• Tidak ada hasil yang ditemukan

BAB 2 LANDASAN TEORI. Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "BAB 2 LANDASAN TEORI. Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian"

Copied!
28
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 28 Halaman )

Teks penuh

(1)

9

LANDASAN TEORI

2.1 Pengertian Sistem

Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian bagian yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu.

Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan sistem apabila memenuhi 2 syarat, yaitu :

1. Memiliki bagian-bagian yang saling berinteraksi dengan maksud untuk mencapai suatu tujuan

2. Bagian-bagian itu dinamakan subsistem dan harus memenuhi 3 unsur input-proses-output.

2.2 Pengertian Informasi

Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387) yang diambil dari bahasa latin informationem yang berarti “garis besar, konsep, ide”.Informasi merupakan kata benda dari informare yang berarti aktifitas dalam “pengetahuan yang dikomunikasikan.

Menurut (Puspitawati & Anggadini, 2011, p. 13), informasi merupakan hasil dari pengolahan data, akan tetapi tidak semua hasil dari pengolahan tersebut bisa menjadi informasi.

(2)

Menurut (Mardi, 2011, p. 4), informasi adalah hasil proses atau hasil pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan sistem informasi komputerisasi.

2.3 Pengertian Sistem Informasi

Menurut (Gondodiyoto & Hendarti, 2007, p. 112), sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu dan bertujuan untuk mengolah data menjadi informasi.

Menurut (Rainer & Turban, 2009, p. 415), “Information System a process that collects, processes, stores, analyze, and disseminates information for a specific purpose; most Iss are computerized.”.

Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kumpulan fungsi-fungsi yang saling berkaitan untuk mengubah data menjadi informasi yang bermanfaat untuk mengambil keputusan dan menyelesaikan masalah tertentu.

2.3.1 Infrastruktur Sistem Informasi

2.3.1.1 Hardware

Menurut (O'Brien & Marakas, 2007, p. 6), hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan infromasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan berbagai jaringan, dan memproses paket-paket data sehingga transmisi data menjadi lebih efektif.

(3)

Hardware adalah semua mesin dan peralatan dalam sebuah sistem computer. Hardware berjalan di bawah control software dan akan sia-sia tanpa software. Hardware memiliki sirkuit yang mampu melakukan pemrosesan.

Hardware dibagi ke dalam lima bagian, yaitu :

1. Input hardware terdiri dari perangkat-perangkat yang berfungsi untuk memasukkan data ke dalam komputer di dalam suatu format yang dapat digunakan oleh komputer.

2. Processing and memory hardware adalah otak dari komputer yang terinsalasi di dalam sebuah sistem kabinet. Contoh dari processing and memory hardware adalah power supply, processor chip, memory chip, dan motherboard.

3. Storage hardware adalah sebuah perangkat yang berfungsi untuk menyimpan data dan program secara permanen. Contoh storage software adalah floopy disk, harddisk, dan CD/DVD drive.

4. Output hardware adalah sebuah perangkat yang berfungsi untuk menerjemahkan informasi yang diproses oleh komputer kedalam sebuah format yang dapat dimengerti oleh pengguna komputer tersebut. Contoh dari output software adalah monitor, printer, dan speaker. 5. Communication hardware adalah sebuah perangkat elektromagnetik

dan sebuah sistem untuk melakukan komunikasi jarak jauh. Contoh perangkat communication hardware adalah modem.

(4)

2.3.1.2 Software

Menurut (O'Brien & Marakas, 2007, p. 104), software meliputi semua rangkaian perintah pemrosesan informasi. Konsep umum software ini meliputi tidak hanya rangkaian perintah informasi yang disebut program dengan hardware komputer pengendalian dan langsung, tapi juga rangkaian perintah pemrosesan informasi yang disebut prosedur yang dibutuhkan orang-orang.

Menurut (Syafrizal, 2007, p. 22) mendefinisikan perangkat lunak sebagai berikut : “Berfungsi sebagai pengatur aktivitas kerja komputer dan semua intruksi yang mengarah pada sistem komputer. Perangkat lunak menjembatani interaksi user dengan komputer yang hanya memahami bahasa mesin.”

Secara garis besar software terbagi menjadi 3(tiga) golongan yaitu :

1. Sistem Operasi yaitu program-program yang menginstegrasikan antara hardware dan software untuk mengatur proses sistem komputer. Sistem operasi ada 2 (dua) golongan yaitu sistem operasi jaringan dan sistem operasi komputer tunggal.

