BAB 2 LANDASAN TEORI

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Evaluasi Manajemen Resiko Teknologi Informasi Pengertian Evaluasi Menurut Suharsimi Arikunto (2004 : 1) evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan informasi-informasi yang berguna bagi pihak decision maker untuk menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah dilakukan Pengertian Manajemen Menurut Robbins & Coulter (2005, p7), Manajemen adalah proses mengkoordinasi dan kegiatan-kegiatan pekerjaan agar selesai secara efisien dan efektif dengan dan melalui orang lain. Menurut Anthony dan Govindanajan (2007, p4), Manajemen adalah sebuah organisasi yang terdiri dari orang-orang yang berada dalam sebuah group yang bekerja secara bersama-sama untuk mencapai tujuan tertentu. Menurut Fayol (2002, p6), Proses manajemen merupakan serangkaian keputusan dan kegiatan kerja terus-menerus yang dijalani para manajer sewaktu mereka merencanakan, mengorganisasi, memimpin, dan mengendalikan. 7

2 Fungsi Manajemen Menurut Fayol (2002, p7), berdasarkan hasil penelitian ia mengusulkan bahwa semua manajer melaksanakan lima fungsi manajemen : 1. Merencanakan ( Planning) Merencanakan merupakan fungsi manajemen yang mencakup proses mendefinisikan sasaran, menetapkan strategi untuk mencapai sasaran itu, dan menyusun rencana untuk mengintegrasikan dan mengkoordinasikan sejumlah kegiatan. 2. Mengorganisasi (Organizing) Mengorganisasi merupakan fungsi manajemen yang mencakup proses menentukan tugas apa yang harus dilakukan, siapa yang harus melakukan, bagaimana cara mengelompokan tugas-tugas itu, siapa harus melapor kesiapa, dan dimana keputusan harus dibuat. 3. Memimpin (Actuating) Memimpin merupakan fungsi manajemen yang mencakup memotivasi bawahan, mempengaruhi individu atau tim sewaktu mereka bekerja, memiliki saluran komunikasi yang paling efektif, dan memecahkan dengan berbagai cara masalah perilaku karyawan. 4. Mengendalikan (Controlling) Mengendalikan merupakan fungsi manajemen yang mencakup memantau kinerja aktual, membandingkan aktual dengan standar, dan membuat koreksinya, jika perlu.

3 Pengertian Resiko Dalam buku Manajemen Resiko dan Asuransi karangan Sentanoe Kertonegoro ( 2003, p1 ), istilah resiko dirumuskan oleh beberapa ahli : Menurut Emmet J Vaughan dan Curtis M.Elliot sebagai : a. Resiko yaitu kans kerugian (the chance of loss) b. Kemungkinan kerugian (the possibility of loss) c. Resiko ketidakpastian (uncertainty) d. Penyimpangan kenyataan dari hasil yang diharapkan (the dispersion of actual from expected result) e. Probabilitas bahwa suatu hasil berbeda dari yang diharapkan (the probability of any outcome different from the one expected). Menurut Arthur William dan Richard, M.H (2005, p2) Resiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu. Dan ancaman dibedakan menjadi 3 : 1. Ancaman Fisik (Physical Hazard) Yaitu sifat-sifat fisik yang menambah kemungkinan kerugian dari berbagai bahaya. 2. Ancaman Mental (Moral Hazard) Yaitu tambahan kemungkinan kerugian yang diakibatkan tendensi kecurangan pada sifat manusia tertanggung. 3. Ancaman Moril (Morale Hazard) Yaitu timbulnya sifat tak acuh pihak tertanggung terhadap terjadinya kerugian.

4 Pengertian Manajemen Resiko Menurut Djojosoendarso ( 2003,p4 ) Manajement Resiko adalah pelaksanaan fungsi fungsi manajement dalam penanggulangan resiko,terutama adalah resiko yang dihadapi oleh prganasi / perusahaan, keluarga dan masyarakat. Jadi, mencakup kegiatan merencanakan, mengorgansisir, menyusun, memimpin / mengkoordinir, dan mengawasi ( termasuk mengevaluasi ) program penangulangan resiko. Menurut Mark S. Dorfman ( 2005,p44 ) Manajemen Resiko adalah we define risk management as the logical development and carrying out of plan to deal with potential losses. Manajemen resiko merupakan pendekatan logis untuk menangani masalahmasalah yang dihadapi perusahaan karena terekspos terhadap kemungkinan kerugian Fungsi Pokok Manajemen Resiko Menurut Djojosoendarso ( 2003,p4 ), fungsi pokok manajement resiko adalah : 1. Menemukan kerugian potensial. Berupaya untuk menemukan atau mengidentifikasi seluruh resiko murni yang dihadapi oleh perusahaan. 2. Mengevaluasi kerugian potensial. Yaitu melakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. 3. Memilih teknik yang tepat atau menentukan suatu kombinasi dari teknik teknik yang tepat guna menangulangi kerugian.

