BAB 2 LANDASAN TEORI. Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian

Transkripsi

1 BAB 2 LANDASAN TEORI 2.1 Pengertian Sistem Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian bagian yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu. Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan sistem apabila memenuhi 2 syarat, yaitu : 1. Memiliki bagian-bagian yang saling berinteraksi dengan maksud untuk mencapai suatu tujuan 2. Bagian-bagian itu dinamakan subsistem dan harus memenuhi 3 unsur input-proses-output. 2.2 Pengertian Informasi Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387) yang diambil dari bahasa latin informationem yang berarti garis besar, konsep, ide.informasi merupakan kata benda dari informare yang berarti aktifitas dalam pengetahuan yang dikomunikasikan. Menurut (Puspitawati & Anggadini, 2011, p. 13), informasi merupakan hasil dari pengolahan data, akan tetapi tidak semua hasil dari pengolahan tersebut bisa menjadi informasi. 9

2 10 Menurut (Mardi, 2011, p. 4), informasi adalah hasil proses atau hasil pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan sistem informasi komputerisasi. 2.3 Pengertian Sistem Informasi Menurut (Gondodiyoto & Hendarti, 2007, p. 112), sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu dan bertujuan untuk mengolah data menjadi informasi. Menurut (Rainer & Turban, 2009, p. 415), Information System a process that collects, processes, stores, analyze, and disseminates information for a specific purpose; most Iss are computerized.. Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kumpulan fungsi-fungsi yang saling berkaitan untuk mengubah data menjadi informasi yang bermanfaat untuk mengambil keputusan dan menyelesaikan masalah tertentu Infrastruktur Sistem Informasi Hardware Menurut (O'Brien & Marakas, 2007, p. 6), hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan infromasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan berbagai jaringan, dan memproses paket-paket data sehingga transmisi data menjadi lebih efektif.

3 11 Hardware adalah semua mesin dan peralatan dalam sebuah sistem computer. Hardware berjalan di bawah control software dan akan sia-sia tanpa software. Hardware memiliki sirkuit yang mampu melakukan pemrosesan. Hardware dibagi ke dalam lima bagian, yaitu : 1. Input hardware terdiri dari perangkat-perangkat yang berfungsi untuk memasukkan data ke dalam komputer di dalam suatu format yang dapat digunakan oleh komputer. 2. Processing and memory hardware adalah otak dari komputer yang terinsalasi di dalam sebuah sistem kabinet. Contoh dari processing and memory hardware adalah power supply, processor chip, memory chip, dan motherboard. 3. Storage hardware adalah sebuah perangkat yang berfungsi untuk menyimpan data dan program secara permanen. Contoh storage software adalah floopy disk, harddisk, dan CD/DVD drive. 4. Output hardware adalah sebuah perangkat yang berfungsi untuk menerjemahkan informasi yang diproses oleh komputer kedalam sebuah format yang dapat dimengerti oleh pengguna komputer tersebut. Contoh dari output software adalah monitor, printer, dan speaker. 5. Communication hardware adalah sebuah perangkat elektromagnetik dan sebuah sistem untuk melakukan komunikasi jarak jauh. Contoh perangkat communication hardware adalah modem.

4 Software Menurut (O'Brien & Marakas, 2007, p. 104), software meliputi semua rangkaian perintah pemrosesan informasi. Konsep umum software ini meliputi tidak hanya rangkaian perintah informasi yang disebut program dengan hardware komputer pengendalian dan langsung, tapi juga rangkaian perintah pemrosesan informasi yang disebut prosedur yang dibutuhkan orang-orang. Menurut (Syafrizal, 2007, p. 22) mendefinisikan perangkat lunak sebagai berikut : Berfungsi sebagai pengatur aktivitas kerja komputer dan semua intruksi yang mengarah pada sistem komputer. Perangkat lunak menjembatani interaksi user dengan komputer yang hanya memahami bahasa mesin. Secara garis besar software terbagi menjadi 3(tiga) golongan yaitu : 1. Sistem Operasi yaitu program-program yang menginstegrasikan antara hardware dan software untuk mengatur proses sistem komputer. Sistem operasi ada 2 (dua) golongan yaitu sistem operasi jaringan dan sistem operasi komputer tunggal. 2. Paket Program Aplikasi yaitu program yang dibuat dengan tujuan untuk aplikasi bidang yang sudah tertentu. 3. Bahasa Pemrograman yaitu serangkaian simbol-simbol dan aturan pemakaian yang digunakan untuk mengarahkan pengoperasian komputer. Ada 4 (empat) kategori bahasa pemprograman yaitu bahasa mesin, bahasa assembly, bahasa tingkat tinggi dan bahasa non prosedural.

5 Jaringan Komputer Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks) adalah suatu himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa yang popular dapat dijelaskan bahwa jaringan komputer adalah kumpulan beberapa komputer (dan perangkat lain seperti printer, hub, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masingmasing komputer yang terhubung tersebut bisa saling bertukar data atau sebagai perangkat keras. Tujuan dari jaringan komputer adalah: a. Membagi sumber daya: contohnya berbagi pemakaian printer, CPU, hardisk. b. Komunikasi: contohnya , instant messenger, chatting. c. Akses informasi: contohnya web browsing. Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer meminta dan memberikan layanan (service). Pihak yang meminta / menerima layanan disebut klien (client) dan yang memberikan / mengirim layanan disebut pelayan (server). Arsitektur ini disebut dengan sistem client server, dan digunakan pada hampir seluruh aplikasi jaringan komputer.

6 14 Macam macam Jaringan: A. Berdasarkan skala : a. Local Area Network (LAN): suatu jaringan komputer yang menghubungkan suatu komputer dengan komputer lain dengan jarak yang terbatas. b. Metropolitant Area Network (MAN): prinsip samadengan LAN, hanya saja jaraknya lebih luas, yaitu km. c. Wide Area Network (WAN): jaraknya antar kota, negara, dan benua. Ini sama dengan internet. B. Menurut (Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan fungsi masing masing komputer jaringan dapat dibagi menjadi: a. Peer to peer Peer to peer adalah jenis jaringan komputer dimana setiap komputer bisa menjadi server dan sekaligus client. Setiap komputer dapat menerima dan member access dari dank e-computer lainnya. Pola ini banyak di implementasikan pada jaringan LAN. b. Client Server Client server adalah jaringan komputer yang salah satunya di fungsikan menjadi server untuk melayani komputer lain. Komputer yang dilayani oleh server dinamakan client.

7 15 C. Menurut (Sofana, 2010, p. 114), jenis jenis topologi jaringan LAN di bagi menjadi : a. Topologi Bus Topologi bus menggunakan sebuah kabel backbone dan semua host terhubung secara langsung pada kabel backbone tersebut. b. Topologi Star Topologi star menghubungkan semua komputer pada sentral atau konsentrator, biasanya konsentrator adalah sebuah hub dan switch. c. Topologi Ring Topologi ring menghubungkan host dengan host lainnya hingga membentuk ring (lingkaran tertutup). d. Topologi Mesh Topologi mesh menghubungkan setiap komputer secara point to point yang berarti semua komputer akan saling terhubung satu dengan yang lainnya. Topologi ini biasanya digunakan pada lokasi kritis seperti instalasi nuklir. D. Berdasarkan media transmisi data a. Jaringan Berkabel (Wired Network) Pada jaringan ini, untuk menghubungkan satu komputer dengan komputer lain diperlukan penghubung berupa kabel jaringan. Kabel jaringan berfungsi dalam mengirim informasi dalam bentuk sinyal listrik antar komputer jaringan.

8 16 b. Jaringan Nirkabel (WI-FI) Jaringan nirkabel menjadi trend sebagai alternatif dari jaringan kabel, terutama untuk pengembangan Local Area Network (LAN) tradisional karena bisa mengurangi biaya pemasangan kabel dan mengurangi tugas-tugas relokasi kabel apabila terjadi perubahan dalam arsitektur jaringan. Topologi ini dikenal dengan berbagai nama, misalnya WLAN, WaveLAN, HotSpot, dan sebagainya. 2.4 Pengertian Teknologi Menurut (Miarso, 2007, p. 51), teknologi merupakan sistem yang diciptakan oleh manusia untuk sesuatu tujuan tertentu. Ia merupakan perpanjangan dari kemampuan manusia. Ia dapat kita pakai untuk menambah kemampuan kita menyajikan pesan, memproduksi barang lebih cepat dan lebih banyak, memproses data lebih banyak, memberikan berbagai macam kemudahan, serta untuk mengelola proses maupun orang. Teknologi sebagai produk ciptaan manusia tergantung bagaimana manusia merancangnya, memanfaatkannya, dan menerimanya. Teknologi yang berhasil memperingan kerja badan manusia, di lain pihak dapat menyebabkan pengangguran dan kejemuan kerja. Teknologi, karena sifatnya, mencampuri (mengintervensi) urusan manusia dengan lingkungannya, serta secara konseptual mencampuri peranan orang dalam dunianya.keberhasilan atau kegagalan orang dalam dunia yang digelutinya dapat disebabkan oleh teknologi yang dipakai atau dihadapinya.jadi nilai segala bentuk teknologi tergantung pada kegunaannya bagi umat manusia serta akibatnya bagi diri dan lingkungannya.

9 Pengertian Teknologi Informasi Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa manusia terhadap proses penyampaian informasi dari pengirim ke penerima sehingga pengiriman informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih lama penyimpanannya. Menurut (O'Brien & Marakas, 2007, p. 6), teknologi informasi adalah hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer. Jadi dapat disimpulkan teknologi informasi adalah hasil rekayasa buatan manusia yang digunakan untuk mengolah data untuk menghasilkan informasi yang berkualitas dan proses penyampaian informasi yang lebih cepat dan lebih luas. Sedangkan perbedaan teknologi informasi dan sistem informasi yaitu teknologi informasi merupakan infrastruktur yang digunakan untuk mengolah data menjadi informasi yang berkualitas dan sistem informasi merupakan sistem yang terdiri dari infrastruktur-infrastruktur yang digunakan dalam proses menghasilkan informasi. 2.6 Pengertian Manajemen Menurut (Anoraga, 2009, p. 110), manajemen adalah persoalan mencapai suatu tujuan tertentu dengan suatu kelompok orang.

10 18 Menurut (Robbins & Coulter, 2009, p. 7), manajemen adalah hal yang dilakukan oleh para manajer. Manajemen melibatkan aktivitas-aktivitas koordinasi dan pengawasan terhadap pekerjaan orang lain, sehingga pekerjaan tersebut dapat diselesaikan secara efisien dan efektif. 2.7 Pengertian Risiko Menurut (Basyaid, 2007, p. 1), risiko didefinisikan sebagai peluang terjadinya hasil yang tidak diinginkan sehingga risiko hanya terkait dengan situasi yang memungkinkan munculnya hasil negatif serta berkaitan dengan kemampuan memperkirakan terjadinya hasil negatiftadi. Menurut (Gondodiyoto & Hendarti, 2007, p. 110), risiko adalah suatu chances, perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa kontrol, namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan struktur pengendalian maksimal sekalipun Jenis Risiko Menurut (Gondodiyoto, 2009, pp )dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis : a. Risiko Bisnis (Business Risks) Risiko bisnis adalah risiko yang dapat disebabkan oleh factor-faktor internmaupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi. b. Risiko Bawaan (Inherent Risks) Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal.

11 19 c. Risiko Pengendalian (Control Risks) Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara optimal terhadap setiap potensi risiko.risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian. d. Risiko Deteksi (Detection Risks) Risiko deteksi ialah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya erroryang cukup materialitas atau adanya kemungkinan fraud. e. Risiko Audit (Audit Risks) Risiko audit sebenarnya kombinasi dari inherent risks, control risks, dan detection risks. Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya. 2.8 Pengertian Manajemen Risiko Menurut (Jones & Rama, 2008, p. 193), manajemen risiko adalah kegiatan pemimpinan puncak mengidentifikasi, mengevaluasi, menangani dan memonitor risiko bisnis yang dihadapi perusahaan mereka di masa yang akan datang. Menurut (Blokdijk, Engle, & Brewster, 2008), tugas manajemen risiko adalah mengelola risiko suatu proyek untuk risiko. Tujuannya adalah untuk mengelola risiko bahwa dengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat diterima dengan cara yang hemat biaya. Manajemen risiko meliputi : a. Akses yang bisa dipercaya, tentang risiko yang terbaru

12 20 b. Proses pengambilan keputusan didukung oleh kerangka analisis risiko dan proses evaluasi c. Memantau risiko d. Pengendalian yang tepat untuk menghadapi risiko Menurut (Sentosa, 2009, p. 157), manajemen risiko merupakan aplikasi dari manajemen umum yang secara khusus membahas strategi untuk mengatasi aktivitasaktivitas yang menimbulkan risiko terjadi. Jadi dapat disimpulkan manajemen risiko adalah proses menyeluruh yang secara khusus digunakan untuk membahas strategi, mengenali, mengukur, dan mengelola risiko. 2.9 Kinerja dalam Organisasi Publik Menurut (Wirawan, 2009), kinerja adalah keluaran yang dihasilkan oleh fungsi-fungsi atau indikator-indikator suatu pekerjaan atau suatu profesi dalam waktu tertentu.kinerja dalam organisasi merupakan jawaban dari berhasil atau tidaknya tujuan organisasi yang telah ditetapkan. Menurut (Dwiyanto, 2008, pp ), terdapat beberapa indikator kinerja, yaitu : 1. Produktivitas Karakteristik-karakteristik kepribadian individu yang muncul dalam bentuk sikap mental dan mengandung makna keinginan dan upaya individu yang selalu berusaha untuk meningkatkan kualitas kehidupannya.

13 21 2. Kualitas Layanan Banyak pandangan negatifyang terbentuk mengenai organisasi publik, muncul karena ketidakpuasan masyarakat terhadap kualitas layanan yang diterima dari organisasi publik. Dengan demikian kepuasan dari masyarakat bisa menjadi parameter untuk menilai organisasi publik. 3. Responsivitas Kemampuan organisasi untuk mengenali dan memenuhi kebutuhan masyarakat. Responsivitas perlu dimasukkan ke dalam indikator kinerja karena menggambarkan secara langsung kemampuan organisasi pemerintah dalam menjalankan misi dan tujuannya. 4. Responsibilitas Responsibilitas menjelaskan apakah pelaksanaan kegiatan organisasi publik itu dilakukan sesuai dengan prinsip-prinsip administrasi yang benar atau sesuai dengan kebijakan organisasi, baik yang eksplisit maupun implisit. 5. Akuntabilitas Akuntabilitas publik menunjukkan pada berapa besar kebijakan dan kegiatan organisasi publik tunduk pada pejabat politik yang dipilih oleh rakyat. Dalam konteks ini, konsep akuntabilitas publik dapat digunakan untuk melihat berapa besar kebijakan dan kegiatan organisasi publik itu konsisten dengan kehendak masyarakat banyak Pegukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S Menurut (A., Stevens, & Woody, 2005), OCTAVE is a suite of tools, techniques, and methods for risk-based information security strategic assessment

14 22 and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi pengamanan berdasarkan teknik perencanaan dan risiko. OCTAVE merupakan salah satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi. OCTAVE difokuskan pada risiko organisasi, hasil praktek dan strategi yang saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit operasional (atau bisnis) dan dari departemen teknologi informasi bekerja bersamasama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3 aspek utama : risiko operasional, praktek pengamanan, dan teknologi. Terdapat 3 jenis metode OCTAVE : a) Metode OCTAVE SM digunakan dalam membentuk dasar pengetahuan OCTAVE. b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan informasi dan jaminan. c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil. Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE, pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut manajemen risiko yang digunakan dalam metode-metode OCTAVE. Sarana dan keuntungan metode-metode OCTAVE adalah : a. Self directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang bekerja sama dengan divisi teknologi informasi untuk mengidentifikasi kebutuhan keamanan dari organisasi.

15 23 b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan lingkungan risiko perusahaan di berbagai level. c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi keamanan dan menempatkan teknologi di bidang bisnis OCTAVE OCTAVE adalah penilaian strategis berbasis risiko dan teknik perencanaan untuk keamanan informasi. Hal ini mengarahkan diri sendiri, yang berarti bahwa orang-orang dari dalam organisasi bertanggung jawab untuk menetapkan strategi keamanan organisasi. Pendekatan ini memanfaatkan pengetahuan masyarakat yang berhubungan dengan keamanan praktek organisasi mereka dan proses untuk menangkap keadaan saat praktek keamanan dalam organisasi. Risiko terhadap aset yang paling penting yang digunakan untuk memprioritaskan bidang perbaikan dan mengatur strategi keamanan untuk organisasi. Berbeda dengan penilaian teknologi yang berfokus yang ditargetkan pada risiko teknologi dan fokus pada isu-isu taktis, OCTAVE ditargetkan pada risiko organisasi dan terfokus pada strategi, praktik-isu terkait. Ini adalah evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar organisasi. Ketika menerapkan OCTAVE, sebuah tim kecil dari unit operasional atau bisnis dan departemen TI bekerja bersama untuk membentuk tim analisis dan kebutuhan keamanan organisasi. Tim Analisis: a. Mengidentifikasi aset informasi penting b. Fokus pada kegiatan analisis risiko atas aset kritis

16 24 c. Mempertimbangkan hubungan antara aset kritis, ancaman terhadap asetaset dan kerentanan (baik organisasi dan teknologi) yang dapat mengekspos aset untuk ancaman d. Mengevaluasi risiko dalam konteks operasional, yaitu, bagaimana aset penting yang digunakan untuk melakukan bisnis organisasi dan bagaimana mereka berisiko karena ancaman keamanan dan kerentanan e. Menciptakan praktik berbasis strategi perlindungan untuk perbaikan organisasi serta mitigasi resiko berencana untuk mengurangi risiko terhadap aset kritis organisasi OCTAVE SM Metode OCTAVE SM ini dikembangkan bersama-sama dengan perusahaan besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran buku pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered hierarchy dan digunakan untuk mempertahankan perhitungan infrastruktur mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan menginterpretasikan hasilnya dalam hubungan dengan asetaset yang berharga. Metode OCTAVE SM menggunakan pendekatan tiga fase untuk menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh tim analisis yang terdiri dari tiga sampai lima anggota perusahaan. Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan perusahaan, yang berfokus pada :

17 25 a) Identifikasi aset kritikal dan ancaman terhadap aset tersebut b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal yang mengekspos ancaman dan menimbulkan risiko perusahaan c) Mengembangkan strategi pelatihan berbasis proteksi dan rencana pengurangan risiko untuk mendukung misi dan prioritas perusahaan Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi penyelesaian masalah OCTAVE Allegro OCTAVE Allegro merupakan suatu metode varian modern yang berkembang dari metode octave yang dimana berfokus pada aset informasi. Seperti metode octave sebelumnya, octave allegro bisa ditampilkan di workshop-style, collaborative setting, tetapi octave allegro juga cocok untuk individu yang ingin menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yang luas, keahlian, dan masukan-masukan. Fokus utama dari octave allegro adalah aset informasi, aset lain yang penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada aset informasi yang terhubung dengan aset-aset organisasi tersebut. Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat: 1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran konsekuensi kriteria dengan pengemudi (orang yang menjalankan) organisasi : misi organisasi, sasaran tujuan/target dan faktor yang sangat menentukan.

18 26 2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang kritis yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi syarat keamanannya, dan mengidentifikasi semua wadahnya. 3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi dalam konteks wadahnya. 4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko pada aset informasi dan mulai dikembangkan OCTAVE-S Menurut (A., Stevens, & Woody, 2005), OCTAVE-S is a variation of the approach tailored to the limited means and unique constrains typically found in small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah variasi dan pendekatan OCTAVE yang dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100 orang). Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin terjadi. Salah satu metode analisa risiko keamanan sistem informasi suatu organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu mengelola risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap masing-masing risiko yang telah diketahui. Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan

19 27 sendiri. Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan menggunakan metode OCTAVE-S, maka perlu suatu sistem berbasis komputer yang mampu melakukan analisa risiko terhadap keamanan perusahaan sesuai dengan langkah-langkah metode OCTAVE-S. Dua aspek unik dari metode OCTAVE yang harus dipahami adalah : a. Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi dan proses pengamanan sehingga dapat menangani semua aktifitas OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu workshop formal dalam pengumpulan data untuk memulai suatu evaluasi. b. OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2. Organisasi kecil sering kali mengoutsourcekan servis dan fungsi teknologi informasi mereka, sehingga biasanya tidak bisa menggunakan dan menginterpretasikan alat evaluasi kerentanan. Bagaimanapun, kekurangan dari kemampuan organisasi untuk menjalankan alat seperti itu tidak mencegah suatu organisasi dalam menentukan sebuah strategi pengamanan Proses OCTAVE-S Menurut (A., Stevens, & Woody, 2005), proses OCTAVE-S terdiri dari 3 tahap :

20 28 Phase 1 : Build Asset-Based Threat Profiles Pada tahap ini, tim analisa mendefinisikan kriteria dampak evaluasi yang akan dipergunakan nantinya untuk mengevaluasi risiko. Dan juga mengidentifikasikan asset organisasi yang penting dan mengevaluasi prkatek keamanan yang sedang berjalan dalam organisasi. Pada akhirnya, tim mendefinisikan kebutuhan keamanan dan suatu profil ancaman untuk masingmasing asset yang kritis. Dalam tahap ini, proses yang sedang terjadi adalah : Process 1 : Identify Organizational Information Aktifitasnya : 1. a) Establish Impact Evaluation Criteria Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (high, medium, low) yang berlawanan dengan apa yang akan dievaluasi mengenai efek risiko dalam misi organisasi dan tujuan bisnis. 1. b) Identify Organizational Assets Langkah 2 : Mengidentifikasi asset-aset yang berhubungan dengan informasi dalam organisasi (informasi, sistem, aplikasi, orang-orang). 1. c) Evaluate Organizational Security Practices Langkah 3 dibagi menjadi dua : 1. Menentukan batasan-batasan pada setiap praktek dalam survey yang digunakan dalam organisasi.

21 29 2. Mengevaluasi masing-masing praktek pengamanan dengan mempergunakan survei dari langkah sebelumnya. Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (red, yellow, or green) untuk masingmasing area praktek pengamanan. Process 2 : Create Threat Profiles Aktivitasnya : 2. a) Select Critical Assets Langkah 5 :Mengkaji ulang aset-aset yang berhubungan dengan informasi yang telah diidentifikasi pada saat langkah 2 dan memilih kurang lebih 5 aset yang paling kritis dalam organisasi. Langkah 6 : Memulai sebuah Critical Asset Information Worksheet untuk masing-masing aset kritis yang ada pada Critical Asset Information Worksheet yang sesuai. Langkah 7 : Mencatat dasar pemikiran untuk memilih masing-masing aset kritis pada Critical Asset Information Worksheet. Langkah 8 : Mencatat uraian untuk masing-masing aset kritis pada Critical Asset Information Worksheet. Pertimbangkan siapa saja yang menggunakan masingmasing aset kritis seperti halnya siapa saja yang bertanggung jawab terhadap aset kritis tersebut. Langkah 9 : Mencatat aset yang berhubungan dengan masing-masing aset kritis pada Critical Asset Information