2. Paket Program Aplikasi yaitu program yang dibuat dengan tujuan untuk aplikasi bidang yang sudah tertentu.

3. Bahasa Pemrograman yaitu serangkaian simbol-simbol dan aturan pemakaian yang digunakan untuk mengarahkan pengoperasian komputer. Ada 4 (empat) kategori bahasa pemprograman yaitu bahasa mesin, bahasa assembly, bahasa tingkat tinggi dan bahasa non prosedural.

(5)

2.3.2 Jaringan Komputer

Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks) adalah suatu himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa yang popular dapat dijelaskan bahwa jaringan komputer adalah kumpulan beberapa komputer (dan perangkat lain seperti printer, hub, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masing-masing komputer yang terhubung tersebut bisa saling bertukar data atau sebagai perangkat keras.

Tujuan dari jaringan komputer adalah:

a. Membagi sumber daya: contohnya berbagi pemakaian printer, CPU, hardisk. b. Komunikasi: contohnya e-mail, instant messenger, chatting.

c. Akses informasi: contohnya web browsing.

Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer meminta dan memberikan layanan (service). Pihak yang meminta / menerima layanan disebut klien (client) dan yang memberikan / mengirim layanan disebut pelayan (server). Arsitektur ini disebut dengan sistem client server, dan digunakan pada hampir seluruh aplikasi jaringan komputer.

(6)

Macam – macam Jaringan:

A. Berdasarkan skala :

a. Local Area Network (LAN): suatu jaringan komputer yang menghubungkan suatu komputer dengan komputer lain dengan jarak yang terbatas.

b. Metropolitant Area Network (MAN): prinsip samadengan LAN, hanya saja jaraknya lebih luas, yaitu 10-50 km.

c. Wide Area Network (WAN): jaraknya antar kota, negara, dan benua. Ini sama dengan internet.

B. Menurut (Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan fungsi masing – masing komputer jaringan dapat dibagi menjadi:

a. Peer to peer

Peer to peer adalah jenis jaringan komputer dimana setiap komputer bisa menjadi server dan sekaligus client. Setiap komputer dapat menerima dan member access dari dank e-computer lainnya. Pola ini banyak di implementasikan pada jaringan LAN.

b. Client Server

Client server adalah jaringan komputer yang salah satunya di fungsikan menjadi server untuk melayani komputer lain. Komputer yang dilayani oleh server dinamakan client.

(7)

C. Menurut (Sofana, 2010, p. 114), jenis–jenis topologi jaringan LAN di bagi menjadi :

a. Topologi Bus

Topologi bus menggunakan sebuah kabel backbone dan semua host terhubung secara langsung pada kabel backbone tersebut.

b. Topologi Star

Topologi star menghubungkan semua komputer pada sentral atau konsentrator, biasanya konsentrator adalah sebuah hub dan switch. c. Topologi Ring

Topologi ring menghubungkan host dengan host lainnya hingga membentuk ring (lingkaran tertutup).

d. Topologi Mesh

Topologi mesh menghubungkan setiap komputer secara point to point yang berarti semua komputer akan saling terhubung satu dengan yang lainnya.

Topologi ini biasanya digunakan pada lokasi kritis seperti instalasi nuklir.

D. Berdasarkan media transmisi data

a. Jaringan Berkabel (Wired Network)

Pada jaringan ini, untuk menghubungkan satu komputer dengan komputer lain diperlukan penghubung berupa kabel jaringan. Kabel jaringan berfungsi dalam mengirim informasi dalam bentuk sinyal listrik antar komputer jaringan.

(8)

b. Jaringan Nirkabel (WI-FI)

Jaringan nirkabel menjadi trend sebagai alternatif dari jaringan kabel, terutama untuk pengembangan Local Area Network (LAN) tradisional karena bisa mengurangi biaya pemasangan kabel dan mengurangi tugas-tugas relokasi kabel apabila terjadi perubahan dalam arsitektur jaringan. Topologi ini dikenal dengan berbagai nama, misalnya WLAN, WaveLAN, HotSpot, dan sebagainya.

2.4 Pengertian Teknologi

Menurut (Miarso, 2007, p. 51), teknologi merupakan sistem yang diciptakan oleh manusia untuk sesuatu tujuan tertentu. Ia merupakan perpanjangan dari kemampuan manusia. Ia dapat kita pakai untuk menambah kemampuan kita menyajikan pesan, memproduksi barang lebih cepat dan lebih banyak, memproses data lebih banyak, memberikan berbagai macam kemudahan, serta untuk mengelola proses maupun orang.

Teknologi sebagai produk ciptaan manusia tergantung bagaimana manusia merancangnya, memanfaatkannya, dan menerimanya. Teknologi yang berhasil memperingan kerja badan manusia, di lain pihak dapat menyebabkan pengangguran dan kejemuan kerja.

Teknologi, karena sifatnya, mencampuri (mengintervensi) urusan manusia dengan lingkungannya, serta secara konseptual mencampuri peranan orang dalam dunianya.Keberhasilan atau kegagalan orang dalam dunia yang digelutinya dapat disebabkan oleh teknologi yang dipakai atau dihadapinya.Jadi nilai segala bentuk teknologi tergantung pada kegunaannya bagi umat manusia serta akibatnya bagi diri dan lingkungannya.

(9)

2.5 Pengertian Teknologi Informasi

Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa manusia terhadap proses penyampaian informasi dari pengirim ke penerima sehingga pengiriman informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih lama penyimpanannya.

Menurut (O'Brien & Marakas, 2007, p. 6), teknologi informasi adalah hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer.

Jadi dapat disimpulkan teknologi informasi adalah hasil rekayasa buatan manusia yang digunakan untuk mengolah data untuk menghasilkan informasi yang berkualitas dan proses penyampaian informasi yang lebih cepat dan lebih luas.

Sedangkan perbedaan teknologi informasi dan sistem informasi yaitu teknologi informasi merupakan infrastruktur yang digunakan untuk mengolah data menjadi informasi yang berkualitas dan sistem informasi merupakan sistem yang terdiri dari infrastruktur-infrastruktur yang digunakan dalam proses menghasilkan informasi.

2.6 Pengertian Manajemen

Menurut (Anoraga, 2009, p. 110), manajemen adalah persoalan mencapai suatu tujuan tertentu dengan suatu kelompok orang.

(10)

Menurut (Robbins & Coulter, 2009, p. 7), manajemen adalah hal yang dilakukan oleh para manajer. Manajemen melibatkan aktivitas-aktivitas koordinasi dan pengawasan terhadap pekerjaan orang lain, sehingga pekerjaan tersebut dapat diselesaikan secara efisien dan efektif.

2.7 Pengertian Risiko

Menurut (Basyaid, 2007, p. 1), risiko didefinisikan sebagai peluang terjadinya hasil yang tidak diinginkan sehingga risiko hanya terkait dengan situasi yang memungkinkan munculnya hasil negatif serta berkaitan dengan kemampuan memperkirakan terjadinya hasil negatiftadi.

Menurut (Gondodiyoto & Hendarti, 2007, p. 110), risiko adalah suatu chances, perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa kontrol, namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan struktur pengendalian maksimal sekalipun.

2.7.1 Jenis Risiko

Menurut (Gondodiyoto, 2009, pp. 110-111)dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis :

a. Risiko Bisnis (Business Risks)

Risiko bisnis adalah risiko yang dapat disebabkan oleh factor-faktor internmaupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi.

b. Risiko Bawaan (Inherent Risks)

Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal.

(11)

c. Risiko Pengendalian (Control Risks)

Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara optimal terhadap setiap potensi risiko.Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian.

d. Risiko Deteksi (Detection Risks)

Risiko deteksi ialah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya erroryang cukup materialitas atau adanya kemungkinan fraud.

e. Risiko Audit (Audit Risks)

Risiko audit sebenarnya kombinasi dari inherent risks, control risks, dan detection risks. Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

2.8 Pengertian Manajemen Risiko

Menurut (Jones & Rama, 2008, p. 193), manajemen risiko adalah kegiatan pemimpinan puncak mengidentifikasi, mengevaluasi, menangani dan memonitor risiko bisnis yang dihadapi perusahaan mereka di masa yang akan datang.

Menurut (Blokdijk, Engle, & Brewster, 2008), tugas manajemen risiko adalah mengelola risiko suatu proyek untuk risiko. Tujuannya adalah untuk mengelola risiko bahwa dengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat diterima dengan cara yang hemat biaya.

Manajemen risiko meliputi :

(12)

b. Proses pengambilan keputusan didukung oleh kerangka analisis risiko dan proses evaluasi

c. Memantau risiko

d. Pengendalian yang tepat untuk menghadapi risiko

Menurut (Sentosa, 2009, p. 157), manajemen risiko merupakan aplikasi dari manajemen umum yang secara khusus membahas strategi untuk mengatasi aktivitas-aktivitas yang menimbulkan risiko terjadi.

Jadi dapat disimpulkan manajemen risiko adalah proses menyeluruh yang secara khusus digunakan untuk membahas strategi, mengenali, mengukur, dan mengelola risiko.

2.9 Kinerja dalam Organisasi Publik

Menurut (Wirawan, 2009), kinerja adalah keluaran yang dihasilkan oleh fungsi-fungsi atau indikator-indikator suatu pekerjaan atau suatu profesi dalam waktu tertentu.Kinerja dalam organisasi merupakan jawaban dari berhasil atau tidaknya tujuan organisasi yang telah ditetapkan. Menurut (Dwiyanto, 2008, pp. 50-51), terdapat beberapa indikator kinerja, yaitu :

1. Produktivitas

Karakteristik-karakteristik kepribadian individu yang muncul dalam bentuk sikap mental dan mengandung makna keinginan dan upaya individu yang selalu berusaha untuk meningkatkan kualitas kehidupannya.

(13)

2. Kualitas Layanan

Banyak pandangan negatifyang terbentuk mengenai organisasi publik, muncul karena ketidakpuasan masyarakat terhadap kualitas layanan yang diterima dari organisasi publik. Dengan demikian kepuasan dari masyarakat bisa menjadi parameter untuk menilai organisasi publik.

3. Responsivitas

Kemampuan organisasi untuk mengenali dan memenuhi kebutuhan masyarakat. Responsivitas perlu dimasukkan ke dalam indikator kinerja karena menggambarkan secara langsung kemampuan organisasi pemerintah dalam menjalankan misi dan tujuannya.

4. Responsibilitas

Responsibilitas menjelaskan apakah pelaksanaan kegiatan organisasi publik itu dilakukan sesuai dengan prinsip-prinsip administrasi yang benar atau sesuai dengan kebijakan organisasi, baik yang eksplisit maupun implisit.

5. Akuntabilitas

Akuntabilitas publik menunjukkan pada berapa besar kebijakan dan kegiatan organisasi publik tunduk pada pejabat politik yang dipilih oleh rakyat. Dalam konteks ini, konsep akuntabilitas publik dapat digunakan untuk melihat berapa besar kebijakan dan kegiatan organisasi publik itu konsisten dengan kehendak masyarakat banyak.

2.10 Pegukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S

Menurut (A., Stevens, & Woody, 2005), OCTAVE is a suite of tools, techniques, and methods for risk-based information security strategic assessment

(14)

and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi pengamanan berdasarkan teknik perencanaan dan risiko. OCTAVE merupakan salah satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi.

OCTAVE difokuskan pada risiko organisasi, hasil praktek dan strategi yang saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit operasional (atau bisnis) dan dari departemen teknologi informasi bekerja bersama-sama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3 aspek utama : risiko operasional, praktek pengamanan, dan teknologi.

Terdapat 3 jenis metode OCTAVE :

a) Metode OCTAVESM digunakan dalam membentuk dasar pengetahuan OCTAVE.

b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan informasi dan jaminan.

c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil.

Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE, pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut manajemen risiko yang digunakan dalam metode-metode OCTAVE.

Sarana dan keuntungan metode-metode OCTAVE adalah :

a. Self directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang bekerja sama dengan divisi teknologi informasi untuk mengidentifikasi kebutuhan keamanan dari organisasi.

(15)

b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan lingkungan risiko perusahaan di berbagai level.

c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi keamanan dan menempatkan teknologi di bidang bisnis.

2.10.1 OCTAVE

OCTAVE adalah penilaian strategis berbasis risiko dan teknik perencanaan untuk keamanan informasi. Hal ini mengarahkan diri sendiri, yang berarti bahwa orang-orang dari dalam organisasi bertanggung jawab untuk menetapkan strategi keamanan organisasi. Pendekatan ini memanfaatkan pengetahuan masyarakat yang berhubungan dengan keamanan praktek organisasi mereka dan proses untuk menangkap keadaan saat praktek keamanan dalam organisasi. Risiko terhadap aset yang paling penting yang digunakan untuk memprioritaskan bidang perbaikan dan mengatur strategi keamanan untuk organisasi.

Berbeda dengan penilaian teknologi yang berfokus yang ditargetkan pada risiko teknologi dan fokus pada isu-isu taktis, OCTAVE ditargetkan pada risiko organisasi dan terfokus pada strategi, praktik-isu terkait. Ini adalah evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar organisasi.

Ketika menerapkan OCTAVE, sebuah tim kecil dari unit operasional atau bisnis dan departemen TI bekerja bersama untuk membentuk tim analisis dan kebutuhan keamanan organisasi. Tim Analisis:

a. Mengidentifikasi aset informasi penting

(16)

c. Mempertimbangkan hubungan antara aset kritis, ancaman terhadap aset-aset dan kerentanan (baik organisasi dan teknologi) yang dapat mengekspos aset untuk ancaman

d. Mengevaluasi risiko dalam konteks operasional, yaitu, bagaimana aset penting yang digunakan untuk melakukan bisnis organisasi dan bagaimana mereka berisiko karena ancaman keamanan dan kerentanan

e. Menciptakan praktik berbasis strategi perlindungan untuk perbaikan organisasi serta mitigasi resiko berencana untuk mengurangi risiko terhadap aset kritis organisasi

2.10.1.1 OCTAVESM

Metode OCTAVESM ini dikembangkan bersama-sama dengan perusahaan besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran buku pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered hierarchy dan digunakan untuk mempertahankan perhitungan infrastruktur mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga.

Metode OCTAVESM menggunakan pendekatan tiga fase untuk menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh tim analisis yang terdiri dari tiga sampai lima anggota perusahaan.

Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan perusahaan, yang berfokus pada :

(17)

a) Identifikasi aset kritikal dan ancaman terhadap aset tersebut

b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal yang mengekspos ancaman dan menimbulkan risiko perusahaan c) Mengembangkan strategi pelatihan berbasis proteksi dan rencana

pengurangan risiko untuk mendukung misi dan prioritas perusahaan

Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi penyelesaian masalah.

2.10.1.2 OCTAVE Allegro

OCTAVE Allegro merupakan suatu metode varian modern yang berkembang dari metode octave yang dimana berfokus pada aset informasi. Seperti metode octave sebelumnya, octave allegro bisa ditampilkan di workshop-style, collaborative setting, tetapi octave allegro juga cocok untuk individu yang ingin menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yang luas, keahlian, dan masukan-masukan.

Fokus utama dari octave allegro adalah aset informasi, aset lain yang penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada aset informasi yang terhubung dengan aset-aset organisasi tersebut.

Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat:

1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran konsekuensi kriteria dengan pengemudi (orang yang menjalankan) organisasi : misi organisasi, sasaran tujuan/target dan faktor yang sangat menentukan.

(18)

2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang kritis yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi syarat keamanannya, dan mengidentifikasi semua wadahnya.

3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi dalam konteks wadahnya.

4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko pada aset informasi dan mulai dikembangkan.

2.10.1.3 OCTAVE-S

Menurut (A., Stevens, & Woody, 2005), OCTAVE-S is a variation of the approach tailored to the limited means and unique constrains typically found in small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah variasi dan pendekatan OCTAVE yang dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang).

Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin terjadi. Salah satu metode analisa risiko keamanan sistem informasi suatu organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu mengelola risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap masing-masing risiko yang telah diketahui.

Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan

(19)

sendiri. Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan menggunakan metode OCTAVE-S, maka perlu suatu sistem berbasis komputer yang mampu melakukan analisa risiko terhadap keamanan perusahaan sesuai dengan langkah-langkah metode OCTAVE-S.

Dua aspek unik dari metode OCTAVE yang harus dipahami adalah :

a. Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi dan proses pengamanan sehingga dapat menangani semua aktifitas OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu workshop formal dalam pengumpulan data untuk memulai suatu evaluasi.

b. OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2. Organisasi kecil sering kali mengoutsourcekan servis dan fungsi teknologi informasi mereka, sehingga biasanya tidak bisa menggunakan dan menginterpretasikan alat evaluasi kerentanan. Bagaimanapun, kekurangan dari kemampuan organisasi untuk menjalankan alat seperti itu tidak mencegah suatu organisasi dalam menentukan sebuah strategi pengamanan.

2.10.1.3.1 Proses OCTAVE-S

Menurut (A., Stevens, & Woody, 2005), proses OCTAVE-S terdiri dari 3 tahap :

(20)

Phase 1 : Build Asset-Based Threat Profiles

Pada tahap ini, tim analisa mendefinisikan kriteria dampak evaluasi yang akan dipergunakan nantinya untuk mengevaluasi risiko. Dan juga mengidentifikasikan asset organisasi yang penting dan mengevaluasi prkatek keamanan yang sedang berjalan dalam organisasi. Pada akhirnya, tim mendefinisikan kebutuhan keamanan dan suatu profil ancaman untuk masing-masing asset yang kritis.

Dalam tahap ini, proses yang sedang terjadi adalah : Process 1 : Identify Organizational Information

Aktifitasnya :

1. a) Establish Impact Evaluation Criteria

• Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (high, medium, low) yang berlawanan dengan apa yang akan dievaluasi mengenai efek risiko dalam misi organisasi dan tujuan bisnis. 1. b) Identify Organizational Assets

• Langkah 2 : Mengidentifikasi asset-aset yang berhubungan dengan informasi dalam organisasi (informasi, sistem, aplikasi, orang-orang).

1. c) Evaluate Organizational Security Practices

• Langkah 3 dibagi menjadi dua :

1. Menentukan batasan-batasan pada setiap praktek dalam survey yang digunakan dalam organisasi.

(21)

2. Mengevaluasi masing-masing praktek pengamanan dengan mempergunakan survei dari langkah sebelumnya.

• Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (red, yellow, or green) untuk masing-masing area praktek pengamanan.

Process 2 : Create Threat Profiles Aktivitasnya :

2. a) Select Critical Assets

• Langkah 5 :Mengkaji ulang aset-aset yang berhubungan dengan informasi yang telah diidentifikasi pada saat langkah 2 dan memilih kurang lebih 5 aset yang paling kritis dalam organisasi.

Langkah 6 : Memulai sebuah Critical Asset Information Worksheet untuk masing-masing aset kritis yang ada pada Critical Asset Information Worksheet yang sesuai.

• Langkah 7 : Mencatat dasar pemikiran untuk memilih masing-masing aset kritis pada Critical Asset Information Worksheet.

• Langkah 8 : Mencatat uraian untuk masing-masing aset kritis pada Critical Asset Information Worksheet. Pertimbangkan siapa saja yang menggunakan masing-masing aset kritis seperti halnya siapa saja yang bertanggung jawab terhadap aset kritis tersebut.

• Langkah 9 : Mencatat aset yang berhubungan dengan masing-masing aset kritis pada Critical Asset Information

(22)

Worksheet.Mengacu pada Asset IdentificationWorksheet untuk menentukan aset yang berhubungan dengan aset kritis.

2. b) Identify Security Requirements for Critical Assets

• Langkah 10 : Mencatat pengamanan yang dibutuhkan untuk masing-masing aset kritis pada Critical Asset Information Worksheet.

• Langkah 11 : Untuk masing-masing aset kritis, catat kebutuhan keamanan yang paling penting pada aset-aset tersebut yang ada di dalam Critical Asset Information Worksheet.

2. c) Identify Threats to Critical Assets

• Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk masing-masing aset yang kritis. Tandai masing-masing bagian dari tiap skema untuk ancaman yang tidak penting terhadap aset.Saat melengkapi langkah ini, apabila menemukan kesulitan dalam menafsirkan sebuah ancaman dalam skema ancaman, periksa kembali gambaran dan contoh dari ancaman tersebut dalam Threat Translation Guide.

• Langkah 13 : Mencatat contoh spesifik dari perilaku ancaman pada Risk Profile Worksheet untuk setiap kombinasi motif pelaku yang sesuai.

(23)

• Langkah 14 : Mencatat seberapa besar kekuatan dari motif ancaman yang disengaja yang disebabkan oleh pelaku. Catat seberapa besar perkiraan kekuatan motif dari pelaku.

• Langkah 15 : Mencatat seberapa sering ancaman-ancaman tersebut terjadi di masa lampau. Dan juga catat seberapa keakuratan data.

• Langkah 16 : Catat area terkait untuk setiap sumber ancaman yang sesuai. Area terkait merupakan suatu skenario yang menjelaskan bagaimana ancaman spesifik dapat mempengaruhi aset kritis.

Phase 2 : Identify Infrastructure Vulnerabilities

Selama tahap ini, tim analisa melaksanakan high level review dari infrastruktur organisasi, berfokus pada sejauh mana maintainers dari infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa yang bertanggung jawab untuk mengatur dan memelihara komponen itu.

Process 3 : Examine Computing Infrastructure in Relation to Critical Assets

(24)

Aktifitasnya :

3. a) Examine Access Paths

• Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis (yaitu sistem yang paling berkaitan erat pada aset kritis).

• Langkah 18 dibagi menjadi 5 :

1. Memeriksa kembali jalur yang digunakan untuk mengakses setiap aset kritis dan memilih kelas kunci dari komponen yang berhubungan pada masing-masing aset kritis.

2. Menentukan kelas mana dari komponen yang bertugas sebagai perantara jalur aset (yaitu komponen yang biasanya mengirimkan informasi dan aplikasi dari system of interest kepada orang-orang).

3. Menentukan kelas mana dari komponen, baik internal dan eksternal untuk jaringan organisasi, yang digunakan oleh orang-orang (misalnya, pengguna, penyerang) untuk mengakses sistem.

4. Menentukan di mana informasi dari system of interestdisimpan untuk membuat backup.

5. Menentukan sistem akses informasi dan aplikasi-aplikasi dari system of interestdan kelas dari komponen lain yang mana yang dapat digunakan sebagai aset yang kritis.

(25)

3. b) Analyze Technology-Related Processes

• Langkah 19 dibagi menjadi 2 :

1. Menentukan kelas dari komponen yang terkait dari satu atau lebih aset kritis dan yang dapat mendukung akses ke aset-aset tersebut. Tandai jalur pada setiap kelas yang terpilih pada langkah 18. Mencatat subclasses yang cocok atau contoh spesifik pada saat dibutuhkan.

2. Untuk setiap kelas dari komponen yang didokumentasikan pada langkah sebelumnya, catat aset kritis yang berhubungan terhadap kelas tersebut.

• Langkah 20 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat orang atau grup yang bertanggung jawab untuk memelihara dan mengamankan kelas komponen tersebut.

• Langkah 21 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat sejauh mana kelas tahan terhadap serangan jaringan. Kemudian catat bagaimana kesimpulan tersebut didapatkan.Pada akhirnya dokumentasikan semua tambahan konteks yang relevan terhadap analisa infrastruktur.

Phase 3 : Develop Security Strategy and Plans

Selama tahap 3, tim analisa mengidentifikasikan risiko ke aset kritis organisasi dan memutuskan apa yang harus dilakukan terhadap

(26)

aset kritis tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan rencana untuk mengurangi dan mengatasi risiko aset-aset kritis.

Process 4 : Identify and Analyze Risks Aktifitasnya :

4. a) Evaluate Impacts of Threats

• Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan, menentukan nilai dampak (high, medium, low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis.

4. b) Establish Probability Evaluation Criteria

• Langkah 23 : Mendefinisikan ukuran kualiatatif dari pengukuran (high, medium, low) yang bertentangan terhadap kemungkinan ancaman yang akan terjadi pada saat evaluasi.

4. c) Evaluate Probabilities of Threats

• Langkah 24 : Menggunakan kemungkinan kriteria evaluasi sebagai suatu panduan, menentukan suatu nilai kemungkinan (high, medium, low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis. Mendokumentasikan taraf kepercayaan pada estimasi kemungkinan tersebut.

Process 5 : Develop rotection Strategy and Mitigation Plans Aktifitasnya :

5. a) Describe Current Protection Strategy

Langkah 25 : Mentransfer stoplightstatus pada masing-masing area praktek pengamanan terhadap area tanggapan pada Protection Strategy Worksheet. Untuk masing-masing area

(27)

praktek pengamanan, identifikasi pendekatan organisasi saat ini untuk menangani area tersebut.

5. b) Select Mitigation Approaches

Langkah 26 : Mentransfer stoplightstatus dari masing-masing area praktek pengamanan dari Security Practice Worksheet ke bagian Security Practice Area dari masing-masing aset kritis pada Risk Profile Worksheet.

• Langkah 27 : Memilih salah satu pendekatan pengurangan risiko (mengurangi, menunda, menerima) untuk masing-masing risiko aktif.

5. c) Develop Risk Mitigation Plans

• Langkah 28 : Mengembangkan rencana pengurangan beban untuk masing-masing area praktek pengamanan yang dipilih selama langkah 27.

5. d) Identify Changes to Protection Strategy

• Langkah 29 :Menentukan apakah rencana pengurangan risiko mempengaruhi strategi pengamanan organisasi. Catat semua perubahan apapun pada Protection Strategy Worksheet.

5. e) Identify Next Steps

• Langkah 30 : Menentukan apa yang dibutuhkan oleh organisasi, mengimplementasikan keamanan dari hasil dari evaluasi serta meningkatkan keamanan.

(28)

2.10.1.3.2 OCTAVE-S outputs

Menurut (A., Stevens, & Woody, 2005), hasil utama dari OCTAVE-S memiliki 3 strata dan meliputi :

1. Organization Wide Protection Strategy : memperhatikan praktek pengamanan informasi.

2. Risk Mitigation Plans : rencana ini dimaksudkan untuk mengurangi risiko terhadap aset kritis dengan meningkatkan praktek keamanan yang dipilih.

3. Action List : ini termasuk tindakan jangka pendek yang digunakan untuk menunjukkan kekurangan spesifik.

Kegunaan Output OCTAVE-S lainnya, meliputi :

a. Daftar dari aset-aset yang berhubungan dengan informasi penting yang mendukung tujuan dan sasaran bisnis organisasi.

b. Hasil survey menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik.

c. Profil risiko masing-masing aset kritis yang menggambarkan jangkauan risiko terhadap aset tersebut.

Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang dapat dipakai bahkan suatu evaluasi kecilakan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi.

Referensi

Unduh sekarang ( PDF - 28 Halaman - 102.87 KB )

Dokumen terkait

Pengaruh Persepsi Kualitas Terhadap Keputusan Pembelian Konsumen Pada Keripik Pedas Maicih

Besarnya dampak persepi kualitas terhadap keputusan pembelian konsumen pada keripik pedas Maicih adalah sebesar 59% dan sisanya 41% dipengaruhi oleh faktor lain

MODUL - PRAKTIKUM KIMIA DASAR.pdf

6. Lima buah erlenmeyer 100 ml dan gelas arloji 7. Pipet tetes, pipet volum dan gelas ukur 9. Sediakan 4 buah tabung reaksi dan isi masing-masing tabung tersebut dengan

MENTERI AGRARIA DAN TATA RUANG/ KEPALA BADAN PERTANAHAN NASIONAL

Seseorang yang telah lulus Ujian sebelum berlakunya Peraturan Pemerintah Nomor 24 Tahun 2016 tentang Perubahan atas Peraturan Pemerintah Nomor 37 Tahun 1998 tentang

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 49 TAHUN 2013 TENTANG PEDOMAN PENYELENGGARAAN JAMINAN KESEHATAN DAERAH DI KABUPATEN CILACAP

(1) Paket Pelayanan Kesehatan yang diperoleh peserta Jamkesda Kabupaten adalah pelayanan kesehatan tingkat dasar oleh PPK 1, pelayanan kesehatan lanjutan yang dilakukan di PPK 2

EDISI REVISI Pendidikan. Agama Khonghucu. dan Budi Pekerti SD KELAS

Sesungguhnya Nabi Kongzi di dalam mengemban tugas suci sebagai Tianzhi Muduo (Genta Rohani Tian) tidak pernah merasa lelah dan jemu dalam belajar dan menyebarkan ajaran suci

Fixed Income Daily Notes

Sementara itu pergerakan imbal hasil surat utang global yang juga cenderung bergerak mengalami penurunan di akhir pekan lalu kami perkirakan akan mempengaruhi

Pengaruh Supervisi Kunjungan Kelas oleh Kepala Sekolah dan Kompensasi terhadap Kinerja Guru SD Negeri di Kecamatan Sukoharjo

Sal ah s atu fakt or y ang dapa t di jadi kan la ndas an untuk ber tind ak d alam mengata si per masa laha n te rseb ut d i at as a dala h te r- sediany a informasi

Radioterapija pri sarkomih

Glede na slovenske smernice pride predoperativno obsevanje v poštev pri lokalno napredovalem ali neresektabilnem tumorju, če je možna odstranitev tumorja samo z mutilantno operacijo