BAB 2

LANDASAN TEORI

2.1

Sistem informasi
Menurut Gelinas, Dull, Wheeler (2012: 14) Information System is a man made
system that generally consist of an integrated set of computer based components and
manual components established to collect, store, and manage data, and to provide output
information to users.
Sistem informasi merupakan sistem buatan manusia yang secara umum terdiri
dari sekumpulan komponen berbasis komputer yang terintegrasi dan komponen manual
yang ditetapkan

untuk mengumpulkan, menyimpan, dan mengelola data, serta

menyediakan keluaran (output) informasi kepada user.

2.1.1

Informasi
Menurut Sawyer dan Williams (2007, p25), informasi adalah data yang telah
dirangkum atau dimanipulasi dalam bentuk lain untuk tujuan pengambilan keputusan.
Misalnya, jumlah suara untuk sebuah kandidat yang dipakai dalam penentuan pemenang
pemilu.

Menurut (Mardi, 2011, p. 4), informasi adalah hasil proses atau hasil

pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan sistem
informasi komputerisasi.

2.1.2

Sistem
Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian bagian
yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu.
Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan sistem
apabila memenuhi 2 syarat, yaitu :
1.

Memiliki bagian-bagian yang saling berinteraksi dengan maksud untuk

2.

mencapai suatu tujuan

Bagian-bagian itu dinamakan subsistem dan harus memenuhi 3 unsur inputproses-output.

2.1.3

Analisa Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Analysis is the process of
understanding and specifying in detail what the information system should accomplish.
Analisa sistem adalah proses pemahaman dan menetapkan apa yang seharusnya
dicapai oleh sistem secara detail.
Menurut Shelly, Rosenblatt (2012: 142) analisa sistem terdiri dari 4 aktivitas
utama :
1) Requirements Modeling
Aktivitas yang dilakukan disini meliputi pencarian fakta-fakta yang
menggambarkan sistem berjalan dan mengidentifikasi kebutuhan-kebutuhan
untuk pembuatan sistem baru seperti input, output, proses, kinerja, dan
keamanan sistem.

2) Data and Process Modeling

Aktivitas yang dilakukan disini adalah melanjutkan pembuatan model proses
dengan mempelajari bagaimana data dan proses sistem digambarkan secara
grafis dengan menggunakan teknik analisa terstruktur yang mengidentifikasi
bagaimana aliran data dalam sebuah proses, aturan bisnis yang mengubah
data, dan output hasil aliran data.
3) Object Modeling
Pada

aktivitas

ini

dilakukan

pembuatan

model

proses

yang

mengkombinasikan data dan proses pengolahan data yang disebut dengan

objek. Objek-objek ini menggambarkan manusia, benda, transaksi, dan
peristiwa yang mempengaruhi sistem.
4) Considerations of Development Strategies
Pada aktivitas ini dilakukan pertimbangan dari berbagai macam pilihan
pengembangan sistem dan melakukan persiapan untuk transisi ke fase
perancangan sistem.
2.1.4

Perancangan Sistem
Menurut Satzinger, Jackson, Burd (2009: 4) System Design is the process of
specifying in detail how the many components of the information system should be
physically implemented.
Perancangan sistem adalah proses penetapan secara detail bagaimana komponenkomponen sistem informasi yang banyak itu seharusnya diimplementasikan secara fisik.

Menurut Shelly, Rosenblatt (2012: 333) ada 3 aktivitas utama dalam perancangan
sistem :
1) User Interface Design
Pada

aktivitas

ini

dilakukan

perancangan

tampilan

sistem

yang

menggambarkan bagaimana user berinteraksi dengan sistem komputer dan

termasuk bagaimana semua tampilan, menu, fungsi, dan fitur yang ada pada
sistem mempengaruhi komunikasi dua arah diantara user dan komputer.
2) Data Design
Pada aktivitas ini dilakukan penetapan bagaimana data akan

diorganisir,

disimpan, dan diatur yang akan memberikan dampak pada kualitas dan
konsistensi data.
3) System Architecture
Pada aktivitas ini dilakukan penetapan semua arsitektur sistem yang
mentranslasikan desain logis dari sebuah sistem informasi ke struktur fisik
(hardware,

software,

jaringan

pendukung,

metode

pemrosesan,

dan

keamanan) dengan tujuan untuk mengimplementasikan sistem informasi.

2.2

InformationTechnology(IT)
Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa manusia
terhadap proses penyampaian informasi dari pengirim ke penerima sehingga pengiriman
informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih lama
penyimpanannya.

2.2.1

Software
Menurut Wiliams dan Sawyer (2005,p12), perangkat lunak (software) adalah
instruksi tahapan demi tahapan yang diberikan kode secara elektronikal yang
memberitahu perangkat keras komputer untuk menampilkan tugas. Secara umum
software dibagi menjadi 2tipe, yaitu sistem software dan application software.Sistem
software membantu komputer untuk menjalankan tugas-tugas operasi yang penting dan
mengijinkan software aplikasi untuk dijalankan, Contohnya yaitu Windows XP, Linux.
Sedangkan application software memberikan pengguna untuk dapat mejalankan hal
spesifik memecahkan masalah atau menampilkan pekerjaan, contohnya yaitu Adobe
Photoshop, Microsoft Word, dll.
Sedangkan menurut (Syafrizal, 2007, p. 22) mendefinisikan perangkat lunak
sebagai berikut :Berfungsi

sebagai pengatur aktivitas kerja komputer dan semua

intruksi yang mengarah pada sistem komputer. Perangkat lunak menjembatani interaksi
user dengan komputer yang hanya memahami bahasa mesin.

2.2.2

Jaringan Komputer
Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks) adalah suatu
himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa yang popular
dapat dijelaskan bahwa jaringan komputer adalah kumpulan beberapa komputer (dan
perangkat lain seperti printer, hub, dan sebagainya) yang saling terhubung satu sama lain

melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media
tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke
komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masing-masing
komputer yang terhubung tersebut bisa saling bertukar data atau sebagai perangkat keras.
Tujuan dari jaringan komputer adalah:
A. Membagi sumber daya: contohnya berbagi pemakaian printer,CPU,hardisk.
B. Komunikasi: contohnya e-mail, instant messenger, chatting.
C. Akses informasi: contohnya web browsing.
Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer
meminta dan memberikan layanan (service). Pihak yang meminta / menerima layanan
disebut klien (client) dan yang memberikan / mengirim layanan disebut pelayan (server).
Arsitektur ini disebut dengan sistem client server, dan digunakan pada hampir seluruh
aplikasi jaringan komputer.

Macam macam Jaringan:

A. Berdasarkan skala :
a. Local Area Network (LAN): suatu jaringan komputer yang menghubungkan
suatu komputer dengan komputer lain dengan jarak yang terbatas.
b. Metropolitant Area Network (MAN): prinsip samadengan LAN, hanya saja
jaraknya lebih luas, yaitu 10-50 km.

c. Wide Area Network (WAN): jaraknya antar kota, negara, dan benua. Ini sama
dengan internet.
B. Menurut(Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan fungsi

masing masing komputer jaringan dapat dibagi menjadi:

a. Peer to peer
Peer to peer adalah jenis jaringan komputer dimana setiap komputer bisa
menjadi server dan sekaligus client. Setiap komputer dapat menerima dan
member access dari dank e-computer lainnya. Pola ini banyak di
implementasikan pada jaringan LAN.
b. Client Server
Client server adalah jaringan komputer yang salah satunya di fungsikan
menjadi server untuk melayani komputer lain. Komputer yang dilayani oleh
server dinamakan client.
C. Menurut (Sofana, 2010, p. 114), jenisjenis topologi jaringan LAN di bagi menjadi

:
a. Topologi Bus

Topologi bus menggunakan sebuah kabel

backbonedan semua

host

terhubung secara langsung pada kabel backbone tersebut.

b. Topologi Star
Topologi starmenghubungkan semua komputer pada sentral atau
konsentrator,biasanya konsentrator adalah sebuah hub dan switch.
c. Topologi Ring
Topologi ringmenghubungkan
host dengan
hostlainnya hingga
membentuk ring (lingkaran tertutup).
d. Topologi Mesh

Topologi mesh menghubungkan setiap komputer secara point to point

yang berarti semua komputer akan saling terhubung satu dengan yang lainnya.

D. Berdasarkan media transmisi data

a. Jaringan Berkabel (Wired Network)
Pada jaringan ini, untuk menghubungkan satu komputer dengan komputer
lain diperlukan penghubung berupa kabel jaringan. Kabel jaringan berfungsi
dalam mengirim informasi dalam bentuk sinyal listrik antar komputer jaringan.
b. Jaringan Nirkabel (WI-FI)
Jaringan nirkabel menjadi trend sebagai alternatif dari jaringan kabel,
terutama untuk pengembangan Local Area Network (LAN) tradisional karena
bisa mengurangi biaya pemasangan kabel dan mengurangi tugas-tugas relokasi
kabel apabila terjadi perubahan dalam arsitektur jaringan. Topologi ini dikenal
dengan berbagai nama, misalnya WLAN, WaveLAN, HotSpot, dan sebagainya.
2.3

Manajemen Risiko Teknologi Informasi

2.3.1

Risiko
Risiko akan selalu ditemukan dalam kehidupan dimana apabila dikelola
dengan baik dapat menjadi sebuah kesempatan (opportunity) dan sebaliknya,
apabila manajemennya buruk maka akan menjadi sebuah ancaman (threat).
Definisi risiko menurut ISO (ISO Guide 73:2009, p.9) adalah suatu efek dari
ketidakpastian dalam pencapaian suatu tujuan. Dan mereka juga menambahkan
bahwa efek tersebut bisa bersifat negatif maupun positif.

2.3.2

Manajemen Risiko
Menurut William Hotopf (2009, p.4) mendefinisikan manajemen risiko
sebagai

manajemen

yang dilakukan berdasarkan analisis terhadap potensial

keterjadian dan dampak yang dapat terjadi apabila risiko penting tidak
dikendalikan atau dimitigasi. Dari dua definisi manajemen risiko diatas maka

dapat ditarik kesimpulan bahwa manajemen risiko untuk setiap bidang bisnis
akan berbeda dan
karena

manajemen

risiko akan

semakin

risiko harus dilakukan secara berkelanjutan,

berkembang

seiring dengan

pertumbuhan

perusahaaan.

2.3.3

JenisJenis Risiko
Menurut (Gondodiyoto, 2009, pp. 110-111)dari berbagai sudut pandang,
risiko dapat dibedakan dalam beberapa jenis :
a. Risiko Bisnis (Business Risks)
Risiko bisnis adalah risiko yang dapat disebabkan oleh factorfaktor

internmaupun

ekstern yang

berakibat

kemungkinan

tidak

tercapainya tujuan organisasi.

b. Risiko Bawaan (Inherent Risks)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang
melekat pada suatu kegiatan jika tidak ada pengendalian internal.
c. Risiko Pengendalian (Control Risks)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara optimal terhadap
setiap potensi risiko.Risiko pengendalian ialah masih adanya risiko
meskipun sudah ada pengendalian.
d. Risiko Deteksi (Detection Risks)
Risiko deteksi ialah risiko yang terjadi karena prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya erroryang cukup
materialitas atau adanya kemungkinan fraud.
e. Risiko Audit (Audit Risks)

Risiko audit sebenarnya kombinasi dari inherent risks, control

risks, dan detection risks. Risiko audit adalah risiko bahwa hasil
pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang
sesungguhnya.
2.4

Risiko-Risiko yang Terkait dengan Teknologi Informasi

2.4.1

Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p48), risiko teknologi informasi adalah
suatu kemungkinan kesalahan dengan teknologi informasi dan menyebabkan
suatu dampak negatif pada bisnis.

2.4.2

Ancaman
Menurut Peltier (2001, p21), ancaman adalah sebuah kejadian dengan
potensi yang menyebabkan akses yang tidak terotorisasi, modifikasi, perusakan
dari sumber daya informasi, aplikasi atau sistem.

2.4.3

Kelas-kelas Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p 49-52), ada 7 kelas risiko TI, di
mana dalam setiap kelasnya teknologi informasinya dapat salah, dan
menyebabkan konsekuensi negatif untuk perusahaan. Tujuh kelas tersebut yaitu:
1.

Proyek kegagalan untuk menyampaikan Kelas ini berfokus pada

kegagalan proyek TI, mempertimbangkan penunjukan proyek TI
dan proyek bisnis dengan suatu komponen TI yang kritis dan
penting.

2.

Kesinambungan pelayanan TI ketika operasi bisnis terhenti Kelas

ini berkaitan dengan ketidakandalan pelayanan TI sehingga
menyebabkan gangguan kepada bisnis.

3.

Aset-aset informasi kegagalan untuk melindungi Kelas ini

berhubungan

secara

khusus pada kerusakan, kehilangan atau

eksploitasi dari aset informasi yang ada pada sistem TI.

4.

Penyedia jasa layanan dan vendor kerusakan pada rantai nilai TI

Dewasa ini penyedia jasa layanan dan vendor memegang peranan
yang penting dalam pengiriman proyek TI dan operasi sehari - hari.
Ketika sebuah penyedia jasa layanan gagal mengirimkan, maka
akan muncul potensi dampak yang segera dan signifikan pada
sistem TI dan layanan. Vendor dipercayakan untuk banyak aplikasi
yang mengendalikan bisnis saat ini, bila ada kesalahan pada
produk mereka, maka penyelesaian sengketa dengan penengahan
kembali yang mereka ajukan bisa mungkin adalah setengah
setengah dan mereka boleh memilih untuk menghapuskan setahap
demi setahap aplikasi kunci perusahaan.

5.

Aplikasi system flaky Kelas ini berhubungan dengan kagagalan

aplikasi TI. Aplikasi adalah sistem khusus yang

berinteraksi

dengan

merupakan

user dan dalam

kebanyakan organisasi

kombinasi dari software paket dan software khusus yang tujuannya

sampai tahap tertentu terintegrasi bersama-sama.

6.

Infrastruktur fondasi yang rapuh Kelas ini berhubungan dengan

kegagalan dalam infrastruktur TI. Infrastruktur adalah nama umum
untuk berbagai komputer dan sumber daya jaringan terpusat dan
terdistribusi di mana aplikasi dijalankan.

7.

Strategis dan emergent dilumpuhkan oleh TI Kelas ini

berhubungan dengan kemampuan TI membiarkan eksekusi
menurun dari strategi bisnis. Dampaknya tidak segera terasa tetapi
akan menjadi signifikan dalam perencanaan bisnis strategis.

2.4.4

Tahap Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen
risiko teridiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda
untuk jenis risiko yang berbeda:
1.

Pengenalan / Penemuan : menaruh risiko teknologi informasi pada radar

manajemen.

2.

Penilaian/ Analisis : mengerti risiko teknologi informasi dalam kontek tas

surat keseluruhan risiko informasi teknologi dan menilai kemungkinan
munculnya dan pengaruhnya pada bisnis.

3.

Perawatan : menetukan pilihan yang terbaik dari beberapa langkah

tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan
menyelesaikan tindakan yang diperlukan.

4.

Pengamatan / Peninjauan : menindaklanjuti untuk memastikan apa yang

direncanakan itu dikerjakan dan mengerti perubahan yang apa pada tas
surat risiko teknologi informasi.

2.4.5

Pengelolaan Teknologi Informasi

Information
Technology
Management

Managing Business and

IT Strategy

Gambar 2.1

Managing Application
Development and
Technology

Managing the IT
organization and
Infrastructure

Tabel 2.2Komponen Utama Pengelolaan TI

Menurut OBrien (2006, p. 478) Teknologi informasi merupakan sumber daya bisnis
penting yang harus dikelola dengan benar. Obrien dan George (2006, p478), mengemukakan
sebuah pendekatan yang terkenal untuk mengelola teknologi informasi dalam perusahaan
besar. Pendekatan untuk menggunakan TI agar dapat mendukung prioritas strategi bisnis
dalam perusahaan. Proses perencanaan bisnis/TI sesuai dengan tujuan strategi bisnis TI.
Proses tersebut juga meliputi evaluasi proses bisnis/TI yang diajukan. Mengelola
pengembangan dan implementasi aplikasi dan teknologi bisnis/TI baru (Managing the

development and implementation of new business/IT applications and technologies). Pengelolaan

pada bagian ini merupakan tanggung jawab dari top level management. Area manajemen TI ini
melibatkan pengelolaan proses pengembangan dan implementasi sistem informasi, serta
tanggung jawab penelitian ke dalam

penggunaan

bisnis yang strategi atas TI yang baru.

Mengelola organisasi TI dan infrastruktur TI (Managing the IT organization and IT

infrastructure). Pengelolaan pada bagian ini merupakan tanggung jawab dari manajer TI dalam
mengelola tugas dari para pakar TI yang biasanya diatur dalam berbagai tim proyek dan subunit
organisasi lainnya. Selain itu, manajer TI juga bertanggung jawab dalam mengelola infrastruktur
TI yang meliputi hardware, software, database, jaringan telekomunikasi, dan sumber daya TI
lainnya yang harus diperoleh, dioperasikan, dimonitor dan dipelihara.

2.5

Metode Pengukuran Risiko Teknologi Informasi

Menurut Maulana dan Supangkat (2006, p121), terdapat banyak metode yang bisa
digunakan dalam penerapan manajemen risiko teknologi informasi, diantaranya
menggunakan metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation ), COBIT (Control Objectives for Information and Related Technology), dan
NIST Special Publication 800-30.

2.5.1 OCTAVE

Gambar 2.1 Information Security Risk Management Framework

(Sumber : Muhammad Mahreza Maulana, Permodelan Framework ManajemenRisiko
Teknologi Informasi Untuk Perusahaan Di Negara Berkembang)
Menurut Muhammad Mahreza Maulana, Framework manajemen risiko
menggunakan pendekatan OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) Adalah :
1.

Identifikasi
Identifikasi merupakan proses transformasi ketidakpastian dan isu
tentang seberapa baik aset organisasi dilindungi dari risiko. Tugas yang
harus dilakukan adalah identifikasi profil risiko (aset kritis, ancaman
terhadap aset, kebutuhan keamanan untuk aset kritis, deskripsi tentang
dampak risiko pada organisasi, dan komponen infrastruktur utama yang
berhubungan dengan aset kritis) dan identifikasi informasi organisasi 3
(kebijakan, praktek dan prosedur keamanan, kelemahan teknologi dan
kelemahan organisasi saat ini ).

2.

Analisa
Analisa merupakan proses untuk memproyeksikan bagaimana
risiko-risiko ekstensif dan bagaimana menggunakan proyeksi tersebut
untuk membuat skala prioritas. Tugas dalam proses analisa adalah
melakukan evaluasi risiko (Nilai-nilai untuk mengukur risiko, dampak dan
peluang) dan skala prioritas risiko (pendekatan pengurangan risiko,
menerima atau mengurangi risiko).

3.

Perencanaan
Perencanaan merupakan proses untuk menentukan aksi-aksi yang
akan diambil untuk meningkatkan postur dan perlindungan keamanan aset
kritis tersebut. Langkah dalam perencanaan

adalah mengembangkan

strategi proteksi, rencana mitigasi risiko, rencana aksi, budget, jadwal,

kriteria sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasan
personil untuk implementasi rencana aksi.
4.

Implementasi
Implementasi merupakan proses untuk melaksanakan aksi yang
direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal
dan kriteria sukses yang didefinisikan selama perencanaan risiko.
Implementasi menghubungkan antara perencanaan dengan monitor dan
kontrol.

5.

Monitor

Proses ini memonitor jejak rencana aksi untuk menentukan status

saat ini dan meninjau ulang data organisasi sebagai tanda adanya risiko
baru dan perubahan risiko yang ada. Langkah dalam proses monitor
adalah melakukan eksekusi rencana aksi 4 secara lengkap, mengambil
data (data untuk melihat jalur rencana aksi terkini, data tentang indikator
risiko utama) dan laporan-laporan terkini dan indikator risiko utama.

6.

Kontrol
Mengontrol risiko adalah proses yang

didesain agar personil

melakukan penyesuaian rencana aksi dan menentukan apakah merubah

kondisi organisasi akan menyebabkan timbulnya risiko baru. Langkah
dalam proses monitor risiko adalah analisa data (analisa laporan terkini
dan analisa indikator risiko), membuat keputusan (keputusan tentang
rencana aksi dan keputusan tentang identifikasi risiko baru), dan
melakukan

eksekusi

keputusan

(mengkomunikasikan

keputusan,

mengimplementasikan perubahan rencana aksi, dan memulai aktifitas

identifikasi risiko).
2.5.2 OCTAVE-S
Menurut Alberts et al. (2005, p3), OCTAVE-S adalah sebuah variasi dari
pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan kecil,
organisasi-organisasi yang tidak memiliki hierarki.
2.5.2.1 Tahapan, Proses, dan Aktivitas OCTAVE-S

Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar pada 3 tahap yang
dideskripsikan dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan
berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan
singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahap satu adalah sebuah
evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis
menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi risiko. Hal ini juga mengindentifikasi aset-aset organisasi saat ini.
Dimana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi
dan membuat profil ancaman serta memiliki enam aktivitas.
Tahap kedua yaitu tim analisis melakukan peninjuan ulang level tinggi
dari perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang di
pertimbangkan pemelihara dari infrast ruktur. Tahap ini memiliki satu proses
yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang
kritis dimana terdapat aktivitas. Selama tahap ketiga, tim analisis mengidentifikasi
risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan
mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat
strategi perlindungan untuk organisai dan rencana mitigasi risiko yang ditujukan
pada aset kritis. Tahap ini terdiri atas 2 proses, 3 yaitu identifikasi dan analisis
risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana
proses ini memiliki delapan aktivitas.
2.5.2.2 Proses OCTAVE-S
Proses-proses metode OCTAVE-S, yaitu:
1. Fase I (Organizational View)

Fase pertama dalam OCTAVE-S adalah

Asset-Based Threat

Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk

memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh
setiap aset, area yang diperhatikan, strategi proteksi yang sedang
diterapkan,dan risiko yang ada saat ini di perusahaan. Pada fase ini data
yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil
aset kritis organisasi. Fase pertama ini meliputi empat proses yang harus
dilakukan.
Keempat proses ini dibahas dalam penjelasan berikut :
A. Fase I proses I (Identify Senior Manager Knowledge)
Proses pertama dalam fase I adalah melakukan identifikasi
pengetahuan manajer senior dalam hal keamanan informasi.Tim analisis
melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas
dalam proses ini terdiri dari:
1. Mengidentifikasi aset penting Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk perusahaan. Mereka
juga membuat skala prioritas untuk mengidentifikasi lima aset
yang terpenting.
2. Mendeskripsikan aset-aset yang rawan risiko Untuk lima aset
terpenting, manajer senior mendeskripsikan skenario bagaimana
aset-aset tersebut terancam.
3. Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting
Manajer senior mendefinisikan kebutuhan keamanan yang
diperlukan untuk aset terpenting.

4. Mengidentifikasi strategi proteksi terkini

risiko

ada

di

perusahaan Manajer senior melengkapi survey berdasarkan

catalog of practices. Mereka mendiskusikan jawaban survey
mereka untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.
5. Meninjau kembali cakupan evaluasi Ini adalah kesempatan
kedua untuk manajer senior terlibat dalam lokakarya proses
pertama jika akan menambah atau mengurangi daftar area operasi
atau manajer.

B. Fase I proses II ( IdentifyOperational Management Knowledge)

Pada proses ke dua ini diperoleh gambaran pengetahuan dari
manajer operasional. Manajer ini adalah manajer dimana area yang
dikelolanya termasuk dalam cakupan OCTAVE-S.Tim analisis
memfasilitasi lokakarya dengan manajer area operasional sebagai
parsisipannya. Aktifitas dalam proses ke-2 ini terdiri dari:
1. Mengidentifikasi aset penting Manajer senior mendefinisikan
aset apa yang penting untuk mereka dan untuk organisasi.
Mereka juga membuat skala prioritas untuk mengidentifikasi
lima aset yang terpenting.
2. Mendeskripsikan aset-aset yang rawan risiko Untuk lima aset
terpenting,

manajer

senior

mendeskripsikan

skenario

bagaimana asset-aset

tersebut terancam. Mendefinisikan

kebutuhan keamanan untuk setiap aset terpenting Manajer

senior mendefinisikan kebutuhan keamanan yang diperlukan
untuk aset terpenting.

Mengidentifikasi strategi proteksi

terkini dan tingkat risiko yang ada di perusahaan Manajer

senior melengkapi survey berdasarkan catalog of practices.
Mereka mendiskusikan jawaban survey mereka untuk
memberikan tambahan informasi terhadap apa yang sudah dan
apa yang belum di laksanakan dengan baik dalam pandangan
keamanan. Memverifikasi staf yang menjadi partisipan
Manajer area meninjau kembal

siapa saja staf yang akan

menjadi part isipan dalam OCTAVE-S.

C. Fase I proses III (Identify Staff Knowledge)
Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para
staf umum dan staf teknologi informasi. Para staf ini adalah para staf
dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE-S.Tim
analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya.
Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf
lebih dar i lima orang, maka akan diadakan beberapa lokakarya dengan
partisipan yang berbeda pada setiap lokakarya. Aktifitas dalam proses 3
ini terdiri dari:
1. Mengidentifikasi aset penting para staf mendefinisikan aset
apa yang penting untuk mereka dan untuk organisasi. Mereka

juga membuat skala prioritas untuk mengident ifikasi lima aset

yang terpenting.
2. Mendeskripsikan aset-aset yang rawan risiko Untuk lima aset
terpent ing, para staf mendeskripsikan skenario bagaimana
asset-aset tersebut terancam.
3.

Mendefinisikan kebutuhan keamanan untuk setiap aset

terpenting Para staf mendefinisikan kebutuhan keamanan
yang diperlukan untuk aset terpenting.

4. Mengidentifikasi strategi proteksi terkini dan vulnerability

organisasi Para staf melengkapi survei berdasarkan catalog of
practices. Mereka mendiskusikan jawaban survei mer eka
untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam
pandangan keamanan.

D. Fase I proses IV( Create Threat Profile)

Proses ke empat menggabungkan semua informasi yang diperoleh
dalam proses pertama sampai proses ketiga dan membuat sebuah profil
ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis
(beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri
dari:
1. Konsolidasi data tim analisis mendata daftar aset terpenting,
kebutuhan keamanan masing-masing aset ,dan melihat aset yang

r awan terhadap risiko pada proses pertama sampai proses ke

tiga.
2. Memilih aset kritis - Dari keseluruhan aset terpent ing yang
diajukan oleh manajer senior, manajer area operasional dan para
staf, aset yang terpenting diseleksi oleh t im analisis.
3. Mendefinisikan kebutuhan keamanan untuk aset kritis tim
analisisi menyempurnakan informasi yang

diperoleh pada

proses pertama sampai ke tiga untuk sampai pada sebuah

rancangan akhir kebutuhan keamanan.
4. Menentukan ancaman terhadap aset krit is t im analisis
menyempurnakan

informasi mengenai aset-aset yang rawan

risiko yang diperoleh dari proses 3 pertama sampai proses ke t

iga dan menjabarkannya dalam profil ancaman keamanan.
2. Fase II (Identify Infrastructure Vulnerability)
Fase ke dua dalam OCTAVE-S adalah Identify Infrastructure Vulnerabil
ities.Fase ini melihat kerawanan risiko secara teknis yang terjadi pada aset kritis
dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase ke dua ini
meliputi dua proses yang akan dibahas lebih lanjut.
A. Fase II proses V (Identify Key Components)
Proses kelima mengident ifikasi

komponen kunci dar i

infrastruktur yang harus diuji kerawanan r isiko-nya secara teknis untuk

setiap aset kritis. Tim analisis mempertimbangkan

berbagai

macam

sistem dalam organisasi dan masing-masing komponennya. Tim analisis

mencari system of interest untuk setiap aset kritis, yaitu sistem yang
paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan
terdiri dari:
1. Mengidentifikasi klasifikasi utama pada setiap komponen dari
sebuah systems of interest diident ifikasikan untuk set iap
aset . Topologi atau pemetaan jaringan jenis lain digunakan
untuk meninjau di mana aset kritis berada dan bagaimana
diakses. Klasifikasi komponen utama dipilih berdasarkan
bagaimana aset diakses dan digunakan.
2.

Mengidentifikasi komponen infrastruktur yang akan diuji.

Untuk setiap tipe komponen, tim analisis memilih komponen
tertentu untuk dievaluasi. Departemen teknologi informasi
harus memberikan alamat jaringan secara spesifik atau lokasi
fisiknya dan akan diperlukan untuk menyusun evaluasi.

B. Fase II proses VI (Evaluate Selected Components)

Pada proses ini, komponen infrast ruktur yang dipilih untuk setiap
aset kritis dievaluasi untuk mengetahui tingkat kerawanan secara teknis.
Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan
membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses ini terdiri
dari:
1. Prework: menjalankan peralatan evaluasi vulnerability pada
komponen infrast ruktur sebelum lokakarya. Peralatan

evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga

disewa dari pihak lain.
2. Mengkaji tingkat kerawanan teknologi dan merangkum
hasilnya, dimana pemimpin evaluasi mempresentasikan
rangkuman hasil evaluasi kepada tim analisis. Mereka
kemudian mendiskusikan tingkat kerawanan yang mana yang
memer lukan perbaikan dalam jangka waktu dekat, menengah
atau

jangka panjang,

memodif ikasi

rangkuman

jika

diperlukan. Secara umum, hal ini berhubungan dengan derajat

kerumitan penentuan tingkat kerawanan dan aset kritis yang
dipengaruhinya.
3. Fase III (Develop Security Strategy and Plans)
Fase ketiga dalam OCTAVE-S adalah Develop Security Strategy and
Plans.Pada fase ini didefinisikan risiko terkait dengan aset kritis, membuat
rencana mitigasi untuk risiko tersebut, dan membuat strategi perlindungan bagi
perusahaan.Rencana dan strategi dikaji dan diterima oleh manajer senior.Terdapat
dua proses dalam fase ke tiga yang akan dibahas berikutnya.
A. Fase III proses VII (Conduct Risk Analysis)
Selama proses ke tujuh, tim analisis mengkaji semua informasi
yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil
risiko untuk setiap aset kritis. 3 Profil risiko merupakan perluasan dari
profil ancaman, menambahkan pengukuran kualitatif terhadap akibat
kepada

organisasi

untuk

setiap

kemungkinan

ancaman

yang

terjadi.Kemungkinan untuk setiap kejadian tidak digunakan. Karena

menetapkan sebuah alasan kemungkinan secara akurat dari set iap
kejadian sangat sulit dan senantiasa berubah-ubah, maka kemungkinan
untuk setiap cabang diasumsikan sama. Aktifitas pada proses ini terdiri
dari:
1. Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis
untuk setiap aset kritis, dilihat seberapa besar ancaman akan
mempengaruhi aset krit is diperusahaan.
2. Membuat kriteria evaluasi dengan menggunakan pernyataan
akibat pada akt ifitas pertama, sebuah kriteria evaluasi akibat
ditetapkan untuk ancaman terhadap aset kritis perusahaan.
Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan
rendah) ditetapkan untuk banyak aspek (misalnya finansial atau
akibat operasional).
3. Mengevaluasi akibat dari ancaman terhadap aset krit is
berdasarkan kriteria evaluasi setiap akibat dar i setiap ancaman
didef inisikan sebagai tinggi, menengah, atau rendah. Semua
informasi mengenai hal ini dicatat dalam

Asset Profile

Workbook.
B. Fase III proses VIII (Develop Protection Strategy)
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan
strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk
risiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada

lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun

proposal strategi dan perencanaan. Pada 3 lokakarya ke dua (disebut
lokakarya B), manajer senior mengkaji proposal, membuat perubahan
yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan
strategi dan perencanaan. Aktifitas pada Lokakarya A proses ini terdiri
dari:
1. Prework: Mengkompilasi hasil survey hasil ini diperoleh dar i
kompilasi survey pada proses 1 sampai proses 3. Hasilnya
digunakan untuk melihat praktek mana yang telah dianggap
baik oleh sebagian besar responden dan mana yang dianggap
buruk oleh sebagian besar responden
2. Mengkaji informasi Informasi yang diperoleh dari prosesproses sebelumnya dikaji ulang. Pengkajian ini meliputi
vulnerability,

praktek,

informasi

risiko,

dan

kebutuhan

keamanan aset kritis.

3. Membuat strategi proteksi strategi ini meliputi setiap praktek
yang dianggap harus dilaksanakan atau ditingkatkan, termasuk
praktek mana yang sudah dilaksanakan dengan baik. Membuat
rencana mitigasi untuk setiap aset, rencana mitigasi dibuat
untuk melakukan pencegahan, pengenalan, dan pemulihan dari
setiap risiko dan menjelaskan bagaimana mengukur efektifitas
dari kegiatan mitigasi.

4. Membuat daftar aktifitas sebuah daftar aktifitas yang segera

dilaksanakan, biasanya meliputi vulnerability yang memerlukan
perbaikan dengan segera.
Lokakarya B meliputi aktifitas:
1.

Prework: Membuat presentasi untuk manajer senior

2.

Mengkaji informasi risiko tim analisis mempresentasikan

informasi berkaitan dengan aset kritis dan ringkasan hasil survey
kepada manajer senior.

3.

Mengkaji ulang dan memperbaiki strategi proteksi, rencanan

mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A.
Manajer senior dapat meminta perubahan, penambahan, atau
pengurangan.

4.

Menetapkan langkah selanjutnya Manajer senior memutuskan

bagaimana mengimplementasikan strategi, perencanaan, dan
aktifitas.

Untuk mempersiapkan proses OCTAVE-S, ada beberapa hal yang menjadi dasar
untuk keberhasilan evaluasi, yaitu:
1.

Mendapatkan dukungan sepenuhnya dari tingkatan manajemen

tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan
evaluasi. Jika manajemen tertinggi mendukung proses, maka orangorang dalam perusahaan akan berpartisipasi secara aktif. Dukungan,
dalam hal ini terwujud sebagai berikut: dukungan nyata dan
berkesinambungan dalam aktifitas OCTAVE-S, peningkatan partisipasi

aktif anggota perusahaan, pendelegasian tanggungjawab dan otoritas

untuk menyelesaikan seluruh aktifitas OCTAVE-S, komitmen untuk
mengalokasikan sumberdaya yang dibutuhkan, persetujuan untuk
meninjau hasil dan memutuskan langkah yang tepat yang harus
diambil dengan adanya hasil evaluasi yang telah dilakukan.
2.

Memilih tim analisis. Anggota tim analisis harus memiliki

kemampuan dan keahlian yang mencukupi untuk memimpin
evaluasi.Mereka juga harus mengatahui bagaimana menambah
pengetahuan dan kemampuan mereka di luar tim. Secara umum, tim
analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan bisnis dan perspektif teknologi informasi, memiliki
pengetahuan dalam proses bisnis dan teknologi informasi, memiliki
kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta
berkomitmen untuk mengerahkan kemampuan yang dimiliki demi
keberhasilan OCTAVE-S.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja
dengan manajer dalam menentukan cakupan evaluasi, memilih part
isipan,dan menjadwalkan aktifitas OCTAVE-S; berkoordinasi dengan
manajer senior atau manajer operasional dan pendukung teknologi
informasi

untuk

mengevaluasi

kerawanan

(vulnerability);

mendapatkan, menganalisa dan mengelola data dan hasil selama

proses OCTAVE-S; mengakt ifkan akt ifitas assessment , yang fungsi

utamanya adalah menjamin bahwa personil yang diinginkan hadir

dalam lokakarya yang ditentukan; mengurus dukungan logistik.
Secara umum, tim inti analisis harus memiliki kemampuan
berikut : fasilitasi,komunikasi yang baik, analisis yang baik, beker
jasama dengan manajer senior, manajer operasional dan anggota
organisasi, memahami lingkungan bisnis organisasi, memahami
lingkungan teknologi informasi dalam organisasi dan mengetahui
bagaimana staf bisnis menggunakan teknologi informasi organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan
berikut ini, atau memperolehnya melalui anggota tim tambahan:
lingkungan

teknologi

pengetahuan

topologi

informasi

yang

ada

diperusahaan

dan

jaringan dalam perusahaan, mengetahui

aksploitasi terkini terhadap risiko yang ada, mengetahui bagaimana

menginterpretasikan hasil evaluasi terhadap risiko oleh perangkat
lunak, mengetahui praktek perencanaan perusahaan, serta mampu
mengembangkan perencanaan.
3.

Menentukan cakupan OCTAVE-S. Evaluasi harus mencakup area

operasi yang penting. Jika cakupan terlalu luas, maka akan sulit
menganalisa data, dan jika cakupan terlalu sempit maka hasilnya
tidak akan banyak berarti.

4.

Memilih part isipan. Setiap karyawan berbagai tingkatan divisi akan

menyumbangkan

pengetahuannya. Dan setiap karyawan perlu

mengetahui area kerja mereka.

5.

Mengkoordinasi logistik. Tim inti analisis melakukan koordinasi

logistik yang diperlukan dalam setiap aktifitas OCTAVE-S meliputi:
penjadwalan, koordinasi persiapan ruang pertemuan, peralatan yang
diperlukan dalam setiap aktifitas OCTAVE-S, menangani kejadian
tidak terduga misalnya penggantian jadwal dan perubahan personil
dalam pertemuan.
Dari uraian tahap, proses dan akt ivitas diatas, tim analisis
memandang keamanan dari berbagai perspektif, memastikan
rekomendasi mencapai keseimbangan dasar yang sesuai pada
kebutuhan perusahaan.Dan hal tersebut dapat dilihat penjabaran tiga
puluh langkah OCTAVE-S yang terdapat pada lampiran.

Dari tahap-tahap yang sudah di jelaskan, berikut langkahlangkah penelitian yang

kami gunakan :
Tahap 1 : Build Asset- Based Thread Profile
Proses 1 : Identifikasi Informasi Organisasi
1.1

Membangun dampak dari kriteria evaluasi

Langkah 1 : Mendefinisikan suatu pengukuran berdasarkan kualitasnya (tinggi,
sedang, rendah) terhadap efek risiko yang akan dievaluasi dalam
misi organisasi dan tujuan bisnis organisasi.

1.2

Mengidentifikasi aset organisasi

Langkah 2 : Mengidentifikasi aset yang berhubungan dengan informasi dalam
organisasi (informasi, sistem, aplikasi dan orang).

1.3

Mengevaluasi praktek keamanan organisasi

Langkah 3 :
A. Menentukan batasan pada setiap praktek dalam survey yang digunakan
dalam organisasi.
B. Mengevaluasi praktek pengamanan dengan mempergunakan survey
dari langkah sebelumnya.
Langkah 4 : Setelah menyelesaikan langkah 3 tentukan stoplight status (merah,
kuning, hijau) untuk area praktek pengamanan.
Proses 2 : Membuat Profil Ancaman

2.1

Memilih aset kritis

Langkah 5 : Mengkaji ulang aset yang berhubungan dengan informasi yang telah
diidentifikasi pada saat langkah dua dan memilih kurang lebih lima
aset yang paling kritis dalam organisasi.
Langkah 6 : Memulai sebuah kertas kerja informasi aset kritis untuk stiap aset
kritis. Catat nama aset kritis pada kertas kerja informasi aset kritis
yang tepat.
Langkah 7 : Mencatat dasar pemikiran untuk memilih setiap aset kritis pada
kertas kerja informasi aset kritis.
Langkah 8 : Mencatat deskripsi untuk setiap aset kritis pada kertas kerja informasi
aset kritis. Pertimbangkan siapa saja yang menggunakan setiap aset
kritis dan yang bertanggung jawab.

Langkah 9 : Mencatat aset yang terkait dengan setiap aset kritis pada kertas kerja
informasi aset kritis. Pada kertas kerja identifikasi aset menentukan
aset yang berhubungan dengan aset kritis.
2.2

Identifikasi kebutuhan keamanan untuk aset kritis

Langkah 10

: Mencatat persyaratan pengamanan yang dibutuhkan untuk setiap

aset kritis pada kertas kerja informasi aset kritis.

Langkah 11 : Untuk setiap aset kritis, mencatat persayaratan keamanan yang

paling penting pada aset kertas kerja informasi aset kritis.
2.3

Identifikasi ancaman pada aset kritis

Langkah 12 : Lengkapi semua skema ancaman yang sesuai untuk setiap aset
kritis. Tandai setiap bagian dari tiap skema untuk ancaman yang
tidak dapat diabaikan terhadap aset.
Langkah 13 : Mencatat contoh spesifik dari pelaku ancaman pada kertas kerja
profil risiko untuk setiap kombinasi motif pelaku yang sesuai.
Langkah 14 : Mencatat kekuatan motif ancaman yang disengaja karena tindakan
manusia. Catat seberapa besar kepercayaan terhadap perkiraan
kekuatan atas motif pelaku.
Langkah 15 : Mencatat seberapa sering ancaman telah terjadi dimasa lalu. Catat
seberapa keakuratan data.
Langkah 16 : Mencatat area yang terkait untuk setiap sumber ancaman yang
sesuai. Area yang terkait menjadi suatu skenario yang
mendefinisikan seberapa spesifik ancaman dapat mempengaruhi
aset kritis.

Tahap 2 : Identify Infrastructure Vulnerabilities

Proses 3 : Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan
Aset Kritis
3.1

Memeriksa jalur aset

Langkah 17 : Memilih sistem yang menarik untuk setiap aset kritis, yaitu sistem
yang paling berkaitan erat dengan aset kritis.
Langkah 18a : Memeriksa jalur yang digunakan untuk mengakses setiap aset
kritis dan memilih kelas kunci dari komponen yang terkait untuk
setiap aset kritis.
Langkah 18b : Menentukan kelas komponen yang berfungsi sebagai jalur aset
(misalnya, komponen yang digunakan untuk mengirimkan
informasi dan aplikasi dari sistem yang menarik untuk orang).
Langkah 18c : Menentukan kelas komponen, baik internal maupun eksternal ke
jaringan organisasi, yang digunakan oleh orang (misalnya,
pengguna, penyerang) untuk mengakses sistem.
Langkah 18d : Menentukan dimana informasi yang menarik dari sistem disimpan
untuk membuat back up.
Langkah 18e : Menentukan sistem lain yang dapat mengakses informasi atau
aplikasi dari system of interest dan kelas-kelas komponen mana
yang dapat digunakan untuk mengakses informasi penting.

3.2

Menganalisa proses yang terkait dengan teknologi

Langkah 19a : Tentukan kelas komponen yang terkait dengan satu atau lebih aset
kritis dan yang dapat memberikan akses ke aset tersebut.
Langkah 19b : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan aset kritis mana yang terkait dengan kelas
tersebut.
Langkah 20 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan orang atau kelompok yang bertanggung jawab
untuk memelihara dan melindungi kelas komponen.
Langkah 21 : Untuk setiap kelas komponen didokumentasikan dalam Langkah
19a, perhatikan sejauh mana kelas tersebut dapat bertahan
terhadap serangan jaringan. Juga catat bagaimana kesimpulan
tersebut diperoleh. Akhirnya dokumen konteks tambahan yang
berhubungan dengan analisis infrastruktur.

Tahap 3 : Develop Security Strategy And Plans

Proses 4 : Identifikasi dan Analisa Risiko
4.1

Mengevaluasi dampak ancaman

Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai panduan,
menetapkan nilai dampak (tinggi, sedang, atau rendah) untuk
ancaman aktif setiap aset kritis.

4.2

Membangun kemungkinan kriteria evaluasi

Langkah 23 : Tentukan ukuran kualitatif pengukuran (tinggi, sedang, rendah)
terhadap kemungkinan terjadinya ancaman yang akan di evaluasi.

4.3

Mengevaluasi kemungkinan ancaman

Langkah 24 : Menggunakan kriteria evaluasi probabilitas sebagai panduan,
menetapkan nilai probabilitas (tinggi, sedang, atau rendah) untuk
masing-masing ancaman aktif untuk setiap aset kritis.
Proses 5 : Mengembangkan Strategi Perlindungan dan Rencana Mitigasi

5.1

Menggambarkan strategi perlindungan saat ini

Langkah 25 : mengirim status spotlight dari setiap area praktek keamanan yang
sesuai dengan area yang terkait pada kertas kerja
perlindungan.

Untuk

setiap

wilayah

praktek

strategi

keamanan,

identifikasikan pendekatan organisasi saat ini untuk mengatasi

area tersebut.
5.2

Memilih pendekatan mitigasi

Langkah 26 : mengirim status spotlight dari setiap praktek keamanan dari kertas
kerja praktek keamanan ke "area praktek keamanan" bagian
(Langkah 26) dari setiap aset kritis dari kertas kerja profil risiko.
Langkah 27 : Pilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk
setiap risiko yang aktif. Untuk setiap risiko diputuskan untuk
ditangani, lingkaran satu atau lebih area praktek keamanan untuk
dilaksanakan kegiatan mitigasi.

5.3

Mengembangkan rencana mitigasi risiko

Langkah 28 : Mengembangkan rencana mitigasi untuk setiap area praktek
keamanan yang dipilih pada Langkah 27.

5.4

Mengidentifikasi perubahan untuk strategi perlindungan

Langkah 29 : Tentukan apakah rencana mitigasi mempengaruhi strategi

perlindungan organisasi. Catat setiap perubahan kertas kerja
strategi perlindungan. Selanjutnya, meninjau ulang strategi
perlindungan, termasuk perubahan yang diajukan.
5.5

Mengidentifikasi langkah selanjutnya

Langkah 30 : Tentukan apakah organisasi perlu melakukan penerapan hasil
evaluasi ini dan mengembangkan sikap keamanan.

2.5.3.. Perbandingan Model Framework

Tabel 2.2 Ruang Lingkup Proses Model

(Sumber : Muhammad Mahreza Maulana, Permodelan Framework Manajemen
Risiko Teknologi Informasi Untuk Perusahaan Di Negara Berkembang)
Model framework manajemen risiko berdasarkan studi best practice COBIT,
rekomendasi NIST

Spesial Publication 80-300, dan OCTAVE terdiri dari proses

identifikasi risiko (sumber risiko, kejadian risiko, dampak risiko), analisa risiko (tingkat
kecenderungan dan besarnya dampak risiko), respon risiko (hilangkan risiko, kurangi
risiko, cegah risiko atau transfer risiko) dan evaluasi risiko (adakah sisa risiko atau risiko
baru) (Tabel 2.2). Model framework manajemen risiko yang sederhana ini dapat
membantu perusahaan TI di negara-negara berkembang untuk dapat mengenal risiko TI
di perusahaannya, menganalisa risiko, dan memilih respon terhadap risiko yang
teridentifikasi tersebut.

2.5.4. Perbandingan OCTAVE dengan OCTAVE-s

Sebelum menggunakan metode OCTAVE-s, ada dua perbedaan utama dan
OCTAVE-s yang harus diketahui, yaitu:
1. OCTAVE-S memerlukan tim kecil antar

3-5 orang yang memahami seluk

beluk perusahaan. Versi ini tidak dimulai dengan pengetahuan formal

workshops

elicitation

untuk mengumpulkan informasi tentang aset penting, persyaratan 4

keamanan, ancaman, dan praktik keamanan. Asumsinya adalah bahwa tim analisis telah
mengetahui informasi ini.
2.

OCTAVE-S hanya mencakup eksplorasi yang terbatas dari infrastruktur

komputerisasi. Perusahaan kecil sering melakukan

outsourcingIT mereka secara

keseluruhan tidak memiliki kemampuan untuk menjalankan atau menafsirkan hasil alat
kerentanan. OCTAVE-S dikembangkan dan dikemudikan dengan organisasi-organisasi
kecil mulai 20-80 orang.Pengendali organisasi bersama. Pertama, struktur organisasi
mereka yang relatif datar, dan orang-orang dari berbagai tingkat organisasi yang terbiasa
bekerja dengan satu sama lain. Kedua, orang-orang sering diharuskan untuk multitask,
memperlihatkan anggota staf dengan proses dan prosedur yang digunakan di seluruh
perusahaan. Menurut Christopher Alberts (2003, P 5 - 6), OCTAVE-s didasarkan tahapan
yang dijelaskan dalam kriteria OCTAVE. Meskipun jumlah dan urutan kegiatan yang
berbeda dari yang digunakan dalam Metode OCTAVE. Bagian ini memberikan gambaran
singkat mengenai tahapan, proses, dan aktivitas OCTAVE S :
1. Fase 1 : Pembangunan Aset Berdasarkan Profil ancaman

Fase 1 merupakan evaluasi terhadap aspek organisasi. Selama fase ini, tim analisis
mendefinisikan dampak kriteria evaluasi yang akan digunakan kemudian untuk
mengevaluasi risiko. Ini juga mengidentifikasi aset organisasi yang penting dan
mengevaluasi praktik keamanan terkini didalam organisasi. Tim menyelesaikan semua
tugas dengan sendirinya, mengumpulkan informasi tambahan hanya jika diperlukan. 4
Kemudian memilih 3-5 aset penting untuk menganalisis secara mendalam berdasarkan
relatif penting bagi organisasi. Akhirnya, tim mendefinisikan persyaratan keamanan dan
mendefinisikan profil ancaman untuk setiap aset kritis. Tabel 2.5 menggambarkan proses
dan kegiatan Fase 1.

Phase

Process

Activity

Phase 1:build asset-

Proses s1:Indentify S1.1

based thread profile

OrganizaTional

Impact

Information

Criteria
S1.2

Establish
Evaluation
Identify

Organizational
Process

Security Practices
S2:Create S2.1 Select Critical

Threat Profile

Assets
S2.2

Identify

Security
Requirements

for

Critical Assets
S3.2
Analyze
Technology Related
Processes
Tabel 2.3 Proses dan Aktivitas dari Fase 1
(Sumber : Albert Christopher, OCTAVE -s Implemention Guide, Version
1.0,Volume 1 : Introduction to Octave-s)
2. Fase 2 : Mengidentifikasi Kerentanan Infrastruktur
Selama fase ini, tim analisis melakukan review tingkat tinggi pada infrastruktur
organisasi yang terkomputerisasi, dengan fokus pada sejauh mana keamanan dianggap
oleh pengelola infrastruktur. Tim analisis pertama menganalisa bagaimana orang
menggunakan infrastruktur komputeriasi untuk mengakses aset kritis, menghasilkan

kelas-kelas utama dari komponen komponenseperti siapa yang bertanggung jawab untuk
mengkonfigurasi dan memelihara

komponen-komponen itu. Tim kemudian meneliti

sejauh mana masing-masing pihak bertanggung jawab atas keamanan yang terdapat
dalam teknologi informasi praktik dan proses. Proses dan kegiatan fase 2 diperlihatkan
dalam Tabel 2.6

Phase

Phase
2:
Identify Process

S3:Examine S3.1 Examine Access

Infrastructure

Computing

Paths
S3.2

Vulnerabilities

Infrastructure

Technology
Relation

to

Analiyze

in
Related

Critical
Processes

Assets
Tabel 2.4 Proses dan Aktivitas dari Fase 2
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,Volumme 1 :
Introduction to Octave-s)

3. Fase 3 : Mengembangkan Strategi Keamanan dan Perencanaan

Selama Fase 3, tim analis mengidentifikasi risiko terhadap aset kritis organisasi
dan memutuskan apa yang harus dilakukan

tentang mereka. Berdasarkan analisis

informasi yang dikumpulkan, tim membuat strategi perlindungan bagi organisasi dan
rencana mitigasi untuk mengatasi risiko terhadap aset kritis. Lembar kerja OCTAVE-s
yang digunakan selama Tahap 3 ini sangat terstruktur dan terkait erat dengan praktek

katalog OCTAVE, yang memungkinkan tim untuk berhubungan dengan rekomendasi

untuk perbaikan yang dapat diterima kedalam praktik keamanan ke benchmark.
Tabel 2.7 menggambarkan proses dan kegiatan fase 3.

Phase
Process
Activity
Phase 3:Develop Security Process S4 : Identify and S4.1 Evaluate Impacts of
Strategy and plans

analyze risks

Threats
S4.2Establish Probabilities
Evaluation criteria
S4.3
Establish

Process

Probabilities of Threath
S5:Develop S5.1 Describe Current

Protection Strategy and Protection Strategy

Mitigation Plans
S5.2

Select

Mitigation

Approaches
S5.3Develop

Risk

Mitigation Plans
S5.4 Identify changes to
Protection Strategy
S5.5 Identify Next Steps
Tabel 2.5 Proses dan Aktivitas dari Fase 3
(Sumber : Albert Christopher, OCTAVE-s Implemention Guide, Version 1.0,
Volumme 1 : Introduction to Octave-s)