7083M IS Risk Management

LECTURE NOTES




Managing Information Security















Bambang Gunawan, SE., ST., MM
bambanggunawan@binus.ac.id
7083M IS Risk Management

LEARNING OUTCOMES
LO1 : Identify principles and attributes of information security risk

OUTLINE MATERI:
- Information Security
- Information Security Risk Evaluation and Management
- An Approach to Information Security Risk Evaluations

















7083M IS Risk Management

ISI

Mengelola Resiko Keamanan Informasi
Keamanan Informasi lebih dari sebuah pengaturan firewall, menerapkan patches untuk
memperbaiki kekurangan dalam sistem softwarenya.
Menyediakan standarisasi keamanan IT
Menilai keseluruhan komputasi
Menggunakan software untuk menganalisis infrastruktur dan semua
komponennya
Menyediakan sebuah analisis detail tentang rentan teknologi dan
merekomendasikan langkah-langkah spesifik untuk mengatasi kerentanan.

Ada empat pendekatan yang digunakan untuk mengelola keamanan resiko yaitu :
1. Vulnerability Assessment
Sebuah metode sietematis, memeriksa basis teknologi organisasi, kebijakan
dan prosedur. Termasuk analisis lengkap dari keamanan lingkungan komputasi
internal dan rentan terhadap serangan internal dan eksternal.
2. Audit sistem informasi.
Audit sistem informasi tidak bergantung pada kontrol internal perusahaan
untuk management, pihak yang berwenang, dan pemegang saham
perusahaan bahwa
informasi tersebut akurat dan benar. Audit biasanya memanfaatkan industri
dalam model proses, benchmarks, dan standart perawatan atau pembinaan pelatihan.
Sebuah audit biasanya hanya berdasarkan pada proses resiko bisnis dan analisis
metode dan alat-alatnya. Audit biasanya dilakukan oleh auditor berlisensi dan
bersertifikat dan mempunyai implikasi hukum dan kewajiban.
3. Evaluasi resiko keamanan informasi
Evaluasi risiko keamanan memperluas penilaian kerentanan untuk melihat risiko yang
berkaitan dengan keamanan dalam perusahaan, termasuk sumber
internal dan eksternal risiko serta berbasis elektronik dan orang-berbasis
risiko. Evaluasi ini
7083M IS Risk Management

multifaset berusaha untuk menyelaraskan dengan driver evaluasi risiko bisnis atau
tujuan dan biasanya fokus pada empat aspek berikut keamanan:
a) Meneliti praktek-praktek perusahaan yang berkaitan dengan keamanan untuk
mengidentifikasi kekuatan dan kelemahan yang dapat menciptakan atau
mengurangi risiko keamanan. Prosedur ini dapat menyertakan analisis komparatif
yang peringkat informasi ini terhadap standar industri dan praktek-praktek terbaik.
b) Termasuk pemeriksaan sistem teknologi, review kebijakan, dan pemeriksaan
keamanan fisik.
c) Memeriksa IT infrastruktur untuk menentukan rentan teknologi. Situasi yang
termasuk dalam kerentanan adalah sebagai berikut :

Pengenalan dari kode-kode berbahaya
Korupsi atau kerusakan data
Informasi yang tidak melalui penyaringan
Penolakan layanan
Ketidaksahan atas perubahan hak akses
d) Membantu pengambilan keputusan untuk memilih biaya penanggulangan biaya
secara efektif.



4. Mengelola penyedia layanan
Penyedia layanan keamanan mengandalkan keahlian manusia untuk mengelola sistem
perusahaan dan jaringan. Menggunakan perangkat lunak keamanan vendor lain
dan perangkat untuk melindungi infrastruktur. Biasanya, layanan keamanan
dikelola secara proaktif akan memantau dan melindungi infrastruktur komputasi
organisasi dari serangan dan penyalahgunaan. Solusi cenderung disesuaikan
untuk kebutuhan unik setiap client bisnis dan menggunakan teknologi
eksklusif. Secara aktif dapat merespon gangguan atau memberitahu
informasi kejadian. Beberapa dilakukan
otomatis, pembelajaran berbasis komputer dan analisis, waktu respon menurun
dan akurasi meningkat.


7083M IS Risk Management

Evaluasi dan Management Resiko Keamanan Informasi

Langkah-langkah untuk evaluasi management Resiko Keamanan Informasi :
Perubahan dari pendekatan, reaktif berbasis masalah untuk pencegahan proaktif
masalah.
Mempertimbangkan keamanan dari berbagai perspektif.
Membangun infrastruktur yang fleksibel pada semua tingkat organisasi yang mampu
merespon dengan cepat perubahan teknologi dan kebutuhan keamanan.
Memulai usaha, berkelanjutan terus menerus untuk mempertahankan dan
memperbaiki postur keamanan.
Kegiatan Evalusi :
Mengidentifikasi risiko keamanan informasi
Menganalisis risiko untuk menentukan prioritas
Rencana untuk perbaikan dengan mengembangkan strategi perlindungan untuk
perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko untuk
aset kritis organisasi
Langkah-langkah yang harus diambil setelah kegiatan evaluasi :
Rencana bagaimana menerapkan strategi perlindungan dan rencana mitigasi risiko
dari evaluasi dengan mengembangkan rencana aksi rinci. Kegiatan ini dapat
mencakup analisis biaya-manfaat rinci antara strategi dan tindakan.
Melaksanakan rencana aksi yang dipilih rinci.
Monitor rencana untuk kemajuan dan efektivitas. Kegiatan ini meliputi
pemantauan risiko untuk setiap perubahan.
Kontrol variasi dalam pelaksanaan rencana dengan mengambil tindakan korektif
yang tepat.





7083M IS Risk Management

Evaluasi merupakan peran sentral dalam mengelola risiko keamanan informasi. Hal ini dapat
membantu organisasi menilai kedua praktek organisasi dan basis teknologi diinstal dan dapat
mengaktifkan personil dalam suatu organisasi untuk membuat keputusan perlindungan
informasi berdasarkan dampak potensial pada organisasi. Evaluasi resiko keamanan
informasi dapat mengaktifkan pilihan penanggulangan biaya-efektif dan berguna dengan
menyeimbangkan biaya menangani risiko terhadap manfaat yang diperoleh dari menghindari
dampak negatif. Memungkinkan suatu organisasi untuk memfokuskan kegiatan keamanan
pada apa yang penting. J ika kebijakan, latihan, dan peralatan organisasi digunakan secara
menyeluruh dalam management maka artinya organisasi tersebut tidak secara efektif
menggunakan waktu staffnya.
Ada banyak jenis evaluasi resiko keamanan informasi tersedia untuk pengguna potensial.
Kualitas dan lingkup produk dan layanan bervariasi di seluruh jangkauan yang sangat luas.
Banyak evaluasi tidak meminjamkan diri ke pendekatan peningkatan keamanan suatu
organisasi secara luas.

7083M IS Risk Management

Pendekatan OCTAVE
Unsur-unsur umum dari pendekatan OCTAVE yang diwujudkan dalam seperangkat kriteria
yang mendefinisikan prinsip-prinsip, atribut, dan output dari pendekatan OCTAVE. Banyak
metode dapat konsisten dengan kriteria ini, tapi hanya ada satu set kriteria OCTAVE.
Rekayasa Perangkat Lunak Institute (SEI) telah mengembangkan satu metode yang konsisten
dengan kriteria, metode OCTAVE yang didesign untuk suatu organisasi yang cukup besar
(lebih dari 300 karyawan).
Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim
(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota
tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis
organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur
praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog ini
meliputi:
Catalog of practices sebuah koleksi strategi dan praktek keamanan informasi
Generic threat profile sebuah koleksi sumber ancaman utama
Catalog of vulnerabilities sebuah koleksi dari vulnerability berdasarkan platform
dan aplikasi


Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu teknologi,
menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh
7083M IS Risk Management

organisasi (dapat dilihat dalam gambar). Metode ini menggunakan lokakarya untuk
melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan
strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses
memiliki satu atau lebih lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas
persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara
keseluruhan.







7083M IS Risk Management

SIMPULAN

Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang ini.
Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan
memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat terhadap
aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara
operasional organisasi dengan persyaratan teknologi informasi sehingga menempatkan aset
dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak lengkap,
sehingga gagal mencakup seluruh komponen resiko (aset, ancaman, dan vulnerability).
Banyak organisasi kemudian menyewa konsultan untuk mengevaluasi resiko keamanan
informasi dalam organisasinya. Hasilnya mungkin tidak sesuai dengan perspektif organisasi
tersebut. Risk assessment yang dilakukan sendiri oleh organisasi yang bersangkutan
memberikan pengetahuan untuk memahami resiko dan membuat keputusan yang tepat.
Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)
memungkinkan organisasi melakukan hal di atas. OCTAVE adalah sebuah pendekatan
terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan
dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen
esensial dari evaluasi resiko keamanan informasi.









7083M IS Risk Management

DAFTAR PUSTAKA


Alberts, Christopher and Audrey Dorofee. (2003) Managing Information Security Risks,
The OCTAVE
SM
Approach. Addison Wesley. Boston. ISBN: 0-321-11886-3

Alberts, Cristopher J , and Dorofee, Audrey J . (2001) OCTAVE Method Implementation
Guide, v2.0, Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University,
http://www.cert.org/octave/