5 11 Ada empat cara, yaitu : mengurangi kesempatan terjadinya kerugian, merentasi, mengansurasikan, dan menghindari Langkah-langkah Proses Pengurangan Risiko Dalam mengelola resiko, langkah-langkah proses yang harus dilalui adalah : 1. Mengidentifikasi atau menetukan terlebih dahulu objektif / tujuan yang ingin dicapai melalui pengelolaan resiko 2. Mengindentifikasi kemungkinan-kemungkinan terjadi kerugian atau mengindentifikasi terjadi resiko-resiko yang dihadapi. 3. Mengevaluasi dan mengukur besarnya kerugian potensial. 4. Mencari cara atau kombinasi cara-cara yang paling baik, paling tepat dan paling ekonomis untuk menyelesaikan masalah-masalah yang timbul akibat terjadi suatu kerugian. 5. Mengkoordinir dan mengimplementasikan / melaksanakan keputusankeputusan yang telah diambil untuk menanggulangi resiko. 6. Mengadministrasi, memonitor dan mengevaluasi semua langkah-langkah atau strategi yang telah diambil dalam menanggulangi resiko Tujuan Proses Manajemen Resiko. Dalam mengevaluasi proses manajemen resiko, manajer harus menyesuaikan antara proses dengan pencapaian lima kunci yang tercantum pada Pratice Advisory , Penilaian Kecukupan Proses Manajement Resiko ( Barriyah, 2007, p24 ).

6 12 Tujuan tujuan tersebut adalah : a. Resiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan. b. Manajement dan dewan komisaris telah menentukan tingkat resiko yang dapat diterima oleh perusahaan, termasuk penerimaan resiko yang dirancang untuk mencapai rencana strategis organisasi. c. Aktivitas penghindaran resiko dirancang dan diimplementasikan untuk mengurangi, atau mengelola resiko pada tingkat yang ditentuka dapat diterima oleh management dan dewan komisaris. d. Aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik menilai ulang resiko dan efektifitas kontrol untuk mengelola resiko. e. Dewan komisaris dan manajement menerima laporan secara periodik mengenai hasil proses management resiko. Proses tata kelola organisasi harus memberikan komunikasi periodik tentang resiko, strategi resiko, dan kontrol resiko untuk pihak yang berkepentingan. Sedangkan menurut Peltier, tujuan management resiko adalah : 1. Mempertahankan Kepercayaan ( terhadap Organisasi ) a. Konsumen b. Konstituen c. Pembayar Pajak d. Pemegang Saham 2. Melindungi kerahasiaan dari Sensifitas Informasi a. Personal

7 13 b. Finansial c. Rahasia Transaksi d. Dan lain - lain 3. Melindungi data operasional yang sensitif dan disclosure yang tidak sesuai. 4. Menghindari liabilitas pihak ktiga dari tindakan ilegal atau mailicius yang terikat dengan sistem organisasi. 5. Memastikan bahwa komputer, jaringan, data organisasi tidak disia siakan atau disalah gunakan. 6. Menghindari Fraud 7. Menghindari insiden yang mahal dan distruptif 8. Taat pada aturan hukum yang berlaku 9. Menghindari atmosfir tempat kerja yang hostile / kurang kondusif Prinsip prinsip Manajemen Resiko Ada beberapa prinsip management resiko.yaitu : 1. Mengukur resiko dan menentukan kebutuhan 2. menentukan titik focal menagement sentral 3. mengimplementasikan kebijakan yang sesuai dan pengendalian lainya. 4. memonitor kebijakan dan efektifitas pengendalian Keuntungan Manajement Resiko Menurut Susanto ( 2003, pi2 ), keuntungan yang dapat diperoleh dari management resiko yang efektif adalah dapat membantu organisasi untuk :

8 14 a. Mencapai kesinambungan pemberian pelayanan terhadap publik atau pihak yang berkepentingan terhadap organisasi. b. Mencapai hasil yang lebih baik berupa efisiensi dan efektifitas pelayanan, seperti : meningkatkan pelayanan kepada klien dan meningkatkan sumberdaya yang lebih baik. c. Memberikan dasar penyusunan rencana strategi dengan memesukan pertimbangan atas resiko. d. Menghindari biaya biaya yang mengejutkan, karena perusahaan telah mengidentifikasi dan mengelola resiko yang tidak diperlukan, dan dapat menghindari biaya dan waktu yang dihabiskan dalam suatu hal bila resiko terjadi. e. Meningkatkan akuntanbilitas dan corporate governance Penanggulangan Resiko Pada pokoknya ada 2 pendekatan/cara yang digunakan oleh seorang manajer resiko untuk menaggulangi resiko yang dihadapi oleh perusahaannya yaitu : 1. Penanganan resiko 2. Pembiayaan resiko Selanjutnya dalam masing-masing pendekatan ada beberapa alat yang dapat dipakai untuk menanggulangi resiko yang dihadapi. Biasanya dan sebaiknya manajer resiko menggabungkan kedua cara tersebut atau lebih, agar upaya penanggulangan resiko dapat berjalan efektif dan efisien.

