BAB II TINJAUAN PUSTAKA

Transkripsi

1 BAB II TINJAUAN PUSTAKA Dalam tinjauan pustaka ini akan dibahas beberapa teori yang berkaitan dengan penelitian ini seperti kaitan antara informasi, sistem informasi, dan resiko, membahas manajemen resiko secara umum dan di pemerintahan, mengulas teori yang digunakan, perbandingan teori dan hasil penelitian yang pernah dilakukan sebelumnya. Diharapkan dari ulasan teori tersebut menghasilkan kesamaan persepsi antara peneliti dan pembaca mengenai objek yang akan diteliti. 2.1 Daerah Tertinggal Menurut website kemenegpdt.go.id pengertian daerah tertinggal adalah daerah Kabupaten yang masyarakat serta wilayahnya relatif kurang berkembang dibandingkan daerah lain dalam skala nasional. Suatu daerah dikategorikan sebagai daerah tertinggal, karena beberapa faktor penyebab, antara lain: 1. Geografis. Umumnya secara geografis daerah tertinggal relatif sulit dijangkau karena letaknya yang jauh di pedalaman, perbukitan/ pegunungan, kepulauan, pesisir, dan pulau-pulau terpencil atau karena faktor geomorfologis lainnya sehingga sulit dijangkau oleh jaringan baik transportasi maupun media komunikasi. 2. Sumberdaya Alam. Beberapa daerah tertinggal tidak memiliki potensi sumberdaya alam, daerah yang memiliki sumberdaya alam yang besar namun lingkungan sekitarnya merupakan daerah yang dilindungi atau tidak dapat 6

2 7 dieksploitasi, dan daerah tertinggal akibat pemanfaatan sumberdaya alam yang berlebihan. 3. Sumberdaya Manusia. Pada umumnya masyarakat di daerah tertinggal mempunyai tingkat pendidikan, pengetahuan, dan keterampilan yang relatif rendah serta kelembagaan adat yang belum berkembang. 4. Prasarana dan Sarana. Keterbatasan prasarana dan sarana komunikasi, transportasi, air bersih, irigasi, kesehatan, pendidikan, dan pelayanan lainnya yang menyebabkan masyarakat di daerah tertinggal tersebut mengalami kesulitan untuk melakukan aktivitas ekonomi dan sosial. 5. Daerah Terisolasi, Rawan Konflik dan Rawan Bencana. Daerah tertinggal secara fisik lokasinya amat terisolasi, disamping itu seringnya suatu daerah mengalami konflik sosial bencana alam seperti gempa bumi, kekeringan dan banjir, dan dapat menyebabkan terganggunya kegiatan pembangunan sosial dan ekonomi. 2.2 Sistem Informasi & Resiko Menurut Boyce dan Jennings (2002)Informasi adalah asset penting untuk pemerintah. Informasi adalah sumber daya yang mahal, sensitif, dan bertahan lama yang merupakan investasi yang besar, tapi bagaimana kita melindungi informasi tergantung pada bentuk dan atribut yang dimilikinya. Apa yang harus seorang professional dalam bidang keamanan pikirkan adalah informasi dan sistem informasi adalah urat nadi dari semua bisnis dan lembaga pemerintahan.sedangkan White et all (2004) berpendapat bahwa tata kelola dan informasi pemerintahan harus menjadi bagian integral dari semua strategi bisnis dan informasi organisasi atau pemerintahan. Lebih dari sebelumnya, saat ini

3 8 informasi dan pengetahuan dapat diproduksi, dipertukarkan, dibagi dan dikomunikasikan melalui berbagai media.walau dengan membagikan informasi dan pengetahuan memberikan banyak manfaat namunjuga menyediakan banyak tantangan dan resiko kepada pemerintah, organisasi global dan masyarakat. Dengan adanya informasi tentu diperlukan sebuah sistem untuk mengolah informasi tersebut sehingga dapat digunakan banyak orang.menurut Rainer Jr dan Turban (2009) sistem informasi adalah mengumpulkan, memproses, menyimpan, menyebarkan informasi untuk tujuan yang spesifik. Komponen dasar dari sistem informasi adalah hardware, software, database,procedur dan people.sedangkan menurut Oz (2009) sistem informasi merupakan sebuah sistem yang terdiri dari semua komponen yang bekerja sama untuk memproses data dan menghasilkan informasi. O Brien (2005) menyebutkan terdapat 3 peran utama sistem informasi dalam bisnis yaitu mendukung proses bisnis dan operasional, mendukung pengambilan keputusan, dan mendukung strategi untuk keunggulan kompetitif.melihat dari segi keamanan, Calder & Watkins (2005) berpendapat bahwa ancaman terhadap sistem informasi dari penjahat dan teroris terus meningkat, dan banyak organisasi mulai menyadari informasi adalah daerah operasi mereka yang perlu dilindungi sebagai perlindungan internal mereka. Macedo dan Silva (2009) menjelaskan bahwa resiko yang sangat berbahaya dalam perekonomian global saat ini adalah Keamanan Informasi. Informasi adalah aset penting bagi organisasi dan membuat resiko keamanan informasi menjadi sangat penting.sehingga baiknya dari organisasi bisnis ataupun pemerintahan mengetahui konsep dari resiko itu sendiri, resiko dapat didefinisikan sebagai probabilitas input aktual yang menghasilkan output yang berbeda dari

4 9 yang diperikirakan di awal (Bouder dan Beth, 2003). Victorian Government(2011) menambahkan bahwa resiko perlu dipertimbangkan dan ditangani oleh semua orang, baik positif (peluang) dan/atau negatif (ancaman). Konsep resiko telah dipelajari dalam banyak konteks bisnis dan bahkan di bidang sains dan teknik (Burnes,2007). Ritchie dan Brindley (2007) menyebutkan bahwa ada tiga dimensi resiko: (1) kemungkinan terjadinya dari hasil tertentu; (2) konsekuensi dari terjadinya suatu kejadian (3) jalur sebab-akibat yang mengarah ke sebuah kejadian. Daftar dibawah menampilkan beberapa resiko-resiko yang dapat mengancam sistem informasi : Tabel 2.1 Daftar Resiko Sistem Informasi (Elky, 2006) Resiko Tersebarnya informasi Bencana alam Perubahan aplikasi Penggunaan bandwith Interfensi/gangguan Elektrik Deksripsi Tersebarnya informasi rahasia, pribadi, atau sensitive dikarenakan kesengajaan atau ketidaksengajaan Semua jenis bencana alam ( gempa bumi, angina topan, banjir dll ) yang dapat mempengaruhi sistem/aplikasi. Setiap kejadian ini dapat menyebabkan tidak berfungsinya sistem secara sebagian atau seluruh sehingga mempengaruhi ketersediaan informasi. Sebuah modifikasi yang disengaja, baik dari penyisipan atau penghapusan sistem/aplikasi, baik dari pihak yang berwenang ataupun tidak, yang berpengaruh kepada kerahasiaan, ketersediaan dan integritas dari data, informasi yang dikontrol oleh sistem. Beberapa contohnya seperti, logic bombs, trojan horse, trapdoors, dan virus. Penggunaan bandwith secara disengaja atau tidak disengaja untuk tujuan yang lain. Gangguan yang timbul dikarenakan kurangnya sumber daya listrik pada sistem Perubahan data Perubahan, penyisipan dan penghapusan data yang disengaja, baik dari pihak yang berwenang ataupun tidak, yang berpengaruh kepada kerahasiaan, ketersediaan dan integritas dari data yang dihasilkan Kesalahan Sebuah kesalahan baik disengaja ataupun tidak disengaja

5 10 konfigurasi pada saat awal implementasi atau pada saat upgradehardware atau software. 2.3 Manajemen Resiko Pada sub bab ini akan mengulas pengertian, peran, tujuan, dan keterkaitan antara manajemen resiko secara umum pada organisasi bisnis dan manajemen resiko didalam pemerintahan Manajemen Resiko Secara Umum Menurut Victorian Government (2011) Manajemen resiko adalah kombinasi dari sistem organisasi, proses, prosedur dan budaya yang membantu identifikasi, penilaian, evaluasi dan pemulihan resiko untuk melindungi organisasi dan membantu dalam mengejar keberhasilan strategi dan sasaran kinerja. Manajemen resiko harus menjadi bagian integral dari budaya organisasi. Hotopf (2009) berpendapatyang tidak jauh berbeda, bahwa manajemen resiko sebagai manajemen yang dilakukan berdasarkan analisis terhadap potensial keterjadian dan dampak yang dapat terjadi apabila resiko penting tidak dikendalikan atau dimitigasi. Pickett (2006) menambahkan jika resiko dibangun disaat membuat strategi untuk seluruh bisnis, maka manajemen resiko dapat menjadi proses pusat didalam perusahaan. Sedangkan menurut Purtell (2007)usaha untuk meminimalisir resiko-resiko yang mungkin terjadi ataupun untuk mengatasi resiko-resiko yang telah terjadi didalam proses bisnis dapat dilakukan dengan manajemen resiko.blokdijk (2008) menjelaskan bahwa tugas manajemen resiko adalah mengelola resiko suatu proyek untuk

6 11 resikodengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat diterima dengan cara yang hemat biaya Menurut U.S General Accounting Office (1999) Penilaian resiko adalah penting untuk mendukung kegiatan bisnis mereka dan memberikan beberapa manfaat. Pertama, dan mungkin yang paling penting, penilaian resiko membantu memastikan resiko terbesar didalam operasi bisnis yang dapat diidentifikasi dan ditangani secara berkelanjutan. Kedua, penilaian resiko membantu karyawan di seluruh organisasi lebih memahami resiko terhadap operasi bisnis; menghindari praktek-praktek beresiko, seperti mengungkapkan password atau informasi sensitif lainnya; dan waspada untuk hal-hal yang mencurigakan Manajemen Resiko di Pemerintahan Menurut Victorian Government (2011) Mengelola resiko adalah komponen penting dari sebuah lembaga pemerintahan. Pemerintah berkomitmen untuk mengelola keuangan dan resiko negara dengan hatihati. Lembaga (yaitu departemen dan badan badan publik) harus memastikan bahwa resiko dikelola dengan tepat dan efektif. Dikarenakan mereka memainkan peran penting dalam memberikan pelayanan kepada masyarakat. Rot (2009) menambahkan keberhasilan manajemen resiko didalam lembaga akan tergantung pada keefektifan kebijakan manajemen resiko dan kerangka kerja manajemen resiko. Halachmi (2005) berpendapat bahwa kerangka manajemen resiko membantu sebuah lembaga dalam mengelola resiko secara efektif melalui penerapan proses manajemen resiko di berbagai tingkat dan dalam konteks tertentu. Ini juga

7 12 menjamin bahwa informasi tentang resiko yang berasal dari proses manajemen resiko secara memadai dilaporkan dan digunakan sebagai dasar untuk pengambilan keputusan di semua tingkat yang relevan. Risk Cover (2011) menjelaskan alasan utama untuk mengelola resiko adalah untuk memungkinkan lembaga pemerintahan untuk berhasil mencapai tujuan mereka. semua badan-badan sektor publik harus melakukan penilaian resiko secara teratur untuk mengidentifikasi resiko yang dihadapi perusahaan,dan memastikan bahwa mereka mampu merespon dan dapat pulih dari segala gangguan. 2.4 Teknik Manajemen Resiko Wright (1999) menjelaskan ada banyak model penilaian resiko pada saat ini dan banyak lagi yang akan muncul setiap harinya. Mereka semua memiliki tujuan dasar yang sama, tetapi mempunyai perspektif dan pengamatan masalah yang sangat berbeda. Beberapa dari mereka dapat diterapkan untuk semua jenis resiko, dan yang lain spesifik untuk resiko tertentu. Sub bab ini akan membahas mengenai metode-metode penilaian resiko yang ada saat ini, perbandingan diantaranya, studi kasus dan teori lebih dalam mengenai metode OCTAVE Allegro Metode-metode Manajemen Resiko Technical Department of ENISA Section Risk Management (2006) telah membuat daftar dari metode-metode penelitian resiko. Berikut ini adalah metode-metode yang biasanya digunakan untuk melakukanpenilaian resiko, yaitu:

8 13 Austrian IT Security Handbook CRAMM Dutch A&K analysis EBIOS ISF methods for risk assessment and risk management ISO/IEC IS (ISO/IEC IS 27005) ISO/IEC IS 17799:2005 ISO/IEC IS (BS7799-2:2002) IT-Grundschutz (IT Baseline Protection Manual) MARION MEHARI OCTAVE SP (NIST) Dari daftar tersebut, Technical Department of ENISA Section Risk Management telah membuat tabel terkait perbandingan metode-metode resiko tersebut

9 14 Tabel 2.2 Perbandingan antara Metode Penilaian Resiko(Technical Department of ENISA Section Risk Management, 2006) Dari tabel perbandingan diatas dapat dilihat OCTAVE menyajikan semua atribut yang dibutukan dalam melakukan penilaian resiko, tidak mengeluarkan biaya untuk melaksanakannya, cocok digunakan untuk perusahaan dengan skala kecil, tidak membutuhkan SDM yang ahli didalam keamanan IS serta lisensi atau sertfikasi untuk menggunakannya, serta tidak memerlukan banyak tools bantuan untuk melakukan penilaian resiko.

10 15 Macedo dan Silva (2009) menambahkan dengan melakukan perbandingan-perbandingan metode penilaian resiko yang lainnya, dan membagi menjadi beberapa seleksi. Seleksi pertama dilihat dari beberapa komponen, yaitu : Apakah termasuk model metode atau hanya pedoman? Kecualikan jika bukan sebuah metode. Apakah model tersebut khusus mengidentifikasi resiko keamanan informasi? Kecualikan jika tidak. Faktor harga dan ketersediaan dokumentasi. Kecualikan jika tidak tersedia atau terlalu sulit untuk mendapatkannya. Kajian terakhir dari metode tersebut. Kecualikan jika metode tersebut sudah dihentikan, atau tidak baru-baru diperbarui. Dari beberapa komponen tersebut menghasilkan tabel seperti yang terdapat dibawah ini (warna hijau mengartikan memenuhi kriteria, warna merah tidak) :

11 16 Tabel 2.3 Seleksi Pertama Perbandingan Metode Resiko (Macedo dan Silva, 2009) Sedangkan pada tahap seleksi kedua melakukan identifikasi penilaian dengan beberapa komponen berikut : Kompleksitas, usaha dan persiapan (kriteria ini mencoba untuk mencerminkan tingkat persiapan, informasi, usaha dan keterampilan yang dibutuhkan untuk mengimplementasikan model, tingkat detail dan ruang lingkup dari hasil analisis resiko) Pendekatan model (pendekatan penilaian resiko masing-masing model pendukung (misalnya selfassessment, wawancara)

12 17 Alat pendukung (jika model menyediakan alat pendukung dan bagaimana kita bisa mendapatkannya) Sumber (dalam penelitian ini terdapat tiga sumber yang mungkin untuk model yang dipertimbangkan: Akademik, Pemerintah atau Komersial) Penyebaran geografis (negara-negara di mana model ini diketahui telah dilaksanakan) Dari komponen penilaian diatas menghasilkan seleksi baru, yaitu seperti yang terdapat ditabel dibawah ini : Tabel 2.4 Seleksi Kedua Penilaian Resiko(Macedo dan Silva, 2009) Dari perbandingan yang dilakukan penulis dari penelitian yang telah dilakukan oleh Technical Department of ENISA Section Risk Management (2006)dan Macedo & Silva (2009), dapat diambil kesimpulan bahwa metode OCTAVE mempunyai kelebihan yaitu merupakan sebuah metode bukan hanya sebuah pedoman dalam melakukan penilaian resiko, mempunyai semua atribut yang diperlukan didalam melakukan penilaian resiko, kompleksitas yang tidak terlalu sulit,

13 18 dan tidak perlu mengeluarkan biaya untuk menggunakannya. Kesimpulan ini juga diyakinini oleh Appari & Johnson (2010), mereka mengatakan bahwa OCTAVEAllegroadalahproses yang efisien, tidak membutuhkan seorang ahli keamanan IS untuk melakukannya, dan menyediakanlembar kerjastandar danpetunjuk rinci untukmelakukanpenilaian risikoisdan biaya yang murah disaat implementasi.goldman (2009) menambahkan bahwa OCTAVEAllegromenyediakan pendekatanterpadu yangterfokus padameminimalkaninvestasidalam waktu, pelatihan, dan kompleksitasprosespenilaian risiko, OCTAVE Allegro adalah strategi yang cocok untuk aktivitas manajemen dan penilaian resiko, dimana akan meningkatkan kemampuan perusahaan didalam mengelola risiko informasi dan akan memungkinkan individu dan kelompok untuk melaksanakan manajemen risiko dalam keadaan ad-hoc.serta yang paling penting adalah metode OCTAVE mempunyai mempunyai metode khusus untuk melakukan analisis pada keamanan informasi yaitu metode OCTAVE Allegro Studi Kasus OCTAVE Pada penelitian sebelumnya metode OCTAVE sudah banyak digunakan baik dari organisasi bisnis atau pemerintahan.salah satunya adalah penelitian terhadap Instansi keuangan di kroasia yang dilakukan oleh Davor Macek dan Ivan Magdalenic pada tahun 2012, pada gambar menjelaskan hasil dari salah satu penilaian yang dilakukan mereka dengan menggunakan metode OCTAVE Allegro. Kesimpulan pada penelitian tersebut adalah, Macek dan Magdalenic mengungkapkan bahwa instansi

14 19 keuangan tersebut harus memperbaharui sistem pada firewalldidalam sistem dikarenakan resiko denda yang besar apabila resiko itu terjadi dan menjelaskan bahwa Metode OCTAVE Allegro menyediakan kualitas analisis yang lebih rinci dan lebih tinggi serta penilaian resiko keamanan aset informasi dengan spesifik. Tabel 2.5 Hasil Penilaian Resiko pada Instansi Keuangan(Macek dan Magdalenic, 2012) Penelitian kedua adalah The National Center for Manufacturing Sciences (NCMS), sebuah organisasi yang mewakili konsorsium manufaktur, telah mengembangkan metode OCTAVE untuk menilai

15 20 kerentanan teknologi informasi di perusahaan manufaktur.faktor asset kritikal yang di analisis adalah Menilai kerentanan dari sistem dan teknologi informasi pada perusahaan manufaktur modern Menilai kerentanan asset informasi didalam perusahaan maunfaktur Dan menilai kerentanan proses tertentu seperti proses bisnis internal, proses otomatis, proses manajemen rantai pasokan didalamnya Gambar 2.1 Hasil Identifikasi Aset Kritikal pada NCMS Dari tujuan penelitian tersebut, NCMS telahmelakukan klasifikasi asset kritikal baik dari asset informasi dan fisik didalam organisasinya dengan menggunakan metode OCTAVE seperti dijelaskan pada gambar, Hasil yang didapat dari penelitian tersebut adalah NCMS mendapatkan perencanaan untuk mengelola resiko-resiko mana saja baik dari asset fisik

16 21 atau informasi yang mempunyai dampak besar yang dapat terjadi dimasa depan OCTAVE Menurut Pandey dan Mustafa (2012) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) mendefinisikan komponen-komponen penting secara komprehensif, sistematis, berbasis konteks (context-driven) evaluasi resiko keamanan informasi. Dengan menggunakan metode OCTAVE, organisasi dapat membuat perlindungan terhadap informasi berbasis pengambilan keputusan resiko berdasarkan CIA (Confidentiality, Integrity, Authentication) untuk aset teknologi informasi kritis. Parthajit(2009) menambahkan kemampuan untuk menghubungkan tujuan dan sasaran organisasi sehingga mencapai keamanan informasi adalah manfaat utama dari OCTAVE.Menurut Caralli et all (2007), Metoda OCTAVE memiliki tiga varian yaitu OCTAVE, OCTAVE-S dan OCTAVE Allegro. OCTAVE Metode OCTAVE dirancang untuk organisasi dengan ukuran besar yang memiliki hirarki berlapis-lapis dan mempunyai infrastruktur komputasi yang mereka miliki sendiri. Aspek organisasi, teknologi dan analisis dievaluasi oleh resiko keamanan informasinyadengan tiga caratahap pendekatan dengan delapan proses.

17 22 OCTAVE-S Gambar 2.2 Langkah-langkah OCTAVE OCTAVE-S lebih disesuaikan untuk organisasi yang berukuran lebih kecil dengan struktur hirarkis datar dan tidak berlapis.metode ini mirip dan didasari tiga tahap yang dijelaskan dalam Metode OCTAVE, Namun, pada OCTAVE-S disederhanakan hanya menjadi empat proses. Gambar 2.3 Langkah-langkah OCTAVE-S OCTAVE Allegro Seperti metode sebelumnya, OCTAVE Allegro lebih fokus pada penilaian resiko dalam konteks organisasi, tapi memberikan pendekatan

18 23 didalam meningkatkan kemampuan organisasi disaat melakukan pengukuranresiko secara lebih efisien dan efektif. Salah satu filosofi yang mendorongadanya Allegro adalah ketika informasi menjadi inti dari penilaian keamanan resiko, semua aset terkait lainnya dianggap sebagai information containers' yang menyimpan, memproses atau mengirim aset informasi. Sehingga ancaman terhadap aset informasi dapat dianalisis dengan caramempertimbangkan di mana information containers' tersebut dan secara efektif membatasi jumlah dan jenis aset yang dibawa ke dalam proses. Gambar 2.4 Langkah-langkah OCTAVE Allegro Tujuan dari OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan resiko operasional organisasi dengan tujuan memberikan hasil yang lebih baik tanpa perlu pengetahuan yang detail dan luas dalam hal penilaian resiko. Pendekatan ini sedikit berbeda dari pendekatan OCTAVE, dimana OCTAVE Allegro fokus terhadap aset informasi, bagaimana informasi digunakan, dimana mereka disimpan, dipindahkan, dan diolah, dan bagaimana mereka terkena ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.

19 24 Tahap tahap OCTAVE Allegro Menurut Caralli et all (2007), Terdapat empat tahap yang digunakan pada OCTAVE Allegro, yaitu: 1. Membangun drivers, dimana perusahaan membangun kriteria pengukuran resiko yang konsisten dengan drivers/hal-hal yang mendorong organisasi. 2. Membuat profil aset informasi, dimana aset informasi yang akan menjadi fokus dari pengukuranresiko diidentifikasi dan diperjelaskan, dan asset container diidentifikasikan. 3. Mengidentifikasi ancaman-ancaman, dimana ancaman terhadap aset informasi diidentifikasikan dan didokumentasikan melalui proses yang terstruktur. 4. Mengidentifikasi dan mengecilkanresiko, dimana resiko yang telah diidentifikasikan kemudian dianalisis yang didasari dari informasi ancaman, dan rencana mitigasi yang dibangun untuk menanggapi resiko tersebut. Langkah langkah OCTAVE Allegro Dari tahapan tersebut, terdapat delapan langkah OCTAVE Allegro yang digunakan, yaitu: 1. Membangun kriteria pengukuran resiko Pada langkah pertama ini, organizational driver yang akan digunakan untuk mengevaluasi akibat dari sebuah resiko terhadap misi dan tujuan

20 25 bisnis perusahaan diidentifikasi. Kriteria pengukuran resiko digunakan untuk mengevaluasi akibat dalam masing masing area dan memprioritaskannya. 2. Membangun profil aset informasi Langkah kedua adalah mengembangkan profil aset informasi atas aset aset perusahaan. Profil tersebut adalah representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik. Metode ini3. Mengidentifikasi ancaman, dimana ancaman terhadap aset (dalam lingkup container mereka) diidentifikasikan dan didokumentasikan melalui proses terstruktur. 3. Mengidentifikasi container dari aset informasi Container adalah tempat dimana aset informasi tersebut disimpan, dikirim, dan diproses Dalam langkah ketiga, semua container yang menyimpan, mengirim, dan memproses, baik internal maupun eksternal dianalisis. 4. Mengidentifikasikan area yang diperhatikan Langkah keempat merupakan proses identifikasi resiko melalui cara brainstorming mengenai kondisi atau situasi yang memungkinkan yang dapat mengancam aset informasi perusahaan. Tujuan dari proses ini adalah secara cepat mengetahui situasi atau kondisi yang terlintas secara tiba tiba dalam benak tim analisis. 5. Mengidentifikasi skenario ancaman

21 26 Dalam langkah kelima ini, area area ancaman yang telah diidentifikasi pada langkah sebelumnya didetailkan menjadi sebuah skenario ancaman yang lebih jauh mendetailkan properti dari sebuah ancaman. Langkah ini berguna untuk memberikan pertimbangan atas kemungkinan dalam skenario ancaman. 6. Mengidentifikasi resiko Pada langkah keenam, adalah konsekuensi yang didapat organisasi jika sebuah ancaman terjadi dicatat, dalam mendapatkan perkiraan resiko secara lengkap. 7. Menganalisa resiko Pada langkah ketujuh adalah melakukan pengukuran kuantitatif sederhana dari sejauh mana organisasi terkena dampak dari ancaman yang telah dihitung. Nilai resiko relatif tersebut diperoleh dengan cara mempertimbangkan sejauh mana konsekuensi atas dampak resiko terhadap berbagai impact area, dan memperkirakan kemungkinan-kemungkinan yang dapat terjadi. 8. Memilih pendekatan pengurangan resiko Dalam langkah terakhir dari proses Octave Allegro ini, organisasi menentukan resiko yang memerlukan mitigasi dan mengembangkan pendekatan untuk mengurangi resiko tersebut. Hal ini dilakukan dengan cara memprioritaskan resiko resiko berdasarkan nilai resiko relatif.