Bab II LANDASAN TEORI - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/TSA-2010-0063...

5

Bab II

LANDASAN TEORI

2.1 Teknologi Informasi

2.1.1 Pengertian Informasi

Menurut Turban (2003, p15), informasi adalah sebuah kumpulan dari

data yang terorganisir dari berbagai cara yang bermanfaat bagi penerima

informasinya.

Menurut Mcleod (2008, p15), informasi adalah data yang telah diproses

atau data yang memiliki arti.

Jadi, informasi adalah kumpulan data yang sudah diolah menjadi suatu

bentuk lain yang lebih berguna yaitu pengetahuan atau keterangan yang

ditujukan bagi penerima dalam pengambilan keputusan, baik masa sekarang

atau yang akan datang.

2.1.2 Pengertian Teknologi Informasi

Menurut Sawyer dan Willams (2006, p3), teknologi informasi adalah

istilah umum yang mendeskripsikan berbagai teknologi yang membantu untuk

memproduksi, manipulasi, penyimpanan, komunikasi dan menyebarluaskan

informasi.

6

Menurut Turban, Rainer, dan Potter (2003, p3), teknologi informasi

adalah kumpulan dari komponen teknologi individu yang secara khusus diatur

dalam komputer berbasis sistem informasi.

Menurut Thompson dan Cats-Baril (2003, p3), teknologi informasi

adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu alat

untuk menangkap, menyimpan, memproses dan menghasilkan digital.

Jadi, pengertian teknologi informasi adalah suatu teknologi yang

digunakan untuk mengolah data, termasuk memproses, mendapatkan,

menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk

menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat

dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan

pemerintahan dan merupakan informasi yang strategis untuk pengambilan

keputusan. Teknologi ini menggunakan seperangkat komputer untuk mengolah

data, sistem jaringan untuk menghubungkan satu komputer dengan komputer

yang lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi

digunakan agar data dapat disebar dan diakses secara global.

2.1.3 Infrastruktur Teknologi Informasi

2.1.3.1 Hardware dan Software

Menurut Haag, Cummings and McCubbrey (2005, p15), ada dua

kategori dasar dalam teknologi yaitu hardware dan software. Hardware

terdiri dari peralatan fisik yang menyusun sebuah komputer (sering dikenal

7

sebagai sistem komputer). Software adalah kumpulan instruksi-instruksi

yang menjalankan hardware untuk menyelesaikan tugas tertentu.

Hardware dibagi menjadi 6 kategori, yaitu (1) input device, (2)

output device, (3) storage device, (4) CPU dan RAM, (5)

telecommunications, (6) connecting device.

Input device adalah peralatan yang digunakan untuk memasukkan

informasi dan perintah yang terdiri dari keyboard, mouse, touch screen,

game controller, dan bar code reader. Output device adalah peralatan yang

digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari

permintaan proses informasi yang terdiri dari printer, monitor, dan speaker.

Storage device adalah peralatan yang digunakan untuk menyimpan

informasi yang digunakan di lain waktu terdiri atas hard disk, flash memory

card, dan DVD. CPU adalah hardware yang mengartikan dan menjalankan

sistem dan instruksi-instruksi aplikasi software dan mengatur pengoperasian

dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk

informasi yang bekerja seperti halnya sistem, dan instruksi aplikasi software

yang dibutuhkan oleh CPU sekarang ini. Telecommunications device adalah

peralatan yang digunakan untuk mengirim informasi dan menerima

informasi dari orang atau komputer lain dalam satu jaringan contohnya

modem. Connecting hardware termasuk hal-hal seperti terminal paralel

yang menghubungkan printer, kabel penghubung yang menghubungkan

printer ke terminal parallel dan peralatan penghubung internal yang

8

sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu

bagian hardware ke bagian lainnya.

Ada 2 tipe utama dari software, yaitu application dan system.

Application software yang memungkinkan untuk menyelesaikan masalah-

masalah spesifik atau menampilkan tugas-tugas spesifik. System software

yaitu menangani tugas-tugas spesifik untuk mengelola teknologi dan

mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system

software ditemukan operating system software dan utility software.

Operating system software adalah software sistem yang mengendalikan

software aplikasi dan mengelola bagaimana peralatan hardware bekerja

bersama-sama. Utility software adalah software yang menyediakan

tambahan fungsionalitas untuk mengoperasikan sistem software, seperti

antivirus software, screen savers, disk optimization software.

2.1.3.2 Jaringan

Menurut Turban, Rainer, Porter (2003, p178) , sebuah jaringan

komputer terdiri atas media komunikasi peralatan-peralatan dan software

yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan

peralatan. Ada 2 ukuran jaringan yang umum, yaitu: LAN (Local Area

Network) dan WAN (Wide Area Network). MAN (Metropolitan Area

Network) berada diantara dua ukuran tersebut. LAN menghubungkan dua

atau lebih alat komunikasi sampai 2000 kaki (biasanya dalam gedung yang

sama). Jadi, setiap pengguna alat dalam jaringan memilliki potensi untuk

berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang

9

terdiri atas kumpulan telephone atau jaringan International seperti penyedia

layanan komunikasi global, mungkin milik komersial, swasta, atau publik.

2.1.3.3 Internet, Intranet, Ekstranet

Menurut Turban, Rainer, Porter (2003, G11), Internet adalah

elektronik dan jaringan telekomunikasi yang besar yang menghubungkan

komputer bisnis, konsumen, instansi pemerintah, sekolah, dan organisasi

lainnya di seluruh dunia, yang menggunakan pertukaran informasi secara

lancar tebuka. Intranet adalah jaringan pribadi yang menggunakan jaringan

internet dan perangkat lunak protocol TCP/IP, umumnya berupa, internet

swasta, atau segmen kelompok swasta dari jaringan internet public.

Ekstranet adalah jaringan yang aman yang menghubungkan mitra bisnis dan

intranet melalui internet dengan menyediakan akses ke wilayah masing-

masing perusahaan intranet.

2.1.4 Arsitektur Teknologi Informasi

Arsitektur teknologi informasi yang dibuat oleh perencanaan strategi

bisnis/TI merupakan suatu desain konseptual atau cetak biru yang meliputi 4

komponen sebagai berikut (O’Brien dan George, 2006, p480):

1. Platform Teknologi (Technology Platform)

Internet, intranet, ekstranet, dan jaringan lainnya, sistem

komputer, sistem software, dan aplikasi software perusahaan

terintegrasi yang menyediakan infrastruktur komunikasi dan

10

komputansi atau platform yang mendukung penggunaan strategi TI

bagi e-business, e-commers, dan aplikasi bisnis/TI lainnya.

2. Sumber Daya Data (Data Resources)

Banyak jenis database operasional dan spesialisasi database

termasuk data warehouse dan database internet/intranet, yang

menyimpan dan menyediakan data serta informasi untuk proses

bisnis dan dukungan keputusan.

3. Arsitektur Aplikasi (Application Architecture)

Aplikasi bisnis dari teknologi informasi dirancang sebagai

sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang

mendukung usaha strategi bisnis, serta proses lintas fungsi bisnis.

Sebagai contoh, sebuah arsitektur aplikasi harus meliputi dukungan

untuk ERP (Enterprise Resource Planning) terintegrasi dan aplikasi

CRM (Costumer Resource Management).

4. Organisasi Teknologi Informasi (IT Organization)

Struktur organisasi dari fungsi sistem informasi dalam sebuah

perusahaan dan distribusi pakar sistem informasi dirancang untuk

memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI

tergantung pada filosofi manajerial dan strategi bisnis/TI yang

dibentuk selama proses perencanaan bisnis.

11

2.1.5 Strategi

2.1.5.1 Definisi Strategi

Strategi berasal dari kata Yunani strategos, yang berarti jenderal.

Kata strategi secara harfiah berarti “seni para jenderal”. Kata ini mengacu

pada apa yang merupakan perhatian utama manajeman puncak organisasi.

Konsep ini relevan dengan situasi zaman dulu yang sering diwarnai perang,

di amana jenderal dibutuhkan untuk memimpin suatu angkatan perang agar

dapat selalu memenangkan perang. Strategi militer di dasarkan pada

pemahaman akan kekuatan dan penempatan posisi lawan, karakteristik fisik

medan perang, kekuatan dan karekter sumberdaya yang tersedia, sikap

orang-orang yang menempati teritorial tertentu, serta antisipasi terhadap

setiap perubahan yang mungkin terjadi.

Menurut Steiner dan Miner (1988) strategi adalah penempatan misi

perusahaan, penempatan sasaran organisasi dengan mengingat kekuatan

eksternal dan internal, perumusahan kebijakan dan strategi tertentu untuk

mencapai sasaran dan memastikan implementasinya secara tepat, sehingga

tujuan dan sasaran organisasi akan tercapai. Menurt Tjiptono (1995) strategi

menggambarkan arah bisnis yang mengikuti lingkungan yang dipilih dan

merupakan pedoman untuk mengalokasikan sumberdaya dan usaha suatu

organisasi.

Menurut Stoner dan Freeman (Tjiptono, 1995), konsep strategi

dapat didefinisikan berdasar dua perspektif yang berbeda, yaitu (1) dari

12

perspektif apa suatu organisasi ingin lakukan, dan (2) dari persektif apa yang

organisasi akhirnya lakukan.

Berdasarkan perspektif yang pertama, strategi dapat didefinisikan

sebagai program untuk menentukan dan mencapai tujuan organisasi dan

mengimplementasikan misinya. Makna yang terkandung dari strategi ini

adalah bahwa manajer memainkan peranan yang aktif, sadar dan rasional

dalam merumuskan strategi organisasi. Dalam lingkungan yang selalu

berubah, pandangan ini banyak diterapkan. Perspektif ini secara tidak

langsung mensyaratkan pernyataan strategi secara eksplisit.

Pernyataan strategi secara eksplisit tersebut merupakan kunci

keberhasilan dalam menghadapi perubahan lingkungan bisnis. Strategi

memberikan kesatuan arah bagi semua anggota organisasi. Bila konsep

strategi tidak jelas, maka keputusan yang diambil akan bersifat subjektif atau

bersifat intuisi belaka, mengabaikan pertimbangan yang lain.

Sedangkan berdasarkan perspektif kedua, strategi didefinisikan

sebagai pola tanggapan atau respon organisasi terhadap lingkungannya

sepanjang waktu. Pada definisi ini, setiap organisasi pasti memiliki strategi,

meskipun strategi tersebut tidak pernah dirumuskan secara eksplisit.

Pandangan ini diterapkan bagi para manajer yang bersifat reaktif, yaitu

hanya menanggapi dan menyesuaikan diri terhadap lingkungan secara pasif

manakala dibutuhkan.

Kebijakan/strategi yang yang ditetapkan oleh perusahaan memiliki

dampak yang signifikan terhadap lingkungan. Kebijakan dan strategi seperti

perundingan dengan serikat buruh, investasi, penetapan harga jelas sekali

13

mempengaruhi lingkungan. Demikian juga sebalinya lingkungan akan

berpengaruh atas organisasi bisnis (Steiner dan Miner, 1988).

Suatu analisis strategi membantu perusahaan untuk

mengidentifikasikan isu-isu strategi yang akan dihadapi dimasa yang akan

datang sehingga perusahaan siap menghadapi perubahan-perubahan

lingkungan yang akan datang. Faktor lingkungan penting yang harus

diperhatikan para manajer dalam penyusunan dan pelaksanaan strategi

perusahaan di antaranya adalah (Steiner dan Miner, 1988):

1. Lingkungan Ekonomi

Lingkungan ekonomi meliputi wilayah yang luas dan

merupakan sumber peluang yang besar dan juga sumber ancaman

yang serius. Perubahan lingkungan ekonomi yang sangat cepat

harus diadaptasi perusahaan demi kelangsungan hidupnya dan

pertumbuhan yang menguntungkan.

2. Pemerintah

Hampir bagi semua perusahaan, pemerintah adalah mitra.

Bagi semua perusahaan umumnya, pemerintah merupakan salah

satu pengaruh paling signifikan dalam gerak usaha seperti:

pertumbuhan, penetapan harga, produksi, kualitas produk,

persaingan, upah, laba, investasi, pasar, dan tingkat bunga atas

modal.

Setiap organisasi membutuhkan strategi manakala

menghadapi situasi berikut (Jain dalan Tjiptono, 1995):

1. Sumberdaya yang dimiliki terbatas.

14

2. Ada ketidakpastian mengenai kekuatan bersaing organisasi.

3. Komitment terhadap sumberdaya tidak dapat diubah lagi.

4. Keputusan-keputusan harus dikoordinir antar bagian

sepanjang waktu.

5. Ada ketidak pastian mengenai pengendalian inisiatif.

Tujuan utama strategi adalah untuk membimbing keputusan

manajemen dan ikut andil dalam penentuan misi, visi, serta kebijakan

perusahaan dalam membentuk dan mempertahankan keunggulan kompetitif

perusahaan sehingga perusahaan tersebut dapat mencapai sukses. Agar

tujuan-tujuan perusahaan dapat tercapai dalam kondisi lingkungan yang

selalu berubah dan subsistem-subsistem internal yang berinteraksi aktif

dengan lingkungan, caranya antara lain dengan menyususn strategi yang

mantap dan menetapkan kebijakan-kebijakan yang tepat.

Menurut Ahmad S. Adnanputra, pakar humas dalam naskahnya

berjudul PR Strategi mengatakan bahwa arti strategi adalah bagian terpadu

dari suatu rencana (plan), sedangkan rencana merupakan produk dari suatu

perencanaan (planning) (Ruslan, 2002).

2.2 Manajemen Resiko Keamanan Informasi

2.2.1 Resiko

Menurut Alberts dan Dorofee dalam bukunya yang berjudul

“Managing Information Security Risks: The OCTAVESM Approach” (July 2002)

Resiko adalah kemungkinan menderita kerugian.Ini mengacu pada situasi di

mana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian

15

yang alami ini dapat mengakibatkan hasil yang tidak diinginkan, sehingga

terjadi dampak negatif atau konsekuensi.

Beberapa definisi tentang risiko lainnya:

• Risiko adalah fungsi dari kemungkinan yang diberikan dari sumber-

sumber ancaman yang mempunyai potensi kerentanan tertentu dan

dampak yang dihasilkan dari peristiwa buruk di organisasi (NIST, 2002).

• Risiko adalah potensi kerusakan nilai organisasi, sering dari pengelolaan

proses dan peristiwa yang tidak memadai (Symantec, 2007).

Dengan definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang

tidak dapat diduga / tidak diinginkan. Jadi merupakan ketidak pastian atau

kemungkinan terjadinya sesuatu, yang bila terjadi akan mengakibatkan

kerugian.

Langkah pertama dalam mengelola risiko adalah untuk memahami apa

risiko dalam kaitannya dengan misi organisasi dan aset kunci. Pemahaman ini

dicapai dengan melakukan evaluasi risiko yang komprehensif untuk

mengidentifikasi risiko organisasi. Setelah risiko tersebut diidentifikasi,

organisasi personel harus memutuskan apa yang harus dilakukan untuk

mengatasinya.

2.2.1.1 MACAM-MACAM RESIKO

Risiko dapat dibedakan dengan berbagai macam cara, antara lain :

1. Menurut sifatnya resiko dapat dibedakan kedalam :

16

a. Resiko Murni (risiko yang tidak disengaja), adalah risiko yang

apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa

disegaja.

Contoh : risiko terjadinya kebakaran, bencana alam, pencurian, dsb.

b. Resiko Spekulatif (risiko disengaja), adalah resiko yang sengaja

ditimbullkan oleh yang bersangkutan, agar terjadinya ketidakpastian

memberikan keuntungan kepadanya.

Contoh : resiko produksi, resiko moneter (kurs valuta asing).

c. Resiko Fundamental, adalah risko yang penyebabnya tidak dapat

dilimpahkan kepada seseorang dan yang menderita tidak hanya satu

atau beberapa orang saja, tetapi banyak orang.

Contoh : risiko terjadinya kebakaran, bencana alam, resiko perang,

polusi udara.dsb.

d. Resiko Khusus, adalah risiko yang bersumber pada peristiwa yang

mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal

kandas, pesawat jatuh, tabrakan mobil dan sebagainya.

e. Resiko Dinamis, adalah risiko yang timbul karena perkembangan

dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan

teknologi, seperti risiko keusangan, risiko penerbangan luar

angkasa. Kebalikannya disebut, Resiko Statis, seperti risiko hari tua,

risiko kematian dan sebagainya.

2. Menurut sumber / penyebab timbulnya, risiko dapat dibedakan

kedalam:

17

a. Resiko Intern, yaitu risiko yang berasal dari dalam : kebakaran yang

berasal dari rumah si tertanggung sendiri.

b. Resiko extern, yaitu risiko yang berasal dari luar , seperti risiko

kebakaran dari rembetan rumah yang bersebelahan, bencana alam,

pencurian, perampokan dan sebagainya.

2.2.2 Manajemen Resiko

Manajemen resiko menurut Australian National Audit Office (ANAO

2000) adalah proses yang berjalan yang telah di desain untuk melakukan

penilaian terhadap kejadian-kejadian yang merugikan, tindakan untuk

mengurangi resiko-resiko seperti kejadian-kejadian yang terjadi secara tidak

sengaja dan menjamin organisasi dapat merespon atau menghadapi dengan

berbagai jalan keluar untuk memperkecil konsekuensi dari kejadian tersebut.

Menurut Alberts dan Dorofee (2002) manajemen risiko adalah proses

berkelanjutan mengidentifikasi risiko dan melaksanakan rencana-rencana untuk

mengatasinya. Sebuah pendekatan pengelolaan risiko melibatkan seluruh

organisasi, termasuk personil dari kedua departemen teknologi informasi dan

lini bisnis dari organisasi.

Manajemen risiko menurut (ISACA, 2008) adalah proses

mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi

yang digunakan oleh sebuah organisasi dalam mencapai tujuan bisnis dan

memutuskan apa penanggulangannya, jika ada, untuk mengurangi risiko ke

tingkat yang dapat diterima, berdasarkan nilai dari sumber informasi bagi

organisasi.

18

2.2.3 Keamanan Informasi

Menurut Alberts dan Dorofee (2002) Keamanan informasi lebih

daripada membangun firewall, menerapkan patch untuk memperbaiki

kelemahan baru yang ditemukan pada perangkat lunak sistem anda, atau

mengunci kabinet dengan backup tape. Keamanan informasi adalah

menentukan apa yang perlu dilindungi dan mengapa, dari apa yang perlu

dilindungi, dan bagaimana untuk melindunginya selama itu ada.

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek

berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau

informasi, memastikan bahwa informasi hanya dapat diakses oleh orang

yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima

dan disimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa

ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan

keutuhan informasi serta metode prosesnya untuk menjamin aspek

integritas ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia

saat dibutuhkan, memastikan user yang berhak dapat menggunakan

informasi dan perangkat terkait (aset yang berhubungan bila diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi

seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,

19

praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti

lunak.

Gambar 2.1 Elemen-elemen keamanan informasi

Menurut Alberts dan Dorofee (2002), terdapat empat pendekatan pada

keamanan informasi :

1. Vulnerability Assessment

Sebuah penilaian kerentanan yang sistematis, pemeriksaan

organisasi berbasis teknologi, kebijakan, dan prosedur. Ini mencakup

analisis lengkap tentang keamanan lingkungan komputasi internal dan

kerentanan terhadap serangan internal dan eksternal. Teknologi ini

berbasis pada umumnya penilaian:

• Gunakan standar untuk kegiatan keamanan IT tertentu (seperti pengerasan

jenis platform tertentu)

• Menilai seluruh infrastruktur komputasi

• Menggunakan (kadang-kadang berpemilik) perangkat lunak untuk

menganalisis infrastruktur dan seluruh komponen

20

• Menyediakan analisis rinci yang menunjukkan teknologi yang terdeteksi

kerentanan dan mungkin merekomendasikan langkah-langkah spesifik

untuk mengatasi kerentanan mereka

2. Audit Sistem Informasi

Audit sistem informasi penilaian independen dari kontrol internal

perusahaan untuk memastikan manajemen, peraturan pemerintah, dan

pemegang saham perusahaan informasi yang akurat dan valid.Audit

biasanya industri memanfaatkan model proses tertentu, benchmark,

standar perawatan akibat, atau mendirikan praktik terbaik. Mereka melihat

kedua keuangan dan kinerja operasional. Audit juga mungkin didasarkan

pada proses bisnis milik pengendalian risiko dan metode dan alat analisis.

Umumnya dilakukan audit oleh auditor berlisensi atau bersertifikat dan

memiliki implikasi hukum dan kewajiban

3. Evaluasi Resiko Keamanan Informasi

Memperluas evaluasi resiko keamanan atas penilaian kerentanan

untuk melihat resiko yang berkaitan dengan keamanan dalam sebuah

perusahaan, termasuk sumber-sumber internal dan eksternal risiko serta

berbasis elektronik dan orang-orang yang berbasis risiko.Evaluasi

multifaset ini berusaha untuk menyesuaikan evaluasi risiko dengan driver

atau tujuan bisnis dan biasanya fokus pada empat aspek keamanan:

Mereka meneliti praktek-praktek perusahaan yang berkaitan dengan

keamanan untuk mengidentifikasi kekuatan dan kelemahan yang dapat

membuat atau mengurangi risiko keamanan. Prosedur ini mungkin termasuk

21

analisis komparatif yang peringkat informasi ini terhadap standar industri dan

praktik terbaik.

1) Mereka termasuk pemeriksaan sistem teknologi, review kebijakan, dan

pemeriksaan keamanan fisik.

2) Mereka memeriksa infrastruktur TI untuk menentukan kemampuan

teknologi vulner. Kerentanan seperti itu termasuk kerentanan terhadap

salah satu situasi berikut:

a. Pengenalan kode berbahaya

b. Korup atau kerusakan data

c. Exfiltration informasi

d. Denial of service

e. Perubahan yang tidak sah hak akses dan keistimewaan

3) Mereka membantu para pengambil keputusan trade-off memeriksa untuk

memilih biaya penanggulangan efektif

4. Managed Service Providers

Dikelola penyedia layanan keamanan, bergantung pada keahlian

untuk mengelola sistem dan jaringan perusahaan. Mereka menggunakan

mereka sendiri atau vendor lain dan perangkat lunak keamanan untuk

melindungi infrastruktur. Biasanya, layanan keamanan yang dikelola akan

secara proaktif memonitor dan melindungi suatu infrastruktur komputasi

organisasi dari serangan dan penyalahgunaan.

22

Kerentanan penilaian, audit sistem informasi, dan evaluasi risiko

keamanan informasi membantu Anda menandai isu keamanan Anda, tapi

tidak mengelolanya. Penyedia layanan yang dikelola mengelola keamanan

Anda untuk Anda.

2.2.4 Dasar Manajemen Keamanan Informasi

2.2.4.1 Informasi Sebagai Aset

Informasi adalah salah satu aset bagi sebuah perusahaan atau

organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi

perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk

menjamin kelangsungan perusahaan atau organisasi, meminimalisir

kerusakan karena kebocoran sistem keamanan informasi, mempercepat

kembalinya investasi dan memperluas peluang usaha. Beragam bentuk

informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi

meliputi diantaranya: informasi yang tersimpan dalam komputer (baik

desktop komputer maupun mobile komputer), informasi yang ditransmisikan

melalui network, informasi yang dicetak pada kertas, dikirim melalui fax,

tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain,

informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui

telepon), dikirim melalui telex, email, informasi yang tersimpan dalam

database, tersimpan dalam film, dipresentasikan dengan OHP atau media

presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk

menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.

23

2.2.4.2 Mengapa Diperlukan Keamanan Informasi?

Keamanan informasi memproteksi informasi dari ancaman yang

luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan

memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen

sistem informasi memungkinkan data untuk terdistribusi secara elektronis,

sehingga diperlukan sistem untuk memastikan data telah terkirim dan

diterima oleh user yang benar.

Hasil survey ISBS (Information Security Breaches Survey) pada

tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak

cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey

yang terkait dengan hal ini dapat dilihat dalam gambar berikut:

Gambar 2.2 Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi

mengalami serangan atau kerusakan data karena kelemahan dalam sistem

keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh

faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini

24

diantaranya kesalahan dalam pengoperasian sistem (40%) dan

diskontinuitas power supply (32%).

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat

banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari

luar.

Gambar 2.3 UK business network attack

Langkah-langkah untuk memastikan bahwa sistem benar-benar

mampu menjamin keamanan data dan informasi dapat dilakukan dengan

menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar

ini.

2.2.4.3 Informasi yang Perlu Dilindungi Keamanannya

Informasi yang merupakan aset harus dilindungi keamanannya.

Keamanan, secara umum diartikan sebagai “quality or state of being secure-

to be free from danger”. Untuk menjadi aman adalah dengan cara dilindungi

25

dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi

yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu

dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan

dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan

keamanan informasi adalah:

• Physical Security yang memfokuskan strategi untuk mengamankan

pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari

berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi,

dan bencana alam.

• Personal Security yang overlap dengan ‘phisycal security’ dalam

melindungi orang-orang dalam organisasi.

• Operation Security yang memfokuskan strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa

gangguan.

• Communications Security yang bertujuan mengamankan media

komunikasi, teknologi komunikasi dan isinya, serta kemampuan

untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

• Network Security yang memfokuskan pada pengamanan peralatan

jaringan data organisasi, jaringannya dan isinya, serta kemampuan

untuk menggunakan jaringan tersebut dalam memenuhi fungsi

komunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalam program

keamanan informasi secara keseluruhan. Keamanan informasi adalah

26

perlindungan informasi termasuk sistem dan perangkat yang digunakan,

menyimpan, dan mengirimkannya. Keamanan informasi melindungi

informasi dari berbagai ancaman untuk menjamin kelangsungan usaha,

meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat

kembalinya investasi dan peluang usaha.

2.2.4.4 Aspek Lain Keamanan Informasi

Keamanan informasi memiliki beberapa aspek yang harus

dipahami untuk dapat diterapkan. Beberapa aspek tersebut, tiga yang

pertama disebut C.I.A (Confidentiality, Integrity & Availability) ”triangle

model” [Gambar 2.1 Elemen-elemen keamanan informasi, seperti yang

diuraikan pada point 2.2.3 Keamanan Informasi (pembahasan sebelumnya).

Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan

Herbert J. Mattord dalam bukunya Management Of Information Security

adalah:

• Privacy

Informasi yang dikumpulkan, digunakan, dan disimpan oleh

organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus

bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin

keamanan data bagi pemilik.

• Identification

Sistem informasi memiliki karakteristik identifikasi jika bisa

mengenali individu pengguna. Identifikasi adalah langkah pertama

27

dalam memperoleh hak akses ke informasi yang diamankan.

Identifikasi secara umum dilakukan dalam penggunaan user name

atau user ID.

• Authentication

Authentication terjadi pada saat sistem dapat membuktikan bahwa

pengguna memang benar-benar orang yang memiliki identitas yang

mereka klaim.

• Authorization

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut

autorisasi memberikan jaminan bahwa pengguna (manusia ataupun

komputer) telah mendapatkan autorisasi secara spesifik dan jelas

untuk mengakses, mengubah, atau menghapus isi dari aset informasi.

• Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data

semua aktifitas terhadap aset informasi yang telah dilakukan, dan

siapa yang melakukan aktifitas itu.

2.3 Evaluasi dan Manajemen Risiko

Saat ini, sistem informasi sangat penting bagi kebanyakan organisasi,

karena hampir semua informasi yang diambil, disimpan, dan diakses dalam

bentuk digital. Kami mengandalkan data digital yang dapat diakses, bisa

diandalkan, dan dilindungi dari penyalahgunaan. Sistem saling berhubungan

dengan cara-cara yang tidak dapat terbayangkan sepuluh tahun yang lalu. Sistem

28

jaringan memungkinkan akses ke informasi yang belum pernah terjadi

sebelumnya. Sayangnya, informasi kami ke mereka juga terkena berbagai

ancaman baru. Organisasi ini telah menerapkan berbagai infrastruktur komputasi

yang kompleks, mereka membutuhkan pendekatan yang fleksibel yang

memungkinkan mereka untuk memahami informasi mereka risiko keamanan yang

spesifik dan kemudian untuk membuat strategi untuk mengatasi risiko tersebut.

Sebuah organisasi yang ingin meningkatkan postur keamanan harus siap untuk

mengambil langkah-langkah berikut:

1. Perubahan dari reaktif, pendekatan berbasis masalah untuk proaktif

pencegahan masalah.

2. Pertimbangkan keamanan dari berbagai perspektif.

3. Membangun infrastruktur yang fleksibel pada semua tingkat organisasi

mampu bereaksi dengan cepat terhadap perubahan teknologi dan

kebutuhan keamanan.

4. Memulai yang berkelanjutan dan terus-menerus upaya untuk

mempertahankan dan meningkatkan posisi keamanan.

Evaluasi risiko keamanan informasi adalah sebuah proses yang dapat

membantu memenuhi tujuan. Ini menimbulkan pandangan organizationwide

risiko keamanan informasi. Ini memberikan dasar yang dapat digunakan untuk

fokus mitigasi dan kegiatan perbaikan. Secara periodik, sebuah organisasi perlu

"research" dari awal dengan melakukan evaluasi lain. Waktu antara evaluasi

dapat ditentukan (misalnya, tahunan) atau dipicu oleh peristiwa besar (misalnya,

reorganisasi perusahaan, desain ulang organisasi infrastruktur komputasi).

29

Namun, sebuah evaluasi risiko keamanan informasi hanya satu bagian dari sebuah

organisasi keamanan informasi terus-menerus aktivitas pengelolaan risiko.

Evaluasi risiko hanya merupakan tahap pertama dari manajemen risiko,

berikut gambar yang mengambarkan peranan evaluasi risiko terhadap keseluruhan

tahap dari manajemen risiko. Dengan demikian evaluasi memainkan peranan

penting dalam manajemen risiko sistem informasi.

Gambar 2. 4 IS Risk Evaluation Activities in Relation to an ISRM

Framework

2.3.1 Kegiatan Evaluasi

Pertimbangkan apa yang terjadi selama evaluasi. Ketika sebuah

organisasi menyelenggarakan evaluasi risiko keamanan informasi, ia

melakukan kegiatan:

• Identifikasi risiko keamanan informasi

• Menganalisis risiko untuk menentukan prioritas

30

• Rencana untuk perbaikan dengan mengembangkan strategi

perlindungan bagi perbaikan organisasi dan rencana mitigasi risiko

untuk mengurangi risiko kritis aset organisasi

Evaluasi hanya memberikan arah bagi kegiatan keamanan informasi

organisasi, itu tidak selalu mengarah pada perbaikan yang bermakna. Tidak ada

evaluasi, tidak peduli seberapa terperinci atau bagaimana pakar, akan

meningkatkan keamanan organisasi kecuali postur organisasi berikut melalui

dengan menerapkan hasil. Setelah evaluasi, organisasi harus mengambil

langkah-langkah berikut:

1. Rencana bagaimana menerapkan strategi perlindungan dan rencana

mitigasi risiko dari evaluasi dengan mengembangkan rencana aksi

yang rinci.Kegiatan ini dapat mencakup rinci analisis biaya-manfaat

antara strategi dan tindakan.

2. Mengimplementasikan rencana aksi yang rinci yang dipilih.

3. Rencana untuk memantau kemajuan dan keefektifan.Kegiatan ini

mencakup pemantauan risiko untuk setiap perubahan.

4. Kontrol variasi di dalam rencana pelaksanaan dengan mengambil

tindakan koreksi yang tepat.

2.3.1.1 Pendekatan Evaluasi Resiko Keamanan

Informasi

Evaluasi resiko keamanan informasi harus mengidentifikasi

organisasi dan isu-isu teknologi menjadi efektif.Ini harus alamat baik

31

infrastruktur komputasi dan cara di mana orang menggunakannya ketika

mereka melakukan pekerjaan mereka. Dengan demikian, evaluasi perlu

memasukkan konteks di mana orang menggunakan infrastruktur untuk

memenuhi tujuan-tujuan bisnis dari organisasi serta masalah keamanan

teknologi yang berkaitan dengan infrastruktur. Ini harus mempertimbangkan

apa yang membuat organisasi berhasil dan apa yang membuatnya gagal.

Kami melihat risiko keamanan informasi dengan menggunakan

evaluasi untuk meningkatkan keamanan organisasi postur sebagai praktek

bisnis yang sehat. Karena sebagian besar perusahaan mengandalkan akses ke

data elektronik untuk melakukan bisnis, data perlu cukup terlindungi dari

penyalahgunaan. Kemampuan suatu organisasi untuk mencapai misi dan

memenuhi tujuan bisnis secara langsung dan strategis terkait dengan kondisi

infrastruktur komputasi dan cara di mana personel berinteraksi dengannya.

Bagi suatu organisasi untuk berada dalam posisi terbaik untuk mencapai

misi mereka, orang-orangnya perlu memahami informasi yang terkait

dengan aset yang paling penting dan apa yang harus mereka lakukan untuk

melindungi aset-aset. Dengan kata lain, orang-orang dalam organisasi harus

terlibat dalam evaluasi.

2.4 Risk Assessment

Risk assessment memegang peranan penting dalam penerapan sistem

manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk

melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi

yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang

32

terkenal diantaranya adalah OCTAVE-S yang dikembangkan oleh Carnegie

Mellon Software Engineering Institute, Pittsburg.