9 15 Dalam pendekatan dan penanganan resiko ada beberapa metode yang dapat digunakan antara lain : 1. Menghindarinya 2. Mengendalikan 3. Memisahkan 4. Melakukan kombinasi 5. Memindahkan Sedangkan dalam penanggulangan resiko dengan membiayai resiko ada dua metode yang digunakan yaitu : 1. Pemindahan resiko melalui asuransi 2. Melalui retensi 2.2 Pengertian Teknologi Informasi Menurut O Brien (2005,p9), Teknologi Informasi merupakan hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer. Menurut Thompson, Cats-Baril dan William(2003,p3), Teknologi Informasi perangkat keras dan perangkat lunak yang digunakan oleh sistem dengan dikemas sebagai suatu alat untuk menangkap, menyimpan, memproses, dan menghasilkan suatu produk. Menurut Turban, Rainer dan Potter(2003,p3), Teknologi Informasi yaitu kumpulan dari komponen teknologi yang diorganisir ke dalam suatu sistem informasi berbasis komputer. In-House Application

10 16 In-House Application adalah perangkat lunak yang digunakan untuk membantu proses bisnis dalam satu divisi. Hardware dan Software Hardware, adalah perangkat keras yang meliputi semua bagian fisik komputer yang dibedakan dengan data yang berada di dalamnya atau yang beroperasi di dalamnya. Software, adalah perangkat lunak yang menyediakan instruksi bagi hardware ( perangkat keras ) untuk menyelesaikan tugasnya. 2.3 Octave - S The Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVE ) approach defines a risk-based strategic assessment and planning technique for security. OCTAVE is a self-directed approach, meaning that people from an organization assume responsibility for setting the organization s security strategy. OCTAVE-S is a variation of the approach tailored to the limited means and unique constraints typically found in small organizations (less than 100 people). To conduct OCTAVE-S effectively, the team must have broad knowledge of the organization s business and security processes, so it will be able to conduct all activities by itself. Alberts et al (2005,xi). Pendekatan oktav mendefinisikan sebuah resiko berbasis strategi penilaian dan perencanaan teknik untuk sekuriti (keamanan). Octave adalah sebuah pendekatan dari dari sendiri, yang berarti bahwa orang dari suatu organisasi mengasumsikan tanggung jawab untuk mengatur strategi keamanan organisasi. Octave-s adalah sebuah variasi dari

11 17 pendekatan yang disesuaikan untuk tujuan/sarana yang terbatas dan kendala-kendala unik yang biasanyaditemukan pada perusahaan kecil ( kurang dari 100 orang). Untuk mengembangkan octave-s secara efektif, tim harus memiliki pengetahuan yang luas mengenai bisnis organisasi dan proses sekuriti ( keamanan ), jadi tim dapat mengembangkan seluruh aktifitas dari dalam tim sendiri. Alberts et al (2005,xi) Tahap OCTAVE - S OCTAVE-S is based upon the three phases described in the OCTAVE criteria, although the number and sequencing of activities differ from those used in the OCTAVE Method. This section provides a brief overview of the phases, processes, and activities of OCTAVE-S. Alberts et al (2005,5). Octave-s berdasarkan atas tiga fase yang dijelaskan pada kriteria OCTAVE, walaupun nomor dan urutan dari aktifitas berbeda dari yang digunakan dalam metode OCTAVE. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan dari OCTAVE - S. Alberts et al (2005,5) Phase 1: Build Asset-Based Threat Profiles Phase 1 is an evaluation of organizational aspects. During this phase, the analysis team defines impact evaluation criteria that will be used later to evaluate risks. It also identifies important organizational assets and evaluates the security current practice of the organization. The team completes all tasks by itself, collecting additional information only when needed.

12 18 It then selects three to five critical assets to analyze in depth based on relative importance to the organization. Finally, the team defines security requirements and defines a threat profile for each critical asset. Table 1 illustrates the processes and activities of Phase 1. Tahap 1: Bangun Aset Berbasis Ancaman Profil Tahap 1 adalah evaluasi terhadap aspek organisasi. Selama tahap ini, tim analisis mendefinisikan kriteria dampak evaluasi yang akan digunakan kemudian untuk mengevaluasi resiko.tim juga mengidentifikasi aset penting organisasi dan mengevaluasi praktek keamanan organisasi saat ini.tim menyelesaikan seluruh tugas sendiri, mengumpulkan informasi tambahan hanya jika diperlukan.setelah itu tim kemudian memilih tiga dari lima kritikal aset untuk dianalisa secara mendalam berdasarkan kepentingan relatif bagi organisasi.akhirnya, tim mendefinisikan persyaratan keamanan dan mendefinisikan sebuah profil ancaman berdasarkan setiap kritikal aset. Tabel 1 memperlihatkan proses dan kegiatan Tahap 1. Phase 2: Identify Infrastructure Vulnerabilities During this phase, the analysis team conducts a high-level review of the organization s computing infrastructure, focusing on the extent to which security is considered by maintainers of the infrastructure.

13 19 The analysis team first analyzes how people use the computing infrastructure to access critical assets, yielding key classes of components as well as who is responsible for configuring and maintaining those components. Table 2 illustrates the processes and activities of Phase 2. Tahap 2: Identifikasi Kerentanan Infrastruktur Selama tahap ini, tim analisis melakukan review tingkat tinggi dari infrastruktur komputer organisasi, dengan fokus pada sejauh mana keamanan dipertimbangkan oleh pemelihara infrastruktur. Pertama-tama tim analisis menganalisa bagaimana orang menggunakan infrastruktur komputer untuk mengakses kritikal aset, memberikan kunci kelas serta komponen yang bertanggung jawab untuk memelihara dan mengkonfigurasi komponen tersebut. Tabel 2 memperlihatkan proses dan kegiatan Tahap 2. Phase 3: Develop Security Strategy and Plans During Phase 3, the analysis team identifies risks to the organization's critical assets and decides what to do about them. Based on an analysis of the information gathered, the team creates a protection strategy for the organization and mitigation plans to address the risks to the critical assets. The OCTAVE-S worksheets used during Phase 3 are highly structured and tightly linked to the OCTAVE catalog of practices, enabling the team to relate its recommendations for improvement to an accepted benchmark of security practice.

14 20 Table 3 depicts the processes and activities of Phase 3. Tahap 3: Mengembangkan Keamanan Strategi dan Rencana Selama tahap 3, team analisis mengidentifikasi resiko kepada aset penting organisasi untuk memutuskan apa yang akan mereka lakukan. Berdasarkan analisis dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan mitigasi rencana untuk mengatasi resiko pada kritikal aset. Kertas kerja OCTAVE-S yang digunakan pada tahap 3 sangat terstruktur dan terkait erat dengan katalog OCTAVE untuk praktek, memungkinkan tim untuk menghubungkan rekomendasinya demi perbaikan dan dapat diterima oleh tolak ukur dari praktek keamanan. Tabel 3 menggambarkan proses dan kegiatan Tahap 3 Tabel 2.1 Processes and Activities of Phase 1 Phase Process Activity Phase 1: Build Asset-Based Threat Profiles Process S1: Identify Organizational Information S1.1 Establish Impact Evaluation Criteria S1.2 Identify Organizational Assets

15 21 Phase Process Activity S1.3 Evaluate Organizational Security Practices Process S2: Create Threat Profiles S2.1 Select Critical Assets S2.2 Identify Security Requirements for Critical Assets S2.3 Identify Threats to Critical Assets S3.2 Analyze Technology-Related Processes Tabel 2.1 Proses dan Aktivitas dari Tahap 1 Tahap Proses Aktivitas Tahap 1: membangun asetancaman berbasis proses Profil S1: Mengidentifikasi informasi organisasi S1. 1 Menetapkan Kriteria dampak Evaluasi S1. 2 Mengidentifikasi aset organisasi S1. 3 Mengevaluasi praktek keamanan organisasi Proses S2: Membuat Profil S2. 1 Memilih kritikal aset

16 22 Tahap Proses Aktivitas Ancaman S2. 2 Mengidentifikasi persyaratan keamanan untuk kritikal aset S2. 3 Mengidentifikasi Ancaman pada kritikal aset S3. 2 menganalisa teknologi yang berkaitan dengan proses Tabel 2.2 Processes and Activities of Phase 2 Phase Process Activity Phase 2: Identify Infrastructure Vulnerabilities Process S3: Examine Computing Infrastructure in Relation to Critical Assets S3.1 Examine Access Paths S3.2 Analyze Technology-Related Processes Tabel 2.2 Proses dan Aktivitas dari Tahap 2 Tahap Proses Aktivitas Tahap 2: Mengidentifikasi Kerentanan Infrastruktur Proses S3: Memeriksa komputasi infrastruktur penting dalam kaitannya dengan asset S3. 1 Memeriksa jalur akses S3. 2 Menganalisa teknologi yang berkaitan dengan proses

17 23 Tabel 2.3 Processes and Activities of Phase 3 Phase Process Activity Phase 3: Develop Security Strategy and Plans Process S4: Identify and Analyze Risks S4.1 Evaluate Impacts of Threats S4.2 Establish Probability Evaluation Criteria S4.3 Evaluate Probabilities of Threats Process S5: Develop Protection Strategy and Mitigation Plans S5.1 Describe Current Protection Strategy S5.2 Select Mitigation Approaches S5.3 Develop Risk Mitigation Plans S5.4 Identify Changes to Protection Strategy S5.5 Identify Next Steps

18 24 Tabel 2.3 Proses dan Aktivitas dari Tahap 3 Tahap Proses Aktivitas Tahap 3: Mengembangkan strategi keamanan dan rencana proses Proses S4: Identifikasi dan Analisa Resiko S4. 1 Mengevaluasi dampak dari Ancaman S4. 2 Membuat Kemungkinan Kriteria Evaluasi S4. 3 Mengevaluasi Kemungkinan dari Ancaman Proses S5: Mengembangkan Strategi Perlindungan dan Rencana Mitigasi S5. 1 Menjelaskan Strategi Perlindungan Saat Ini S5. 2 Memilih Pendekatan Mitigasi S5. 3 Mengembangkan Rencana Mitigasi Resiko S5. 4 Mengidentifikasi Perubahan ke Strategi Perlindungan S5. 5 Mengidentifikasi Tahapan Berikutnya

