Bab II LANDASAN TEORI

Transkripsi

1 Bab II LANDASAN TEORI 2.1 Teknologi Informasi Pengertian Informasi Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima informasinya. Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses atau data yang memiliki arti. Jadi, informasi adalah kumpulan data yang sudah diolah menjadi suatu bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang atau yang akan datang Pengertian Teknologi Informasi Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan informasi. 5

2 6 Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi adalah kumpulan dari komponen teknologi individu yang secara khusus diatur dalam komputer berbasis sistem informasi. Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses dan menghasilkan digital. Jadi, pengertian teknologi informasi adalah suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk pengambilan keputusan. Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem jaringan untuk menghubungkan satu komputer dengan komputer yang lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data dapat disebar dan diakses secara global Infrastruktur Teknologi Informasi Hardware dan Software Menurut Haag, Cummings and McCubbrey (2005, p15), ada dua kategori dasar dalam teknologi yaitu hardware dan software. Hardware terdiri dari peralatan fisik yang menyusun sebuah komputer (sering dikenal

3 7 sebagai sistem komputer). Software adalah kumpulan instruksi-instruksi yang menjalankan hardware untuk menyelesaikan tugas tertentu. Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2) output device, (3) storage device, (4) CPU dan RAM, (5) telecommunications, (6) connecting device. Input device adalah peralatan yang digunakan untuk memasukkan informasi dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code reader. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor, dan speaker. Storage device adalah peralatan yang digunakan untuk menyimpan informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan sistem dan instruksi-instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah peralatan yang digunakan untuk mengirim informasi dan menerima informasi dari orang atau komputer lain dalam satu jaringan contohnya modem. Connecting hardware termasuk hal-hal seperti terminal paralel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal parallel dan peralatan penghubung internal yang

4 8 sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. Ada 2 tipe utama dari software, yaitu application dan system. Application software yang memungkinkan untuk menyelesaikan masalahmasalah spesifik atau menampilkan tugas-tugas spesifik. System software yaitu menangani tugas-tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system software ditemukan operating system software dan utility software. Operating system software adalah software sistem yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja bersama-sama. Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software, seperti antivirus software, screen savers, disk optimization software Jaringan Menurut Turban, Rainer, Porter (2003, p178), sebuah jaringan komputer terdiri atas media komunikasi peralatan-peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area Network) dan WAN (Wide Area Network). MAN (Metropolitan Area Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna alat dalam jaringan memilliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang

5 9 terdiri atas kumpulan telephone atau jaringan International seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik Internet, Intranet, Ekstranet Menurut Turban, Rainer, Porter (2003, G11), Internet adalah elektronik dan jaringan telekomunikasi yang besar yang menghubungkan komputer bisnis, konsumen, instansi pemerintah, sekolah, dan organisasi lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara lancar tebuka. Intranet adalah jaringan pribadi yang menggunakan jaringan internet dan perangkat lunak protocol TCP/IP, umumnya berupa, internet swasta, atau segmen kelompok swasta dari jaringan internet public. Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan intranet melalui internet dengan menyediakan akses ke wilayah masingmasing perusahaan intranet Arsitektur Teknologi Informasi Arsitektur teknologi informasi yang dibuat oleh perencanaan strategi bisnis/ti merupakan suatu desain konseptual atau cetak biru yang meliputi 4 komponen sebagai berikut (O Brien dan George, 2006, p480): 1. Platform Teknologi (Technology Platform) Internet, intranet, ekstranet, dan jaringan lainnya, sistem komputer, sistem software, dan aplikasi software perusahaan terintegrasi yang menyediakan infrastruktur komunikasi dan

6 10 komputansi atau platform yang mendukung penggunaan strategi TI bagi e-business, e-commers, dan aplikasi bisnis/ti lainnya. 2. Sumber Daya Data (Data Resources) Banyak jenis database operasional dan spesialisasi database termasuk data warehouse dan database internet/intranet, yang menyimpan dan menyediakan data serta informasi untuk proses bisnis dan dukungan keputusan. 3. Arsitektur Aplikasi (Application Architecture) Aplikasi bisnis dari teknologi informasi dirancang sebagai sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang mendukung usaha strategi bisnis, serta proses lintas fungsi bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi dukungan untuk ERP (Enterprise Resource Planning) terintegrasi dan aplikasi CRM (Costumer Resource Management). 4. Organisasi Teknologi Informasi (IT Organization) Struktur organisasi dari fungsi sistem informasi dalam sebuah perusahaan dan distribusi pakar sistem informasi dirancang untuk memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI tergantung pada filosofi manajerial dan strategi bisnis/ti yang dibentuk selama proses perencanaan bisnis.

