Information System Risk Management

Personal Assignment 4
Session 8

NAMA : ROY DIANTON LEONARDO S

ID : 1801622316
KELAS : LYM7
 Personal Assignment 4

Session 8

Metode OCTAVE adalah metode yang menggunakan pendekatan tiga fase untuk menguji isu-isu
teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh
organisasi. Metode ini menggunakan lokakarya untuk melakukan diskusi dan pertukaran
informasi mengenai aset, praktek keamanan informasi dan strategi keamanan informasi. Setiap
fase terdiri dari beberapa proses dan setiap proses memiliki satu atau lebih lokakarya yang
dipimpin oleh tim analisis.

Tugas: Anda diminta untuk menjelaskan beberapa aktifitas persiapan yang diperlukan untuk
menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan.
--------------------------------------------

OCTAVE adalah metodologi untuk mengidentifikasi dan mengevaluasi risiko keamanan

informasi. Hal ini dimaksudkan untuk membantu sebuah organisasi untuk :

Mengembangkan kriteria evaluasi risiko kualitatif yang menggambarkan toleransi risiko

dalam operasional organisasi
Mengidentifikasi aset yang penting bagi organisasi
Mengidentifikasi kerentanan dan ancaman terhadap aset tersebut
Menentukan dan mengevaluasi konsekuensi potensial terhadap organisasi jika ancaman
terjadi

OCTAVE mendefinisikan persiapan yang diperlukan dalam 3 tahapan yaitu :

1. Tahap 1 ( Organizational View )

2. Tahap 2 ( Technological View )
3. Tahap 3 ( Strategy and Plan Development )
1. Tahap 1 ( Organizational View )
Tahap ini digunakan untuk mencari informasi pandangan perusahaan terhadap hal
berikut:
Aset , Sesuatu yang bernilai bagi organisasi yang mencakup hal seperti data,
sistem informasi, services dan aplikasi serta manusia
Ancaman terhadap aset, berupa indikasi kejadian potensial yang tidak diinginkan
yang melibatkan aset seperti potensi kebakaran, potensi virus, maupun potensi
kesalahan yang dilakukan oleh manusia
Keamanan yang dibutuhkan oleh aset tersebut, Pembagian kualitas aset bagi
organisasi. Dapat dibagi menjadi confidentiality, integrity dan availability
Keamanan yang sudah dimiliki perusahaan untuk melindungi aset
Kerentanan yang ada di perusahaan saat ini

Dalam mencari informasi ini, pandangan datang dari senior manajer, manajer area
operasional dan juga staff baik operasional maupun teknologi informasi. Beberapa
pertanyaan yang dapat diajukan kepada mereka yaitu :

Apa aset penting informasi perusahaan anda?

Apa yang penting tentang aset perusahaan anda?
Siapa atau apa yang mengancam setiap aset itu?
Apa yang sedang dilakukan perusahaan anda saat ini untuk melindungi aset?
Apa kelemahan dalam kebijakan dan praktik yang ada saat ini dalam perusahaan
anda?
 Dua fungsi utama fase ini mengumpulkan informasi dari seluruh organisasi dan
menentukan profil ancaman untuk aset penting. Dalam tahap ini memiliki beberapa
proses yaitu :

Proses 1: Identifikasi Pengetahuan Manajemen Senior

Tim analisis mengumpulkan informasi tentang aset penting, persyaratan keamanan,
ancaman, dan kekuatan organisasi saat ini dan kerentanan dari satu kumpulan manajer
senior yang representatif.

Proses 2: Identifikasi Pengetahuan Wilayah Operasional

Tim analisis mengumpulkan informasi tentang aset penting, persyaratan keamanan,
ancaman, dan kekuatan organisasi saat ini dan kerentanan dari manajer suatu wilayah
operasional yang dipilih.

Proses 3: Identifikasi Pengetahuan Staf

Tim analisis mengumpulkan informasi tentang aset penting, persyaratan keamanan,
ancaman, dan kekuatan organisasi saat ini dan kerentanan dari staf umum dan anggota
staf TI di wilayah operasional yang dipilih.

Proses 4: Buat Profil Ancaman

Tim analisis memilih tiga sampai lima aset dan mendefinisikan profil ancaman sesuai
aset yang dimiliki

2. Tahap 2 ( Technology View )

Tahap ini digunakan untuk mengidentifikasi kerentanan teknologi yang memberikan

peluang untuk mempengaruhi aset kritis. Metode atau tools yang bisa digunakan dalam
tahap ini yaitu :

Interview
Melakukan analisa dari dokumen yang dimiliki perusahaan
Menggunakan network scanner untuk mendapatkan data dan informasi kerentanan
Menggunakan log analyzer untuk menampung dan mengidentifikasi log informasi
yang dimunculkan oleh perangkat teknologi

Beberapa pertanyaan yang dapat diajukan dalam tahapan ini yaitu :

Bagaimana orang mengakses aset yang dimiliki perusahaan?

Komponen infrastruktur apa saja yang terkait dengan masing-masing aset?
Kelemahan teknologi apa saja yang mengekspos aset perusahaan terhadap
ancaman?
 Selama tahap ini, tim analisis mengevaluasi komponen kunci dari sistem yang
mendukung aset penting untuk kerentanan teknologi.

Proses 5: Identifikasi Komponen Utama

Mengidentifikasi komponen kunci yang representatif dari sistem yang mendukung atau
memproses aset terkait informasi dan sebuah pendekatan untuk mengevaluasinya

Proses 6: Evaluasi Komponen yang Dipilih

Alat dijalankan untuk mengevaluasi komponen yang dipilih, dan hasilnya dianalisis
untuk memperbaiki profil ancaman (untuk ancaman akses jaringan) untuk aset penting.

3. Tahap 3 ( Strategy and Plan Development )

Tahapan ini digunakan menetapkan risiko terhadap aset penting organisasi, menentukan
rencana mitigasi untuk melindungi aset, mengkategorisasikan strategi perlindungan
organisasi, mengidentifikasi langkah-langkah selanjutnya setelah evaluasi untuk
memastikan ada kemajuan yang dihasilkan. Kriteria dampak evaluasi yaitu :
Menentukan toleransi organisasi terhadap risiko
Area dampak yang dipertimbangkan meliputi reputasi, kesehatan, produktifitas,
legal dan
finansial.

Tujuan utama dari tahap ini adalah untuk mengevaluasi risiko terhadap aset penting dan
mengembangkan strategi perlindungan organisasi dan rencana mitigasi risiko.

Proses 7: Melakukan Analisis Resiko

Rangkaian kriteria evaluasi dampak ditetapkan untuk menetapkan dasar untuk
menentukan nilai dampak (tinggi, sedang, atau rendah) karena ancaman terhadap faktor
kritis. Semua risiko di evaluasi dampaknya, sedangkan kemungkinan ancaman bisa saja
ditambahkan dalam proses ini.

Proses 8: Mengembangkan Strategi Perlindungan

Tim mengembangkan strategi perlindungan menyeluruh di seluruh organisasi yang
berfokus pada peningkatan praktik keamanan organisasi dan juga rencana mitigasi untuk
mengurangi risiko yang penting terhadap aset kritis.