical Assets S3.2 Analyze Technology-Related Processes
Tabel 2.1 Proses dan Aktivitas dari Tahap 1 Tahap
Proses
Aktivitas
Tahap 1:
Profil S1: Mengidentifikasi
S1. 1 Menetapkan Kriteria dampak
membangun aset- informasi organisasi
Evaluasi
ancaman berbasis S1. 2 Mengidentifikasi aset organisasi proses S1. 3 Mengevaluasi praktek keamanan organisasi Proses S2: Membuat Profil
S2. 1 Memilih kritikal aset
22
Tahap
Proses
Aktivitas
Ancaman
S2. 2 Mengidentifikasi persyaratan keamanan untuk kritikal aset S2. 3 Mengidentifikasi Ancaman pada kritikal aset S3. 2 menganalisa teknologi yang berkaitan dengan proses
Tabel 2.2 Processes and Activities of Phase 2 Phase
Process
Activity
Phase 2: Identify
Process S3: Examine
S3.1 Examine Access Paths
Infrastructure
Computing Infrastructure
S3.2 Analyze Technology-Related
Vulnerabilities
in Relation to Critical
Processes
Assets
Tabel 2.2 Proses dan Aktivitas dari Tahap 2 Tahap
Proses
Aktivitas
Tahap 2:
Proses S3: Memeriksa
S3. 1 Memeriksa jalur akses
Mengidentifikasi komputasi infrastruktur S3. 2 Menganalisa teknologi yang Kerentanan
penting dalam kaitannya berkaitan dengan proses
Infrastruktur
dengan asset
23 Tabel 2.3 Processes and Activities of Phase 3 Phase
Process
Activity
Phase 3: Develop
Process S4: Identify and
S4.1 Evaluate Impacts of Threats
Security Strategy
Analyze Risks
S4.2 Establish Probability
and Plans
Evaluation Criteria S4.3 Evaluate Probabilities of Threats Process S5: Develop Protection Strategy and Mitigation Plans
S5.1 Describe Current Protection Strategy S5.2 Select Mitigation Approaches S5.3 Develop Risk Mitigation Plans S5.4 Identify Changes to Protection Strategy S5.5 Identify Next Steps
24 Tabel 2.3 Proses dan Aktivitas dari Tahap 3 Tahap
Proses
Aktivitas
Tahap 3:
Proses S4: Identifikasi dan
S4. 1 Mengevaluasi dampak dari
Mengembangkan Analisa Resiko
Ancaman
strategi keamanan S4. 2 Membuat Kemungkinan dan rencana Kriteria Evaluasi proses S4. 3 Mengevaluasi Kemungkinan dari Ancaman Proses S5: Mengembangkan S5. 1 Menjelaskan Strategi Strategi Perlindungan dan
Perlindungan Saat Ini
Rencana Mitigasi S5. 2 Memilih Pendekatan Mitigasi S5. 3 Mengembangkan Rencana Mitigasi Resiko S5. 4 Mengidentifikasi Perubahan ke Strategi Perlindungan S5. 5 Mengidentifikasi Tahapan Berikutnya
25 2.3.2 HASIL OCTAVE -S OCTAVE-S Outputs Information security risk management requires a balance between reactive and proactive activities. During an OCTAVE-S evaluation, the analysis team views security from multiple perspectives, ensuring that recommendations achieve the proper balance based on the organization’s needs. The main results of OCTAVE-S are thus three-tiered and include 1. Organization-wide protection strategy – The protection strategy outlines the organization’s direction with respect to its information security practice. 2. Risk mitigation plans – These plans are intended to mitigate risks to critical assets by improving selected security practices. 3. Action list – These include short-term action items needed to address specific weaknesses. HASIL OCTAVE-S Informasi keamanan manajemen risiko memerlukan keseimbangan antara kegiatan reaktif dan proaktif. Selama evaluasi OCTAVE-S, tim analisis melihat keamanan dari berbagai perspektif, memastikan bahwa rekomendasi mencapai keseimbangan yang tepat berdasarkan kebutuhan organisasi. Hasil utama dari OCTAVE-S adalah tiga tingkatan dan termasuk 1.
Strategi perlindungan luas organisasi Strategi perlindungan organisasi menggaris bawahi tujuan oranisasi dengan hormat kepada praktek keamanan informasi.
26
2.
Rencana Mitigasi Resiko Rencana ini dimaksudkan untuk mengurangi risiko aset penting untuk meningkatkan keamanan praktek yang dipilih.
3.
Daftar tindakan Mencakup aksi item jangka pendek yang diperlukan untuk mengatasi kelemahan tertentu.
Other useful outputs of OCTAVE-S include 1. a
listing
of
important
information-related
assets
supporting
the
organization’s business goals and objectives 2. survey results showing the extent to which the organization is following good security practice 3. a risk profile for each critical asset depicting a range of risks to that asset Each phase of OCTAVE-S produces usable results, so even a partial evaluation will produce information useful for improving an organization’s security posture. Keluaran lainnya yang berguna dari OCTAVE-S antara lain : 1. Daftar informasi penting yang terkait dengan aset yang mendukung organisasi bisnis tujuan dan objektif. 2. Hasil survei yang menunjukkan sejauh mana organisasi telah mengikuti praktek keamanan yang baik. 3. Profil resiko kepada setiap kritikal aset yang menggambarkan jangkauan dari resiko terhadap asset.
27 Setiap tahapan OCTAVE-S memproduksi hasil yang bermanfaat, bahkan sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi. Scope of Application OCTAVE-S was developed and piloted with small organizations, ranging from 20 to 80 people in size. The pilot organizations shared a couple of common characteristics. First, their organizational structures were relatively flat, and people from different organizational levels were accustomed to working with each other. Second, people were often required to multitask, exposing staff members to the processes and procedures used across the organization. 2.3.2 Ruang Lingkup Aplikasi OCTAVE-S dikembangkan dan digunakan dalam organisasi kecil, mulai dari 20 sampai 80 orang. Tujuan organisasi membagi kesamaan dari beberapa karakteristik umum. Pertama, struktur organisasi mereka relatif datar, dan orang-orang dari berbagai level organisasi yang terbiasa untuk bekerja dengan satu sama lain. Kedua, orang yang sering diutuhkan untuk beberapa tugas, mengekspos anggota staf untuk proses dan prosedur yang digunakan di seluruh perusahaan.
28 Process Chart Table 2.4 Process S1: Identify Organizational Information Activity
Step
Description
Volume: Workshee t
S1.1 Establish Impact
1
Define a qualitative set of measures (high,
Volume 4:
Evaluation
medium, low) against which you will
Impact
Criteria
evaluate a risk’s effect on your
Evaluatio
organization’s mission and business
n Criteria
objectives. S1.2 Identify
2
Identify information-related assets in your
Volume 4:
Organizational
organization (information, systems,
Asset
Assets
applications, people).
Identificat ion
S1.3 Evaluate Organizational Security Practices
3a
Determine to what extent each practice in
Volume 4:
the survey is used by the organization.
Security Practices
29 3b
As you evaluate each security practice
Volume 4:
area using the survey from Step 3a,
Security
document detailed examples of
Practices
• what your organization is currently doing well in this area (security practices) • what your organization is currently not doing well in this area (organizational vulnerabilities) 4
After completing Steps 3a and 3b, assign a
Volume 4:
stoplight status (red, yellow, or green) to
Security
each security practice area. The stoplight
Practices
status should reflect how well you believe your organization is performing in each area. ---
Document action items identified during
Volume 9:
Process S1.
Action List
---
Document notes and recommendations
Volume 9:
identified during Process S1.
Notes and Recomme ndations
30
Proses Chart
Tabel 2.4 Proses S1: Mengidentifikasi Informasi Organisasi Aktivitas
S1. 1 Membuat
Langk Uraian
Volume:
ah
Worksheet
1
Menetapkan kualitatif pengukuran (tinggi,
Volume 4:
Kriteria dampak
menengah, rendah) dimana anda akan
Evaluasi
Evaluasi
mengevaluasi efek resiko pada misi
Dampak
organisasi anda dan tujuan bisnis.
Kriteria
Identifikasi informasi yang berhubungan
Volume 4:
dengan aset dalam organisasi Anda
Identifikasi
(informasi, sistem, aplikasi, orang)
aset
Menentukan sejauh mana setiap praktek
Volume 4:
dalam survei digunakan oleh organisasi
Keamanan
S1. 2 Identifikasi Aset 2 Organisasi
S1. 3 Evaluasi
3a
Organisasi Keamanan Praktik
Praktek 3b
Saat anda mengevaluasi setiap area praktek Volume 4: keamanan menggunakan survei dari
Keamanan
Langkah 3a,
Praktek
Rincian contoh dokumen dari
31 •
apa yang telah dilakukan organisasi anda saat ini cukup baik pada area praktek keamanan
•
apa yang telah dilakukan organisasi anda saat ini tidak cukup baik pada area kerentanan organisasi
4
Setelah menyelesaikan 3a dan 3b,
Volume 4:
menetapkan status lampu (merah, kuning,
Keamanan
atau hijau) untuk setiap area praktek
Praktek
keamanan. Status lampu harus mencerminkan seberapa baik Anda percaya organisasi anda telah melakukannya pada beberapa area. ---
---
Dokumen tindakan item diidentifikasi
Volume 9:
selama Proses S1.
Daftar Aksi
Dokumen catatan dan rekomendasi
Volume 9:
diidentifikasi selama Proses S1.
Catatan dan rekomenda si
32
Table 2.5 Process S2: Create Threat Profiles Activity
Step
Description
Volume: Worksheet
S2.1 Select Critical
5
Assets
Review the information-related assets
Volume 4:
that you identified during Step 2 and
Critical Asset
select up to five (5) assets that are
Selection
most critical to the organization. 6
Start a Critical Asset Information
Volumes 5-8:
Worksheet for each critical asset.
Critical Asset
Record the name of the critical asset
Information
on the appropriate Critical Asset Information Worksheet. 7
8
Record your rationale for selecting
Volumes 5-8:
each critical asset on that asset’s
Critical Asset
Critical Asset Information Worksheet.
Information
Record a description for each critical
Volumes 5-8:
asset on that asset’s Critical Asset
Critical Asset
Information Worksheet. Consider who
Information
uses each critical asset as well as who is responsible for it.
33 9
Record assets that are related to each
Volumes 5-8:
critical asset on that asset’s Critical
Critical Asset
Asset Information Worksheet. Refer to
Information
the Asset Identification Worksheet to determine which assets are related to the critical asset. S2.2 Identify
Record the security requirements for
Volumes 5-8:
Security
each critical asset on that asset’s
Critical Asset
Requirements for
Critical Asset Information Worksheet.
Information
For each critical asset, record the
Volumes 5-8:
most important security requirement
Critical Asset
on that asset’s Critical Asset
Information
Critical Assets
10
11
Information Worksheet. Process S2: Create Threat Profiles (cont.) Activity
Step
Description
Volume: Worksheet
34 S2.3 Identify Threats
12
to Critical Assets
Complete all appropriate threat trees
Volumes 5-8:
for each critical asset. Mark each
Risk Profile
branch of each tree for which there is
Volumes 5-8:
a non-negligible possibility of a threat
Threat
to the asset.
Translation
As you complete this step, if you have
Guide
difficulty interpreting a threat on any threat tree, review the description and examples of that threat in the Threat Translation Guide. 13
Record specific examples of threat
Volumes 5-8:
actors on the Risk Profile Worksheet
Risk Profile
for each applicable actor-motive combination. 14
Record the strength of the motive for
Volumes 5-8:
deliberate threats due to human
Risk Profile
actors. Also record how confident you are in your estimate of the strength of the actor’s motive. 15
Record how often each threat has
Volumes 5-8:
occurred in the past. Also record how
Risk Profile
accurate you believe your data are.
35 16
Record areas of concern for each
Volumes 5-8:
source of threat where appropriate.
Risk Profile
An area of concern is a scenario defining how specific threats could affect the critical asset. ---
---
Document action items identified
Volume 9:
during Process S2.
Action List
Document notes and recommendations Volume 9: identified during Process S2.
Notes and Recommendat ions
Tabel 2.5 Proses S2: Menciptakan Profil Ancaman Aktivitas
S2. 1 Pilih Kritikal Aset
Langk Uraian
Volume:
ah
Worksheet
5
Tinjau informasi yang berhubungan
Volume 4:
dengan aset yang Anda identifikasi
Pemilihan
pada Langkah 2, lalu pilih hingga lima
Kritikal
(5) aset yang paling penting untuk
Aset
organisasi..
36
6
Memulai kertas kerja kritikal aset untuk Volume 5 - 8: setiap kritikal aset. Catat nama kritikal
Informasi
aset pada kertas kerja kritikal aset yang Kritikal Aset sesuai 7
Rekam alasan Anda untuk memilih
Volume 5 - 8:
setiap aset yang kritis pada kertas kerja Informasi
8
informasi kritikal aset.
Kritikal Aset
Rekam keterangan untuk setiap aset
Volume 5 - 8:
yang kritis pada kertas kerja informasi
Informasi
kritikal aset. Pertimbangkan siapa yang Kritikal Aset menggunakan kritikal aset serta yang bertanggung jawab. 9
Rekam asset yang terkait pada setiap
Volume 5 - 8:
aset yang kritis ke kertas kerja
Informasi
informasi kritikal aset. Lihat kertas
Kritikal Aset
kerja indentifikasi aset untuk menentukan aset yang terkait dengan aset yang kritis. S2. 2 Mengidentifikasi 10
Catat persyaratan keamanan untuk
Volume 5 - 8:
kebutuhan
setiap aset kritis pada kertas kerja
Informasi
keamanan untuk
informasi kritikal aset.
Kritikal Aset
37 kritikal aset
11
Untuk masing-masing aset yang kritis,
Volume 5 - 8:
catat persyaratan keamanan yang paling Informasi penting pada kertas kerja informasi
Kritikal Aset
kritikal aset. Proses S2: Menciptakan Profil Ancaman (lanjutan.) Aktivitas
Langk Uraian
Volume:
ah
Worksheet
S2. 3 Mengidentifikasi 12
Selesaikan semua pohon ancaman yang Volume 5 - 8:
Ancaman pada
sesuai untuk setiap aset yang kritis.
Profil risiko
Kritikal Aset
Tandai setiap cabang dari setiap pohon Volume 5 - 8: yang tidak ada kemungkinan ancaman
Panduan
terhadap aset. Setelah anda
Terjemahan
menyelesaikan langkah ini, jika Anda
ancaman
mengalami kesulitan menafsirkan sebuah ancaman pada setiap pohon ancaman tinjau deskripsi dan contoh dari ancaman pada panduan terjemahan ancaman. 13
Rekam contoh spesifik dari aktor
Volume 5 - 8:
ancaman pada kertas kerja Profil risiko Profil resiko berlaku untuk setiap pelaku-motif
38 kombinasi. 14
Rekam kekuatan dari motif untuk
Volume 5 - 8:
membincangkan ancaman sehubungan
Profil risiko
dengan pelaku manusia. Juga rekam betapa yakin anda dalam mengestimasikan kekuatan dari motif pelaku. 15
Rekam bagaimana sering masing-
Volume 5 - 8:
masing ancaman telah terjadi di masa
Profil resiko
lalu. Juga rekaman betapa akurat kamu meyakini datamu adalah. 16
Merekam bidang perhatian untuk setiap Volume 5 - 8: sumber ancaman yang sesuai. Daerah
Profil resiko
keprihatinan merupakan skenario spesifik bagaimana mendefinisikan ancaman yang dapat mempengaruhi aset yang penting ---
---
Dokumen tindakan item diidentifikasi
Volume 9:
selama Proses S2
Daftar tindakan
Dokumen catatan dan rekomendasi
Volume 9:
39 diidentifikasi selama Proses S2.
Catatan dan Rekomendasi
Tabel 2.6 Proses S3: Menguji Infrastruktur Komputasi dalam hubungannya dengan Asset yang Kritis Aktivitas
S3. 1 Menguji Jalur
Langk Uraian
Volume:
ah
Worksheet
17
Pilih Jalur akses sistem (s) yang
Volume 5 - 8:
menarik untuk setiap aset kritis (yakni, Jalur akses
Akses
sistem yang paling penting berkaitan
jaringan
dengan aset) 18a
Tinjau jalur yang digunakan untuk
Volume 5 - 8:
mengakses setiap akses yang kritis dan Jalur akses pilih kunci kelas dari komponen yang
jaringan
berkaitan pada setiap aset yang kritis. Menentukan kelas komponen yang merupakan bagian dari sistem yang menarik 18b
Tentukan kelas komponen yang
Volume 5 - 8:
bertindak sebagai perantara akses poin
Terhubung
(yakni, komponen yang digunakan
jaringan
40 Lintasan Akses untuk mengirimkan informasi dan aplikasi dari sistem untuk kepentingan masyarakat). 18c
Tentukan kelas yang mana dari
Volume 5 - 8:
komponen, baik internal maupun
Jalur akses
eksternal organisasi ke jaringan,
jaringan
digunakan oleh orang (misalnya, user, penyerang) untuk mengakses sistem. 18d
18e
Tentukan dimana informasi dari sistem Volume 5 - 8: yang menarik disimpan sebagai
Jalur akses
cadangan
jaringan
Menentukan sistem yang lain atau
Volume 5 - 8:
aplikasi akses informasi dari sistem
Jalur akses
yang menarik dimana kelas lain dari
jaringan
komponen dapat digunakan untuk mengakses informasi aset yang kritis atau informasi yang penting dari sistem yang menarik.
41 Proses S3: Menguji Infrastruktur Komputasi dalam hubungan dengan Asset Kritis (cont.) Aktivitas
S3. 2 Menganalisa
Langk Uraian
Volume:
ah
Worksheet
19a
Menentukan kelas komponen yang
Volume 4:
Teknologi yang
terkait dengan satu atau lebih dari aset
Tinjauan
berhubungan
yang kritis dan dapat memberikan
infrastruktur
dengan Proses
akses kepada aset tersebut. 19b
Untuk setiap kelas komponen yang
Volume 4:
didokumentasikan pada langkah 19a,
Tinjauan
catat kritikal aset yang mana berkaitan
infrastruktur
dengan kelas. 20
Untuk setiap kelas komponen yang
Volume 4:
didokumentasikan pada langkah 19a,
Tinjauan
perhatikan orang atau kelompok yang
infrastruktur
bertanggung jawab untuk menjaga dan memelihara kelas dari komponen 21
Untuk setiap kelas komponen yang
Volume 4:
didokumentasikan pada langkah 19a,
Tinjauan
catat sejauh mana kelas dapat bertahan infrastruktur
42 terhadap serangan jaringan. Juga catat bagaimana anda dapat sampai pada kesimpulan tersebut. Akhirnya, dokumentasikan tambahan konteks yang relevan kepada analisis infrastruktur anda. ---
•
Tahap 1 --- Perbaiki informasi
Volume 5 - 8:
berdasarkan analisis akses jalan dan Profil risiko teknologi yang terkait dengan
Volume 4:
proses. Update berikut, jika sesuai:
Praktek
• Tandai setiap tambahan cabang
Keamanan
dari pohon ancaman pada saat yang tepat (Langkah 12). Pastikan untuk dokumen sesuai konteks untuk setiap cabang Anda tandai (Langkah 13-16). • Perbaiki dokumentasi are kepentingan dengan menambahkan rincian tambahan jika diperlukan. Mengidentifikasi daerah-daerah baru dan dokumen yang berkaitan jika diperlukan (Langkah 16)
43 • • Perbaiki dokumentasi praktekpraktek keamanan dan kerentanan organisasi dengan menambahkan rincian tambahan jika diperlukan. Identifikasi dan dokumen praktik keamanan baru dan atau organisasi yang sesuai ketika kerentanan (Langkah 3b). • Revisi lampu status untuk praktek keamanan pada saat yang sesuai (Langkah 4). ---
Dokumen tindakan item diidentifikasi selama Proses S3
Volume 9: Daftar Tindakan
---
Dokumen catatan dan rekomendasi diidentifikasi selama Proses S3
Volume 9: Catatan dan rekomenda si
44 Tabel 2.7 Proses S4: Mengidentifikasi dan Menganalisa Resiko
Aktivitas
S4. 1 Mengevaluasi
Langk Uraian
Volume:
ah
Worksheet
22
Menggunakan kriteria dampak evaluasi Volume 5 - 8:
dampak dari
sebagai panduan, memberikan dampak Profil risiko
Ancaman
nilai (tinggi, menengah, atau rendah)
Volume 4:
untuk masing-masing ancaman aktif
Kriteria
untuk setiap aset kritis.
Dampak Evaluasi
S4. 2 Membuat
23
Kriteria kualitatif menetapkan
Volume 4:
Kriteria Evaluasi
tindakan-tindakan (tinggi, menengah,
Kriteria
Kemungkinan
rendah) terhadap Anda yang akan
Kemungkinan
mengevaluasi kemungkinan ancaman
Evaluasi
yang terjadi.
Volume 5 - 8: Profil risiko
S4. 3 Mengevaluasi
24
Menggunakan kemungkinan kriteria
Volume 5 - 8:
Kemungkinan
evaluasi sebagai panduan,
Profil risiko
dari Ancaman
kemungkinan menetapkan nilai (tinggi, Volume 4: menengah, atau rendah) untuk masing- Kriteria masing ancaman aktif untuk setiap aset
45 kritis. Dokumentasikan tingkat
Kemungkinan
keyakinan Anda pada estimasi
Evaluasi
kemungkinan
Volume 4: Tinjauan infrastruktur
---
Dokumen tindakan item diidentifikasi
Volume 9:
dalam Proses S4.
Daftar Tindakan
---
Dokumen catatan dan rekomendasi
Volume 9:
diidentifikasi dalam Proses S4.
Catatan dan rekomendasi
Tabel 2.8 Proses S5: Mengembangkan Strategi Perlindungan dan Mitigasi Rencana Aktivitas
S5. 1
Langk Uraian
Volume:
ah
Worksheet
25
Mentransfer status lampu keamanan
Volume 9:
Mendeskripsikan
untuk setiap area praktek keamanan
Strategi
Strategi
pada area yang sesuai bagi kertas kerja perlindungan
Perlindungan saat
strategi proteksi. Untuk setiap area
Volume 4:
ini
praktek keamanan mengidentifikasi
Praktek
46 pendekatan organisasi anda saat ini
keamanan
untuk menangani daerah. S5. 2 Memilih
26
Mentransfer status lampu untuk setiap
Volume 5 - 8:
Pendekatan
area praktek keamanan dari kertas kerja Profil risiko
Mitigasi
Praktik Pengamanan ke "Area Praktek Volume 4: Keamanan" bagian (Langkah 26) dari
Praktek
setiap aset kritis Kertas kerja profil
Keamanan
resiko. 27
Pilih sebuah pendekatan mitigasi
Volume 5 - 8:
(mengurangi, menunda, menerima)
Profil risiko
untuk setiap risiko aktif. Untuk setiap risiko yang Anda putuskan untuk dikurangi, lingkarkan satu atau lebih praktek keamanan untuk area yang Anda berniat untuk melaksanakan kegiatan mitigasi. S5. 3
28
Mengembangkan rencana mitigasi
Volume 9:
Mengembangkan
untuk setiap area praktek keamanan
Rencana
Rencana Mitigasi
dipilih pada Langkah 27.
pengurangan
Risiko
Saat Anda melengkapi langkah ini, jika beban Anda mengalami kesulitan
47 mendapatkan apa-apa dalam aktifitas potensial mitigasi untuk area praktek keamanan, meninjau contoh kegiatan mitigasi untuk area dalam Panduan Aktifitas Mitigasi. S5. 4 Identifikasi
29
Tentukan apakah rencana mitigasi
Volume 9:
Perubahan untuk
Anda mempengaruhi strategi
Strategi
Strategi
perlindungan organisasi. Merekam
perlindungan
Perlindungan
setiap perubahan pada Kertas kerja Strategi Perlindungan. Selanjutnya, meninjau strategi perlindungan, termasuk perubahan yang diusulkan. Menentukan apakah Anda berniat untuk membuat tambahan perubahan untuk perlindungan strategi. Catat tambahan perubahan pada kertas kerja Strategi Perlindungan. ---
Dokumen tindakan item diidentifikasi
Volume 9:
dalam Proses S5.
Daftar Tindakan
48 S5. 5
30
Tentukan apa yang diperlukan oleh
Volume 9:
Mengidentifikasi
organisasi anda untuk
Tahapan
Tahapan Berikutnya
mengimplementasikan hasil dari
berikutnya
evaluasi dan memperbaiki sikap keamanan organisasi.