TSA 2010 0039 Bab2 PDF
TSA 2010 0039 Bab2 PDF
LANDASAN TEORI
Oleh karena itu dapat disimpulkan bahwa setiap orang harus selalu
1. Keamanan
4
Risiko yang informasinya diubah atau digunakan oleh orang yang
2. Ketersediaan
3. Daya pulih.
4. Performa
5. Daya skala
6. Ketaatan
kebijakan internal.
5
2.3 Manajemen Risiko Teknologi Informasi
serta membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia.
Strategi yang dapat digunakan antara lain mentransfer risiko pada pihak lain,
menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian
menentukan besarnya risiko tersebut; (3) Mencari jalan untuk menghadapi atau
terdiri dari:
6
Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko
murni yang dihadapi perusahaan, yang meliputi (a) Kerusakan fisik dari
adanya tuntutan hukum dari pihak lain; (d) Kerugian-kerugian yang timbul
potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini akan
Pada intinya, ada empat cara yang dapat dipakai untuk menanggulangi
adalah memilih satu cara yang paling tepat untuk menanggulangi suatu
7
risiko atau memilih suatu kombinasi dari cara-cara yang paling tepat untuk
menanggulangi risiko.
Informasi
8
Strategi-strategi dan kebijakan-kebijakan manajemen risiko
formal dan didukung oleh tim tata kelola teknologi informasi dan
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu orang
yang tepat yang harus dipilih dan ditempatkan untuk melakukan peran
9
d. Membuat peran manajemen risiko teknologi informasi yang baru ketika
secara berkelanjutan.
jenis risiko:
diperlukan.
rancana apa yang telah dilakukan dan memahami adanya perubahan lebih
10
manajemen risiko teknologi harus dikembangkan dan dipelihara.
Publication 800-30
a. Karakteristik Sistem
Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah untuk
menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap sistem yang
11
diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan
b. Identifikasi Ancaman
ada.
c. Identifikasi Kerentanan
kerentanan yang terkait dengan sistem lingkungan. Tujuan dari langkah ini
adalah untuk mengetahui kekurangan atau kelemahan dari sistem yang dapat
d. Analisis Pengendalian
ada.
12
e. Penentuan Kemungkinan / Kecenderungan
Level
Definisi kemungkinan/kecenderungan
Kemungkinan
13
f. Analisis Dampak
Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari
informasi sebagai (1) Sistem Misi (misalnya, proses yang dilakukan oleh
sistem TI); (2) Sistem dan Data Kritikal (misalnya, sistem nilai atau
serius.
14
sumberdaya, (2) dapat mempengaruhi misi,
g. Penentuan Risiko
Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem TI.
Penentuan tingkat risiko ini merupakan suatu fungsi (1) Kecenderungan suatu
h. Rekomendasi Pengendalian
mengurangi tingkat risiko bagi sistem TI dan data ketingkat yang dapat
i. Dokumentasi
15
pengendalian tersedia), hasil-hasil yang ada harus di dokumentasikan dalam
laporan resmi.
belum teridentifikasi.
16
Gambar 2.1 : Model Framework Manajemen Resiko TI
17
• Nilai diberikan untuk setiap tingkat dampak adalah 100 untuk High, 50
untuk sedang, dan 10 untuk rendah.
18
• Risk Planning
Mengelola risiko dengan membangun suatu rencana mitigasi risiko yang
memprioritaskan, menerapkan, dan memelihara kontrol
• Research and Acknowledgment
Untuk mengurangi risiko kerugian dengan menyadari kelemahan atau cacat
dan meneliti sebuah kontrol untuk memperbaiki kerentanan
• Risk Transference
Melakukan transfer risiko dengan menggunakan pilihan lain / pihak ketiga
untuk mengganti kerugian, seperti pembelian asuransi.
19
Sumber
Ancaman
YA YA
Design System Vulnerability to Attack
Vulnerable ? Exploitable ?
exist
TIDAK TIDAK
No Risk No Risk
YA YA
Unacceptable Loss Anticipated Attacker's
Risk Exist
Risk > Threshold Cost < Gain ?
TIDAK TIDAK
20
technical protection untuk membatasi waktu serangan , untuk
mengurangi potensi kerugian.
2.4.2 OCTAVE-S
21
2.4.2.2 Tahap, Proses, dan Aktivitas OCTAVE-S
meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE yang
yaitu:
yang akan digunakan nantinya untuk mengevaluasi risiko. Tahap ini juga
profil ancaman pada setiap aset. Di mana pada tahap ini terdiri atas 2
22
keamanan yang dipertimbangkan pemelihara dari infrastruktur. Tim
pada aset kritis. Kertas kerja OCTAVE yang digunakan selama tahap ini
benchmark. Tahap ini terdiri atas 2 proses, yaitu : identifikasi dan analisis
kebutuhan organisasi.
23
2.4.2.3 Hasil OCTAVE-S
keamanan informasi.
organisasi.
24