22 30 Worksheet.Mengacu pada Asset IdentificationWorksheet untuk menentukan aset yang berhubungan dengan aset kritis. 2. b) Identify Security Requirements for Critical Assets Langkah 10 : Mencatat pengamanan yang dibutuhkan untuk masing-masing aset kritis pada Critical Asset Information Worksheet. Langkah 11 : Untuk masing-masing aset kritis, catat kebutuhan keamanan yang paling penting pada asetaset tersebut yang ada di dalam Critical Asset Information Worksheet. 2. c) Identify Threats to Critical Assets Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk masing-masing aset yang kritis. Tandai masing-masing bagian dari tiap skema untuk ancaman yang tidak penting terhadap aset.saat melengkapi langkah ini, apabila menemukan kesulitan dalam menafsirkan sebuah ancaman dalam skema ancaman, periksa kembali gambaran dan contoh dari ancaman tersebut dalam Threat Translation Guide. Langkah 13 : Mencatat contoh spesifik dari perilaku ancaman pada Risk Profile Worksheet untuk setiap kombinasi motif pelaku yang sesuai.

23 31 Langkah 14 : Mencatat seberapa besar kekuatan dari motif ancaman yang disengaja yang disebabkan oleh pelaku. Catat seberapa besar perkiraan kekuatan motif dari pelaku. Langkah 15 : Mencatat seberapa sering ancaman-ancaman tersebut terjadi di masa lampau. Dan juga catat seberapa keakuratan data. Langkah 16 : Catat area terkait untuk setiap sumber ancaman yang sesuai. Area terkait merupakan suatu skenario yang menjelaskan bagaimana ancaman spesifik dapat mempengaruhi aset kritis. Phase 2 : Identify Infrastructure Vulnerabilities Selama tahap ini, tim analisa melaksanakan high level review dari infrastruktur organisasi, berfokus pada sejauh mana maintainers dari infrastruktur mempertimbangkan keamanan. Tim analisa menganalisa bagaimana orang-orang menggunakan infrastruktur untuk mengakses akses yang kritis, menghasilkan kelas kunci dari komponen seperti halnya siapa yang bertanggung jawab untuk mengatur dan memelihara komponen itu. Process 3 : Examine Computing Infrastructure in Relation to Critical Assets

24 32 Aktifitasnya : 3. a) Examine Access Paths Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis (yaitu sistem yang paling berkaitan erat pada aset kritis). Langkah 18 dibagi menjadi 5 : 1. Memeriksa kembali jalur yang digunakan untuk mengakses setiap aset kritis dan memilih kelas kunci dari komponen yang berhubungan pada masing-masing aset kritis. 2. Menentukan kelas mana dari komponen yang bertugas sebagai perantara jalur aset (yaitu komponen yang biasanya mengirimkan informasi dan aplikasi dari system of interest kepada orang-orang). 3. Menentukan kelas mana dari komponen, baik internal dan eksternal untuk jaringan organisasi, yang digunakan oleh orang-orang (misalnya, pengguna, penyerang) untuk mengakses sistem. 4. Menentukan di mana informasi dari system of interestdisimpan untuk membuat backup. 5. Menentukan sistem akses informasi dan aplikasiaplikasi dari system of interestdan kelas dari komponen lain yang mana yang dapat digunakan sebagai aset yang kritis.

25 33 3. b) Analyze Technology-Related Processes Langkah 19 dibagi menjadi 2 : 1. Menentukan kelas dari komponen yang terkait dari satu atau lebih aset kritis dan yang dapat mendukung akses ke aset-aset tersebut. Tandai jalur pada setiap kelas yang terpilih pada langkah 18. Mencatat subclasses yang cocok atau contoh spesifik pada saat dibutuhkan. 2. Untuk setiap kelas dari komponen yang didokumentasikan pada langkah sebelumnya, catat aset kritis yang berhubungan terhadap kelas tersebut. Langkah 20 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat orang atau grup yang bertanggung jawab untuk memelihara dan mengamankan kelas komponen tersebut. Langkah 21 : Untuk setiap kelas dari komponen yang didokumentasikan di langkah 19.1, catat sejauh mana kelas tahan terhadap serangan jaringan. Kemudian catat bagaimana kesimpulan tersebut didapatkan.pada akhirnya dokumentasikan semua tambahan konteks yang relevan terhadap analisa infrastruktur. Phase 3 : Develop Security Strategy and Plans Selama tahap 3, tim analisa mengidentifikasikan risiko ke aset kritis organisasi dan memutuskan apa yang harus dilakukan terhadap

26 34 aset kritis tersebut. Berdasarkan pada analisa dari informasi yang dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan rencana untuk mengurangi dan mengatasi risiko aset-aset kritis. Process 4 : Identify and Analyze Risks Aktifitasnya : 4. a) Evaluate Impacts of Threats Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan, menentukan nilai dampak (high, medium, low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis. 4. b) Establish Probability Evaluation Criteria Langkah 23 : Mendefinisikan ukuran kualiatatif dari pengukuran (high, medium, low) yang bertentangan terhadap kemungkinan ancaman yang akan terjadi pada saat evaluasi. 4. c) Evaluate Probabilities of Threats Langkah 24 : Menggunakan kemungkinan kriteria evaluasi sebagai suatu panduan, menentukan suatu nilai kemungkinan (high, medium, low) untuk setiap ancaman yang aktif untuk masing-masing aset kritis. Mendokumentasikan taraf kepercayaan pada estimasi kemungkinan tersebut. Process 5 : Develop rotection Strategy and Mitigation Plans Aktifitasnya : 5. a) Describe Current Protection Strategy Langkah 25 : Mentransfer stoplightstatus pada masing-masing area praktek pengamanan terhadap area tanggapan pada Protection Strategy Worksheet. Untuk masing-masing area

27 35 praktek pengamanan, identifikasi pendekatan organisasi saat ini untuk menangani area tersebut. 5. b) Select Mitigation Approaches Langkah 26 : Mentransfer stoplightstatus dari masing-masing area praktek pengamanan dari Security Practice Worksheet ke bagian Security Practice Area dari masing-masing aset kritis pada Risk Profile Worksheet. Langkah 27 : Memilih salah satu pendekatan pengurangan risiko (mengurangi, menunda, menerima) untuk masing-masing risiko aktif. 5. c) Develop Risk Mitigation Plans Langkah 28 : Mengembangkan rencana pengurangan beban untuk masing-masing area praktek pengamanan yang dipilih selama langkah d) Identify Changes to Protection Strategy Langkah 29 :Menentukan apakah rencana pengurangan risiko mempengaruhi strategi pengamanan organisasi. Catat semua perubahan apapun pada Protection Strategy Worksheet. 5. e) Identify Next Steps Langkah 30 : Menentukan apa yang dibutuhkan oleh organisasi, mengimplementasikan keamanan dari hasil dari evaluasi serta meningkatkan keamanan.

28 OCTAVE-S outputs Menurut (A., Stevens, & Woody, 2005), hasil utama dari OCTAVE-S memiliki 3 strata dan meliputi : 1. Organization Wide Protection Strategy : memperhatikan praktek pengamanan informasi. 2. Risk Mitigation Plans : rencana ini dimaksudkan untuk mengurangi risiko terhadap aset kritis dengan meningkatkan praktek keamanan yang dipilih. 3. Action List : ini termasuk tindakan jangka pendek yang digunakan untuk menunjukkan kekurangan spesifik. Kegunaan Output OCTAVE-S lainnya, meliputi : a. Daftar dari aset-aset yang berhubungan dengan informasi penting yang mendukung tujuan dan sasaran bisnis organisasi. b. Hasil survey menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik. c. Profil risiko masing-masing aset kritis yang menggambarkan jangkauan risiko terhadap aset tersebut. Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang dapat dipakai bahkan suatu evaluasi kecilakan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi.