Muhammad Ryan Ardiyansyah 13.2010.1.00236
Link Jurnal : http://jurnal.unimus.ac.id/index.php/ME/article/view/480/529
PENDAHULUAN
Sistem informasi saat ini merupakan sumber daya
penting, mempunyai nilai strategis dan mempunyai peranan yang sangat penting
sebagai daya saing, kompetensi utama, dan dalam keberlangsungan hidup dari
suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang dijanjikan dalam
setiap pengembangan dan implementasi suatu sistem informasi, disadari juga
sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan
akan potensi ancaman (threats). Sehingga menjadi suatu prinsip dasar
bahwa dalam pengelolaan sistem informasi juga harus diimbangi dengan perhatian
yang serius terhadap keamanan system informasi (information system security).
Prinsip-prinsip kerahasiaan, integritas dan
ketersediaan data dan informasi (confidentiality, integrity and
availability – CIA) menjadi taruhan utama dalam setiap upaya-upaya
pengamanan terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme
keamanan harus mampu menjamin sistem informasi dapat terlindungi dari berbagai
potensi ancaman yang mungkin timbul. Atau setidaknya mampu mengurangi kerugian
yang diderita apabila ancaman terhadap sistem informasi teraktualisasi.
FRAMEWORK MANAJEMEN KEAMANAN RISIKO SISTEM INFORMASI
Evaluasi
kegiatan mempertimbangkan apa yang terjadi selama evaluasi, ketika sebuah
organisasi yang melakukan evaluasi risiko keamanan informasi, maka untuk
melakukan kegiatan :
- • Identify
- • Analyze
- • Plan
- • Implement
- • Monitor
- • Control
METODE OCTAVE
Sistem informasi adalah hal yang berharga bagi
kebanyakan organisasi sekarang ini. Bagaimanapun, banyak organisasi yang
menjalankan strategi keamanan dengan memfokuskan diri pada kelemahan
infrastruktur, mereka gagal menetapkan akibat terhadap aset informasi yang
paling penting milik mereka. Hal ini menimbulkan kesenjangan antara operasional
organisasi dengan persyaratan teknologi informasi sehingga menempatkan aset
dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak
lengkap, sehingga gagal mencakup seluruh komponen resiko (aset, ancaman, dan
vulnerability). Banyak organisasi kemudian menyewa konsultan untuk mengevaluasi
resiko keamanan informasi dalam organisasinya. Hasilnya mungkin tidak sesuai
dengan perspektif organisasi tersebut. Risk assessment yang dilakukan sendiri oleh
organisasi yang bersengkutan memberikan pengetahuan untuk memahami resiko dan
membuat keputusan yang tepat.
Langkah pertama untuk mengelola resiko keamanan
informasi adalah mengenali apakah resiko organisasi yang menerapkannya. Setelah
resiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan
reduksi resiko terhadap masing-masing resiko yang telah diketahui. Metode
OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)
memungkinkan organisasi melakukan hal di atas. OCTAVE adalah sebuah pendekatan
terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik,
terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria
yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi
Kriteria OCTAVE memerlukan eveluasi yang harus
dilakukan oleh sebuah tim (interdisipliner) yang terdiri dari personil
teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk
membuat keputusan berdasarkan resiko terhadap aset informasi kritis organisasi.
Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur
praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi.
Katalog ini meliputi:
- • catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi
- • generic threat profile – sebuah koleksi sumber ancaman utama
- • catalog of vulnerabilities – sebuah koleksi dari vulnerability berdasarkan platform dan aplikasi.
TAHAPAN OCTAVE :
- • Tahap Persiapan
- • Tahap 1: Membangun Aset Berbasis Ancaman Profil
- • Tahap 2: Identifikasi Infrastruktur Vulnerabilities
- • Tahap 3: Mengembangkan Strategi Keamanan dan Perencanaannya
- • Tahap I Membangun Aset Berbasis Ancaman Profil : Pada metode OCTAVE sumber-sumber ancaman terhadap aset-aset indormasi dalam 4 sumber yakni :
- • Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari dalam (inside) maupun dari luar (outside).
- • Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik dari dalam (inside) maupun dari luar (outside).
- • Sistem yang bermasalah (systems ploblem) meliputi hardware dan software yang cacat, kode berbahaya (virus worm, trojan, back door).
- • Masalah-masalah lain (other problems) seperti padamnya arus listrik, ancaman bencana alam, ancaman lingkungan, gangguan telekomunikasi.
- • Tahap II Identifikasi Infrastruktur Vulnerabilities : Tahap kedua melakukan evaluasi kelemahan (vulnerability) terhadap jaringan infrastruktur komputasi yang digunakan oleh organisasi. Dilakukan dengan cara menseleksi komponen-komponen penting yang dapat mempengaruhi kinerja jaringan sistem komputer.
- • Tahap III Mengembangkan Strategi Keamanan dan Perencanaannya : Dari tahap I dan II diperoleh profil ancaman dan kelemahan infrastruktur sistem jaringan informasi. Pada tahap III ditindaklanjuti dengan merangkum kegiatan sebelumnya menjadi bentuk profil risiko dengan tingkat ukuran risiko (secara kualitatif) yang dikaitkan dengan dampaknya bagi perusahaan serta rencana mitigasi risiko.
Pada level pengukuran resiko ditentukan secara subyektifitas asumsi yang dimilki organisasi terhadap level risiko.
Metode ini merupakan metode sangat sederhana yang dirancang untuk
memberikan ringkasan yang luas tentang resiko keamanan komputer
dan sistem informasi. Metode OCTAVE memberikan panduan secara sistemik dan komprehensif dalam manajemen risiko keamanan informasi. Metode ini lebih menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia.