LANDASAN TEORI

2.1 Teknologi Informasi

2.1.1 Pengertian Informasi

Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya.

Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau data yang memiliki arti.

Jadi, informasi adalah kumpulan data yang sudah diolah menjadi suatu bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang atau yang akan datang.

2.1.2 Pengertian Teknologi Informasi

Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi.

Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi adalah kumpulan dari komponen teknologi individu yang secara khusus diatur dalam komputer berbasis sistem informasi.

Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses dan menghasilkan digital.

Jadi, pengertian teknologi informasi adalah suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk pengambilan keputusan. Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem jaringan untuk menghubungkan satu komputer dengan komputer yang lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data dapat disebar dan diakses secara global.

2.1.3 Infrastruktur Teknologi Informasi

2.1.3.1 Hardware dan Software

Menurut Haag, Cummings and McCubbrey (2005, p15), ada dua kategori dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang menyusun sebuah komputer (sering dikenal

sebagai sistem komputer). Software adalah kumpulan instruksi-instruksi yang menjalankan hardware untuk menyelesaikan tugas tertentu.

Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3) storage device, (4) CPU dan RAM, (5) telecommunications, (6) connecting device.

Input device adalah peralatan yang digunakan untuk memasukkan

informasi dan perintah yang terdiri dari keyboard, mouse, touch screen,

game controller, dan bar code reader. Output device adalah peralatan yang

digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor, dan speaker.

Storage device adalah peralatan yang digunakan untuk menyimpan

informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory

card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan

sistem dan instruksi-instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal parallel dan peralatan penghubung internal yang

sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya.

Ada 2 tipe utama dari software, yaitu application dan system.

Application software yang memungkinkan untuk menyelesaikan

masalah-masalah spesifik atau menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system

software ditemukan operating system software dan utility software. Operating system software adalah software sistem yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja

bersama-sama. Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software, seperti

antivirus software, screen savers, disk optimization software.

2.1.3.2 Jaringan

Menurut Turban, Rainer, Porter (2003, p178) , sebuah jaringan komputer terdiri atas media komunikasi peralatan-peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area

Network) dan WAN (Wide Area Network). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua

atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memilliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang

terdiri atas kumpulan telephone atau jaringan International seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik.

2.1.3.3 Internet, Intranet, Ekstranet

Menurut Turban, Rainer, Porter (2003, G11), Internet adalah elektronik dan jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara lancar tebuka. Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan perangkat lunak protocol TCP/IP, umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet public. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan intranet melalui internet dengan menyediakan akses ke wilayah masing-masing perusahaan intranet.

2.1.4 Arsitektur Teknologi Informasi

Arsitektur teknologi informasi yang dibuat oleh perencanaan strategi bisnis/TI merupakan suatu desain konseptual atau cetak biru yang meliputi 4 komponen sebagai berikut (O’Brien dan George, 2006, p480):

1. Platform Teknologi (Technology Platform)

Internet, intranet, ekstranet, dan jaringan lainnya, sistem komputer, sistem software, dan aplikasi software perusahaan terintegrasi yang menyediakan infrastruktur komunikasi dan

komputansi atau platform yang mendukung penggunaan strategi TI bagi e-business, e-commers, dan aplikasi bisnis/TI lainnya.

2. Sumber Daya Data (Data Resources)

Banyak jenis database operasional dan spesialisasi database termasuk data warehouse dan database internet/intranet, yang menyimpan dan menyediakan data serta informasi untuk proses bisnis dan dukungan keputusan.

3. Arsitektur Aplikasi (Application Architecture)

Aplikasi bisnis dari teknologi informasi dirancang sebagai sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang mendukung usaha strategi bisnis, serta proses lintas fungsi bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi dukungan untuk ERP (Enterprise Resource Planning) terintegrasi dan aplikasi CRM (Costumer Resource Management).

4. Organisasi Teknologi Informasi (IT Organization)

Struktur organisasi dari fungsi sistem informasi dalam sebuah perusahaan dan distribusi pakar sistem informasi dirancang untuk memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI tergantung pada filosofi manajerial dan strategi bisnis/TI yang dibentuk selama proses perencanaan bisnis.

2.1.5 Strategi

2.1.5.1 Definisi Strategi

Strategi berasal dari kata Yunani strategos, yang berarti jenderal. Kata strategi secara harfiah berarti “seni para jenderal”. Kata ini mengacu pada apa yang merupakan perhatian utama manajeman puncak organisasi. Konsep ini relevan dengan situasi zaman dulu yang sering diwarnai perang, di amana jenderal dibutuhkan untuk memimpin suatu angkatan perang agar dapat selalu memenangkan perang. Strategi militer di dasarkan pada pemahaman akan kekuatan dan penempatan posisi lawan, karakteristik fisik medan perang, kekuatan dan karekter sumberdaya yang tersedia, sikap orang-orang yang menempati teritorial tertentu, serta antisipasi terhadap setiap perubahan yang mungkin terjadi.

Menurut Steiner dan Miner (1988) strategi adalah penempatan misi perusahaan, penempatan sasaran organisasi dengan mengingat kekuatan eksternal dan internal, perumusahan kebijakan dan strategi tertentu untuk mencapai sasaran dan memastikan implementasinya secara tepat, sehingga tujuan dan sasaran organisasi akan tercapai. Menurt Tjiptono (1995) strategi menggambarkan arah bisnis yang mengikuti lingkungan yang dipilih dan merupakan pedoman untuk mengalokasikan sumberdaya dan usaha suatu organisasi.

Menurut Stoner dan Freeman (Tjiptono, 1995), konsep strategi dapat didefinisikan berdasar dua perspektif yang berbeda, yaitu (1) dari

perspektif apa suatu organisasi ingin lakukan, dan (2) dari persektif apa yang organisasi akhirnya lakukan.

Berdasarkan perspektif yang pertama, strategi dapat didefinisikan sebagai program untuk menentukan dan mencapai tujuan organisasi dan mengimplementasikan misinya. Makna yang terkandung dari strategi ini adalah bahwa manajer memainkan peranan yang aktif, sadar dan rasional dalam merumuskan strategi organisasi. Dalam lingkungan yang selalu berubah, pandangan ini banyak diterapkan. Perspektif ini secara tidak langsung mensyaratkan pernyataan strategi secara eksplisit.

Pernyataan strategi secara eksplisit tersebut merupakan kunci keberhasilan dalam menghadapi perubahan lingkungan bisnis. Strategi memberikan kesatuan arah bagi semua anggota organisasi. Bila konsep strategi tidak jelas, maka keputusan yang diambil akan bersifat subjektif atau bersifat intuisi belaka, mengabaikan pertimbangan yang lain.

Sedangkan berdasarkan perspektif kedua, strategi didefinisikan sebagai pola tanggapan atau respon organisasi terhadap lingkungannya sepanjang waktu. Pada definisi ini, setiap organisasi pasti memiliki strategi, meskipun strategi tersebut tidak pernah dirumuskan secara eksplisit. Pandangan ini diterapkan bagi para manajer yang bersifat reaktif, yaitu hanya menanggapi dan menyesuaikan diri terhadap lingkungan secara pasif manakala dibutuhkan.

Kebijakan/strategi yang yang ditetapkan oleh perusahaan memiliki dampak yang signifikan terhadap lingkungan. Kebijakan dan strategi seperti perundingan dengan serikat buruh, investasi, penetapan harga jelas sekali

mempengaruhi lingkungan. Demikian juga sebalinya lingkungan akan berpengaruh atas organisasi bisnis (Steiner dan Miner, 1988).

Suatu analisis strategi membantu perusahaan untuk mengidentifikasikan isu-isu strategi yang akan dihadapi dimasa yang akan datang sehingga perusahaan siap menghadapi perubahan-perubahan lingkungan yang akan datang. Faktor lingkungan penting yang harus diperhatikan para manajer dalam penyusunan dan pelaksanaan strategi perusahaan di antaranya adalah (Steiner dan Miner, 1988):

1. Lingkungan Ekonomi

Lingkungan ekonomi meliputi wilayah yang luas dan merupakan sumber peluang yang besar dan juga sumber ancaman yang serius. Perubahan lingkungan ekonomi yang sangat cepat harus diadaptasi perusahaan demi kelangsungan hidupnya dan pertumbuhan yang menguntungkan.

2. Pemerintah

Hampir bagi semua perusahaan, pemerintah adalah mitra. Bagi semua perusahaan umumnya, pemerintah merupakan salah satu pengaruh paling signifikan dalam gerak usaha seperti: pertumbuhan, penetapan harga, produksi, kualitas produk, persaingan, upah, laba, investasi, pasar, dan tingkat bunga atas modal.

Setiap organisasi membutuhkan strategi manakala menghadapi situasi berikut (Jain dalan Tjiptono, 1995):

2. Ada ketidakpastian mengenai kekuatan bersaing organisasi. 3. Komitment terhadap sumberdaya tidak dapat diubah lagi. 4. Keputusan-keputusan harus dikoordinir antar bagian

sepanjang waktu.

5. Ada ketidak pastian mengenai pengendalian inisiatif.

Tujuan utama strategi adalah untuk membimbing keputusan manajemen dan ikut andil dalam penentuan misi, visi, serta kebijakan perusahaan dalam membentuk dan mempertahankan keunggulan kompetitif perusahaan sehingga perusahaan tersebut dapat mencapai sukses. Agar tujuan-tujuan perusahaan dapat tercapai dalam kondisi lingkungan yang selalu berubah dan subsistem-subsistem internal yang berinteraksi aktif dengan lingkungan, caranya antara lain dengan menyususn strategi yang mantap dan menetapkan kebijakan-kebijakan yang tepat.

Menurut Ahmad S. Adnanputra, pakar humas dalam naskahnya berjudul PR Strategi mengatakan bahwa arti strategi adalah bagian terpadu dari suatu rencana (plan), sedangkan rencana merupakan produk dari suatu perencanaan (planning) (Ruslan, 2002).

2.2 Manajemen Resiko Keamanan Informasi

2.2.1 Resiko

Menurut Alberts dan Dorofee dalam bukunya yang berjudul “Managing Information Security Risks: The OCTAVESM Approach” (July 2002)

Resiko adalah kemungkinan menderita kerugian.Ini mengacu pada situasi di mana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian

yang alami ini dapat mengakibatkan hasil yang tidak diinginkan, sehingga terjadi dampak negatif atau konsekuensi.

Beberapa definisi tentang risiko lainnya:

• Risiko adalah fungsi dari kemungkinan yang diberikan dari sumber-sumber ancaman yang mempunyai potensi kerentanan tertentu dan dampak yang dihasilkan dari peristiwa buruk di organisasi (NIST, 2002). • Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan

proses dan peristiwa yang tidak memadai (Symantec, 2007).

Dengan definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak dapat diduga / tidak diinginkan. Jadi merupakan ketidak pastian atau kemungkinan terjadinya sesuatu, yang bila terjadi akan mengakibatkan kerugian.

Langkah pertama dalam mengelola risiko adalah untuk memahami apa risiko dalam kaitannya dengan misi organisasi dan aset kunci. Pemahaman ini dicapai dengan melakukan evaluasi risiko yang komprehensif untuk mengidentifikasi risiko organisasi. Setelah risiko tersebut diidentifikasi, organisasi personel harus memutuskan apa yang harus dilakukan untuk mengatasinya.

2.2.1.1 MACAM-MACAM RESIKO

Risiko dapat dibedakan dengan berbagai macam cara, antara lain : 1. Menurut sifatnya resiko dapat dibedakan kedalam :

a. Resiko Murni (risiko yang tidak disengaja), adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disegaja.

Contoh : risiko terjadinya kebakaran, bencana alam, pencurian, dsb. b. Resiko Spekulatif (risiko disengaja), adalah resiko yang sengaja

ditimbullkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya.

Contoh : resiko produksi, resiko moneter (kurs valuta asing).

c. Resiko Fundamental, adalah risko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang.

Contoh : risiko terjadinya kebakaran, bencana alam, resiko perang, polusi udara.dsb.

d. Resiko Khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil dan sebagainya.

e. Resiko Dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan, risiko penerbangan luar angkasa. Kebalikannya disebut, Resiko Statis, seperti risiko hari tua, risiko kematian dan sebagainya.

2. Menurut sumber / penyebab timbulnya, risiko dapat dibedakan kedalam:

a. Resiko Intern, yaitu risiko yang berasal dari dalam : kebakaran yang berasal dari rumah si tertanggung sendiri.

b. Resiko extern, yaitu risiko yang berasal dari luar , seperti risiko kebakaran dari rembetan rumah yang bersebelahan, bencana alam, pencurian, perampokan dan sebagainya.

2.2.2 Manajemen Resiko

Manajemen resiko menurut Australian National Audit Office (ANAO 2000) adalah proses yang berjalan yang telah di desain untuk melakukan penilaian terhadap kejadian-kejadian yang merugikan, tindakan untuk mengurangi resiko-resiko seperti kejadian-kejadian yang terjadi secara tidak sengaja dan menjamin organisasi dapat merespon atau menghadapi dengan berbagai jalan keluar untuk memperkecil konsekuensi dari kejadian tersebut.

Menurut Alberts dan Dorofee (2002) manajemen risiko adalah proses berkelanjutan mengidentifikasi risiko dan melaksanakan rencana-rencana untuk mengatasinya. Sebuah pendekatan pengelolaan risiko melibatkan seluruh organisasi, termasuk personil dari kedua departemen teknologi informasi dan lini bisnis dari organisasi.

Manajemen risiko menurut (ISACA, 2008) adalah proses mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh sebuah organisasi dalam mencapai tujuan bisnis dan memutuskan apa penanggulangannya, jika ada, untuk mengurangi risiko ke tingkat yang dapat diterima, berdasarkan nilai dari sumber informasi bagi organisasi.

2.2.3 Keamanan Informasi

Menurut Alberts dan Dorofee (2002) Keamanan informasi lebih daripada membangun firewall, menerapkan patch untuk memperbaiki kelemahan baru yang ditemukan pada perangkat lunak sistem anda, atau mengunci kabinet dengan backup tape. Keamanan informasi adalah menentukan apa yang perlu dilindungi dan mengapa, dari apa yang perlu dilindungi, dan bagaimana untuk melindunginya selama itu ada.

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bila diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,

praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.

Gambar 2.1 Elemen-elemen keamanan informasi

Menurut Alberts dan Dorofee (2002), terdapat empat pendekatan pada keamanan informasi :

1. Vulnerability Assessment

Sebuah penilaian kerentanan yang sistematis, pemeriksaan organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup analisis lengkap tentang keamanan lingkungan komputasi internal dan kerentanan terhadap serangan internal dan eksternal. Teknologi ini berbasis pada umumnya penilaian:

• Gunakan standar untuk kegiatan keamanan IT tertentu (seperti pengerasan jenis platform tertentu)

• Menilai seluruh infrastruktur komputasi

• Menggunakan (kadang-kadang berpemilik) perangkat lunak untuk menganalisis infrastruktur dan seluruh komponen

• Menyediakan analisis rinci yang menunjukkan teknologi yang terdeteksi kerentanan dan mungkin merekomendasikan langkah-langkah spesifik untuk mengatasi kerentanan mereka

2. Audit Sistem Informasi

Audit sistem informasi penilaian independen dari kontrol internal perusahaan untuk memastikan manajemen, peraturan pemerintah, dan pemegang saham perusahaan informasi yang akurat dan valid.Audit biasanya industri memanfaatkan model proses tertentu, benchmark, standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan pada proses bisnis milik pengendalian risiko dan metode dan alat analisis. Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan memiliki implikasi hukum dan kewajiban

3. Evaluasi Resiko Keamanan Informasi

Memperluas evaluasi resiko keamanan atas penilaian kerentanan untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta berbasis elektronik dan orang-orang yang berbasis risiko.Evaluasi multifaset ini berusaha untuk menyesuaikan evaluasi risiko dengan driver atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan:

Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk

analisis komparatif yang peringkat informasi ini terhadap standar industri dan praktik terbaik.

1) Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan pemeriksaan keamanan fisik.

2) Mereka memeriksa infrastruktur TI untuk menentukan kemampuan teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap salah satu situasi berikut:

a. Pengenalan kode berbahaya b. Korup atau kerusakan data c. Exfiltration informasi

d. Denial of service

e. Perubahan yang tidak sah hak akses dan keistimewaan

3) Mereka membantu para pengambil keputusan trade-off memeriksa untuk memilih biaya penanggulangan efektif

4. Managed Service Providers

Dikelola penyedia layanan keamanan, bergantung pada keahlian untuk mengelola sistem dan jaringan perusahaan. Mereka menggunakan mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan secara proaktif memonitor dan melindungi suatu infrastruktur komputasi organisasi dari serangan dan penyalahgunaan.

Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko keamanan informasi membantu Anda menandai isu keamanan Anda, tapi tidak mengelolanya. Penyedia layanan yang dikelola mengelola keamanan Anda untuk Anda.

2.2.4 Dasar Manajemen Keamanan Informasi

2.2.4.1 Informasi Sebagai Aset

Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya: informasi yang tersimpan dalam komputer (baik

desktop komputer maupun mobile komputer), informasi yang ditransmisikan

melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.

2.2.4.2 Mengapa Diperlukan Keamanan Informasi?

Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:

Gambar 2.2 Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini

diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.

Gambar 2.3 UK business network attack

Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.

2.2.4.3 Informasi yang Perlu Dilindungi Keamanannya

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being

dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:

• Physical Security yang memfokuskan strategi untuk mengamankan

pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

• Personal Security yang overlap dengan ‘phisycal security’ dalam

melindungi orang-orang dalam organisasi.

• Operation Security yang memfokuskan strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

• Communications Security yang bertujuan mengamankan media

komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. • Network Security yang memfokuskan pada pengamanan peralatan

jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah

perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

2.2.4.4 Aspek Lain Keamanan Informasi

Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk dapat diterapkan. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A (Confidentiality, Integrity & Availability) ”triangle

model” [Gambar 2.1 Elemen-elemen keamanan informasi, seperti yang

diuraikan pada point 2.2.3 Keamanan Informasi (pembahasan sebelumnya). Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security adalah:

• Privacy

Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik.

• Identification

Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama

dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.

• Authentication

Authentication terjadi pada saat sistem dapat membuktikan bahwa

pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.

• Authorization

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi. • Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.

2.3 Evaluasi dan Manajemen Risiko

Saat ini, sistem informasi sangat penting bagi kebanyakan organisasi, karena hampir semua informasi yang diambil, disimpan, dan diakses dalam bentuk digital. Kami mengandalkan data digital yang dapat diakses, bisa diandalkan, dan dilindungi dari penyalahgunaan. Sistem saling berhubungan dengan cara-cara yang tidak dapat terbayangkan sepuluh tahun yang lalu. Sistem

jaringan memungkinkan akses ke informasi yang belum pernah terjadi sebelumnya. Sayangnya, informasi kami ke mereka juga terkena berbagai ancaman baru. Organisasi ini telah menerapkan berbagai infrastruktur komputasi yang kompleks, mereka membutuhkan pendekatan yang fleksibel yang memungkinkan mereka untuk memahami informasi mereka risiko keamanan yang spesifik dan kemudian untuk membuat strategi untuk mengatasi risiko tersebut. Sebuah organisasi yang ingin meningkatkan postur keamanan harus siap untuk mengambil langkah-langkah berikut:

1. Perubahan dari reaktif, pendekatan berbasis masalah untuk proaktif pencegahan masalah.

2. Pertimbangkan keamanan dari berbagai perspektif.

3. Membangun infrastruktur yang fleksibel pada semua tingkat organisasi mampu bereaksi dengan cepat terhadap perubahan teknologi dan kebutuhan keamanan.

4. Memulai yang berkelanjutan dan terus-menerus upaya untuk mempertahankan dan meningkatkan posisi keamanan.

Evaluasi risiko keamanan informasi adalah sebuah proses yang dapat membantu memenuhi tujuan. Ini menimbulkan pandangan organizationwide risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu "research" dari awal dengan melakukan evaluasi lain. Waktu antara evaluasi dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya, reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi).

Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko.

Evaluasi risiko hanya merupakan tahap pertama dari manajemen risiko, berikut gambar yang mengambarkan peranan evaluasi risiko terhadap keseluruhan tahap dari manajemen risiko. Dengan demikian evaluasi memainkan peranan penting dalam manajemen risiko sistem informasi.

Gambar 2. 4 IS Risk Evaluation Activities in Relation to an ISRM

Framework

2.3.1 Kegiatan Evaluasi

Pertimbangkan apa yang terjadi selama evaluasi. Ketika sebuah organisasi menyelenggarakan evaluasi risiko keamanan informasi, ia melakukan kegiatan:

• Identifikasi risiko keamanan informasi

• Rencana untuk perbaikan dengan mengembangkan strategi perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko kritis aset organisasi

Evaluasi hanya memberikan arah bagi kegiatan keamanan informasi organisasi, itu tidak selalu mengarah pada perbaikan yang bermakna. Tidak ada evaluasi, tidak peduli seberapa terperinci atau bagaimana pakar, akan meningkatkan keamanan organisasi kecuali postur organisasi berikut melalui dengan menerapkan hasil. Setelah evaluasi, organisasi harus mengambil langkah-langkah berikut:

1. Rencana bagaimana menerapkan strategi perlindungan dan rencana mitigasi risiko dari evaluasi dengan mengembangkan rencana aksi yang rinci.Kegiatan ini dapat mencakup rinci analisis biaya-manfaat antara strategi dan tindakan.

2. Mengimplementasikan rencana aksi yang rinci yang dipilih.

3. Rencana untuk memantau kemajuan dan keefektifan.Kegiatan ini mencakup pemantauan risiko untuk setiap perubahan.

4. Kontrol variasi di dalam rencana pelaksanaan dengan mengambil tindakan koreksi yang tepat.

2.3.1.1 Pendekatan

Evaluasi Resiko Keamanan

Informasi

Evaluasi resiko keamanan informasi harus mengidentifikasi organisasi dan isu-isu teknologi menjadi efektif.Ini harus alamat baik

infrastruktur komputasi dan cara di mana orang menggunakannya ketika mereka melakukan pekerjaan mereka. Dengan demikian, evaluasi perlu memasukkan konteks di mana orang menggunakan infrastruktur untuk memenuhi tujuan-tujuan bisnis dari organisasi serta masalah keamanan teknologi yang berkaitan dengan infrastruktur. Ini harus mempertimbangkan apa yang membuat organisasi berhasil dan apa yang membuatnya gagal.

Kami melihat risiko keamanan informasi dengan menggunakan evaluasi untuk meningkatkan keamanan organisasi postur sebagai praktek bisnis yang sehat. Karena sebagian besar perusahaan mengandalkan akses ke data elektronik untuk melakukan bisnis, data perlu cukup terlindungi dari penyalahgunaan. Kemampuan suatu organisasi untuk mencapai misi dan memenuhi tujuan bisnis secara langsung dan strategis terkait dengan kondisi infrastruktur komputasi dan cara di mana personel berinteraksi dengannya. Bagi suatu organisasi untuk berada dalam posisi terbaik untuk mencapai misi mereka, orang-orangnya perlu memahami informasi yang terkait dengan aset yang paling penting dan apa yang harus mereka lakukan untuk melindungi aset-aset. Dengan kata lain, orang-orang dalam organisasi harus terlibat dalam evaluasi.

2.4 Risk Assessment

Risk assessment memegang peranan penting dalam penerapan sistem

manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang

terkenal diantaranya adalah OCTAVE-S yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg.

2.4.1 Pengenalan OCTAVE-S

OCTAVE-S adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi.

Gambar 2.5 Kriteria OCTAVE-S

Kriteria OCTAVE-S memerlukan eveluasi yang harus dilakukan oleh sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE-S memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog

OCTAVE criteria  _{OCTAVE Method} (As defined in OCTAVE Method Implementation Guide v2.0) An OCTAVE-Consistent Method for Small Organizations Under development by the SEI   Other Methods Consistent with the OCTAVE criteria Developed by others

• Catalog of practices – sebuah koleksi strategi dan praktek keamanan

informasi.

• Generic threat profile – sebuah koleksi sumber ancaman utama.

• Catalog of vulnerabilities – sebuah koleksi dari Vulnerability berdasarkan platform dan aplikasi.

2.4.2 Langkah-langkah metode OCTAVE-S

Metode OCTAVE-S menggunakan pendekatan tiga fase untuk menguji isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan.

2.4.2.1 Persiapan

Mempersiapkan OCTAVE-S membuat dasar evaluasi yang berhasil. Beberapa kunci untuk keberhasilan evaluasi adalah:

• Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi mendukung proses, maka orang-orang dalam organisasi akan berpartisipasi secara aktif. Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan berkesinambungan dalam aktifitas OCTAVE-S, peningkatan partisipasi aktif anggota organisasi, pendelegasian tanggung jawab dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S, komitmen untuk mengalokasikan sumberdaya yang dibutuhkan, persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus diambil dengan adanya hasil evaluasi yang telah dilakukan.

• Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di luar tim. Secara umum, tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta

berkomitmen untuk mengerahkan kemampuan yang dimiliki demi keberhasilan OCTAVE-S.

Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer dalam menentukan cakupan eveluasi, memilih partisipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan manajer senior atau manajer operasional dan pendukung teknologi informasi untuk mengevaluasi vulnerability; mendapatkan, menganalisa dan mengelola data dan hasil selama proses OCTAVE-S; mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan logistik.

Secara umum, tim inti analisis harus memiliki kemampuan berikut: fasilitasi, komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior, manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi, memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan teknologi informasi organisasi.

Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan teknologi informasi organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat

lunak, mengetahui praktek perencanaan organisasi, serta mampu mengembangkan perencanaan.

• Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area operasi yang penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak akan banyak berarti.

• Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area kerja mereka.

• Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE-S meliputi: penjadwalan, koordinasi persiapan ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S, menangani kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam pertemuan.

2.4.2.1.1 Fase 1. Organizational View

Fase 1 dalam OCTAVE-S adalah Asset-Based Threat Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi proteksi yang sedang diterapkan,dan

vulnerability organisasi terkini. Pada fase ini data yang diperoleh

dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis organisasi.

Fase 1 ini meliputi empat proses yang harus dilakukan. Keempat proses ini dibahas dalam penjelasan berikut :

1) Fase 1 proses 1. Identify Senior Manager Knowledge

Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:

• Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.

• Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.

• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.

• Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan

catalog of practices. Mereka mendiskusikan jawaban survey

mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.

• Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua untuk manajer senior terlibat dalam lokakarya proses 1 jika akan menambah atau mengurangi daftar area operasi atau manajer.

                       

Gambar 2.7 Fase 1 proses 1. Identify Senior Manager Knowledge

      Process 1:  Identify Senior Management Knowledge Inputs  Current knowledge of senior  managers  Organizational data  Catalog of practices      Outputs  Senior management assets  with relative priorities  Senior management areas of  concern   Security requirements for  senior management assets  Current senior management  protection strategy practices  Senior management  organizational vulnerabilities    Worksheets  Asset worksheet (W1.1)  Areas of concern worksheet (W1.2) Security requirements  worksheet (W1.3)  Senior management survey  (W1.4)  Protection strategy  worksheet (W1.5)   

 

 

2) Fase 1 proses 2. Identify Operational Management Knowledge

Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan manajer area operasional sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:

• Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.

• Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.

• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.

• Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang

sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.

• Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kembali siapa saja staf yang akan menjadi partisipan dalam OCTAVE-S.                   

Gambar 2.8 Fase 1 proses 2. Identify Operational Management Knowledge

        Inputs  Current knowledge of  operational area managers  Organizational data  Catalog of practices    Process 2:  Identify Operational Area Management Knowledge Outputs  Operational area management  assets with relative priorities  Operational area management  areas of concern   Security requirements for  operational area management  assets  Current operational area  management protection strategy  practices  Worksheets  Asset worksheet (W2.1)  Areas of concern worksheet (W2.2)  Security requirements worksheet  (W2.3)  Operational area management  survey (W2.4)  Protection strategy worksheet  (W2.5) 

 

3) Fase 1 proses 3. Identify Staff Knowledge

Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya dengan partisipan yang berbeda pada setiap lokakarya.Aktifitas dalam proses 3 ini terdiri dari:

• Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.

• Mendeskripsikan area of concern – Untuk lima aset terpenting, para staf mendeskripsikan skenario bagaimana aset –aset tersebut terancam.

• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Para staf mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.

• Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf melengkapi survey berdasarkan catalog of

memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.                    

Gambar 2.9. Fase 1 proses 3. Identify Staff Knowledge

        Process 3: Identify Staff  Knowledge  Inputs  Current knowledge of staff  Organizational data  Catalog of practices      Outputs  Staff assets with relative  priorities  Staff areas of concern   Security requirements for staff  assets  Current staff protection  strategy practices  Staff organizational  vulnerabilities     Worksheets  Asset worksheet (W3.1)  Areas of concern worksheet  (W3.2)  Security requirements  worksheet (W3.3)  Staff survey (W3.4)  IT staff survey (W3.4 IT)  Protection strategy worksheet  (W3.5)     

 

4) Fase 1 proses 4. Create Threat Profile

Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses 1 sampai proses ke 3 dan membuat sebuah profil ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri dari:

• Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan keamanan masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai proses ke tiga.

• Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim analisis.

• Mendefinisikan kebutuhan keamanan untuk aset kritis – tim analisisi menyempurnakan informasi yang diperoleh pada proses 1 sampai ke 3 untuk sampai pada sebuah rancangan akhir kebutuhan keamanan.

• Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan informasi area of concern yang diperoleh dari proses 1 sampai proses ke 3 dan menjabarkannya dalam profil ancaman keamanan.

Gambar 2.10. Fase 1 proses 4. Create Threat Profile       Process 4:    Create Threat  Profiles  Inputs  Current knowledge of  analysis team  Generic threat profile  Results from Process 1  Results from Process 2  Results from Process 3      Outputs  Consolidated information  • Assets  • Security requirements  • Areas of concern  Critical assets  Security requirements for  critical assets  Threats to critical assets    Worksheets  Asset group worksheet  (W4.1)  Security requirements  group worksheet (W4.2)  Areas of concern group  worksheet (W4.3)  Asset Profile Workbook  (WK)   

 

2.4.2.1.2 Fase 2. Identify Infrastructure Vulnerability

Fase 2 dalam OCTAVE-S adalah Identify Infrastructure

Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi

pada aset kritis dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase 2 ini meliputi dua proses yang akan dibahas lebih lanjut.

1) Fase 2 proses 5. Identify Key Components

Proses 5 mengidentifikasi komponen kunci dari infrastruktur yang harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis mencari “system(s) of

interest” untuk setiap aset kritis – yaitu sistem yang paling dekat

hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari: • Mengidentifikasi klasifikasi kunci setiap komponen – sebuah

systems of interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses. Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan digunakan.

• Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk setiap tipe komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen teknologi informasi harus

memberikan arah jaringan secara spesifik atau lokasi fisiknya dan akan diperlukan untuk menyusun evaluasi.

                       

Gambar 2.11. Fase 2 proses 5. Identify Key Components Process 5: Identify Key  Components  Inputs  Current knowledge of  analysis team and key IT staff   Current network topology  diagrams (including IP  addresses for components)  Outputs  Key classes of components   Infrastructure components to  examine  Selected approach for  evaluating each infrastructure  component  Worksheets  Asset Profile Workbook (WK)     

2) Fase 2 proses 6. Evaluate Selected Components

Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri dari:

• Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari pihak lain.

• Mengkaji vulnerability teknologi dan merangkum hasilnya – pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis yang dipengaruhinya.

             

Gambar 2.12 Fase 2 proses 6. Evaluate Selected Components               Process 6:  Evaluate Selected  Components  Inputs  Current knowledge of analysis team and key  IT staff  Software tools  • Catalog of vulnerabilities 

Current network topology diagrams (including IP addresses for components) Infrastructure components to examine  Selected approach for evaluating each  infrastructure component      Outputs  Technology vulnerabilities  Technology vulnerability  summary    Worksheets  Asset Profile Workbook (WK)   

     

2.4.2.1.3 Fase 3. Develop Security Strategy and Plans

Fase 3 dalam OCTAVE-S adalah Develop Security Strategy

and Plans. Pada fase ini didefinisikan resiko terkait dengan aset kritis,

membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi proteksi organisasi.Rencana dan strategi dikaji dan diterima oleh manajer senior. Terdapat dua proses dalam fase 3 yang akan dibahas.

1) Fase 3 proses 7. Conduct Risk Analysis

Selama proses 7, tim analisis mengkaji semua informasi yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari profil ancaman , menambahkan pengukuran kualitatif terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa berubah-ubah, maka kemungkinan untuk setiap cabang diasumsikan sama. Proses 7 meliputi aktifitas:

• Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk setiap akibat dari ancaman.

• Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat operasional).

• Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai tinggi, menengah, atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile Workbook.

Gambar 2.13 Fase 3 proses 7. Conduct Risk Analysis Process 7:  Conduct Risk  Analysis  Inputs  Current knowledge of analysis  team and key staff   Critical assets  Security requirement for critical  assets   Threats to critical assets   Areas of concern for critical assets        Outputs  Impact of threats to critical  assets  Risk evaluation criteria  Impact values    Worksheets  Asset Profile Workbook (WK)   

2) Fase 3 proses 8. Develop Protection Strategy

Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada lokakarya ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi aktifitas:

• Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap buruk oleh sebagian besar responden

• Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan kebutuhan keamanan aset kritis. • Membuat strategi proteksi – strategi ini meliputi setiap praktek

yang dianggap harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah dilaksanakan dengan baik. Membuat rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari setiap

resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan mitigasi.

• Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan, biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera.

Gambar 2.14 Fase 3 proses 8. Develop Protection Strategy A Process 8:  Develop Protection  Strategy   Workshop A  Inputs  Current knowledge of analysis team  and key staff   Consolidated information  • Assets  • Security requirements  • Areas of concern  Current protection strategy  practices from each organizational  level  Organizational vulnerabilities from  each organizational level  Critical assets  Security requirements for critical  assets  Threats to critical assets  Key classes of components   Infrastructure components to  examine   Technology vulnerability summary      Key classes of components  Technology vulnerabilities Outputs  Current protection strategy  practices   Current organizational  vulnerabilities  Proposed protection strategy   Proposed mitigation plan  Proposed action list    Worksheets  Current strategic practices worksheet  (W8A.1)  Current operational practices worksheet  (W8A.2)  Protection strategy for strategic practices  worksheet (W8A.3)  Protection strategy for operational practices  worksheet (W8A.4)  Action list worksheet (W8A.5)  Asset Profile Workbook (WK)

   

Lokakarya B meliputi aktifitas:

• Prework: Membuat presentasi untuk manajer senior

• Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan dengan aset kritis dan ringkasan hasil survey kepada manajer senior.

• Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta perubahan, penambahan, atau pengurangan.

• Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana mengimplementasikan strategi, perencanaan, dan aktifitas.

Gambar 2.15 Fase 3 proses 8. Develop Protection StrategyB Process 8:  Develop  Protection  Strategy B  Outputs  Protection strategy  Mitigation plan  Action list  Next steps   Inputs  Current knowledge of analysis  team and key staff   Current knowledge of senior  managers  Proposed protection strategy   Proposed mitigation plan  Proposed action list  Consolidated information  • Assets  • Security requirements  • Areas of concern  • Protection strategy practices  • Organizational vulnerabilities    Worksheets  Asset summary worksheet  (W8B.1)  Risk profile for critical  assets (W8B.2)  Organization protection  strategy worksheet  (W8B.3)  Mitigation plan worksheet  (W8B.4)  Action list worksheet  (W8B.5) Current strategic  practices worksheet  (W8A.1)  Current operational  practices worksheet  (W8A.2)  Protection strategy for  strategic practices  worksheet (W8A.3)  Protection strategy for  operational practices  worksheet (W8A.4)  Action list worksheet