7 Strategi Definisi Strategi Strategi berasal dari kata Yunani strategos, yang berarti jenderal. Kata strategi secara harfiah berarti seni para jenderal. Kata ini mengacu pada apa yang merupakan perhatian utama manajeman puncak organisasi. Konsep ini relevan dengan situasi zaman dulu yang sering diwarnai perang, di amana jenderal dibutuhkan untuk memimpin suatu angkatan perang agar dapat selalu memenangkan perang. Strategi militer di dasarkan pada pemahaman akan kekuatan dan penempatan posisi lawan, karakteristik fisik medan perang, kekuatan dan karekter sumberdaya yang tersedia, sikap orang-orang yang menempati teritorial tertentu, serta antisipasi terhadap setiap perubahan yang mungkin terjadi. Menurut Steiner dan Miner (1988) strategi adalah penempatan misi perusahaan, penempatan sasaran organisasi dengan mengingat kekuatan eksternal dan internal, perumusahan kebijakan dan strategi tertentu untuk mencapai sasaran dan memastikan implementasinya secara tepat, sehingga tujuan dan sasaran organisasi akan tercapai. Menurt Tjiptono (1995) strategi menggambarkan arah bisnis yang mengikuti lingkungan yang dipilih dan merupakan pedoman untuk mengalokasikan sumberdaya dan usaha suatu organisasi. Menurut Stoner dan Freeman (Tjiptono, 1995), konsep strategi dapat didefinisikan berdasar dua perspektif yang berbeda, yaitu (1) dari

8 12 perspektif apa suatu organisasi ingin lakukan, dan (2) dari persektif apa yang organisasi akhirnya lakukan. Berdasarkan perspektif yang pertama, strategi dapat didefinisikan sebagai program untuk menentukan dan mencapai tujuan organisasi dan mengimplementasikan misinya. Makna yang terkandung dari strategi ini adalah bahwa manajer memainkan peranan yang aktif, sadar dan rasional dalam merumuskan strategi organisasi. Dalam lingkungan yang selalu berubah, pandangan ini banyak diterapkan. Perspektif ini secara tidak langsung mensyaratkan pernyataan strategi secara eksplisit. Pernyataan strategi secara eksplisit tersebut merupakan kunci keberhasilan dalam menghadapi perubahan lingkungan bisnis. Strategi memberikan kesatuan arah bagi semua anggota organisasi. Bila konsep strategi tidak jelas, maka keputusan yang diambil akan bersifat subjektif atau bersifat intuisi belaka, mengabaikan pertimbangan yang lain. Sedangkan berdasarkan perspektif kedua, strategi didefinisikan sebagai pola tanggapan atau respon organisasi terhadap lingkungannya sepanjang waktu. Pada definisi ini, setiap organisasi pasti memiliki strategi, meskipun strategi tersebut tidak pernah dirumuskan secara eksplisit. Pandangan ini diterapkan bagi para manajer yang bersifat reaktif, yaitu hanya menanggapi dan menyesuaikan diri terhadap lingkungan secara pasif manakala dibutuhkan. Kebijakan/strategi yang yang ditetapkan oleh perusahaan memiliki dampak yang signifikan terhadap lingkungan. Kebijakan dan strategi seperti perundingan dengan serikat buruh, investasi, penetapan harga jelas sekali

9 13 mempengaruhi lingkungan. Demikian juga sebalinya lingkungan akan berpengaruh atas organisasi bisnis (Steiner dan Miner, 1988). Suatu analisis strategi membantu perusahaan untuk mengidentifikasikan isu-isu strategi yang akan dihadapi dimasa yang akan datang sehingga perusahaan siap menghadapi perubahan-perubahan lingkungan yang akan datang. Faktor lingkungan penting yang harus diperhatikan para manajer dalam penyusunan dan pelaksanaan strategi perusahaan di antaranya adalah (Steiner dan Miner, 1988): 1. Lingkungan Ekonomi Lingkungan ekonomi meliputi wilayah yang luas dan merupakan sumber peluang yang besar dan juga sumber ancaman yang serius. Perubahan lingkungan ekonomi yang sangat cepat harus diadaptasi perusahaan demi kelangsungan hidupnya dan pertumbuhan yang menguntungkan. 2. Pemerintah Hampir bagi semua perusahaan, pemerintah adalah mitra. Bagi semua perusahaan umumnya, pemerintah merupakan salah satu pengaruh paling signifikan dalam gerak usaha seperti: pertumbuhan, penetapan harga, produksi, kualitas produk, persaingan, upah, laba, investasi, pasar, dan tingkat bunga atas modal. Setiap organisasi membutuhkan strategi manakala menghadapi situasi berikut (Jain dalan Tjiptono, 1995): 1. Sumberdaya yang dimiliki terbatas.

10 14 2. Ada ketidakpastian mengenai kekuatan bersaing organisasi. 3. Komitment terhadap sumberdaya tidak dapat diubah lagi. 4. Keputusan-keputusan harus dikoordinir antar bagian sepanjang waktu. 5. Ada ketidak pastian mengenai pengendalian inisiatif. Tujuan utama strategi adalah untuk membimbing keputusan manajemen dan ikut andil dalam penentuan misi, visi, serta kebijakan perusahaan dalam membentuk dan mempertahankan keunggulan kompetitif perusahaan sehingga perusahaan tersebut dapat mencapai sukses. Agar tujuan-tujuan perusahaan dapat tercapai dalam kondisi lingkungan yang selalu berubah dan subsistem-subsistem internal yang berinteraksi aktif dengan lingkungan, caranya antara lain dengan menyususn strategi yang mantap dan menetapkan kebijakan-kebijakan yang tepat. Menurut Ahmad S. Adnanputra, pakar humas dalam naskahnya berjudul PR Strategi mengatakan bahwa arti strategi adalah bagian terpadu dari suatu rencana (plan), sedangkan rencana merupakan produk dari suatu perencanaan (planning) (Ruslan, 2002). 2.2 Manajemen Resiko Keamanan Informasi Resiko Menurut Alberts dan Dorofee dalam bukunya yang berjudul Managing Information Security Risks: The OCTAVE SM Approach (July 2002) Resiko adalah kemungkinan menderita kerugian.ini mengacu pada situasi di mana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian

11 15 yang alami ini dapat mengakibatkan hasil yang tidak diinginkan, sehingga terjadi dampak negatif atau konsekuensi. Beberapa definisi tentang risiko lainnya: Risiko adalah fungsi dari kemungkinan yang diberikan dari sumbersumber ancaman yang mempunyai potensi kerentanan tertentu dan dampak yang dihasilkan dari peristiwa buruk di organisasi (NIST, 2002). Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan proses dan peristiwa yang tidak memadai (Symantec, 2007). Dengan definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak dapat diduga / tidak diinginkan. Jadi merupakan ketidak pastian atau kemungkinan terjadinya sesuatu, yang bila terjadi akan mengakibatkan kerugian. Langkah pertama dalam mengelola risiko adalah untuk memahami apa risiko dalam kaitannya dengan misi organisasi dan aset kunci. Pemahaman ini dicapai dengan melakukan evaluasi risiko yang komprehensif untuk mengidentifikasi risiko organisasi. Setelah risiko tersebut diidentifikasi, organisasi personel harus memutuskan apa yang harus dilakukan untuk mengatasinya MACAM-MACAM RESIKO Risiko dapat dibedakan dengan berbagai macam cara, antara lain : 1. Menurut sifatnya resiko dapat dibedakan kedalam :

12 16 a. Resiko Murni (risiko yang tidak disengaja), adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disegaja. Contoh : risiko terjadinya kebakaran, bencana alam, pencurian, dsb. b. Resiko Spekulatif (risiko disengaja), adalah resiko yang sengaja ditimbullkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya. Contoh : resiko produksi, resiko moneter (kurs valuta asing). c. Resiko Fundamental, adalah risko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang. Contoh : risiko terjadinya kebakaran, bencana alam, resiko perang, polusi udara.dsb. d. Resiko Khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil dan sebagainya. e. Resiko Dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan, risiko penerbangan luar angkasa. Kebalikannya disebut, Resiko Statis, seperti risiko hari tua, risiko kematian dan sebagainya. 2. Menurut sumber / penyebab timbulnya, risiko dapat dibedakan kedalam:

13 17 a. Resiko Intern, yaitu risiko yang berasal dari dalam : kebakaran yang berasal dari rumah si tertanggung sendiri. b. Resiko extern, yaitu risiko yang berasal dari luar, seperti risiko kebakaran dari rembetan rumah yang bersebelahan, bencana alam, pencurian, perampokan dan sebagainya Manajemen Resiko Manajemen resiko menurut Australian National Audit Office (ANAO 2000) adalah proses yang berjalan yang telah di desain untuk melakukan penilaian terhadap kejadian-kejadian yang merugikan, tindakan untuk mengurangi resiko-resiko seperti kejadian-kejadian yang terjadi secara tidak sengaja dan menjamin organisasi dapat merespon atau menghadapi dengan berbagai jalan keluar untuk memperkecil konsekuensi dari kejadian tersebut. Menurut Alberts dan Dorofee (2002) manajemen risiko adalah proses berkelanjutan mengidentifikasi risiko dan melaksanakan rencana-rencana untuk mengatasinya. Sebuah pendekatan pengelolaan risiko melibatkan seluruh organisasi, termasuk personil dari kedua departemen teknologi informasi dan lini bisnis dari organisasi. Manajemen risiko menurut (ISACA, 2008) adalah proses mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh sebuah organisasi dalam mencapai tujuan bisnis dan memutuskan apa penanggulangannya, jika ada, untuk mengurangi risiko ke tingkat yang dapat diterima, berdasarkan nilai dari sumber informasi bagi organisasi.

14 Keamanan Informasi Menurut Alberts dan Dorofee (2002) Keamanan informasi lebih daripada membangun firewall, menerapkan patch untuk memperbaiki kelemahan baru yang ditemukan pada perangkat lunak sistem anda, atau mengunci kabinet dengan backup tape. Keamanan informasi adalah menentukan apa yang perlu dilindungi dan mengapa, dari apa yang perlu dilindungi, dan bagaimana untuk melindunginya selama itu ada. berikut: Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bila diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,

15 19 praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak. Gambar 2.1 Elemen-elemen keamanan informasi Menurut Alberts dan Dorofee (2002), terdapat empat pendekatan pada keamanan informasi : 1. Vulnerability Assessment Sebuah penilaian kerentanan yang sistematis, pemeriksaan organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup analisis lengkap tentang keamanan lingkungan komputasi internal dan kerentanan terhadap serangan internal dan eksternal. Teknologi ini berbasis pada umumnya penilaian: Gunakan standar untuk kegiatan keamanan IT tertentu (seperti pengerasan jenis platform tertentu) Menilai seluruh infrastruktur komputasi Menggunakan (kadang-kadang berpemilik) perangkat lunak untuk menganalisis infrastruktur dan seluruh komponen

16 20 Menyediakan analisis rinci yang menunjukkan teknologi yang terdeteksi kerentanan dan mungkin merekomendasikan langkah-langkah spesifik untuk mengatasi kerentanan mereka 2. Audit Sistem Informasi Audit sistem informasi penilaian independen dari kontrol internal perusahaan untuk memastikan manajemen, peraturan pemerintah, dan pemegang saham perusahaan informasi yang akurat dan valid.audit biasanya industri memanfaatkan model proses tertentu, benchmark, standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan pada proses bisnis milik pengendalian risiko dan metode dan alat analisis. Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan memiliki implikasi hukum dan kewajiban 3. Evaluasi Resiko Keamanan Informasi Memperluas evaluasi resiko keamanan atas penilaian kerentanan untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta berbasis elektronik dan orang-orang yang berbasis risiko.evaluasi multifaset ini berusaha untuk menyesuaikan evaluasi risiko dengan driver atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan: Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk

17 21 analisis komparatif yang peringkat informasi ini terhadap standar industri dan praktik terbaik. 1) Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan pemeriksaan keamanan fisik. 2) Mereka memeriksa infrastruktur TI untuk menentukan kemampuan teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap salah satu situasi berikut: a. Pengenalan kode berbahaya b. Korup atau kerusakan data c. Exfiltration informasi d. Denial of service e. Perubahan yang tidak sah hak akses dan keistimewaan 3) Mereka membantu para pengambil keputusan trade-off memeriksa untuk memilih biaya penanggulangan efektif 4. Managed Service Providers Dikelola penyedia layanan keamanan, bergantung pada keahlian untuk mengelola sistem dan jaringan perusahaan. Mereka menggunakan mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan secara proaktif memonitor dan melindungi suatu infrastruktur komputasi organisasi dari serangan dan penyalahgunaan.

18 22 Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko keamanan informasi membantu Anda menandai isu keamanan Anda, tapi tidak mengelolanya. Penyedia layanan yang dikelola mengelola keamanan Anda untuk Anda Dasar Manajemen Keamanan Informasi Informasi Sebagai Aset Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya: informasi yang tersimpan dalam komputer (baik desktop komputer maupun mobile komputer), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim melalui telex, , informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.

19 Mengapa Diperlukan Keamanan Informasi? Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar. Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut: Gambar 2.2 Grafik persentase ancaman keamanan sistem informasi Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini

20 24 diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%). Hasil survey ISBS tahun menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar. Gambar 2.3 UK business network attack Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini Informasi yang Perlu Dilindungi Keamanannya Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai quality or state of being secureto be free from danger. Untuk menjadi aman adalah dengan cara dilindungi

21 25 dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah: Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. Personal Security yang overlap dengan phisycal security dalam melindungi orang-orang dalam organisasi. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah

22 26 perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha Aspek Lain Keamanan Informasi Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk dapat diterapkan. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A (Confidentiality, Integrity & Availability) triangle model [Gambar 2.1 Elemen-elemen keamanan informasi, seperti yang diuraikan pada point Keamanan Informasi (pembahasan sebelumnya). Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security adalah: Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik. Identification Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama

23 27 dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID. Authentication Authentication terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim. Authorization Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi. Accountability Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu. 2.3 Evaluasi dan Manajemen Risiko Saat ini, sistem informasi sangat penting bagi kebanyakan organisasi, karena hampir semua informasi yang diambil, disimpan, dan diakses dalam bentuk digital. Kami mengandalkan data digital yang dapat diakses, bisa diandalkan, dan dilindungi dari penyalahgunaan. Sistem saling berhubungan dengan cara-cara yang tidak dapat terbayangkan sepuluh tahun yang lalu. Sistem

24 28 jaringan memungkinkan akses ke informasi yang belum pernah terjadi sebelumnya. Sayangnya, informasi kami ke mereka juga terkena berbagai ancaman baru. Organisasi ini telah menerapkan berbagai infrastruktur komputasi yang kompleks, mereka membutuhkan pendekatan yang fleksibel yang memungkinkan mereka untuk memahami informasi mereka risiko keamanan yang spesifik dan kemudian untuk membuat strategi untuk mengatasi risiko tersebut. Sebuah organisasi yang ingin meningkatkan postur keamanan harus siap untuk mengambil langkah-langkah berikut: 1. Perubahan dari reaktif, pendekatan berbasis masalah untuk proaktif pencegahan masalah. 2. Pertimbangkan keamanan dari berbagai perspektif. 3. Membangun infrastruktur yang fleksibel pada semua tingkat organisasi mampu bereaksi dengan cepat terhadap perubahan teknologi dan kebutuhan keamanan. 4. Memulai yang berkelanjutan dan terus-menerus upaya untuk mempertahankan dan meningkatkan posisi keamanan. Evaluasi risiko keamanan informasi adalah sebuah proses yang dapat membantu memenuhi tujuan. Ini menimbulkan pandangan organizationwide risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu "research" dari awal dengan melakukan evaluasi lain. Waktu antara evaluasi dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya, reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi).

25 29 Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko. Evaluasi risiko hanya merupakan tahap pertama dari manajemen risiko, berikut gambar yang mengambarkan peranan evaluasi risiko terhadap keseluruhan tahap dari manajemen risiko. Dengan demikian evaluasi memainkan peranan penting dalam manajemen risiko sistem informasi. Gambar 2. 4 IS Risk Evaluation Activities in Relation to an ISRM Framework Kegiatan Evaluasi Pertimbangkan apa yang terjadi selama evaluasi. Ketika sebuah organisasi menyelenggarakan evaluasi risiko keamanan informasi, ia melakukan kegiatan: Identifikasi risiko keamanan informasi Menganalisis risiko untuk menentukan prioritas

26 30 Rencana untuk perbaikan dengan mengembangkan strategi perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko kritis aset organisasi Evaluasi hanya memberikan arah bagi kegiatan keamanan informasi organisasi, itu tidak selalu mengarah pada perbaikan yang bermakna. Tidak ada evaluasi, tidak peduli seberapa terperinci atau bagaimana pakar, akan meningkatkan keamanan organisasi kecuali postur organisasi berikut melalui dengan menerapkan hasil. Setelah evaluasi, organisasi harus mengambil langkah-langkah berikut: 1. Rencana bagaimana menerapkan strategi perlindungan dan rencana mitigasi risiko dari evaluasi dengan mengembangkan rencana aksi yang rinci.kegiatan ini dapat mencakup rinci analisis biaya-manfaat antara strategi dan tindakan. 2. Mengimplementasikan rencana aksi yang rinci yang dipilih. 3. Rencana untuk memantau kemajuan dan keefektifan.kegiatan ini mencakup pemantauan risiko untuk setiap perubahan. 4. Kontrol variasi di dalam rencana pelaksanaan dengan mengambil tindakan koreksi yang tepat Pendekatan Evaluasi Resiko Keamanan Informasi Evaluasi resiko keamanan informasi harus mengidentifikasi organisasi dan isu-isu teknologi menjadi efektif.ini harus alamat baik

27 31 infrastruktur komputasi dan cara di mana orang menggunakannya ketika mereka melakukan pekerjaan mereka. Dengan demikian, evaluasi perlu memasukkan konteks di mana orang menggunakan infrastruktur untuk memenuhi tujuan-tujuan bisnis dari organisasi serta masalah keamanan teknologi yang berkaitan dengan infrastruktur. Ini harus mempertimbangkan apa yang membuat organisasi berhasil dan apa yang membuatnya gagal. Kami melihat risiko keamanan informasi dengan menggunakan evaluasi untuk meningkatkan keamanan organisasi postur sebagai praktek bisnis yang sehat. Karena sebagian besar perusahaan mengandalkan akses ke data elektronik untuk melakukan bisnis, data perlu cukup terlindungi dari penyalahgunaan. Kemampuan suatu organisasi untuk mencapai misi dan memenuhi tujuan bisnis secara langsung dan strategis terkait dengan kondisi infrastruktur komputasi dan cara di mana personel berinteraksi dengannya. Bagi suatu organisasi untuk berada dalam posisi terbaik untuk mencapai misi mereka, orang-orangnya perlu memahami informasi yang terkait dengan aset yang paling penting dan apa yang harus mereka lakukan untuk melindungi aset-aset. Dengan kata lain, orang-orang dalam organisasi harus terlibat dalam evaluasi. 2.4 Risk Assessment Risk assessment memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang

28 32 terkenal diantaranya adalah OCTAVE-S yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg Pengenalan OCTAVE-S OCTAVE-S adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi. OCTAVE criteria OCTAVE Method (As defined in OCTAVE Method Implementation Guide v2.0) Other Methods Consistent with the OCTAVE criteria Developed by others An OCTAVE- Consistent Method for Small Organizations Under development by the SEI Gambar 2.5 Kriteria OCTAVE-S Kriteria OCTAVE-S memerlukan eveluasi yang harus dilakukan oleh sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE-S memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog ini meliputi:

29 33 Catalog of practices sebuah koleksi strategi dan praktek keamanan informasi. Generic threat profile sebuah koleksi sumber ancaman utama. Catalog of vulnerabilities sebuah koleksi dari Vulnerability berdasarkan platform dan aplikasi Langkah-langkah metode OCTAVE-S Metode OCTAVE-S menggunakan pendekatan tiga fase untuk menguji isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan. Gambar 2.6 Octave-S Process

30 Persiapan Mempersiapkan OCTAVE-S membuat dasar evaluasi yang berhasil. Beberapa kunci untuk keberhasilan evaluasi adalah: Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi mendukung proses, maka orangorang dalam organisasi akan berpartisipasi secara aktif. Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan berkesinambungan dalam aktifitas OCTAVE-S, peningkatan partisipasi aktif anggota organisasi, pendelegasian tanggung jawab dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S, komitmen untuk mengalokasikan sumberdaya yang dibutuhkan, persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus diambil dengan adanya hasil evaluasi yang telah dilakukan. Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di luar tim. Secara umum, tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta

31 35 berkomitmen untuk mengerahkan kemampuan yang dimiliki demi keberhasilan OCTAVE-S. Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer dalam menentukan cakupan eveluasi, memilih partisipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan manajer senior atau manajer operasional dan pendukung teknologi informasi untuk mengevaluasi vulnerability; mendapatkan, menganalisa dan mengelola data dan hasil selama proses OCTAVE-S; mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan logistik. Secara umum, tim inti analisis harus memiliki kemampuan berikut: fasilitasi, komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior, manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi, memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan teknologi informasi organisasi. Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan teknologi informasi organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat

32 36 lunak, mengetahui praktek perencanaan organisasi, serta mampu mengembangkan perencanaan. Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area operasi yang penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak akan banyak berarti. Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area kerja mereka. Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE-S meliputi: penjadwalan, koordinasi persiapan ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S, menangani kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam pertemuan Fase 1. Organizational View Fase 1 dalam OCTAVE-S adalah Asset-Based Threat Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi proteksi yang sedang diterapkan,dan vulnerability organisasi terkini. Pada fase ini data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis organisasi.

33 37 Fase 1 ini meliputi empat proses yang harus dilakukan. Keempat proses ini dibahas dalam penjelasan berikut : 1) Fase 1 proses 1. Identify Senior Manager Knowledge Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari: Mengidentifikasi aset penting Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. Mendeskripsikan area of concern Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset aset tersebut terancam. Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.

34 38 Meninjau kembali cakupan evaluasi Ini adalah kesempatan kedua untuk manajer senior terlibat dalam lokakarya proses 1 jika akan menambah atau mengurangi daftar area operasi atau manajer. Process 1: Identify Senior Management Knowledge Inputs Current knowledge of senior managers Organizational data Catalog of practices Worksheets Asset worksheet (W1.1) Areas of concern worksheet (W1.2) Security requirements worksheet (W1.3) Senior management survey (W1.4) Protection strategy worksheet (W1.5) Outputs Senior management assets with relative priorities Senior management areas of concern Security requirements for senior management assets Current senior management protection strategy practices Senior management organizational vulnerabilities Gambar 2.7 Fase 1 proses 1. Identify Senior Manager Knowledge

35 39 2) Fase 1 proses 2. Identify Operational Management Knowledge Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan manajer area operasional sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari: Mengidentifikasi aset penting Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. Mendeskripsikan area of concern Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset aset tersebut terancam. Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang

36 40 sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan. Memverifikasi staf yang menjadi partisipan Manajer area meninjau kembali siapa saja staf yang akan menjadi partisipan dalam OCTAVE-S. Process 2: Inputs Current knowledge of operational area managers Organizational data Catalog of practices Identify Operational Area Management Knowledge Worksheets Asset worksheet (W2.1) Areas of concern worksheet (W2.2) Security requirements worksheet (W2.3) Operational area management survey (W2.4) Protection strategy worksheet (W2.5) Outputs Operational area management assets with relative priorities Operational area management areas of concern Security requirements for operational area management assets Current operational area management protection strategy practices Gambar 2.8 Fase 1 proses 2. Identify Operational Management Knowledge

37 41 3) Fase 1 proses 3. Identify Staff Knowledge Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S. Tim analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya dengan partisipan yang berbeda pada setiap lokakarya.aktifitas dalam proses 3 ini terdiri dari: Mengidentifikasi aset penting para staf mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting. Mendeskripsikan area of concern Untuk lima aset terpenting, para staf mendeskripsikan skenario bagaimana aset aset tersebut terancam. Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting Para staf mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting. Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi Para staf melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk

38 42 memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan. Inputs Current knowledge of staff Organizational data Catalog of practices Process 3: Identify Staff Knowledge Worksheets Asset worksheet (W3.1) Areas of concern worksheet (W3.2) Security requirements worksheet (W3.3) Staff survey (W3.4) IT staff survey (W3.4 IT) Protection strategy worksheet (W3.5) Outputs Staff assets with relative priorities Staff areas of concern Security requirements for staff assets Current staff protection strategy practices Staff organizational vulnerabilities Gambar 2.9. Fase 1 proses 3. Identify Staff Knowledge

39 43 4) Fase 1 proses 4. Create Threat Profile Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses 1 sampai proses ke 3 dan membuat sebuah profil ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri dari: Konsolidasi data tim analisis mendata daftar aset terpenting, kebutuhan keamanan masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai proses ke tiga. Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim analisis. Mendefinisikan kebutuhan keamanan untuk aset kritis tim analisisi menyempurnakan informasi yang diperoleh pada proses 1 sampai ke 3 untuk sampai pada sebuah rancangan akhir kebutuhan keamanan. Menentukan ancaman terhadap aset kritis tim analisis menyempurnakan informasi area of concern yang diperoleh dari proses 1 sampai proses ke 3 dan menjabarkannya dalam profil ancaman keamanan.

40 44 Process 4: Inputs Current knowledge of analysis team Generic threat profile Results from Process 1 Results from Process 2 Results from Process 3 Create Threat Profiles Outputs Consolidated information Assets Security requirements Areas of concern Critical assets Security requirements for critical assets Threats to critical assets Worksheets Asset group worksheet (W4.1) Security requirements group worksheet (W4.2) Areas of concern group worksheet (W4.3) Asset Profile Workbook (WK) Gambar Fase 1 proses 4. Create Threat Profile

41 Fase 2. Identify Infrastructure Vulnerability Fase 2 dalam OCTAVE-S adalah Identify Infrastructure Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase 2 ini meliputi dua proses yang akan dibahas lebih lanjut. 1) Fase 2 proses 5. Identify Key Components Proses 5 mengidentifikasi komponen kunci dari infrastruktur yang harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis mencari system(s) of interest untuk setiap aset kritis yaitu sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari: Mengidentifikasi klasifikasi kunci setiap komponen sebuah systems of interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses. Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan digunakan. Mengidentifikasi komponen infrastruktur yang akan diuji Untuk setiap tipe komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen teknologi informasi harus

42 46 memberikan arah jaringan secara spesifik atau lokasi fisiknya dan akan diperlukan untuk menyusun evaluasi. Process 5: Identify Key Components Inputs Current knowledge of analysis team and key IT staff Current network topology diagrams (including IP addresses for components) Outputs Key classes of components Infrastructure components to examine Selected approach for evaluating each infrastructure component Worksheets Asset Profile Workbook (WK) Gambar Fase 2 proses 5. Identify Key Components

43 47 2) Fase 2 proses 6. Evaluate Selected Components Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri dari: Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari pihak lain. Mengkaji vulnerability teknologi dan merangkum hasilnya pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis yang dipengaruhinya.

44 48 Inputs Current knowledge of analysis team and key IT staff Software tools Catalog of vulnerabilities Current network topology diagrams (including IP addresses for components) Infrastructure components to examine Selected approach for evaluating each infrastructure component Process 6: Evaluate Selected Components Outputs Technology vulnerabilities Technology vulnerability summary Worksheets Asset Profile Workbook (WK) Gambar 2.12 Fase 2 proses 6. Evaluate Selected Components