BAB II TINJAUAN PUSTAKA

dokumen-dokumen yang mirip
BAB II TINJAUAN PUSTAKA

BAB 2 TINJAUAN PUSTAKA

ABSTRAK. Kata Kunci:pengukuran risiko, risiko TI, Teknologi Informasi, metode OCTAVE Allegro. Universitas Kristen Maranatha

BAB III METODOLOGI PENELITIAN

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BERITA NEGARA REPUBLIK INDONESIA

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

BAB 2. Landasan Teori. (hardware) dan perangkat lunak (software) yang digunakan oleh sistem

Manajemen Risiko Sistem Informasi Akademik pada Perguruan Tinggi Menggunakan Metoda Octave Allegro

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB III ANALISIS METODOLOGI

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

DAFTAR ISI CHAPTER 5

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

UNIVERSITAS INDONESIA

1.1 Latar Belakang Masalah

INTERNATIONAL STANDARD

BAB II LANDASAN TEORI. 2.1 Konsep Dasar Sistem, Informasi Dan Akuntansi

BAB I PENDAHULUAN. I.1 Latar Belakang

MENGUKUR INDEKS KEAMANAN INFORMASI DENGAN METODE OCTAVE BERSTANDAR ISO PADA UNIVERSITAS ALMUSLIM-BIREUEN

B6 Seminar Nasional Teknologi Informasi 2016

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Taryana Suryana. M.Kom

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BERITA DAERAH KOTA BEKASI

Kebijakan Manajemen Risiko PT Semen Indonesia (Persero) Tbk.

BAB III METODOLOGI PERANCANGAN. Berikut merupakan bagan kerangka pikir penulisan thesis ini :

COBIT (Control Objectives for Information and Related Technology)

BAB 1 PENDAHULUAN Latar Belakang

PENGERTIAN DAN TUJUAN AUDIT

III. METODOLOGI. Tahap Investigasi Sistem. Tahap Analisa Sistem. Tahap Perancangan Sistem. Tahap Penerapan Sistem. Tahap Pemeliharaan Sistem

PRAKTEK PENILAIAN RISIKO

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

KONSEP AUDIT SI. Pertemuan ke 5 Mata Kuliah Tata Kelola dan Audit Sistem Informasi. Diema Hernyka S, M.Kom

Catatan informasi klien

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

PROJECT MANAGEMENT BODY OF KNOWLEDGE (PMBOK) PMBOK dikembangkan oleh Project Management. Institute (PMI) sebuah organisasi di Amerika yang

COBIT dalam Kaitannya dengan Trust Framework

tidak termasuk pada model penelitian ini (pengaruh faktor lain). yaitu pengaruh signifikan oleh unsur kegiatan pengendalian (X 6 ) sebesar

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

PERENCANAAN MANAJEMEN RESIKO

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

BUPATI KULON PROGO PERATURAN BUPATI KULON PROGO NOMOR 65 TAHUN 2012 TENTANG PENERAPAN MANAJEMEN RISIKO PADA PEMERINTAH DAERAH

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

LAMPIRAN I SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 14/SEOJK.03/2015 TENTANG PENERAPAN MANAJEMEN RISIKO TERINTEGRASI BAGI KONGLOMERASI KEUANGAN

Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013

BAB II LANDASAN TEORI

II. PERAN DAN TANGGUNG JAWAB DIREKSI

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

2013, No BAB I PENDAHULUAN

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BUPATI LUWU UTARA PROVINSI SULAWESI SELATAN PERATURAN BUPATI LUWU UTARA NOMOR 64 TAHUN 2017 TENTANG

Semester Ganjil 2014 Fak. Teknik Jurusan Teknik Informatika Universitas Pasundan. Caca E. Supriana, S.Si.,MT.

MODEL PENILAIAN KAPABILITAS PROSES OPTIMASI RESIKO TI BERDASARKAN COBIT 5

PROVINSI BANTEN PERATURAN BUPATI PANDEGLANG DENGAN RAHMAT TUHAN YANG MAHA ESA BUPATI PANDEGLANG,

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB I PENDAHULUAN. nasabah yang meningkat, menjadi alasan tingginya eskalasi persaingan antar bank.

Arsitektur Sistem Informasi. Tantri Hidayati Sinaga, M.Kom.

PERATURAN MENTERI KELAUTAN DAN PERIKANAN REPUBLIK INDONESIA,

Q # Pertanyaan Audit Bukti Audit 4 Konteks Organisasi 4.1 Memahami Organisasi dan Konteksnya

Bab II Tinjauan Pustaka

BAB 2 LANDASAN TEORI. Teori-teori yang menjadi dasar penulisan adalah sebagai berikut :

Standar Audit SA 300. Perencanaan Suatu Audit atas Laporan Keuangan

BAB 1 PENDAHULUAN 1.1 Latar Belakang

MENTERI KEUANGAN REPUBLIK INDONESIA SALIN AN

BAB 2 TINJAUAN PUSTAKA

Audit Teknologi Sistem Informasi. Pertemuan 1 Pengantar Audit Teknologi Sistem Informasi

BAB I PENDAHULUAN. dan/atau karya rekam secara profesional dengan sistem yang baku guna

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

INFRASTRUCTURE SECURITY

Indah Kusuma Dewi 1, Fitroh 2, Suci Ratnawati 3

Waktu yang lebih efisien. Lebih Aman. Memahami dan Memilih Tool Manajemen Network

PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI DENGAN METODE OCTTAVE-S

ANALISA STRATEGIS SI/TI: MENILAI DAN MEMAHAMI KONDISI SAAT INI. Titien S. Sukamto

BAB II TINJAUAN PUSTAKA. tujuan tertentu melalui tiga tahapan, yaitu input, proses, dan output. yang berfungsi dengan tujuan yang sama.

BAB 1 PENDAHULUAN 1.1 Latar Belakang

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

Kebijakan Manajemen Risiko

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

SISTEM INFORMASI MANAJEMEN

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

E-Government Capacity Check

METODOLOGI PENELITIAN

MANAJEMEN LAYANAN SISTEM INFORMASI SERVIS STRATEGI & DESIGN 2KA30

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

BAB III METODOLOGI PENELITIAN

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Stara 1, Program Studi Teknik Informatika Universitas Pasundan Bandung.

Daftar Pertanyaan Wawancara. 2. Bagaimana struktur organisasi instansi, beserta tugas dan tanggung jawab tiap

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

Transkripsi:

BAB II TINJAUAN PUSTAKA 2.1. Teori-Teori Umum 2.1.1. Sistem Menurut Mulyadi (1997) sistem pada dasarnya adalah sekelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersama-sama untuk mencapai tujuan tertentu. Menurut James O Brien (2006) sistem adalah sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. Menurut McLeod (2004) sistem adalah sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan. 2.1.2. Data Menurut McLeod (2004) data terdiri dari fakta-fakta dan angka yang relatif tidak berarti bagi pemakai. Menurut James O Brien (2006) data adalah fakta atau observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis. 5

6 2.1.3. Informasi Informasi merupakan aset yang mempunyai nilai bagi organisasi dan membutuhkan perlindungan. Menurut James O Brien (2006) informasi adalah data yang telah diubah menjadi konteks yang berarti dan berguna bagi para pemakai akhir tertentu.menurut McLeod (2004) informasi adalah data yang telah diproses, atau data yang memiliki arti. 2.1.4. Sistem Informasi Menurut Wilkinson (1995) sistem informasi adalah suatu kerangka yang menjadi alat antara bagi sumber-sumber daya yang terkoordinasi guna mengumpulkan, memproses, mengendalikan, dan mengelola data dalam tahapan yang berurutan dengan tujuan untuk menghasilkan informasi yang disampaikan melalui jaringan komunikasi ke berbagai pemakai untuk satu tujuan atau lebih. Menurut James O Brien (2006) sistem informasi adalah kombinasi teratur apa pun dari orang-orang, perangkat keras, perangkat lunak, jaringan komunikasi, dan sumber daya yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.

7 2.2. Teori-Teori Khusus 2.2.1. Manajemen Risiko dan Penilaian Risiko Carol woody ( 2006) menjelaskan manajemen risiko merupakan suatu proses berulang yang membahas analisa, perencanaan, implementasi, kontrol dan pengawasan terhadap kebijakan dan pengukuran implementasi kebijakan keamanan. Sebaliknya, penilaian risiko dilakukan pada waktu tertentu (contohnya setahun sekali, dll) dan memberikan gambaran sementara penilaian risiko dan juga memberikan ukuran terhadap proses manajemen risiko. Wright (1999) menyatakan bahwa manajemen risiko merupakan proses membangun dan memelihara keamanan sistem informasi di dalam organisasi. Wright juga menambahkan jantung dari manajemen risiko adalah penilaian risiko dimana risiko dari sistem diidentifikasi dan dievaluasi untuk menyesuaikan kontrol keamanan. Hubungan antara manajemen risiko dan penilaian risiko terlihat dari Gambar 1 di bawah ini.

8 Gambar 1. Hubungan antara manajemen risiko dan penilaian risiko (Carol Woody, 2006 ) Technical Department of European Network and Information Security Agency (ENISA) Section Risk Management (2006) menjelaskan manajemen risiko adalah proses penilaian pada alternatif kebijakan yang dikonsultasikan kepada pihak terkait, yang berhubungan dengan penilaian risiko dan dan faktor yang sah lainnya, dan memilih pencegahan yang tepat dan pilihan kontrol. Dari penjelasan ini, Technical Department of ENISA Section Risk Management juga memberikan daur hidup siklus dari manajemen risiko yang tergambar pada Gambar 2. Daur hidup siklus ini tersusun atas : Definisi dari ruang lingkup: Proses pembentukan parameter global atas kinerja manajemen risiko dalam sebuah organisasi. Dalam definisi ruang lingkup manajemen risiko, baik faktor internal dan eksternal harus diperhitungkan.

9 Penilaian risiko: Suatu proses ilmiah dan berbasis teknologi berbasis terdiri dari tiga langkah, identifikasi risiko, analisis risiko dan evaluasi risiko. Tindakan atas risiko: Proses seleksi dan implementasi tindakan untuk memodifikasi risiko. Komunikasi mengenai risiko: Suatu proses untuk saling bertukar informasi atau berbagi tentang risiko antara pembuat keputusan dan pemangku kepentingan lainnya di dalam dan di luar organisasi. Memantau dan meninjau kembali: Suatu proses untuk mengukur efisiensi dan efektivitas organisasi dalam manajemen risiko adalah pembentukan proses pemantauan dan proses peninjauan kembali. Proses ini memastikan bahwa aksi rencana pengelolaan yang ditentukan tetap relevan dan diperbarui. Proses ini juga menerapkan pengendalian kegiatan termasuk evaluasi ulang dari lingkup dan sesuai dengan keputusan.

10 Gambar 2. Daur hidup manajemen risiko (Technical Department of ENISA Section Risk Management, 2006) 2.2.2. Metode Penilaian Risiko Biasanya, organisasi melakukan analisis risiko dengan tujuan menyesuaikan praktek dan kontrol keamanan mereka dengan tingkat risiko yang dapat diterima (Tsoumas dan Tryfons, 2004). ISO/ISEC 17799 telah mendefinisikan penilaian risiko sebagai sebuah pertimbangan yang sistematis dari:

11 a. Hal yang membahayakan bisnis yang mungkin merupakan akibat dari kegagalan keamanan, dengan mempertimbangkan konsekuensi potensial dari hilangnya kerahasiaan, integritas atau ketersediaan informasi dan aset lainnya. b. Kemungkinan realistis seperti kegagalan yang terjadi dalam menggali informasi ancaman dan kerentanan yang ada, dan kontrol yang diterapkan saat ini. Technical Department of ENISA Section Risk Management telah membuat daftar dari metode yang ada. Perlu diketahui, daftar yang dibuat ini tidak mencakup seluruh metode yang ada pada saat daftar ini dibuat. Daftar yang dibuat ini merupakan daftar terbuka, yang artinya metode metode baru akan ditambahkan di masa yang akan datang. Metode metode khusus yang tidak dicantumkan dalam daftar ini adalah : High-level reference documents: dokumen seperti panduan ISO 73 tidak dicantumkan dalam daftar ini. Metode Non RA/RM : metode yang tidak diklasifikasikan sebagai metode RA/RM berdasarkan definisi metode tersebut. Metode yang tidak diketahui : beberapa metode yang tidak dapat diakses dokumentasinya.

12 Metode yang berorientasi terhadap manajemen secaral general (contoh: corporate governance): contohnya Cobit, Basel II, tidak dicantumkan karena alasan ini. Metode yang berorientasi terhadap produk atau sistem keamanan : contohnya Common Criteria. Berikut ini adalah metode-metode yang biasanya digunakan untuk melakukan penilaian risiko, yaitu: Austrian IT Security Handbook CRAMM Dutch A&K analysis EBIOS ISF methods for risk assessment and risk management ISO/IEC IS 13335-2 (ISO/IEC IS 27005) ISO/IEC IS 17799:2005 ISO/IEC IS 27001 (BS7799-2:2002) IT-Grundschutz (IT Baseline Protection Manual) MARION

13 MEHARI OCTAVE SP800-30 (NIST) Perbandingan dari metode-metode tersebut dapat dilihat pada Tabel 1 di bawah ini. Dapat dilihat bahwa metode OCTAVE memiliki kelebihan, yaitu mempunyai semua atribut yang diperlukan dalam melakukan penilaian risiko. Selain itu, OCTAVE sifatnya bebas biaya dan cocok untuk organisasi yang kecil dan menengah.

14 Tabel 1. Perbandingan metode penilaian risiko (Technical Department of ENISA Section Risk Management, 2006) 2.2.3. OCTAVE OCTAVE adalah metodologi yang digunakan untuk mengidentifikasi dan mengevaluasi information security risks. Penggunaan OCTAVE sendiri ditujukan untuk membantu perusahaan dalam hal :

15 - Mengembangkan kriteria evaluasi risiko kualitatif yang menggambarkan toleransi risiko operasional perusahaan - Mengidentifikasikan aset yang penting bagi misi perusahaan - Mengidentifikasi kerentanan dan ancaman bagi aset tersebut - Menentukan dan mengevaluasi akibat yang mungkin terjadi bagi perusahaan jika ancaman tersebut terjadi Metodologi OCTAVE yang ada saat ini Sekarang ini (Maret 2011) terdapat tiga varian OCTAVE yang bisa digunakan. Varian tersebut adalah : OCTAVE method, OCTAVE-S, dan OCTAVE Allegro. Ketiga metode tersebut bukanlah metode yang saling melengkapi, atau menggantikan satu sama lain. Penggunaan ketiga metode tersebut dimaksudkan untuk memenuhi kebutuhan spesifik dari pengguna OCTAVE yang ingin melakukan penilaian risiko. Berikut ini akan dijelaskan secara singkat mengenai ketiga metode tersebut. Metode OCTAVE Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan. Metode OCTAVE dilakukan dengan cara diadakannya rangkaian workshop dan difasilitasi oleh tim analisis yang dibuat dari unit bisnis yang ada didalam perusahaan dan departemen IT.

16 Metode OCTAVE ditujukan untuk perusahaan besar yang memiliki lebih dari 300 orang staf. Secara spesifik, metode OCTAVE didesain untuk perusahaan yang memiliki karakteristik sebagai berikut: - memiliki multi level hirarki - mengurus infrastruktur IT mereka sendiri - memiliki kemampuan untuk melakukan alat evaluasi kerentanan - memiliki kemampuan untuk menginterpretasikan hasil dari evaluasi kerentanan Gambar 3. Langkah langkah OCTAVE (Carol Woody, 2006 ) OCTAVE-S Pengembangan OCTAVE-S didukung oleh program Technology Insertion, Demonstration, and Evaluation (TIDE) pada SEI (Software Engineering Institute), yang bertujuan untuk membawa pendekatan OCTAVE

17 pada perusahaan kecil. Versi terkini dari OCTAVE-S (versi 1.0) dirancang secara spesifik untuk perusahaan yang memiliki 100 staf atau kurang. Sejalan dengan OCTAVE method, OCTAVE-S juga terdiri dari tiga tahap. Namun, OCTAVE-S dilakukan oleh tim analisis yang memiliki pengetahuan mendalam tentang perusahaan. Maka daripada itu, OCTAVE-S tidak mengandalkan informasi yang dikumpulkan dari workshop yang dilakukan karena OCTAVE-S mengambil asumsi bahwa tim analisis (biasanya terdiri dari tiga atau lima orang) memiliki pengetahuan dari aset penting yang berhubungan dengan informasi, kebutuhan keamanan, ancaman, dan praktek keamanan didalam perusahaan. OCTAVE Allegro Tujuan yang ingin dicapai oleh OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan risiko operasional suatu organisasi dengan tujuan menghasilkan hasil yang lebih baik tanpa perlu pengetahuan yang luas dalam hal penilaian risiko. Pendekatan ini berbeda dari pendekatan OCTAVE, dimana OCTAVE Allegro lebih berfokus terhadap aset informasi dalam konteks bagaimana mereka digunakan, dimana mereka disimpan, dipindahkan, dan diolah, dan bagaimana mereka terkena ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.

18 Gambar 4. Langkah langkah OCTAVE Allegro (Richard A. Caralli, 2007) Tahap tahap OCTAVE Allegro Terdapat empat tahap dalam OCTAVE Allegro, yaitu: 1. Membangun drivers, dimana perusahaan mengembangkan kriteria pengukuran risiko yang konsisten dengan organizational drivers (hal-hal yang menggerakkan organisasi). 2. Membuat profil aset, dimana aset yang menjadi fokus dari penilaian risiko diidentifikasi dan digambarkan, dan asset container diidentifikasikan.

19 3. Mengidentifikasi ancaman, dimana ancaman terhadap aset (dalam lingkup container mereka) diidentifikasikan dan didokumentasikan melalui proses terstruktur. 4. Mengidentifikasi dan mengurangi risiko, dimana risiko yang diidentifikasikan dan dianalisis yang didasari dari informasi ancaman, dan rencana mitigasi dikembangkan dalam menanggapi risiko tersebut. Langkah langkah OCTAVE Allegro Dari tahap-tahap tersebut, terdapat delapan langkah OCTAVE Allegro, yaitu: 1. Membangun kriteria pengukuran risiko Pada langkah pertama ini, organizational driver yang akan digunakan untuk mengevaluasi akibat dari sebuah risiko terhadap misi dan tujuan bisnis perusahaan diidentifikasi. Kriteria pengukuran risiko digunakan untuk mengevaluasi akibat dalam masing masing area dan memprioritaskannya. Di dalamnya terdapat ukuran ukuran kualitatif yang risikonya dapat dievaluasi dan membentuk dasar dari penilaian risiko sistem informasi. 2. Membangun profil aset informasi Langkah kedua adalah membangun profil aset informasi atas aset aset perusahaan. Profil merupakan representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik. Metode ini

20 berguna untuk meyakinkan bahwa aset tersebut secara jelas dan konsisten digambarkan sehingga dapat menghindari definisi yang ambigu dari batasbatas aset dan memudahkan dalam menyusun kebutuhan keamanan informasi. 3. Mengidentifikasi container dari aset informasi Container adalah tempat dimana aset informasi disimpan, dikirim, dan diproses. Dalam langkah ketiga, semua container yang menyimpan, mengirim, dan memproses, baik internal maupun eksternal diidentifikasikan. 4. Mengidentifikasikan area yang diperhatikan Langkah keempat merupakan proses identifikasi risiko melalui cara brainstorming mengenai kondisi atau situasi yang memungkinkan yang dapat mengancam aset informasi perusahaan. Tujuan dari proses ini adalah secara cepat mengetahui situasi atau kondisi yang terlintas secara tiba tiba dalam benak tim analisis. 5. Mengidentifikasi skenario ancaman Dalam langkah kelima ini, area area yang telah diidentifikasi pada langkah sebelumnya diperluas menjadi skenario ancaman yang lebih jauh mendetailkan properti dari sebuah ancaman dengan menggunakan sebuah threat tree. Langkah ini berguna untuk memberikan pertimbangan atas kemungkinan dalam skenario ancaman. Kemungkinan ini kemudian dibagi ke dalam high, medium, atau low.

21 6. Mengidentifikasi risiko Pada langkah keenam, konsekuensi bagi organisasi jika sebuah ancaman terjadi dicatat, dalam mendapatkan gambaran risiko secara lengkap. Sebuah ancaman dapat mempunyai akibat akibat yang potensial bagi organisasi. 7. Menganalisa risiko Pada langkah ketujuh, pengukuran kuantitatif sederhana dari sejauh mana organisasi terkena dampak dari threat dihitung. Nilai risiko relatif didapatkan dengan cara mempertimbangkan sejauh mana konsekuensi atas dampak risiko terhadap berbagai impact area, dan memperkirakan kemungkinannya. 8. Memilih pendekatan pengurangan risiko Dalam langkah terakhir dari proses Octave Allegro ini, organisasi menentukan risiko yang memerlukan mitigasi dan mengembangkan strategi untuk mengurangi risiko tersebut. Hal ini dilakukan dengan cara memprioritaskan risiko risiko berdasarkan nilai risiko relatif, kemudian mengembangkan strategi mitigasi dengan mempertimbangkan nilai dari aset dan kebutuhan keamanan, kontainer atas aset, serta lingkungan operasional yang unik dari organisasi.