2.4.1 Pengenalan OCTAVE-S

OCTAVE-S adalah sebuah pendekatan terhadap evaluasi resiko

keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan

sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan

elemen esensial dari evaluasi resiko keamanan informasi.

Gambar 2.5 Kriteria OCTAVE-S

Kriteria OCTAVE-S memerlukan eveluasi yang harus dilakukan oleh

sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan

bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan

berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya,

kriteria OCTAVE-S memerlukan katalog informasi untuk mengukur praktek

organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog

ini meliputi:

OCTAVE criteria

OCTAVE Method

(As defined in OCTAVE Method Implementation Guide v2.0)

An OCTAVE-Consistent Method for Small Organizations Under development by the SEI

Other Methods Consistent with the OCTAVE criteria Developed by others

33

• Catalog of practices – sebuah koleksi strategi dan praktek keamanan

informasi.

• Generic threat profile – sebuah koleksi sumber ancaman utama.

• Catalog of vulnerabilities – sebuah koleksi dari Vulnerability

berdasarkan platform dan aplikasi.

2.4.2 Langkah-langkah metode OCTAVE-S

Metode OCTAVE-S menggunakan pendekatan tiga fase untuk menguji

isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan

informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini

menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi

mengenai aset, praktek keamanan informasi dan strategi keamanan informasi.

Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau

lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan

juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi

secara keseluruhan.

Gambar 2.6 Octave-S Process

34

2.4.2.1 Persiapan

Mempersiapkan OCTAVE-S membuat dasar evaluasi yang

berhasil. Beberapa kunci untuk keberhasilan evaluasi adalah:

• Mendapatkan dukungan sepenuhnya dari tingkatan manajemen

tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan

evaluasi. Jika manajemen tertinggi mendukung proses, maka orang-

orang dalam organisasi akan berpartisipasi secara aktif. Dukungan,

dalam hal ini terwujud sebagai berikut: dukungan nyata dan

berkesinambungan dalam aktifitas OCTAVE-S, peningkatan

partisipasi aktif anggota organisasi, pendelegasian tanggung jawab

dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE-S,

komitmen untuk mengalokasikan sumberdaya yang dibutuhkan,

persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat

yang harus diambil dengan adanya hasil evaluasi yang telah

dilakukan.

• Memilih tim analisis. Anggota tim analisis harus memiliki

kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi.

Mereka juga harus mengatahui bagaimana menambah pengetahuan

dan kemampuan mereka di luar tim. Secara umum, tim analisis terdiri

dari tiga sampai lima orang dalam kelompok inti yang

merepresentasikan bisnis dan perspektif teknologi informasi, memiliki

pengetahuan dalam proses bisnis dan teknologi informasi, memiliki

kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta

35

berkomitmen untuk mengerahkan kemampuan yang dimiliki demi

keberhasilan OCTAVE-S.

Aturan dan tanggung jawab tim analisis adalah untuk : bekerja

dengan manajer dalam menentukan cakupan eveluasi, memilih

partisipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan

manajer senior atau manajer operasional dan pendukung teknologi informasi

untuk mengevaluasi vulnerability; mendapatkan, menganalisa dan

mengelola data dan hasil selama proses OCTAVE-S; mengaktifkan aktifitas

assessment, yang fungsi utamanya adalah menjamin bahwa personil yang

diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan

logistik.

Secara umum, tim inti analisis harus memiliki kemampuan berikut:

fasilitasi, komunikasi yang baik, analisis yang baik, bekerjasama dengan

manajer senior, manajer operasional dan anggota organisasi, memahami

lingkungan bisnis organisasi, memahami lingkungan teknologi informasi

dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan

teknologi informasi organisasi.

Pada saat yang lain, tim inti analisis harus memiliki pengetahuan

berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan

teknologi informasi organisasi dan pengetahuan topologi jaringan dalam

organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui

bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat

36

lunak, mengetahui praktek perencanaan organisasi, serta mampu

mengembangkan perencanaan.

• Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area

operasi yang penting. Jika cakupan terlalu luas, maka akan sulit

menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak

akan banyak berarti.

• Memilih partisipan. Anggota organisasi dari berbagai tingkatan

struktural akan menyumbangkan pengetahuannya. Anggota organisasi

perlu mengetahui area kerja mereka.

• Mengkoordinasi logistik. Tim inti analisis melakukan

koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE-S

meliputi: penjadwalan, koordinasi persiapan ruang pertemuan,

peralatan yang diperlukan dalam setiap aktifitas OCTAVE-S,

menangani kejadian tidak terduga misalnya penggantian jadwal dan

perubahan personil dalam pertemuan.

2.4.2.1.1 Fase 1. Organizational View

Fase 1 dalam OCTAVE-S adalah Asset-Based Threat Profiles.

Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh

informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area

yang diperhatikan, strategi proteksi yang sedang diterapkan,dan

vulnerability organisasi terkini. Pada fase ini data yang diperoleh

dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis

organisasi.

37

Fase 1 ini meliputi empat proses yang harus dilakukan.

Keempat proses ini dibahas dalam penjelasan berikut :

1) Fase 1 proses 1. Identify Senior Manager Knowledge

Proses pertama dalam fase I adalah melakukan identifikasi

pengetahuan manajer senior dalam hal keamanan informasi. Tim

analisis melakukan lokakarya dengan manajer senior sebagai

partisipan. Aktifitas dalam proses ini terdiri dari:

• Mengidentifikasi aset penting – Manajer senior mendefinisikan

aset apa yang penting untuk mereka dan untuk organisasi. Mereka

juga membuat skala prioritas untuk mengidentifikasi lima aset

yang terpenting.

• Mendeskripsikan area of concern – Untuk lima aset terpenting,

manajer senior mendeskripsikan skenario bagaimana aset –aset

tersebut terancam.

• Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting –

Manajer senior mendefinisikan kebutuhan keamanan yang

diperlukan untuk aset terpenting.

• Mengidentifikasi strategi proteksi terkini dan vulnerability

organisasi – Manajer senior melengkapi survey berdasarkan

catalog of practices. Mereka mendiskusikan jawaban survey

mereka untuk memberikan tambahan informasi terhadap apa yang

sudah dan apa yang belum dilaksanakan dengan baik dalam

pandangan keamanan.

38

• Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua

untuk manajer senior terlibat dalam lokakarya proses 1 jika akan

menambah atau mengurangi daftar area operasi atau manajer.

Gambar 2.7 Fase 1 proses 1. Identify Senior Manager Knowledge

Process 1:

Identify Senior Management Knowledge

Inputs

Current knowledge of senior managers

Organizational data

Catalog of practices

Outputs

Senior management assets with relative priorities

Senior management areas of concern

Security requirements for senior management assets

Current senior management protection strategy practices

Senior management organizational vulnerabilities

Worksheets Asset worksheet (W1.1)

Areas of concern worksheet (W1.2) Security requirements worksheet (W1.3)

Senior management survey (W1.4)

Protection strategy worksheet (W1.5)

39

2) Fase 1 proses 2. Identify Operational Management

Knowledge

Pada proses ke dua ini diperoleh gambaran pengetahuan dari

manajer area operasional. Manajer ini adalah manajer dimana area

yang dikelolanya termasuk dalam cakupan OCTAVE-S. Tim analisis

memfasilitasi lokakarya dengan manajer area operasional sebagai

parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:

• Mengidentifikasi aset penting – Manajer senior mendefinisikan

aset apa yang penting untuk mereka dan untuk organisasi. Mereka

juga membuat skala prioritas untuk mengidentifikasi lima aset

yang terpenting.


manajer senior mendeskripsikan skenario bagaimana aset –aset

tersebut terancam.


Manajer senior mendefinisikan kebutuhan keamanan yang

diperlukan untuk aset terpenting.


organisasi – Manajer senior melengkapi survey berdasarkan

catalog of practices. Mereka mendiskusikan jawaban survey

mereka untuk memberikan tambahan informasi terhadap apa yang

40

sudah dan apa yang belum dilaksanakan dengan baik dalam

pandangan keamanan.

• Memverifikasi staf yang menjadi partisipan – Manajer area

meninjau kembali siapa saja staf yang akan menjadi partisipan

dalam OCTAVE-S.

Gambar 2.8 Fase 1 proses 2. Identify Operational Management Knowledge

Inputs

Current knowledge of operational area managers

Organizational data


Process 2:

Identify Operational Area Management Knowledge

Outputs

Operational area management assets with relative priorities

Operational area management areas of concern

Security requirements for operational area management assets

Current operational area management protection strategy practices


Areas of concern worksheet (W2.2)

Security requirements worksheet (W2.3)

Operational area management survey (W2.4)


41

3) Fase 1 proses 3. Identify Staff Knowledge

Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para

staf umum dan staf teknologi informasi. Para staf ini adalah para staf

dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S.

Tim analisis memfasilitasi lokakarya dengan para staf sebagai

parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang,

jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa

lokakarya dengan partisipan yang berbeda pada setiap

lokakarya.Aktifitas dalam proses 3 ini terdiri dari:

• Mengidentifikasi aset penting – para staf mendefinisikan aset apa

yang penting untuk mereka dan untuk organisasi. Mereka juga

membuat skala prioritas untuk mengidentifikasi lima aset yang

terpenting.


para staf mendeskripsikan skenario bagaimana aset –aset tersebut

terancam.


Para staf mendefinisikan kebutuhan keamanan yang diperlukan

untuk aset terpenting.


organisasi – Para staf melengkapi survey berdasarkan catalog of

practices. Mereka mendiskusikan jawaban survey mereka untuk

42

memberikan tambahan informasi terhadap apa yang sudah dan apa

yang belum dilaksanakan dengan baik dalam pandangan

keamanan.

Gambar 2.9. Fase 1 proses 3. Identify Staff Knowledge

Process 3:

Identify Staff Knowledge

Inputs

Current knowledge of staff

Organizational data


Outputs

Staff assets with relative priorities

Staff areas of concern

Security requirements for staff assets

Current staff protection strategy practices

Staff organizational vulnerabilities


Areas of concern worksheet (W3.2)

Security requirements worksheet (W3.3)

Staff survey (W3.4)

IT staff survey (W3.4 IT)


43

4) Fase 1 proses 4. Create Threat Profile

Proses ke empat menggabungkan semua informasi yang diperoleh

dalam proses 1 sampai proses ke 3 dan membuat sebuah profil

ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim

analisis (beserta tim tambahan jika diperlukan). Aktifitas yang

dilakukan terdiri dari:

• Konsolidasi data – tim analisis mendata daftar aset terpenting,

kebutuhan keamanan masing-masing aset, dan area of concern

yang diperoleh pada proses pertama sampai proses ke tiga.

• Memilih aset kritis - Dari keseluruhan aset terpenting yang

diajukan oleh manajer senior, manajer area operasional dan para

staf, aset yang terpenting diseleksi oleh tim analisis.

• Mendefinisikan kebutuhan keamanan untuk aset kritis – tim

analisisi menyempurnakan informasi yang diperoleh pada proses 1

sampai ke 3 untuk sampai pada sebuah rancangan akhir kebutuhan

keamanan.

• Menentukan ancaman terhadap aset kritis – tim analisis

menyempurnakan informasi area of concern yang diperoleh dari

proses 1 sampai proses ke 3 dan menjabarkannya dalam profil

ancaman keamanan.

44

Gambar 2.10. Fase 1 proses 4. Create Threat Profile

Process 4:

Create Threat Profiles Inputs

Current knowledge of analysis team

Generic threat profile

Results from Process 1



Outputs

Consolidated information

• Assets

• Security requirements

• Areas of concern Critical assets

Security requirements for critical assets

Threats to critical assets

Worksheets Asset group worksheet (W4.1)

Security requirements group worksheet (W4.2)

Areas of concern group worksheet (W4.3)

Asset Profile Workbook (WK)

45

2.4.2.1.2 Fase 2. Identify Infrastructure Vulnerability

Fase 2 dalam OCTAVE-S adalah Identify Infrastructure

Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi

pada aset kritis dan komponen infrastruktur kunci yang mendukung aset

tersebut. Fase 2 ini meliputi dua proses yang akan dibahas lebih lanjut.

1) Fase 2 proses 5. Identify Key Components

Proses 5 mengidentifikasi komponen kunci dari infrastruktur yang

harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim

analisis mempertimbangkan berbagai macam sistem dalam organisasi

dan masing-masing komponennya. Tim analisis mencari “system(s) of

interest” untuk setiap aset kritis – yaitu sistem yang paling dekat

hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari:

• Mengidentifikasi klasifikasi kunci setiap komponen – sebuah

systems of interest diidentifikasikan untuk setiap aset. Topologi

atau pemetaan jaringan jenis lain digunakan untuk meninjau di

mana aset kritis berada dan bagaimana diakses. Klasifikasi

komponen kunci dipilih berdasarkan bagaimana aset diakses dan

digunakan.

• Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk

setiap tipe komponen, tim analisis memilih komponen tertentu

untuk dievaluasi. Departemen teknologi informasi harus

46

memberikan arah jaringan secara spesifik atau lokasi fisiknya dan

akan diperlukan untuk menyusun evaluasi.

Gambar 2.11. Fase 2 proses 5. Identify Key Components

Process 5:

Identify Key Components

Inputs

Current knowledge of analysis team and key IT staff

Current network topology diagrams (including IP addresses for components)

Outputs

Key classes of components

Infrastructure components to examine

Selected approach for evaluating each infrastructure component

Worksheets Asset Profile Workbook (WK)

47

2) Fase 2 proses 6. Evaluate Selected Components

Pada proses ini komponen infrastruktur yang dipilih untuk setiap

aset kritis dievaluasi untuk mengetahui vulnerability secara teknis.

Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya

dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses

ini terdiri dari:

• Prework: menjalankan peralatan evaluasi vulnerability pada

komponen infrastruktur sebelum lokakarya. Peralatan evaluasi

mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari

pihak lain.

• Mengkaji vulnerability teknologi dan merangkum hasilnya –

pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi

kepada tim analisis. Mereka kemudian mendiskusikan vulnerability

yang mana yang memerlukan perbaikan dalam jangka waktu dekat,

menengah atau jangka panjang, memodifikasi rangkuman jika

diperlukan. Secara umum hal ini berhubungan dengan derajat

kerumitan vulnerability dan aset kritis yang dipengaruhinya.

48

Gambar 2.12 Fase 2 proses 6. Evaluate Selected Components

Process 6:

Evaluate Selected Components

Inputs

Current knowledge of analysis team and key IT staff

Software tools

• Catalog of vulnerabilities Current network topology diagrams (including IP addresses for components) Infrastructure components to examine

Selected approach for evaluating each infrastructure component

Outputs

Technology vulnerabilities

Technology vulnerability summary


49

2.4.2.1.3 Fase 3. Develop Security Strategy and Plans

Fase 3 dalam OCTAVE-S adalah Develop Security Strategy

and Plans. Pada fase ini didefinisikan resiko terkait dengan aset kritis,

membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi

proteksi organisasi.Rencana dan strategi dikaji dan diterima oleh manajer

senior. Terdapat dua proses dalam fase 3 yang akan dibahas.

1) Fase 3 proses 7. Conduct Risk Analysis

Selama proses 7, tim analisis mengkaji semua informasi yang

diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil

resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari

profil ancaman , menambahkan pengukuran kualitatif terhadap akibat

kepada organisasi untuk setiap kemungkinan ancaman yang terjadi.

Kemungkinan untuk setiap kejadian tidak digunakan. Karena

menetapkan sebuah alasan kemungkinan secara akurat dari setiap

kejadian sangat sulit dan senantiasa berubah-ubah, maka

kemungkinan untuk setiap cabang diasumsikan sama. Proses 7

meliputi aktifitas:

• Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis –

Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap

organisasi ditetapkan untuk setiap akibat dari ancaman.

50

• Membuat kriteria evaluasi – dengan menggunakan pernyataan

akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat

ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi

tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan rendah)

ditetapkan untuk banyak aspek (misalnya finansial atau akibat

operasional).

• Mengevaluasi akibat dari ancaman terhadap aset kritis –

berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman

didefinisikan sebagai tinggi, menengah, atau rendah. Semua

informasi mengenai hal ini dicatat dalam Asset Profile Workbook.

Gambar 2.13 Fase 3 proses 7. Conduct Risk Analysis

Process 7:

Conduct Risk Analysis

Inputs

Current knowledge of analysis team and key staff

Critical assets

Security requirement for critical assets


Areas of concern for critical assets

Outputs

Impact of threats to critical assets

Risk evaluation criteria

Impact values


51

2) Fase 3 proses 8. Develop Protection Strategy

Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan

strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk

resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada

lokakarya pertama (disebut sebagai lokakarya A), tim analisis

menyusun proposal strategi dan perencanaan. Pada lokakarya ke dua

(disebut lokakarya B), manajer senior mengkaji proposal, membuat

perubahan yang diinginkan, dan menetapkan langkah selanjutnya

untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi

aktifitas:

• Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari

kompilasi survey pada proses 1 sampai proses 3. Hasilnya

digunakan untuk melihat praktek mana yang telah dianggap baik

oleh sebagian besar responden dan mana yang dianggap buruk oleh

sebagian besar responden

• Mengkaji informasi – Informasi yang diperoleh dari proses-proses

sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability,

praktek, informasi resiko, dan kebutuhan keamanan aset kritis.

• Membuat strategi proteksi – strategi ini meliputi setiap praktek

yang dianggap harus dilaksanakan atau ditingkatkan, termasuk

praktek mana yang sudah dilaksanakan dengan baik. Membuat

rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat untuk

melakukan pencegahan, pengenalan, dan pemulihan dari setiap

52

resiko dan menjelaskan bagaimana mengukur efektifitas dari

kegiatan mitigasi.

• Membuat daftar aktifitas – sebuah daftar aktifitas yang segera

dilaksanakan, biasanya meliputi vulnerability yang memerlukan

perbaikan dengan segera.

Gambar 2.14 Fase 3 proses 8. Develop Protection Strategy A

Process 8:

Develop Protection Strategy Workshop A Inputs



• Assets


• Areas of concern Current protection strategy practices from each organizational level

Organizational vulnerabilities from each organizational level

Critical assets

Security requirements for critical assets



Infrastructure components to examine

Technology vulnerability summary


Technology vulnerabilities

Outputs

Current protection strategy practices

Current organizational vulnerabilities

Proposed protection strategy

Proposed mitigation plan

Proposed action list

Worksheets Current strategic practices worksheet (W8A.1)

Current operational practices worksheet (W8A.2)

Protection strategy for strategic practices worksheet (W8A.3)

Protection strategy for operational practices worksheet (W8A.4)

Action list worksheet (W8A.5)

Asset Profile Workbook (WK)

53

Lokakarya B meliputi aktifitas:

• Prework: Membuat presentasi untuk manajer senior

• Mengkaji informasi resiko – tim analisis mempresentasikan

informasi berkaitan dengan aset kritis dan ringkasan hasil survey

kepada manajer senior.

• Mengkaji ulang dan memperbaiki strategi proteksi, rencanan

mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A.

Manajer senior dapat meminta perubahan, penambahan, atau

pengurangan.

• Menetapkan langkah selanjutnya – Manajer senior memutuskan

bagaimana mengimplementasikan strategi, perencanaan, dan

aktifitas.

Gambar 2.15 Fase 3 proses 8. Develop Protection StrategyB

Process 8:

Develop Protection Strategy B

Outputs

Protection strategy

Mitigation plan

Action list

Next steps

Inputs


Current knowledge of senior managers

Proposed protection strategy

Proposed mitigation plan

Proposed action list


• Assets


• Areas of concern

• Protection strategy practices

• Organizational vulnerabilities

Worksheets Asset summary worksheet (W8B.1)

Risk profile for critical assets (W8B.2)

Organization protection strategy worksheet (W8B.3)

Mitigation plan worksheet (W8B.4)

Action list worksheet (W8B.5)

Current strategic practices worksheet (W8A.1)

Current operational practices worksheet (W8A.2)

Protection strategy for strategic practices worksheet (W8A.3)

Protection strategy for operational practices worksheet (W8A.4)

Action list worksheet

Bab II LANDASAN TEORI - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/TSA-2010-0063...

Documents

Transcript of Bab II LANDASAN TEORI - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/TSA-2010-0063...