Bab II LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 Pengertian Informasi Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya. Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau data yang memiliki arti. Jadi, informasi adalah kumpulan data yang sudah diolah menjadi suatu bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang atau yang akan datang.
2.1.2 Pengertian Teknologi Informasi Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi.
5
6
Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi adalah kumpulan dari komponen teknologi individu yang secara khusus diatur dalam komputer berbasis sistem informasi. Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses dan menghasilkan digital. Jadi, pengertian teknologi informasi adalah suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk pengambilan keputusan. Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem jaringan untuk menghubungkan satu komputer dengan komputer yang lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data dapat disebar dan diakses secara global.
2.1.3 Infrastruktur Teknologi Informasi 2.1.3.1 Hardware dan Software Menurut Haag, Cummings and McCubbrey (2005, p15), ada dua kategori dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang menyusun sebuah komputer (sering dikenal
7
sebagai sistem komputer). Software adalah kumpulan instruksi-instruksi yang menjalankan hardware untuk menyelesaikan tugas tertentu. Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output
device,
(3)
storage
device,
(4)
CPU
dan
RAM,
(5)
telecommunications, (6) connecting device. Input device adalah peralatan yang digunakan untuk memasukkan informasi dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor, dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi-instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal parallel dan peralatan penghubung internal yang
8
sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. Ada 2 tipe utama dari software, yaitu application dan system. Application software yang memungkinkan untuk menyelesaikan masalahmasalah spesifik atau menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system software
ditemukan operating system software dan utility software.
Operating system software adalah software sistem yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama-sama. Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software, screen savers, disk optimization software.
2.1.3.2 Jaringan Menurut Turban, Rainer, Porter (2003, p178) , sebuah jaringan komputer terdiri atas media komunikasi peralatan-peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area Network) dan WAN (Wide Area Network). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memilliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang
9
terdiri atas kumpulan telephone atau jaringan International seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik.
2.1.3.3 Internet, Intranet, Ekstranet Menurut Turban, Rainer, Porter (2003, G11), Internet adalah elektronik dan jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara lancar tebuka. Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan perangkat lunak protocol TCP/IP, umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet public. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan intranet melalui internet dengan menyediakan akses ke wilayah masingmasing perusahaan intranet.
2.1.4 Arsitektur Teknologi Informasi Arsitektur teknologi informasi yang dibuat oleh perencanaan strategi bisnis/TI merupakan suatu desain konseptual atau cetak biru yang meliputi 4 komponen sebagai berikut (O’Brien dan George, 2006, p480): 1. Platform Teknologi (Technology Platform) Internet, intranet, ekstranet, dan jaringan lainnya, sistem komputer, sistem software, dan aplikasi software perusahaan terintegrasi yang menyediakan infrastruktur komunikasi dan
10
komputansi atau platform yang mendukung penggunaan strategi TI bagi e-business, e-commers, dan aplikasi bisnis/TI lainnya. 2. Sumber Daya Data (Data Resources) Banyak jenis database operasional dan spesialisasi database termasuk data warehouse dan database internet/intranet, yang menyimpan dan menyediakan data serta informasi untuk proses bisnis dan dukungan keputusan. 3. Arsitektur Aplikasi (Application Architecture) Aplikasi bisnis dari teknologi informasi dirancang sebagai sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang mendukung usaha strategi bisnis, serta proses lintas fungsi bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi dukungan untuk ERP (Enterprise Resource Planning) terintegrasi dan aplikasi CRM (Costumer Resource Management). 4. Organisasi Teknologi Informasi (IT Organization) Struktur organisasi dari fungsi sistem informasi dalam sebuah perusahaan dan distribusi pakar sistem informasi dirancang untuk memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI tergantung pada filosofi manajerial dan strategi bisnis/TI yang dibentuk selama proses perencanaan bisnis.
11
2.1.5 Strategi 2.1.5.1 Definisi Strategi Strategi berasal dari kata Yunani strategos, yang berarti jenderal. Kata strategi secara harfiah berarti “seni para jenderal”. Kata ini mengacu pada apa yang merupakan perhatian utama manajeman puncak organisasi. Konsep ini relevan dengan situasi zaman dulu yang sering diwarnai perang, di amana jenderal dibutuhkan untuk memimpin suatu angkatan perang agar dapat selalu memenangkan perang. Strategi militer di dasarkan pada pemahaman akan kekuatan dan penempatan posisi lawan, karakteristik fisik medan perang, kekuatan dan karekter sumberdaya yang tersedia, sikap orang-orang yang menempati teritorial tertentu, serta antisipasi terhadap setiap perubahan yang mungkin terjadi. Menurut Steiner dan Miner (1988) strategi adalah penempatan misi perusahaan, penempatan sasaran organisasi dengan mengingat kekuatan eksternal dan internal, perumusahan kebijakan dan strategi tertentu untuk mencapai sasaran dan memastikan implementasinya secara tepat, sehingga tujuan dan sasaran organisasi akan tercapai. Menurt Tjiptono (1995) strategi menggambarkan arah bisnis yang mengikuti lingkungan yang dipilih dan merupakan pedoman untuk mengalokasikan sumberdaya dan usaha suatu organisasi. Menurut Stoner dan Freeman (Tjiptono, 1995), konsep strategi dapat didefinisikan berdasar dua perspektif yang berbeda, yaitu (1) dari
12
perspektif apa suatu organisasi ingin lakukan, dan (2) dari persektif apa yang organisasi akhirnya lakukan. Berdasarkan perspektif yang pertama, strategi dapat didefinisikan sebagai program untuk menentukan dan mencapai tujuan organisasi dan mengimplementasikan misinya. Makna yang terkandung dari strategi ini adalah bahwa manajer memainkan peranan yang aktif, sadar dan rasional dalam merumuskan strategi organisasi. Dalam lingkungan yang selalu berubah, pandangan ini banyak diterapkan. Perspektif ini secara tidak langsung mensyaratkan pernyataan strategi secara eksplisit. Pernyataan strategi secara eksplisit tersebut merupakan kunci keberhasilan dalam menghadapi perubahan lingkungan bisnis. Strategi memberikan kesatuan arah bagi semua anggota organisasi. Bila konsep strategi tidak jelas, maka keputusan yang diambil akan bersifat subjektif atau bersifat intuisi belaka, mengabaikan pertimbangan yang lain. Sedangkan berdasarkan perspektif kedua, strategi didefinisikan sebagai pola tanggapan atau respon organisasi terhadap lingkungannya sepanjang waktu. Pada definisi ini, setiap organisasi pasti memiliki strategi, meskipun strategi tersebut tidak pernah dirumuskan secara eksplisit. Pandangan ini diterapkan bagi para manajer yang bersifat reaktif, yaitu hanya menanggapi dan menyesuaikan diri terhadap lingkungan secara pasif manakala dibutuhkan. Kebijakan/strategi yang yang ditetapkan oleh perusahaan memiliki dampak yang signifikan terhadap lingkungan. Kebijakan dan strategi seperti perundingan dengan serikat buruh, investasi, penetapan harga jelas sekali
13
mempengaruhi lingkungan. Demikian juga sebalinya lingkungan akan berpengaruh atas organisasi bisnis (Steiner dan Miner, 1988). Suatu
analisis
strategi
membantu
perusahaan
untuk
mengidentifikasikan isu-isu strategi yang akan dihadapi dimasa yang akan datang sehingga perusahaan siap menghadapi perubahan-perubahan lingkungan yang akan datang. Faktor lingkungan penting yang harus diperhatikan para manajer dalam penyusunan dan pelaksanaan strategi perusahaan di antaranya adalah (Steiner dan Miner, 1988): 1. Lingkungan Ekonomi Lingkungan ekonomi meliputi wilayah yang luas dan merupakan sumber peluang yang besar dan juga sumber ancaman yang serius. Perubahan lingkungan ekonomi yang sangat cepat harus diadaptasi perusahaan demi kelangsungan hidupnya dan pertumbuhan yang menguntungkan. 2. Pemerintah Hampir bagi semua perusahaan, pemerintah adalah mitra. Bagi semua perusahaan umumnya, pemerintah merupakan salah satu pengaruh paling signifikan dalam gerak usaha seperti: pertumbuhan,
penetapan
harga,
produksi,
kualitas
produk,
persaingan, upah, laba, investasi, pasar, dan tingkat bunga atas modal. Setiap
organisasi
membutuhkan
strategi
menghadapi situasi berikut (Jain dalan Tjiptono, 1995): 1.
Sumberdaya yang dimiliki terbatas.
manakala
14
2.
Ada ketidakpastian mengenai kekuatan bersaing organisasi.
3.
Komitment terhadap sumberdaya tidak dapat diubah lagi.
4.
Keputusan-keputusan
harus
dikoordinir
antar
bagian
sepanjang waktu. 5.
Ada ketidak pastian mengenai pengendalian inisiatif.
Tujuan utama strategi adalah untuk membimbing keputusan manajemen dan ikut andil dalam penentuan misi, visi, serta kebijakan perusahaan dalam membentuk dan mempertahankan keunggulan kompetitif perusahaan sehingga perusahaan tersebut dapat mencapai sukses. Agar tujuan-tujuan perusahaan dapat tercapai dalam kondisi lingkungan yang selalu berubah dan subsistem-subsistem internal yang berinteraksi aktif dengan lingkungan, caranya antara lain dengan menyususn strategi yang mantap dan menetapkan kebijakan-kebijakan yang tepat. Menurut Ahmad S. Adnanputra, pakar humas dalam naskahnya berjudul PR Strategi mengatakan bahwa arti strategi adalah bagian terpadu dari suatu rencana (plan), sedangkan rencana merupakan produk dari suatu perencanaan (planning) (Ruslan, 2002).
2.2 Manajemen Resiko Keamanan Informasi 2.2.1 Resiko Menurut
Alberts dan
Dorofee dalam bukunya yang berjudul
“Managing Information Security Risks: The OCTAVESM Approach” (July 2002) Resiko adalah kemungkinan menderita kerugian.Ini mengacu pada situasi di mana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian
15
yang alami ini dapat mengakibatkan hasil yang tidak diinginkan, sehingga terjadi dampak negatif atau konsekuensi.
Beberapa definisi tentang risiko lainnya: • Risiko adalah fungsi dari kemungkinan yang diberikan dari sumbersumber ancaman yang mempunyai potensi kerentanan tertentu dan dampak yang dihasilkan dari peristiwa buruk di organisasi (NIST, 2002). • Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan proses dan peristiwa yang tidak memadai (Symantec, 2007). Dengan definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak dapat diduga / tidak diinginkan. Jadi merupakan ketidak pastian atau kemungkinan terjadinya sesuatu, yang bila terjadi akan mengakibatkan kerugian.
Langkah pertama dalam mengelola risiko adalah untuk memahami apa risiko dalam kaitannya dengan misi organisasi dan aset kunci. Pemahaman ini dicapai dengan melakukan evaluasi risiko yang komprehensif untuk mengidentifikasi risiko organisasi. Setelah risiko tersebut diidentifikasi, organisasi personel harus memutuskan apa yang harus dilakukan untuk mengatasinya.
2.2.1.1 MACAM-MACAM RESIKO Risiko dapat dibedakan dengan berbagai macam cara, antara lain : 1. Menurut sifatnya resiko dapat dibedakan kedalam :
16
a. Resiko Murni (risiko yang tidak disengaja), adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disegaja. Contoh : risiko terjadinya kebakaran, bencana alam, pencurian, dsb. b. Resiko Spekulatif (risiko disengaja), adalah resiko yang sengaja ditimbullkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya. Contoh : resiko produksi, resiko moneter (kurs valuta asing). c. Resiko Fundamental, adalah risko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang. Contoh : risiko terjadinya kebakaran, bencana alam, resiko perang, polusi udara.dsb. d. Resiko Khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil dan sebagainya. e. Resiko Dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan, risiko penerbangan luar angkasa. Kebalikannya disebut, Resiko Statis, seperti risiko hari tua, risiko kematian dan sebagainya. 2. Menurut sumber / penyebab timbulnya, risiko dapat dibedakan kedalam:
17
a. Resiko Intern, yaitu risiko yang berasal dari dalam : kebakaran yang berasal dari rumah si tertanggung sendiri. b. Resiko extern, yaitu risiko yang berasal dari luar , seperti risiko kebakaran dari rembetan rumah yang bersebelahan, bencana alam, pencurian, perampokan dan sebagainya.
2.2.2 Manajemen Resiko Manajemen resiko menurut Australian National Audit Office (ANAO 2000) adalah proses yang berjalan yang telah di desain untuk melakukan penilaian terhadap kejadian-kejadian yang merugikan, tindakan untuk mengurangi resiko-resiko seperti kejadian-kejadian yang terjadi secara tidak sengaja dan menjamin organisasi dapat merespon atau menghadapi dengan berbagai jalan keluar untuk memperkecil konsekuensi dari kejadian tersebut. Menurut Alberts dan Dorofee (2002) manajemen risiko adalah proses berkelanjutan mengidentifikasi risiko dan melaksanakan rencana-rencana untuk mengatasinya. Sebuah pendekatan pengelolaan risiko melibatkan seluruh organisasi, termasuk personil dari kedua departemen teknologi informasi dan lini bisnis dari organisasi. Manajemen
risiko
menurut
(ISACA,
2008)
adalah
proses
mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh sebuah organisasi dalam mencapai tujuan bisnis dan memutuskan apa penanggulangannya, jika ada, untuk mengurangi risiko ke tingkat yang dapat diterima, berdasarkan nilai dari sumber informasi bagi organisasi.
18
2.2.3 Keamanan Informasi Menurut Alberts dan Dorofee (2002) Keamanan informasi lebih daripada membangun firewall, menerapkan patch untuk memperbaiki kelemahan baru yang ditemukan pada perangkat lunak sistem anda, atau mengunci kabinet dengan backup tape. Keamanan informasi adalah menentukan apa yang perlu dilindungi dan mengapa, dari apa yang perlu dilindungi, dan bagaimana untuk melindunginya selama itu ada. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: 1.
Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2.
Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini.
3.
Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bila diperlukan). Keamanan
informasi
diperoleh
dengan
mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,
19
praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Gambar 2.1 Elemen-elemen keamanan informasi Menurut Alberts dan Dorofee (2002), terdapat empat pendekatan pada keamanan informasi : 1. Vulnerability Assessment Sebuah penilaian kerentanan yang sistematis, pemeriksaan organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup analisis lengkap tentang keamanan lingkungan komputasi internal dan kerentanan terhadap serangan internal dan eksternal. Teknologi ini berbasis pada umumnya penilaian: • Gunakan standar untuk kegiatan keamanan IT tertentu (seperti pengerasan
jenis platform tertentu) • Menilai seluruh infrastruktur komputasi • Menggunakan
(kadang-kadang berpemilik) perangkat lunak untuk
menganalisis infrastruktur dan seluruh komponen
20 • Menyediakan analisis rinci yang menunjukkan teknologi yang terdeteksi
kerentanan dan mungkin merekomendasikan langkah-langkah spesifik untuk mengatasi kerentanan mereka 2. Audit Sistem Informasi Audit sistem informasi penilaian independen dari kontrol internal perusahaan untuk memastikan manajemen, peraturan pemerintah, dan pemegang saham perusahaan informasi yang akurat dan valid.Audit biasanya industri memanfaatkan model proses tertentu, benchmark, standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan pada proses bisnis milik pengendalian risiko dan metode dan alat analisis. Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan memiliki implikasi hukum dan kewajiban 3. Evaluasi Resiko Keamanan Informasi Memperluas evaluasi resiko keamanan atas penilaian kerentanan untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta berbasis elektronik dan orang-orang yang berbasis risiko.Evaluasi multifaset ini berusaha untuk menyesuaikan evaluasi risiko dengan driver atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan: Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk
21
analisis komparatif yang peringkat informasi ini terhadap standar industri dan praktik terbaik. 1) Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan pemeriksaan keamanan fisik. 2) Mereka memeriksa infrastruktur TI untuk menentukan kemampuan teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap salah satu situasi berikut: a. Pengenalan kode berbahaya b. Korup atau kerusakan data c. Exfiltration informasi d. Denial of service e. Perubahan yang tidak sah hak akses dan keistimewaan 3) Mereka membantu para pengambil keputusan trade-off memeriksa untuk memilih biaya penanggulangan efektif 4. Managed Service Providers Dikelola penyedia layanan keamanan, bergantung pada keahlian untuk mengelola sistem dan jaringan perusahaan. Mereka menggunakan mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan secara proaktif memonitor dan melindungi suatu infrastruktur komputasi organisasi dari serangan dan penyalahgunaan.
22
Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko keamanan informasi membantu Anda menandai isu keamanan Anda, tapi tidak mengelolanya. Penyedia layanan yang dikelola mengelola keamanan Anda untuk Anda.
2.2.4 Dasar Manajemen Keamanan Informasi 2.2.4.1 Informasi Sebagai Aset Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin
kelangsungan
perusahaan
atau
organisasi,
meminimalisir
kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya: informasi yang tersimpan dalam komputer (baik desktop komputer maupun mobile komputer), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.
23
2.2.4.2 Mengapa Diperlukan Keamanan Informasi? Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar. Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:
Gambar 2.2 Grafik persentase ancaman keamanan sistem informasi Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini
24
diantaranya
kesalahan
dalam
pengoperasian
sistem
(40%)
dan
diskontinuitas power supply (32%). Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.
Gambar 2.3 UK business network attack Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.
2.2.4.3 Informasi yang Perlu Dilindungi Keamanannya Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being secureto be free from danger”. Untuk menjadi aman adalah dengan cara dilindungi
25
dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah: •
Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
•
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
•
Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
•
Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
•
Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen di atas berkontribusi dalam program
keamanan informasi secara keseluruhan. Keamanan informasi adalah
26
perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.
2.2.4.4 Aspek Lain Keamanan Informasi Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk dapat diterapkan. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A (Confidentiality, Integrity & Availability) ”triangle model” [Gambar 2.1 Elemen-elemen keamanan informasi, seperti yang diuraikan pada point 2.2.3 Keamanan Informasi (pembahasan sebelumnya). Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security adalah: •
Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik.
•
Identification Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama
27
dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID. •
Authentication Authentication terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.
•
Authorization Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.
•
Accountability Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.
2.3 Evaluasi dan Manajemen Risiko Saat ini, sistem informasi sangat penting bagi kebanyakan organisasi, karena hampir semua informasi yang diambil, disimpan, dan diakses dalam bentuk digital. Kami mengandalkan data digital yang dapat diakses, bisa diandalkan, dan dilindungi dari penyalahgunaan. Sistem saling berhubungan dengan cara-cara yang tidak dapat terbayangkan sepuluh tahun yang lalu. Sistem
28
jaringan memungkinkan akses ke informasi yang belum pernah terjadi sebelumnya. Sayangnya, informasi kami ke mereka juga terkena berbagai ancaman baru. Organisasi ini telah menerapkan berbagai infrastruktur komputasi yang kompleks, mereka membutuhkan pendekatan yang fleksibel yang memungkinkan mereka untuk memahami informasi mereka risiko keamanan yang spesifik dan kemudian untuk membuat strategi untuk mengatasi risiko tersebut. Sebuah organisasi yang ingin meningkatkan postur keamanan harus siap untuk mengambil langkah-langkah berikut: 1. Perubahan dari reaktif, pendekatan berbasis masalah untuk proaktif pencegahan masalah. 2. Pertimbangkan keamanan dari berbagai perspektif. 3. Membangun infrastruktur yang fleksibel pada semua tingkat organisasi mampu bereaksi dengan cepat terhadap perubahan teknologi dan kebutuhan keamanan. 4. Memulai
yang
berkelanjutan
dan
terus-menerus
upaya
untuk
mempertahankan dan meningkatkan posisi keamanan. Evaluasi risiko keamanan informasi adalah sebuah proses yang dapat membantu memenuhi tujuan. Ini menimbulkan pandangan organizationwide risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu "research" dari awal dengan melakukan evaluasi lain. Waktu antara evaluasi dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya, reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi).
29
Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko. Evaluasi risiko hanya merupakan tahap pertama dari manajemen risiko, berikut gambar yang mengambarkan peranan evaluasi risiko terhadap keseluruhan tahap dari manajemen risiko. Dengan demikian evaluasi memainkan peranan penting dalam manajemen risiko sistem informasi.
Gambar 2. 4 IS Risk Evaluation Activities in Relation to an ISRM Framework
2.3.1 Kegiatan Evaluasi Pertimbangkan apa yang terjadi selama evaluasi. Ketika sebuah organisasi menyelenggarakan evaluasi risiko keamanan informasi, ia melakukan kegiatan: •
Identifikasi risiko keamanan informasi
•
Menganalisis risiko untuk menentukan prioritas
30 •
Rencana
untuk
perbaikan
dengan
mengembangkan
strategi
perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko kritis aset organisasi Evaluasi hanya memberikan arah bagi kegiatan keamanan informasi organisasi, itu tidak selalu mengarah pada perbaikan yang bermakna. Tidak ada evaluasi, tidak peduli seberapa terperinci atau bagaimana pakar, akan meningkatkan keamanan organisasi kecuali postur organisasi berikut melalui dengan menerapkan hasil. Setelah evaluasi, organisasi harus mengambil langkah-langkah berikut: 1.
Rencana bagaimana menerapkan strategi perlindungan dan rencana mitigasi risiko dari evaluasi dengan mengembangkan rencana aksi yang rinci.Kegiatan ini dapat mencakup rinci analisis biaya-manfaat antara strategi dan tindakan.
2.
Mengimplementasikan rencana aksi yang rinci yang dipilih.
3.
Rencana untuk memantau kemajuan dan keefektifan.Kegiatan ini mencakup pemantauan risiko untuk setiap perubahan.
4.
Kontrol variasi di dalam rencana pelaksanaan dengan mengambil tindakan koreksi yang tepat.
2.3.1.1 Pendekatan
Evaluasi
Resiko
Keamanan
Informasi Evaluasi resiko keamanan informasi harus mengidentifikasi organisasi dan isu-isu teknologi menjadi efektif.Ini harus alamat baik
31
infrastruktur komputasi dan cara di mana orang menggunakannya ketika mereka melakukan pekerjaan mereka. Dengan demikian, evaluasi perlu memasukkan konteks di mana orang menggunakan infrastruktur untuk memenuhi tujuan-tujuan bisnis dari organisasi serta masalah keamanan teknologi yang berkaitan dengan infrastruktur. Ini harus mempertimbangkan apa yang membuat organisasi berhasil dan apa yang membuatnya gagal. Kami melihat risiko keamanan informasi dengan menggunakan evaluasi untuk meningkatkan keamanan organisasi postur sebagai praktek bisnis yang sehat. Karena sebagian besar perusahaan mengandalkan akses ke data elektronik untuk melakukan bisnis, data perlu cukup terlindungi dari penyalahgunaan. Kemampuan suatu organisasi untuk mencapai misi dan memenuhi tujuan bisnis secara langsung dan strategis terkait dengan kondisi infrastruktur komputasi dan cara di mana personel berinteraksi dengannya. Bagi suatu organisasi untuk berada dalam posisi terbaik untuk mencapai misi mereka, orang-orangnya perlu memahami informasi yang terkait dengan aset yang paling penting dan apa yang harus mereka lakukan untuk melindungi aset-aset. Dengan kata lain, orang-orang dalam organisasi harus terlibat dalam evaluasi.
2.4 Risk Assessment Risk assessment memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang
32
terkenal diantaranya adalah OCTAVE-S yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg.
2.4.1 Pengenalan OCTAVE-S OCTAVE-S adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi.
OCTAVE criteria
OCTAVE Method (As defined in OCTAVE Method Implementation Guide v2.0)
Other Methods Consistent with the OCTAVE criteria
An OCTAVEConsistent Method for Small Organizations Under development by the SEI
Developed by others
Gambar 2.5 Kriteria OCTAVE-S Kriteria OCTAVE-S memerlukan eveluasi yang harus dilakukan oleh sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE-S memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog ini meliputi:
33
•
Catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi.
•
Generic threat profile – sebuah koleksi sumber ancaman utama.
•
Catalog of vulnerabilities – sebuah koleksi dari Vulnerability berdasarkan platform dan aplikasi.
2.4.2 Langkah-langkah metode OCTAVE-S Metode OCTAVE-S menggunakan pendekatan tiga fase untuk menguji isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan.
Gambar 2.6 Octave-S Process
34
2.4.2.1 Persiapan Mempersiapkan OCTAVE-S membuat dasar evaluasi yang berhasil. Beberapa kunci untuk keberhasilan evaluasi adalah: • Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi mendukung proses, maka orangorang dalam organisasi akan berpartisipasi secara aktif. Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan berkesinambungan
dalam
aktifitas
OCTAVE-S,
peningkatan
partisipasi aktif anggota organisasi, pendelegasian tanggung jawab dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S, komitmen untuk mengalokasikan sumberdaya yang dibutuhkan, persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus diambil dengan adanya hasil evaluasi yang telah dilakukan. • Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di luar tim. Secara umum, tim analisis terdiri dari
tiga
sampai
lima
orang
dalam
kelompok
inti
yang
merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta
35
berkomitmen untuk mengerahkan kemampuan yang dimiliki demi keberhasilan OCTAVE-S. Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan
manajer
dalam
menentukan
cakupan
eveluasi,
memilih
partisipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan manajer senior atau manajer operasional dan pendukung teknologi informasi untuk
mengevaluasi
vulnerability;
mendapatkan,
menganalisa
dan
mengelola data dan hasil selama proses OCTAVE-S; mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan logistik. Secara umum, tim inti analisis harus memiliki kemampuan berikut: fasilitasi, komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior, manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi, memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan teknologi informasi organisasi. Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan teknologi informasi organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat
36
lunak,
mengetahui
praktek
perencanaan
organisasi,
serta
mampu
mengembangkan perencanaan. • Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area operasi yang penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak akan banyak berarti. • Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area kerja mereka. • Mengkoordinasi
logistik.
Tim
inti
analisis
melakukan
koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE-S meliputi: penjadwalan, koordinasi persiapan ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S, menangani kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam pertemuan.
2.4.2.1.1 Fase 1. Organizational View Fase 1 dalam OCTAVE-S adalah Asset-Based Threat Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area yang
diperhatikan,
strategi
proteksi
yang
sedang
diterapkan,dan
vulnerability organisasi terkini. Pada fase ini data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis organisasi.
37
Fase 1 ini meliputi empat proses yang harus dilakukan. Keempat proses ini dibahas dalam penjelasan berikut : 1)
Fase 1 proses 1. Identify Senior Manager Knowledge Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari: • Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. • Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam. • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
38
• Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua untuk manajer senior terlibat dalam lokakarya proses 1 jika akan menambah atau mengurangi daftar area operasi atau manajer. Process 1:
Identify Senior Management Knowledge
Inputs
Outputs
Current knowledge of senior managers
Senior management assets with relative priorities
Organizational data
Senior management areas of concern
Catalog of practices
Security requirements for senior management assets
Areas of concern worksheet (W1.2) Security requirements worksheet (W1.3)
Senior management survey (W1.4)
Current senior management protection strategy practices
Worksheets Asset worksheet (W1.1)
Senior management organizational vulnerabilities
Protection strategy worksheet (W1.5)
Gambar 2.7 Fase 1 proses 1. Identify Senior Manager Knowledge
39
2)
Fase 1 proses 2. Identify Operational Management Knowledge Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan manajer area operasional sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari: • Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. • Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam. • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang
40
sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan. • Memverifikasi staf yang menjadi partisipan – Manajer area
meninjau kembali siapa saja staf yang akan menjadi partisipan dalam OCTAVE-S.
Process 2:
Identify Operational Area Management Knowledge
Inputs Current knowledge of operational area managers Organizational data
Operational area management assets with relative priorities Operational area management areas of concern
Catalog of practices
Outputs
Worksheets Asset worksheet (W2.1) Areas of concern worksheet (W2.2)
Security requirements worksheet (W2.3)
Operational area management survey (W2.4)
Protection strategy worksheet (W2.5)
Security requirements for operational area management assets Current operational area management protection strategy practices
Gambar 2.8 Fase 1 proses 2. Identify Operational Management Knowledge
41
3)
Fase 1 proses 3. Identify Staff Knowledge Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya
dengan
partisipan
yang
berbeda
pada
setiap
lokakarya.Aktifitas dalam proses 3 ini terdiri dari: • Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. • Mendeskripsikan area of concern – Untuk lima aset terpenting, para staf mendeskripsikan skenario bagaimana aset –aset tersebut terancam. • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Para staf mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk
42
memberikan tambahan informasi terhadap apa yang sudah dan apa yang
belum dilaksanakan
dengan
baik dalam pandangan
keamanan.
Inputs
Process 3:
Current knowledge of staff
Organizational data Catalog of practices
Identify Staff Knowledge
Staff areas of concern
Current staff protection strategy practices
Staff assets with relative priorities Security requirements for staff assets
Outputs
Worksheets Asset worksheet (W3.1)
Staff organizational vulnerabilities
Areas of concern worksheet (W3.2)
Security requirements worksheet (W3.3) Staff survey (W3.4) IT staff survey (W3.4 IT) Protection strategy worksheet (W3.5)
Gambar 2.9. Fase 1 proses 3. Identify Staff Knowledge
43
4)
Fase 1 proses 4. Create Threat Profile Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses 1 sampai proses ke 3 dan membuat sebuah profil ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri dari: • Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan keamanan masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai proses ke tiga. • Memilih aset kritis
- Dari keseluruhan aset terpenting yang
diajukan oleh manajer senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim analisis. • Mendefinisikan kebutuhan keamanan untuk aset kritis – tim analisisi menyempurnakan informasi yang diperoleh pada proses 1 sampai ke 3 untuk sampai pada sebuah rancangan akhir kebutuhan keamanan. • Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan informasi area of concern yang diperoleh dari proses 1 sampai proses ke 3 dan menjabarkannya dalam profil ancaman keamanan.
44
Process 4: Create Threat Profiles
Inputs Current knowledge of analysis team
Outputs Consolidated information • Assets • Security requirements • Areas of concern Critical assets
Generic threat profile Results from Process 1 Results from Process 2
Security requirements for critical assets
Threats to critical assets
Results from Process 3
Worksheets Asset group worksheet (W4.1) Security requirements group worksheet (W4.2) Areas of concern group worksheet (W4.3) Asset Profile Workbook (WK)
Gambar 2.10. Fase 1 proses 4. Create Threat Profile
45
2.4.2.1.2 Fase 2. Identify Infrastructure Vulnerability Fase 2 dalam OCTAVE-S adalah Identify Infrastructure Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase 2 ini meliputi dua proses yang akan dibahas lebih lanjut. 1)
Fase 2 proses 5. Identify Key Components Proses 5 mengidentifikasi komponen kunci dari infrastruktur yang harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis mencari “system(s) of interest” untuk setiap aset kritis – yaitu sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari: • Mengidentifikasi klasifikasi kunci setiap komponen – sebuah systems of interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses. Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan digunakan. • Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk setiap tipe komponen, tim analisis memilih komponen tertentu untuk
dievaluasi.
Departemen
teknologi
informasi
harus
46
memberikan arah jaringan secara spesifik atau lokasi fisiknya dan akan diperlukan untuk menyusun evaluasi. Process 5:
Identify Key Components
Inputs
Outputs
Current knowledge of analysis team and key IT staff
Key classes of components
Current network topology diagrams (including IP addresses for components)
Infrastructure components to examine Selected approach for evaluating each infrastructure component
Worksheets Asset Profile Workbook (WK)
Gambar 2.11. Fase 2 proses 5. Identify Key Components
47
2)
Fase 2 proses 6. Evaluate Selected Components Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri dari: • Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari pihak lain. • Mengkaji vulnerability teknologi dan merangkum hasilnya – pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis yang dipengaruhinya.
48
Process 6:
Evaluate Selected Components
Outputs Technology vulnerabilities
Inputs
Current knowledge of analysis team and key IT staff
Technology vulnerability summary
Software tools
• Catalog of vulnerabilities Current network topology diagrams (including IP addresses for components) Infrastructure components to examine Selected approach for evaluating each infrastructure component
Worksheets Asset Profile Workbook (WK)
Gambar 2.12 Fase 2 proses 6. Evaluate Selected Components
49
2.4.2.1.3 Fase 3. Develop Security Strategy and Plans Fase 3 dalam OCTAVE-S adalah Develop Security Strategy and Plans. Pada fase ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi proteksi organisasi.Rencana dan strategi dikaji dan diterima oleh manajer senior. Terdapat dua proses dalam fase 3 yang akan dibahas. 1)
Fase 3 proses 7. Conduct Risk Analysis Selama proses 7, tim analisis mengkaji semua informasi yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari profil ancaman , menambahkan pengukuran kualitatif terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah alasan kemungkinan secara akurat dari setiap kejadian
sangat
sulit
dan
senantiasa
berubah-ubah,
maka
kemungkinan untuk setiap cabang diasumsikan sama. Proses 7 meliputi aktifitas: • Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk setiap akibat dari ancaman.
50
• Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat operasional). • Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai
tinggi, menengah, atau rendah. Semua
informasi mengenai hal ini dicatat dalam Asset Profile Workbook. Process 7: Conduct Risk Analysis
Inputs
Outputs
Current knowledge of analysis team and key staff
Impact of threats to critical assets
Critical assets
Risk evaluation criteria
Security requirement for critical assets
Impact values
Threats to critical assets Areas of concern for critical assets
Worksheets Asset Profile Workbook (WK)
Gambar 2.13 Fase 3 proses 7. Conduct Risk Analysis
51
2)
Fase 3 proses 8. Develop Protection Strategy Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada lokakarya ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi aktifitas: • Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap buruk oleh sebagian besar responden • Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan kebutuhan keamanan aset kritis. • Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah dilaksanakan dengan baik. Membuat rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari setiap
52
resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan mitigasi. • Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan, biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera. Process 8: Develop Protection Strategy Workshop A
Inputs Current knowledge of analysis team and key staff
Outputs Current protection strategy practices
Consolidated information
Current organizational vulnerabilities
• Assets • Security requirements • Areas of concern Current protection strategy practices from each organizational level
Proposed protection strategy Proposed mitigation plan Proposed action list
Organizational vulnerabilities from each organizational level Critical assets Security requirements for critical assets
Worksheets Current strategic practices worksheet (W8A.1)
Threats to critical assets Key classes of components
Current operational practices worksheet (W8A.2)
Infrastructure components to examine
Protection strategy for strategic practices worksheet (W8A.3)
Technology vulnerability summary
Protection strategy for operational practices worksheet (W8A.4)
Action list worksheet (W8A.5)
Key classes of components
Asset Profile Workbook (WK)
Technology vulnerabilities
Gambar 2.14 Fase 3 proses 8. Develop Protection Strategy A
53
Lokakarya B meliputi aktifitas: • Prework: Membuat presentasi untuk manajer senior • Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan dengan aset kritis dan ringkasan hasil survey kepada manajer senior. • Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta perubahan, penambahan, atau pengurangan. • Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana mengimplementasikan strategi, perencanaan, dan aktifitas. Process 8:
Inputs
Develop Protection Strategy B
Current knowledge of analysis team and key staff
Outputs Protection strategy Mitigation plan Action list
Proposed protection strategy Proposed mitigation plan
Next steps Worksheets Asset summary worksheet Current strategic practices worksheet (W8B.1) (W8A.1) Risk profile for critical
Proposed action list
assets (W8B.2)
Consolidated information
Organization protection strategy worksheet (W8B.3)
Current knowledge of senior managers
• • • • •
Assets Security requirements Areas of concern Protection strategy practices Organizational vulnerabilities
Current operational practices worksheet (W8A.2)
Protection strategy for Mitigation plan worksheet strategic practices worksheet (W8A.3) (W8B.4) Action list worksheet (W8B.5)
Protection strategy for operational practices worksheet (W8A.4) Action list worksheet
Gambar 2.15 Fase 3 proses 8. Develop Protection StrategyB