19 HASIL OCTAVE -S OCTAVE-S Outputs Information security risk management requires a balance between reactive and proactive activities. During an OCTAVE-S evaluation, the analysis team views security from multiple perspectives, ensuring that recommendations achieve the proper balance based on the organization s needs. The main results of OCTAVE-S are thus three-tiered and include 1. Organization-wide protection strategy The protection strategy outlines the organization s direction with respect to its information security practice. 2. Risk mitigation plans These plans are intended to mitigate risks to critical assets by improving selected security practices. 3. Action list These include short-term action items needed to address specific weaknesses. HASIL OCTAVE-S Informasi keamanan manajemen risiko memerlukan keseimbangan antara kegiatan reaktif dan proaktif. Selama evaluasi OCTAVE-S, tim analisis melihat keamanan dari berbagai perspektif, memastikan bahwa rekomendasi mencapai keseimbangan yang tepat berdasarkan kebutuhan organisasi. Hasil utama dari OCTAVE-S adalah tiga tingkatan dan termasuk 1. Strategi perlindungan luas organisasi Strategi perlindungan organisasi menggaris bawahi tujuan oranisasi dengan hormat kepada praktek keamanan informasi.

20 26 2. Rencana Mitigasi Resiko Rencana ini dimaksudkan untuk mengurangi risiko aset penting untuk meningkatkan keamanan praktek yang dipilih. 3. Daftar tindakan Mencakup aksi item jangka pendek yang diperlukan untuk mengatasi kelemahan tertentu. Other useful outputs of OCTAVE-S include 1. a listing of important information-related assets supporting the organization s business goals and objectives 2. survey results showing the extent to which the organization is following good security practice 3. a risk profile for each critical asset depicting a range of risks to that asset Each phase of OCTAVE-S produces usable results, so even a partial evaluation will produce information useful for improving an organization s security posture. Keluaran lainnya yang berguna dari OCTAVE-S antara lain : 1. Daftar informasi penting yang terkait dengan aset yang mendukung organisasi bisnis tujuan dan objektif. 2. Hasil survei yang menunjukkan sejauh mana organisasi telah mengikuti praktek keamanan yang baik. 3. Profil resiko kepada setiap kritikal aset yang menggambarkan jangkauan dari resiko terhadap asset.

21 27 Setiap tahapan OCTAVE-S memproduksi hasil yang bermanfaat, bahkan sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi. Scope of Application OCTAVE-S was developed and piloted with small organizations, ranging from 20 to 80 people in size. The pilot organizations shared a couple of common characteristics. First, their organizational structures were relatively flat, and people from different organizational levels were accustomed to working with each other. Second, people were often required to multitask, exposing staff members to the processes and procedures used across the organization Ruang Lingkup Aplikasi OCTAVE-S dikembangkan dan digunakan dalam organisasi kecil, mulai dari 20 sampai 80 orang. Tujuan organisasi membagi kesamaan dari beberapa karakteristik umum. Pertama, struktur organisasi mereka relatif datar, dan orang-orang dari berbagai level organisasi yang terbiasa untuk bekerja dengan satu sama lain. Kedua, orang yang sering diutuhkan untuk beberapa tugas, mengekspos anggota staf untuk proses dan prosedur yang digunakan di seluruh perusahaan.

22 28 Process Chart Table 2.4 Process S1: Identify Organizational Information Activity Step Description Volume: Workshee t S1.1 Establish Impact Evaluation Criteria 1 Define a qualitative set of measures (high, medium, low) against which you will evaluate a risk s effect on your organization s mission and business objectives. Impact Evaluatio n Criteria S1.2 Identify Organizational Assets 2 Identify information-related assets in your organization (information, systems, applications, people). Asset Identificat ion S1.3 Evaluate 3a Determine to what extent each practice in Organizational the survey is used by the organization. Security Security Practices Practices

23 29 3b As you evaluate each security practice area using the survey from Step 3a, document detailed examples of what your organization is currently doing well in this area (security practices) Security Practices what your organization is currently not doing well in this area (organizational vulnerabilities) 4 After completing Steps 3a and 3b, assign a stoplight status (red, yellow, or green) to each security practice area. The stoplight Security Practices status should reflect how well you believe your organization is performing in each area. --- Document action items identified during Process S1. Volume 9: Action List --- Document notes and recommendations identified during Process S1. Volume 9: Notes and Recomme ndations

24 30 Proses Chart Tabel 2.4 Proses S1: Mengidentifikasi Informasi Organisasi Aktivitas Langk Uraian Volume: ah Worksheet S1. 1 Membuat Kriteria dampak Evaluasi 1 Menetapkan kualitatif pengukuran (tinggi, menengah, rendah) dimana anda akan mengevaluasi efek resiko pada misi organisasi anda dan tujuan bisnis. Evaluasi Dampak Kriteria S1. 2 Identifikasi Aset Organisasi 2 Identifikasi informasi yang berhubungan dengan aset dalam organisasi Anda (informasi, sistem, aplikasi, orang) Identifikasi aset S1. 3 Evaluasi 3a Menentukan sejauh mana setiap praktek Organisasi dalam survei digunakan oleh organisasi Keamanan Keamanan Praktik Praktek 3b Saat anda mengevaluasi setiap area praktek keamanan menggunakan survei dari Keamanan Langkah 3a, Praktek Rincian contoh dokumen dari

25 31 apa yang telah dilakukan organisasi anda saat ini cukup baik pada area praktek keamanan apa yang telah dilakukan organisasi anda saat ini tidak cukup baik pada area kerentanan organisasi 4 Setelah menyelesaikan 3a dan 3b, menetapkan status lampu (merah, kuning, atau hijau) untuk setiap area praktek Keamanan Praktek keamanan. Status lampu harus mencerminkan seberapa baik Anda percaya organisasi anda telah melakukannya pada beberapa area. --- Dokumen tindakan item diidentifikasi selama Proses S1. Volume 9: Daftar Aksi --- Dokumen catatan dan rekomendasi diidentifikasi selama Proses S1. Volume 9: Catatan dan rekomenda si

26 32 Table 2.5 Process S2: Create Threat Profiles Activity Step Description Volume: Worksheet S2.1 Select Critical Assets 5 Review the information-related assets that you identified during Step 2 and select up to five (5) assets that are most critical to the organization. Critical Asset Selection 6 Start a Critical Asset Information Worksheet for each critical asset. Record the name of the critical asset on the appropriate Critical Asset Information Worksheet. Volumes 5-8: Critical Asset Information 7 Record your rationale for selecting each critical asset on that asset s Critical Asset Information Worksheet. Volumes 5-8: Critical Asset Information 8 Record a description for each critical asset on that asset s Critical Asset Information Worksheet. Consider who uses each critical asset as well as who is responsible for it. Volumes 5-8: Critical Asset Information

27 33 9 Record assets that are related to each critical asset on that asset s Critical Asset Information Worksheet. Refer to Volumes 5-8: Critical Asset Information the Asset Identification Worksheet to determine which assets are related to the critical asset. S2.2 Identify Security Requirements for Critical Assets 10 Record the security requirements for each critical asset on that asset s Critical Asset Information Worksheet. 11 For each critical asset, record the most important security requirement on that asset s Critical Asset Information Worksheet. Volumes 5-8: Critical Asset Information Volumes 5-8: Critical Asset Information Process S2: Create Threat Profiles (cont.) Activity Step Description Volume: Worksheet

28 34 S2.3 Identify Threats to Critical Assets 12 Complete all appropriate threat trees for each critical asset. Mark each branch of each tree for which there is a non-negligible possibility of a threat to the asset. As you complete this step, if you have difficulty interpreting a threat on any threat tree, review the description and examples of that threat in the Threat Translation Guide. Volumes 5-8: Risk Profile Volumes 5-8: Threat Translation Guide 13 Record specific examples of threat actors on the Risk Profile Worksheet for each applicable actor-motive combination. Volumes 5-8: Risk Profile 14 Record the strength of the motive for deliberate threats due to human actors. Also record how confident you are in your estimate of the strength of the actor s motive. Volumes 5-8: Risk Profile 15 Record how often each threat has occurred in the past. Also record how accurate you believe your data are. Volumes 5-8: Risk Profile

29 35 16 Record areas of concern for each source of threat where appropriate. Volumes 5-8: Risk Profile An area of concern is a scenario defining how specific threats could affect the critical asset. --- Document action items identified during Process S Document notes and recommendations identified during Process S2. Volume 9: Action List Volume 9: Notes and Recommendat ions Tabel 2.5 Proses S2: Menciptakan Profil Ancaman Aktivitas Langk Uraian Volume: ah Worksheet S2. 1 Pilih Kritikal Aset 5 Tinjau informasi yang berhubungan dengan aset yang Anda identifikasi pada Langkah 2, lalu pilih hingga lima (5) aset yang paling penting untuk organisasi.. Pemilihan Kritikal Aset

30 36 6 Memulai kertas kerja kritikal aset untuk setiap kritikal aset. Catat nama kritikal aset pada kertas kerja kritikal aset yang Informasi Kritikal Aset sesuai 7 Rekam alasan Anda untuk memilih setiap aset yang kritis pada kertas kerja informasi kritikal aset. Informasi Kritikal Aset 8 Rekam keterangan untuk setiap aset yang kritis pada kertas kerja informasi kritikal aset. Pertimbangkan siapa yang Informasi Kritikal Aset menggunakan kritikal aset serta yang bertanggung jawab. 9 Rekam asset yang terkait pada setiap aset yang kritis ke kertas kerja informasi kritikal aset. Lihat kertas Informasi Kritikal Aset kerja indentifikasi aset untuk menentukan aset yang terkait dengan aset yang kritis. S2. 2 Mengidentifikasi kebutuhan keamanan untuk 10 Catat persyaratan keamanan untuk setiap aset kritis pada kertas kerja informasi kritikal aset. Informasi Kritikal Aset

31 37 kritikal aset 11 Untuk masing-masing aset yang kritis, catat persyaratan keamanan yang paling penting pada kertas kerja informasi Informasi Kritikal Aset kritikal aset. Proses S2: Menciptakan Profil Ancaman (lanjutan.) Aktivitas Langk Uraian Volume: ah Worksheet S2. 3 Mengidentifikasi Ancaman pada Kritikal Aset 12 Selesaikan semua pohon ancaman yang sesuai untuk setiap aset yang kritis. Tandai setiap cabang dari setiap pohon yang tidak ada kemungkinan ancaman terhadap aset. Setelah anda menyelesaikan langkah ini, jika Anda mengalami kesulitan menafsirkan sebuah ancaman pada setiap pohon ancaman tinjau deskripsi dan contoh dari ancaman pada panduan terjemahan ancaman. Profil risiko Panduan Terjemahan ancaman 13 Rekam contoh spesifik dari aktor ancaman pada kertas kerja Profil risiko berlaku untuk setiap pelaku-motif Profil resiko

32 38 kombinasi. 14 Rekam kekuatan dari motif untuk membincangkan ancaman sehubungan Profil risiko dengan pelaku manusia. Juga rekam betapa yakin anda dalam mengestimasikan kekuatan dari motif pelaku. 15 Rekam bagaimana sering masingmasing ancaman telah terjadi di masa Profil resiko lalu. Juga rekaman betapa akurat kamu meyakini datamu adalah. 16 Merekam bidang perhatian untuk setiap sumber ancaman yang sesuai. Daerah Profil resiko keprihatinan merupakan skenario spesifik bagaimana mendefinisikan ancaman yang dapat mempengaruhi aset yang penting --- Dokumen tindakan item diidentifikasi selama Proses S2 Volume 9: Daftar tindakan --- Dokumen catatan dan rekomendasi Volume 9:

33 39 diidentifikasi selama Proses S2. Catatan dan Rekomendasi Tabel 2.6 Proses S3: Menguji Infrastruktur Komputasi dalam hubungannya dengan Asset yang Kritis Aktivitas Langk Uraian Volume: ah Worksheet S3. 1 Menguji Jalur Akses 17 Pilih Jalur akses sistem (s) yang menarik untuk setiap aset kritis (yakni, sistem yang paling penting berkaitan dengan aset) Jalur akses jaringan 18a Tinjau jalur yang digunakan untuk mengakses setiap akses yang kritis dan pilih kunci kelas dari komponen yang berkaitan pada setiap aset yang kritis. Menentukan kelas komponen yang merupakan bagian dari sistem yang menarik Jalur akses jaringan 18b Tentukan kelas komponen yang bertindak sebagai perantara akses poin (yakni, komponen yang digunakan Terhubung jaringan

34 40 Lintasan Akses untuk mengirimkan informasi dan aplikasi dari sistem untuk kepentingan masyarakat). 18c Tentukan kelas yang mana dari komponen, baik internal maupun eksternal organisasi ke jaringan, digunakan oleh orang (misalnya, user, penyerang) untuk mengakses sistem. Jalur akses jaringan 18d Tentukan dimana informasi dari sistem yang menarik disimpan sebagai cadangan Jalur akses jaringan 18e Menentukan sistem yang lain atau aplikasi akses informasi dari sistem yang menarik dimana kelas lain dari komponen dapat digunakan untuk mengakses informasi aset yang kritis atau informasi yang penting dari sistem yang menarik. Jalur akses jaringan

35 41 Proses S3: Menguji Infrastruktur Komputasi dalam hubungan dengan Asset Kritis (cont.) Aktivitas Langk Uraian Volume: ah Worksheet S3. 2 Menganalisa 19a Menentukan kelas komponen yang Teknologi yang terkait dengan satu atau lebih dari aset Tinjauan berhubungan yang kritis dan dapat memberikan infrastruktur dengan Proses akses kepada aset tersebut. 19b Untuk setiap kelas komponen yang didokumentasikan pada langkah 19a, Tinjauan catat kritikal aset yang mana berkaitan infrastruktur dengan kelas. 20 Untuk setiap kelas komponen yang didokumentasikan pada langkah 19a, perhatikan orang atau kelompok yang Tinjauan infrastruktur bertanggung jawab untuk menjaga dan memelihara kelas dari komponen 21 Untuk setiap kelas komponen yang didokumentasikan pada langkah 19a, catat sejauh mana kelas dapat bertahan Tinjauan infrastruktur

36 42 terhadap serangan jaringan. Juga catat bagaimana anda dapat sampai pada kesimpulan tersebut. Akhirnya, dokumentasikan tambahan konteks yang relevan kepada analisis infrastruktur anda. --- Tahap Perbaiki informasi berdasarkan analisis akses jalan dan teknologi yang terkait dengan proses. Update berikut, jika sesuai: Tandai setiap tambahan cabang Profil risiko Praktek Keamanan dari pohon ancaman pada saat yang tepat (Langkah 12). Pastikan untuk dokumen sesuai konteks untuk setiap cabang Anda tandai (Langkah 13-16). Perbaiki dokumentasi are kepentingan dengan menambahkan rincian tambahan jika diperlukan. Mengidentifikasi daerah-daerah baru dan dokumen yang berkaitan jika diperlukan (Langkah 16)

37 43 Perbaiki dokumentasi praktekpraktek keamanan dan kerentanan organisasi dengan menambahkan rincian tambahan jika diperlukan. Identifikasi dan dokumen praktik keamanan baru dan atau organisasi yang sesuai ketika kerentanan (Langkah 3b). Revisi lampu status untuk praktek keamanan pada saat yang sesuai (Langkah 4). --- Dokumen tindakan item diidentifikasi selama Proses S3 Volume 9: Daftar Tindakan --- Dokumen catatan dan rekomendasi diidentifikasi selama Proses S3 Volume 9: Catatan dan rekomenda si

38 44 Tabel 2.7 Proses S4: Mengidentifikasi dan Menganalisa Resiko Aktivitas Langk Uraian Volume: ah Worksheet S4. 1 Mengevaluasi dampak dari Ancaman 22 Menggunakan kriteria dampak evaluasi sebagai panduan, memberikan dampak nilai (tinggi, menengah, atau rendah) untuk masing-masing ancaman aktif untuk setiap aset kritis. Profil risiko Kriteria Dampak Evaluasi S4. 2 Membuat Kriteria Evaluasi Kemungkinan 23 Kriteria kualitatif menetapkan tindakan-tindakan (tinggi, menengah, rendah) terhadap Anda yang akan mengevaluasi kemungkinan ancaman yang terjadi. Kriteria Kemungkinan Evaluasi Profil risiko S4. 3 Mengevaluasi Kemungkinan dari Ancaman 24 Menggunakan kemungkinan kriteria evaluasi sebagai panduan, kemungkinan menetapkan nilai (tinggi, menengah, atau rendah) untuk masingmasing ancaman aktif untuk setiap aset Profil risiko Kriteria

39 45 kritis. Dokumentasikan tingkat keyakinan Anda pada estimasi kemungkinan Kemungkinan Evaluasi Tinjauan infrastruktur --- Dokumen tindakan item diidentifikasi dalam Proses S4. Volume 9: Daftar Tindakan --- Dokumen catatan dan rekomendasi diidentifikasi dalam Proses S4. Volume 9: Catatan dan rekomendasi Tabel 2.8 Proses S5: Mengembangkan Strategi Perlindungan dan Mitigasi Rencana Aktivitas Langk Uraian Volume: ah Worksheet S5. 1 Mendeskripsikan Strategi Perlindungan saat ini 25 Mentransfer status lampu keamanan untuk setiap area praktek keamanan pada area yang sesuai bagi kertas kerja strategi proteksi. Untuk setiap area praktek keamanan mengidentifikasi Volume 9: Strategi perlindungan Praktek

40 46 pendekatan organisasi anda saat ini keamanan untuk menangani daerah. S5. 2 Memilih Pendekatan Mitigasi 26 Mentransfer status lampu untuk setiap area praktek keamanan dari kertas kerja Praktik Pengamanan ke "Area Praktek Keamanan" bagian (Langkah 26) dari setiap aset kritis Kertas kerja profil resiko. Profil risiko Praktek Keamanan 27 Pilih sebuah pendekatan mitigasi (mengurangi, menunda, menerima) untuk setiap risiko aktif. Untuk setiap risiko yang Anda putuskan untuk dikurangi, lingkarkan satu atau lebih praktek keamanan untuk area yang Anda berniat untuk melaksanakan kegiatan mitigasi. Profil risiko S5. 3 Mengembangkan Rencana Mitigasi Risiko 28 Mengembangkan rencana mitigasi untuk setiap area praktek keamanan dipilih pada Langkah 27. Saat Anda melengkapi langkah ini, jika Anda mengalami kesulitan Volume 9: Rencana pengurangan beban

41 47 mendapatkan apa-apa dalam aktifitas potensial mitigasi untuk area praktek keamanan, meninjau contoh kegiatan mitigasi untuk area dalam Panduan Aktifitas Mitigasi. S5. 4 Identifikasi Perubahan untuk Strategi Perlindungan 29 Tentukan apakah rencana mitigasi Anda mempengaruhi strategi perlindungan organisasi. Merekam setiap perubahan pada Kertas kerja Strategi Perlindungan. Selanjutnya, meninjau strategi perlindungan, termasuk perubahan yang diusulkan. Menentukan apakah Anda berniat untuk membuat tambahan perubahan untuk perlindungan strategi. Catat tambahan perubahan pada kertas kerja Strategi Perlindungan. Volume 9: Strategi perlindungan --- Dokumen tindakan item diidentifikasi dalam Proses S5. Volume 9: Daftar Tindakan

42 48 S5. 5 Mengidentifikasi Tahapan Berikutnya 30 Tentukan apa yang diperlukan oleh organisasi anda untuk mengimplementasikan hasil dari evaluasi dan memperbaiki sikap keamanan organisasi. Volume 9: Tahapan berikutnya