22 2.2.4. Ancaman Ancaman (Richard A. Caralli, 2007) adalah indikasi dari kemungkinan munculnya kejadian yang tidak diharapkan. ancaman mengacu kepada situasi (atau skenario) dimana seseorang dapat melakukan tindakan yang tidak diharapkan (contohnya seorang penyerang memulai denial of service terhadap server email perusahaan) atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan (sebagai contoh kebakaran yang merusak perangkat keras sistem informasi perusahaan). Sebuah ancaman diciptakan ketika seorang aktor mengeksploitasi celah kerentanan dari sebuah sistem. 2.2.5. Kerentanan Menurut Michael dan Herbert (2010), kerentanan adalah jalan tertentu dimana agen dari ancaman dapat masuk untuk menyerang aset informasi. 2.2.6. Risiko Jake Koun (2010) menjelaskan risiko adalah pengukuran kuantitatif dari potensi kerusakan yang disebabkan ancaman, celah keamanan, atau dari suatu peristiwa (memiliki niat jahat atau tidak) yang mempengaruhi sekeumpulan aset teknologi informasi yang dimiliki oleh perusahaan. Paparan terhadap risiko (yaitu,

23 menjadi subjek dari peristiwa yang menimbulkan risiko) menyebabkan kerugian potensial, dan risiko adalah suatu ukuran dari kerugian "rata-rata" (tipikal) yang bisa diharapkan dari paparan tersebut. Risiko, maka daripada itu, adalah ukuran kuantitatif dari kerusakan yang dapat terjadi terhadap aset tertentu bahkan setelah sejumlah pencegahan keamanan informasi telah digunakan oleh organisasi Christopher Alberts (2002) menjelaskan risiko sebagai kemungkinan terkena kerusakan atau kerugian. Hal ini mengacu pada situasi dimana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan, yang menghasilkan dampak negatif. Gary Stoneburner (2002) menjelaskan risiko adalah sebuah fungsi dari kemungkinan terjadinya sebuah ancaman yang berhubungan dengan celah keamanan potensial, dan dampak yang dihasilkan dari peristiwa yang merugikan tersebut pada organisasi. 2.2.7. Aset informasi Choo (1988) mendefinisikan aset informasi sebagai bagian informasi yang didefinisikan serta disimpan dengan cara apapun yang diakui sebagai hal yang berharga bagi organisasi. Jake Koun (2010) mendefinisikan aset informasi sebagai elemen data aktual, catatan, arsip, sistem perangkat lunak (aplikasi), dan sebagainya.

24 2.2.8. Keamanan Informasi Menurut Whitman (2010) keamanan informasi adalah perlindungan terhadap informasi dan karakteristik kritikal yang dimilikinya (confidentiality, integrity, dan availability), termasuk didalamnya sistem dan perangkat keras yang mengunakan, menyimpan, dan mengirimkan informasi tersebut, melalui penerapan kebijakan, pelatihan dan program kesadaran akan keamanan informasi, dan teknologi. Menurut Schwartz (1990), kerugian yang terkait keamanan informasi akan terus terjadi dan dampaknya akan menghancurkan organisasi. Menurut Saint- Germain (2005), organisasi perlu mengidentifikasikan dan menerapkan kontrol yang tepat untuk menjamin keamanan informasi yang memadai. Van de Haar dan Von Solms (2003) menyatakan bahwa kontrol keamanan informasi membantu organisasi dalam menyediakan tingkat keamanan yang dibutuhkan organisasi untuk informasi mereka. keamanan informasi yang efektif dapat dicapai melalui usaha bersama dari information system owner, user, custodian, security personnel, customer, dan stakeholder lainnya yang bertanggung jawab (Conner & Swindle, 2004). Dari hal hal diatas dapat disimpulkan bahwa keamanan informasi bergantung terhadap kontrol keamanan informasi yang diterapkan perusahaan. Pengaruh pemilik informasi maupun custodian dalam menggunakan informasi dan menjaga informasi juga memberikan sumbangsih terhadap keamanan informasi. Dan dampak dari tidak tersedianya kontrol keamanan informasi yang memadai, dapat memberikan kerugian yang bisa terus menerus terjadi jika langkah langkah penerapan kontrol tidak dilakukan. (Richard A. Caralli, 2007).

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan