PERSONAL ASSIGNMENT 4

(7183T-TP3-R0)
Due Date : 17 August 2014, 23:59:00

MATA KULIAH :
“IT RISK MANAGEMENT AND DISASTER RECOVERY”
DOSEN : DR. FORD LUMBAN GAOL, S.Si, M.Kom

OLEH :
YUDI FIRMAN SANTOSA
NIM. 1412406111

PROGRAM STUDI MAGISTER TEKNIK INFORMATIKA

2014

Page 1 of 23
PERSONAL ASSIGNMENT 4
 Personal Assignment 4

1. Jelaskan jenis pengendalian yang dapat diimplementasikan pada perusahaan

untuk menghindari risiko berikut ini:
• Assets fall into an unauthorized person
• Assets are modified without authorization
• Assets are lost or damaged.
• Access to discontinued assets.

2. Jelaskan apa yang dimaksud dengan metode OCTAVE www.cert.org/octave/.

Anda diminta untuk menjelaskan hasil pengukuran resiko tersebut beserta
solusi yang anda tawarkan kepada perusahaan tempat untuk mendukung
kebijakan manajemen resiko.

Page 2 of 23
PERSONAL ASSIGNMENT 4
Jawaban :

1. Jenis pengendalian yang dapat diimplementasikan pada perusahaan dari risiko

sebagai berikut :
1. Assets fall into an unauthorized person
Dalam pengendalian ini ditekankan kepada upaya bagaimana
asset berupa data diproteksi dan dideteksi terhadap akses oleh orang yang
tidak berhak, baik dalam internal organisasi/perusahaan, terlebih lagi
terhadap eksternal organisasi.

Informasi berupa sekumpulan data dalam bentuk digital

merupakan aset yang harus dijaga kerahasiaan ataupun keutuhannya.
Dengan begitu, informasi dalam bentuk digital dapat memperoleh tingkat
kepercayaan setara dengan informasi dalam bentuk riil, misalnya saja
setara dengan tingkat kepercayaan orang banyak terhadap kebenaran
sebuah akte hukum.

Secara umum, tujuan-tujuan utama dalam penjagaan keamanan

suatu informasi adalah :

 Kerahasiaan (Confidentiality) : untuk menjaga agar informasi tidak

terbuka bagi pihak-pihak yang tidak berwenang;

 Integritas (Integrity) : untuk menjaga keutuhan dan keaslian data;

 Keberadaan (Availability) : untuk menjaga agar akses pengguna yang

legal terhadap data tidak ditolak oleh sistem;

 Kelegalan penggunaan (Legitimate use) : untuk menjaga agar sumber-

sumber daya tidak digunakan oleh pihak yang tidak berwenang.

Keamanan informasi data adalah proses melindungi data dari

penyalahgunaan atau perusakan yang dilakukan oleh orang-orang di
dalam atau diluar sebuah organisasi, termasuk pegawai, konsultan dan
hacker.

Page 3 of 23
PERSONAL ASSIGNMENT 4
 Berikut langkah-langkah yang dapat diimplementasikan untuk
mengendalikan informasi agar tidak diakses oleh orang-orang yang tidak
berkepentingan atau yang memiliki otoritas, antara lain :
1. Membetuk departemen khusus yang bertanggungjawab terhadap
masalah keamanan.
Dalam lingkup perusahaan, menginggat keadaan tersebut diatas
maka perlu adanya satu departemen khusus bertanggung jawab dalam
segala masalah berhubungan dengan keamanan (security). Dari
departemen tersebut dapat dibentuk susunan organisasi yang
bertanggungjawab pada informasi data, jaringan komputer dan internet.
Departemen ini dapat memilih seorang kepala keamanan (chief security
officer).
Tugas dari seorang Chief Security Officer antara lain:
a. Bertanggungjawab terhadap masalah keamanan (security) baik
dalam aspek sumber daya manusia maupun data .
b. Merancang dan melakukan program untuk pelatihan keamanan
(security training), misalnya membuat slogan-slogan atau film yang
mendidik tentang masalah keamanan informasi data dan jaringan.
c. Membuat peraturan-peraturan (policy), misalnya pengguna tidak
boleh membawa disket, bila masuk ke dalam ruangan komputer yang
terdapat informasi data penting. Jika ada seorang administrator
membutuhkan software harus melalui departemen TI
2. Membuat peraturan keamanan data dan informasi
Untuk menumbuhkan kesadaran (awareness) pada
administrator data dapat dibuat suatu peraturan keamanan informasi
data. Dibuat peraturan berisikan aturan-aturan yang dapat membantu
kinerja setiap karyawan sesuai dengan ketentuaan perusahaan. Semua
ketentuan harus jelas dipaparkan dalam peraturan pengamanan sehingga
seluruh karyawan dapat memahami/mengerti aturan-aturan yang
berkaitan dengan pengamanan informasi data perusahaan.
Page 4 of 23
PERSONAL ASSIGNMENT 4
 Dalam membuat suatu peraturan pengamanan dapat
mempertimbangan antara lain:
a. sistem keamanan (system security)
Sistem keamanan ini mencakup pengguna data, sehingga
pengelolaan pengguna data (database user management) harus
dimiliki dan dijalankan dengan baik.
Pengelolaan pengguna data harus memiliki sistem keamanan yang
baik. Jika datanya besar dan pengaturan pengunaan dari sumber
data, maka administrator keamanan menjadi pengguna yang
memiliki hak istimewa (privilege) untuk melakukan perintah
create, alter atau drop dari sumber data. Perlu diingat hanya orang
yang dapat dipercaya untuk mengatur penggunaan sumber data.
Akses terhadap sistem keamanan dapat dikelola dengan
memperhatikan sebagai berikut :
1. Ketepatan/keaslian pengguna (user authentication)
Untuk membuktikan keaslian pengguna atau yang berhak,
dapat dilakukan pengidentifikasian pengguna sebelum data
dapat diakses. Cara membuktikan (autentikasi) antara lain:
a. Autentikasi data
Autentikasi data adalah jika seorang administrasi dari
pengguna account, password dan autentikasi disimpan
dalam suatu data tersendiri. Pada saat password pengguna
dipakai melakukan perintah create atau alter maka
password tersebut akan disimpan dalam format yang
terenkripsi.
Keuntungan dari autentikasi data antara lain:
 Account pengguna dan autentikasi dapat dikontrol
 Management password tersusun dengan baik
 Dapat meningkatan autentikasi pengguna data.
 Memudahkan pengaturan pengguna data.
Page 5 of 23
PERSONAL ASSIGNMENT 4
 b. Autentikasi eksternal
Autentikasi eksternal adalah administrasi password
dilakukan oleh sistem operasi, tidak dilakukan dari
software database. Jadi password tidak lagi digunakan
pada saat login data.
Keuntungan dari sistem ini antara lain:
 Dapat lebih banyak menerapkan autentikasi, seperti
smart card, sidik jari.
 Pengguna tidak perlu mengingat lebih banyak
password.

c. Autentikasi global
Autentikasi global adalah autentikasi dengan
menggunakan secure socket layer (SSL) dan manajemen
pengguna dilakukan diluar database.
Keuntungan dari penggunaan global autentikasi
adalah:
 Menggunakan autentikasi dari SSL yang kuat.
 Memudahkan bagi administrator karena untuk setiap
pengguna tidak perlu dibuat skema dalam tiap database
di perusahaan.
 Memungkinkan manajemen terpusat terhadap
pengguna.

2. Pengamanan sistem operasi (operating system security)

Perlu dipertimbangkan bahwa dilingkungan sistem
operasi yang berkaitan dengan keamanan data adalah sebagai
berikut:

Page 6 of 23
PERSONAL ASSIGNMENT 4
  Seorang administrator data harus memiliki hak istimewa
untuk membuat dan menghapus data.
 Pengguna umum (pegawai biasa) tidak memiliki hak
istimewa untuk membuat atau menghapus data.
 Administrator data harus memiliki hak istimewa terhadap
sistem operasi untuk memodifikasi domain security.

b. keamanan data (data security)

Keamanan data (data security) meliputi suatu mekanisme untuk
mengontrol akses dan penggunaan database pada level obyek.
Keamanan data (data security) akan menentukan pengguna, dimana
yang memiliki akses ke data tertentu. Misalnya pengguna dapat
melakukan perintah select dan insert, tapi tidak dapat melakukan
perintah delete terhadap suatu data.
Pengaturan mengenai keamanan data terutama akan ditentukan
berdasarkan seberapa jauh tingkat keamanan yang akan dibangun
untuk data dalam database. Misalnya, bisa saja diterapkan tingkat
keamanan data yang rendah bila diinginkan agar setiap pengguna
melakukan perintah create pada suatu data atau pemberian hak
istimewa akses datanya ke pengguna lain dalam sistem tersebut. Di
sisi lain, bisa saja tingkat keamanan data diperketat lagi sehingga
hanya administrator keamanan yang memiliki hak istimewa
(privilege) untuk melakukan perintah create data dan hak istimewa
yang diperoleh (privilege grant) akses setiap data ke dalam aturan
penggunaan.

Secara umum, tingkat keamanan data juga bergantung pada tingkat

sensitifitas suatu data dalam database. Untuk data yang tidak terlalu
sensitif, aturan dari keamanan data dapat lebih longgar. Namun
untuk data yang sensitif, pengaturan keamanan (security policy)

Page 7 of 23
PERSONAL ASSIGNMENT 4
 harus dibangun untuk mengontrol secara ketat terhadap akses suatu
data.

c. keamanan pengguna (user security)

Pengaturan untuk keamanan pengguna dapat dibagi dalam
pembahasan aspek-aspek berikut:

 Keamanan pengguna umum (General user security)

 Keamanan untuk pengguna (End-user security)
 Keamanan administrator (Administrator security)
 Keamanan pengembangan Pengguna (Application developer
security)
 Keamanan administrator Pengguna (Application administrator
security)
d. pengelolaan password (password management)
Pengaturan password dengan mengkombinasikan karakter, angka,
huruf besar dan huruf kecil, panjang password minimal dan
pergantian password secara berkala dapat diterapkan agar
menghindari password dapat ditebak atau disalahgunakan akibat
kelalaian pengguna. Salah satu contoh penggunaan Active
Directory Windows pada Windows Servers dapat menerapkan
policy yang disebutkan diatas mendukung sistem keamanan.
2. Assets are modified without authorization

Perubahan terhadap isi data karena adanya akses yang tidak sah terhadap
sistem aplikasi maupun langsung ke database.
Administrator data diberi pelatihan pengenalan dan penggunaan tentang
enkripsi data. Enkripsi digunakan untuk menyandikan data-data atau
informasi data sehingga tidak dapat dibaca oleh orang yng tidak berhak.
Dengan enkripsi, data kita disandikan (encrypted) dengan dengan
mengunakan sebuah kunci (key). Untuk membuka (decrypt) data tersebut
digunakan juga sebuah kunci yang dapat sama dengan kunci

Page 8 of 23
PERSONAL ASSIGNMENT 4
mengenkripsi (private key cryptography) atau dengan kunci yang berbeda
(public key cryptography). Sedang kriptografi (cryptography) adalah ilmu
dan seni untuk menjaga pesan agar aman.

Gambar 1 - Kriptografi dengan Kunci Private

Gambar 2 - Kriptografi dengan Kunci Publik

Berikut penjelasan mengenai beberapa istilah yang berkaitan dengan

pembahasan lebih lanjut.

1. Sistem Kriptografi

Untuk menjaga kerahasiaan informasi, digunakan sistem kripto,

yaitu sistem pengaman yang dapat mengacak informasi sehingga
seolah-olah informasi tersebut menjadi terkunci. Selanjutnya untuk
membaca informasi tersebut, seseorang harus mempunyai kunci
Page 9 of 23
PERSONAL ASSIGNMENT 4
yang sesuai. Sistem kripto yang dipakai di internet terdiri atas dua
macam, yaitu sistem kripto simetris dan sistem kripto asimetris.
Contoh algoritma yang menggunakan sistem kripto simetris antara
lain adalah DES (Data Encription Standard), Triple DES, IDEA,
RC2, RC4, dan RC5. Sedangkan algoritma yang menggunakan
sistem kripto asimetris antara lain adalah RSA (Rivest Shamir
Adleman) dan Diffie-Hellman.

1.1 Sistem Kriptografi Simetris

Sistem kripto simetris melakukan proses enkripsi dan dekripsi

dengan memakai kunci yang sama (seperti ilustrasi pada
Gambar 3). Seorang hacker yang ingin membuka data yang
telah dienkripsi (ciphertext) tanpa mempunyai kunci bisa saja
berhasil jika bisa menebak isi kunci secara tepat. Tingkat
kesulitan penebakan kunci tersebut sesuai dengan panjangnya
kunci yang digunakan. Kunci simetris tersebut tidak boleh jatuh
ke pihak lain yang tidak berwenang untuk mendapatkan data asli
(plaintext).

Gambar 3. Sistem Kripto Simetris

Sistem kripto simetris dapat beroperasi dengan mekanisme

block cipher ataupun mekanisme stream cipher. Pada
mekanisme block cipher, fungsi enkripsi beroperasi pada blok-
blok plaintext yang berukuran tetap. Jika blok yang digunakan
Page 10 of 23
PERSONAL ASSIGNMENT 4
 mempunyai panjang n bit, maka blok hasil enkripsi juga
mempunyai panjang n bit. Umumnya panjang blok yang
digunakan adalah 64 bit. Sedangkan pada mekanisme stream
cipher, enkripsi dilakukan pada data plaintext yang ukurannya
tidak dibatasi. Stream cipher memproses data sebagai deretan
karakter-karakter, dengan menggunakan karakter berupa satu bit
data ataupun sejumlah kecil bit data. Stream cipher dapat juga
dikombinasikan dengan block cipher, yaitu dengan
menggunakan blok-blok sebagai karakter penyusunnya.

1.2. Sistem Kriptografi Asimetris

Berbeda dengan sistem kripto simetris, sistem kripto asimetris

menggunakan dua kunci yang berbeda dalam proses enkripsi
dan dekripsi data. Sistem kripto asimetris juga dikenal dengan
nama Kriptografi Kunci Publik (Gambar 2). Sistem ini
menggunakan dua kunci/key (berupa kode angka), satu kunci
digunakan untuk meng-enkripsi data, dan kunci lainnya untuk
men-dekripsi data tersebut. Kedua kunci tersebut terhubung
secara matematis dengan rumus tertentu, sehingga data yang
telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan
menggunakan kunci pasangannya.

Setiap pengguna mempunyai dua kunci, yaitu kunci publik dan

kunci privat. Pengguna dapat menyebarkan kunci publik secara
bebas. Karena adanya hubungan yang khusus antara kedua
kunci, pengguna dan siapa pun yang menerima kunci publik
tersebut mendapat jaminan bahwa data yang telah dienkripsi
dengan kunci tersebut hanya bisa didekripsi oleh kunci
pasangannya, berupa kunci privat milik pengguna yang sama.
Keamanan ini terjamin selama pengguna dapat menjaga
kerahasiaan kunci privat. Pasangan kunci ini harus dibuat secara
Page 11 of 23
PERSONAL ASSIGNMENT 4
khusus oleh pemiliknya. Algoritma yang biasanya digunakan
untuk pembuatan pasangan kunci adalah algoritma RSA
(dinamakan berdasarkan inisial pembuatnya, yaitu : Rivest,
Shamir, dan Adleman).

Pada Gambar 1 dan Gambar 2, diperlihatkan proses penggunaan

kunci publik dan kunci privat. Enkripsi dilakukan oleh pengirim
data dengan menggunakan kunci publik milik calon penerima.
Kunci ini dapat diambil dari Penyimpanan Kunci Publik (Public
Key Inventory), dan digunakan untuk melakukan enkripsi pada
suatu rentetan data (yang biasanya berupa data kunci simetris)
sehingga data menjadi data yang teracak (cipher). Setelah
terenkripsi, cipher kemudian dikirimkan. Waktu sampai di
tujuan, cipher didekripsi oleh penerima dengan menggunakan
kunci privat. Kunci privat ini merupakan pasangan dari kunci
publik yang tadi dipakai untuk mengacak data, dan hanya
dimiliki oleh pemiliknya. Sejumlah algoritma kunci publik,
seperti RSA, juga memungkinkan proses ini dijalankan
sebaliknya, yaitu kunci privat digunakan untuk melakukan
enkripsi data, dan kunci publik digunakan untuk dekripsi data.

Gambar 4 – Sistem Kripto Asimetris

Page 12 of 23
PERSONAL ASSIGNMENT 4
Karena algoritmanya yang lebih kompleks, komputasi yang
diperlukan untuk sistem kripto asimetris jauh lebih besar
dibandingkan dengan sistem kripto simetris. Oleh karena itu,
biasanya data yang dikomunikasikan biasanya tetap dienkrip
dengan menggunakan sistem kripto simetris. Kunci simetris
yang digunakan adalah kunci sesi (session key), bersifat unik
untuk tiap sesi komunikasi yang dilakukan. Kunci sesi itu
merupakan kunci simetris yang digunakan untuk komunikasi
data pada jangka waktu tertentu. Di pihak lain, sistem kripto
asimetris digunakan pada awal sesi komunikasi untuk
pengiriman kunci sesi yang diperlukan. Pada umumnya, kunci
sesi diganti-ganti terus jika transaksi data berlangsung dalam
waktu yang lama. Penggantian ini diperlukan untuk menghindari
kemungkinan penyerang mencari kunci yang sesuai, karena
kunci simetris lebih cepat untuk di-hack dibandingkan dengan
kunci asimetris.

Suatu pihak pengelola e-commerce harus membuat pasangan

kunci khusus untuk webnya. Kunci privat, pasangan untuk
pasangan kunci publik disimpan oleh pemiliknya, dan tidak
boleh jatuh ke tangan orang lain. Kunci publik harus disebarkan,
tapi harus ada jaminan bahwa kunci publik tersebut adalah
benar-benar dimiliki oleh pemilik yang sah. Oleh karena itu,
maka sertifikat digital, yang menjamin keaslian kunci publik,
adalah entity yang sebenarnya yang disebarkan untuk konsumsi
publik. Sertifikat adalah file data yang berisi kunci publik yang
disertai dengan identitas pemilik, dibuat dan disahkan oleh
badan khusus yang bernama Certification Authority (CA).
Sertifikat dari beberapa CA disertakan secara otomatis pada web
browser tertentu, dan telah tersedia jika browser tersebut di-
install. Dengan adanya sertifikat CA pada browser, maka semua
Page 13 of 23
PERSONAL ASSIGNMENT 4
 sertifikat yang dikeluarkan oleh CA tersebut dapat langsung
diverifikasi kebenarannya oleh browser.

Mekanisme kriptografi, Selain enkripsi data, mekanisme-mekanisme

yang bisa dilakukan pada sistem kripto adalah message digest dan
digital signature. Algoritma-algoritma yang banyak dipakai untuk
melengkapi sistem keamanan simetris dan asimetris adalah DES,
3DES, RSA, DSA, IDEA, Fortezza, MD5 dan SHA1. Penggunaan
algoritma-algoritma tersebut pun berbeda-beda, spesifik terhadap
jenis proses kripto yang diperlukan. Misalnya saja, algoritma RSA
digunakan untuk membuat pasangan kunci (publik dan privat), 3DES
digunakan untuk mengenkripsi data isi dokumen, MD5 untuk
membuat message digest dari data, dan DSA untuk membuat
semacam tanda pengenal (digital signature) pada suatu dokumen.

Algoritma message digest digunakan untuk membuat semacam

ringkasan (digest) pada serentetan data (message). Panjang digest
selalu tetap, tidak tergantung kepada panjangnya message. Fungsi ini
berlangsung satu arah, artinya digest tidak dapat diubah kembali
menjadi message. Message digest ini dikenal juga dengan nama
Hash Function. Mekanisme message digest ini diilustrasikan berikut
ini :

Message Digest
Hash Function

Gambar 5 – Hash Function

Biasanya setelah dibuat digest-nya, message dan digest tersebut

dikirimkan secara bersamaan. Setelah sampai di penerima, penerima
dapat memeriksa keaslian message dengan cara membuat digest baru
dari message tersebut dan membandingkan digest tersebut dengan
Page 14 of 23
PERSONAL ASSIGNMENT 4
 digest yang diterima bersama message. Jika tidak sama, berarti
message telah mengalami perubahan sebelum sampai di tempat
tujuan.

Algoritma message digest dibuat sedemikian rupa sehingga isi digest

benar-benar tergantung kepada isi dari message. Jika message telah
berubah, walaupun hanya sedikit, digest-nya juga akan turut
berubah. Algoritma yang umum digunakan untuk hash function ini
adalah SHA-1 dan MD5. Contohnya browser Netscape Navigator
menggunakan MD5 sebagai algoritma untuk hash function.

Tingkat keamanan transmisi suatu message dapat ditambah dengan

menskrip digest menggunakan kunci privat pengirim message. Hasil
enkripsi ini dinamakan digital signature. Proses ini diperlihatkan
sebagai berikut :

Digital
Message Digest
Hash Function Signature
Ekripsi dgn
Kunci Private

Gambar 6 – Proses pembuatan Digital Signature oleh pengirim

Sebelum data asli berupa plaintext dikirimkan, digital signature dari

data plaintext tersebut ditambahkan pada bagian akhir dari plaintext.
Algoritma yang bisanya digunakan untuk membuat digital signature
adalah RSA Digital Signature, DSA (Digital Signature Algorithm),
dan ECDSA (Elliptic Curve Digital Signature Algorithm).

Page 15 of 23
PERSONAL ASSIGNMENT 4
 Gambar 7 – Proses verifikasi digital signature oleh penerima

Message plaintext kemudian dikirimkan bersamaan dengan digital

signature dari plaintext tersebut. Setelah sampai di tempat tujuan,
penerima lalu melakukan verifikasi keaslian plaintext dengan cara
seperti pada Gambar 7. Pertama, penerima mendekripsi digital
signature tersebut dengan menggunakan kunci publik pengirim.
Kemudian tahap verifikasi selanjutnya adalah dengan melakukan
verifikasi pada digest, sesuai dengan algoritma message digest yang
telah dijelaskan sebelumnya. Kesamaan antara digest pada digital
signature dengan digest yang dibuat oleh penerima bisa menjamin
bahwa pengirim data adalah pengirim yang sebenarnya, karena
enkripsi pada digest hanya dapat dilakukan oleh pemilik kunci privat
yang sebenarnya. Dengan menggunakan digital signature, dokumen
yang harus dijaga keaslian isinya dan keaslian identitas pengirimnya
tanpa perlu dirahasiakan isinya, dapat disebarluaskan secara bebas.

Mekanisme Integrity Check-Values adalah mekanisme yang

digunakan untuk menjaga integritas data dan autentikasi pengirim
data yang menggunakan sistem kripto simetris. Mekanisme ini
menggunakan Integrity Check-Value, yang berupa data tambahan
yang disertakan dengan data plaintext yang dikirim. Jika pada saat di
perjalanan data tersebut telah berubah, maka nilai Integrity Check-
Value-nya pun akan berubah, sehingga dapat diketahui jika data telah
berubah. Untuk menghindari pengubahan nilai Integrity Check-Value
Page 16 of 23
PERSONAL ASSIGNMENT 4
 oleh seorang hacker, maka nilai tersebut harus dienkripsi dengan
menggunakan kunci simetris. Proses komputasi nilai dari Integrity
Check-Value ini diperlihatkan pada Gambar 8 berikut :

Kunci
Simetris

Komputasi Integrity Check Integrity Chek

Message Value
Value

Gambar 8 – Proses pembuatan Integrity Check-Value

Setelah sampai di tempat penerima, maka penerima dapat memeriksa

integritas message yang diterima. Caranya adalah dengan terlebih
dahulu memisahkan bagian message dengan bagian integrity check-
value. Kemudian dengan menggunakan kunci simetris yang sama
dengan kunci simetris yang dipakai oleh pengirim, penerima lalu
mengkomputasi nilai integrity check-value. Nilai yang didapat
kemudian dibandingkan dengan nilai Integrity Check-Value yang
dikirimkan bersamaan dengan message. Proses pemeriksaan yang
dilakukan oleh penerima message ini diilustrasikan pada Gambar 9.

3.
Message Message
Hash
4. Function Digest

5.
Sama
Digital ?
Signature Dekripsi dgn Kunci
6. Pengirim
Publik
Digital
Signature Digest

Page 17 of 23
PERSONAL ASSIGNMENT 4
 Gambar 9 – Proses pemeriksaan nilai Integrity Check-Value
oleh penerima

Salah satu standar mekanisme integrity check-values yang telah

banyak dipakai adalah Message Authentication Code (MAC).
Mekanisme MAC ini menggunakan enkripsi DES dengan metode
block cipher. Dengan menggunakan MAC, sumber data untuk
membuat Integrity Check-Value adalah seluruh data plaintext yang
akan dikirimkan. Cara ini mempunyai kelemahan terutama jika data
plaintext berukuran sangat besar, karena komputasi yang dilakukan
pun menjadi sangat banyak. Mekanisme lainnya untuk membuat
Integrity Check-Value adalah dengan membuat digest dari bit-bit
data plaintext yang sebelumnya dikombinasikan dengan bit-bit dari
kunci simetris. Mekanisme ini dinamakan keyed hash function.

Jika dibandingkan dengan mekanisme digital signature, maka

mekanisme integrity check-value ini mempunyai kelebihan dan
kekurangannya sendiri. Kelebihannya adalah proses komputasi
relatif lebih cepat, karena hanya menggunakan sistem kripto
simetris. Tapi kekurangan dalam menggunakan Integrity Check-
Value adalah relatif kurang aman jika dibandingkan dengan digital
signature, karena kunci simetris yang digunakan relatif lebih cepat
untuk di-hack dibandingkan dengan pasangan kunci publik-privat.

3. Assets are lost or damaged.

Pengendalian terhadap aset yang hilang atau rusak dapat dilakukan hal-hal
sebagai berikut :
1. Membuat daftar barang dalam hal aset IT yaitu inventaris IT dalam
organisasi yang sangat krusial dimana produksi tidak akan berjalan
tanpa adanya aset tersebut.
2. Membuat salinan digital dan menduplikasi dokumen, surat-surat
berharga dan semua data secara berkala dan terencana. Hasil salinan
harus dibuat dan disimpan ke lokasi yang jauh dari bencana dan
Page 18 of 23
PERSONAL ASSIGNMENT 4
 dilokasir dari akses luar. Hal ini juga berkaitan dengan data mengenai
informasi kontak semua direksi, karyawan, pelanggan, agen asuransi,
suplier, perbankan dan kreditor dan data berharga lainnya (database).
3. Memelihara semua daftar peralatan yang berkaitan dengan fisik
(inventory) termasuk nomor seri dan harga. Data ini juga diduplikasi
dan disalin sehingga akan memudahkan pada saat klaim asuransi.
4. Pada saat data dan dokumen dapat disalin dan dicadangkan, hal ini
menyebabkan diperlukan lokasi yang cukup untuk penyimpanannya.
Perencanaan terhadap krisis yang berpotensi harus termasuk ke dalam
lokasi penyediaan terhadap kantor pada saat lokasi utama tidak dapat
digunakan. Termasuk diantaranya adalah rumah dari karyawan atau
lokasi yang dapat sementara disewa, misalnya hotel, apartemen atau
lokasi lain yang memungkinkan. Berdasarkan perjanjian yang saling
menguntungkan antara perusahaan lain, dapat saja dilakukan
kerjasama untuk penyewaan tempat operasional dilakukan pada saat
terjadinya krisis sampai ditemukannya lokasi yang permanent.
5. Jika kejadian tidak dapat dihindari, pada saat kejadian segera
menghubungi security internal perusahaan, manajemen dan Tim Aset
serta Tim IT serta meneruskan ke pihak berwajib setelah dilakukan
inventarisir kehilangan atau kerusakan yang terjadi.
4. Access to discontinued assets.
Pengendalian aset yang tidak dipergunakan dengan sebab penggantian
perangkat, upgrade dan sebagainya memerlukan penanganan yang harus
concern terhadap keamanan data. Dalam lingkup ini, kaitan Aset berupa
peralatan IT yang masih menyimpan data-data perusahaan harus
diamankan dari akses oleh pihak-pihak yang tidak berkepentingan,
sehingga risiko penyalahgunaan data dan informasi yang masih ada di
peralatan tersebut dapat dihindari, misalnya penyalinan data harddisk.
Berikut ini adalah tindakan yang dapat dilakukan terhadap aset yang tidak
digunakan :
1. Melakukan koordinasi dengan pemilik aset sebelumnya, berkaitan
dengan data yang ada. Contohnya penggantian aset IT yaitu laptop,
Page 19 of 23
PERSONAL ASSIGNMENT 4
 pengguna harus memastikan bahwa data di laptop sebelumnya sudah
disalin ke dalam aset yang lain (berupa hardisk portable, atau
perangkat pengganti yang lain)
2. Melakukan penghapusan dan format secara bertingkat terhadap data
yang ada di dalam aset sehingga apabila jatuh ketangan orang yang
tidak berhak, upaya recovery data untuk mencari data penting
pengguna sebelumnya atau data penting perusahaan dapat dihindari.
3. Melakukan update inventory dalam pencatatan aset yang tidak
dipergunakan agar dapat di track keberadaan dan tindakan yang telah
dilakukan terhadap aset tersebut.
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
atau Ancaman kritis operasional, Aset, dan Evaluasi Kerentanan) adalah
seperangkat alat, teknik, dan metode untuk menilai strategi keamanan
informasi yang berbasis risiko dan perencanaan.
Metode OCTAVE adalah sebuah pendekatan yang digunakan untuk menilai
kebutuhan keamanan informasi organisasi.
OCTAVE Allegro adalah metode yang paling baru-baru ini dikembangkan
dan secara aktif dan didukung oleh Divisi CERT.
Dua metode yang lebih tua, OCTAVE dan OCTAVE-S, masih tersedia, tetapi
sebagian besar organisasi dapat menggunakan OCTAVE Allegro dengan
sukses.
Fitur dan manfaat dari semua metode OCTAVE meliputi :

1. self-directed - Tim kecil beranggotakn personil organisasi di seluruh unit

bisnis dan TI yang saling bekerja sama untuk mengatasi kebutuhan
keamanan organisasi.
2. Flexible - Setiap metode dapat disesuaikan dengan lingkungan organisasi
yang unik berdasarkan risiko, tujuan keamanan dan ketahanan, dan
tingkat keterampilan.
3. evolved - OCTAVE menggerakkan organisasi menuju pandangan berbasis
risiko operasional keamanan dan teknologi dalam konteks bisnis.

Dalam contoh ini akan digunakan Metode OCTAVE Allegro.

Page 20 of 23
PERSONAL ASSIGNMENT 4
Metode ini berfokus kepada aset informasi. Metode ini dapat dilakukan
dengan cara individu atau berkolaborasi dengan melibatkan secara luas
organisasi, meminta masukan para ahli dan informasi yang ada di internal
organisasi.
Karena metode OCTAVE Allegro berfokus pada aset informasi. Maka aset
organisasi penting lainnya diidentifikasi dan dinilai berdasarkan aset
informasi yang saling terhubung. Proses ini menghilangkan potensi
kerancuan tentang ruang lingkup dan mengurangi kemungkinan kesalahan
pengumpulan data dan analisis yang dilakukan untuk aset yang telah
didefinisikan, di luar lingkup penilaian, atau membutuhkan dekomposisi lebih
lanjut.

OCTAVE Allegro terdiri dari delapan langkah disusun dalam empat fase:
Tahap 1 - Penilaian peserta dalam mengembangkan kriteria pengukuran
risiko secara konsisten dengan berdasarkan organisasi, yaitu : misi
organisasi, tujuan, dan faktor penentu keberhasilan.
Tahap 2 - Peserta membuat profil dari masing-masing aset informasi yang
penting dan menetapkan batas-batas yang jelas untuk aset,
mengidentifikasi persyaratan keamanan, dan mengidentifikasi
semua yang ada didalamnya.
Tahap 3 - Peserta mengidentifikasi ancaman terhadap setiap aset informasi
dalam konteks isi yang ada didalamnya.
Tahap 4 - Peserta mengidentifikasi dan menganalisa risiko aset informasi
dan mulai mengembangkan pendekatan mitigasi.
pelatihan.
Menilai Risiko Keamanan Informasi Menggunakan Pendekatan OCTAVE
adalah dapat dilakukan dengan cara pelatihan tiga hari di mana peserta
menggunakan studi kasus untuk melakukan setiap kegiatan dalam metode
OCTAVE Allegro serta belajar tentang persiapan penilaian risiko,
menghubungkan, dan memberi skala prioritas risiko yang teridentifikasi
untuk dilakukan respon terhadap risiko tersebut. Selain itu dapat juga
dilakukan dengan eLearning.
Page 21 of 23
PERSONAL ASSIGNMENT 4
 TERIMA KASIH

Page 22 of 23
PERSONAL ASSIGNMENT 4
Referensi :

Dan Schroeder and Tommie Singleton, (2010). Implementing the IT-Related

Aspects of Risk-Based Auditing Standards, The CPA Journal

Barry Hart, Proff. (2006). Australian/New Zealand Standard “Risk

Management”. SAI Global

Bobby Nazief, (2002). “ Network Security”, seminar Information Security

Conference , Information Security Learning Center Noam Eppel
http://www.penetrationtest.com, Info Komputer dan Inixindo,
Computer Associates, (2003), “Assosiasi Komputer Internasional Imbau
Manajemen TI Ikut Panduan Keamanan”, http://www.antara.co.id
Onno W. Purbo,(2002), “Enam Langkah Mengamankan Jaringan & Sistem
Komputer Dari Serangan Hacker” , http://voipmerdeka.net
Budi Rahardjo, (2000),”Keamanan sistem Informasi Berbasisi Internet”,
http://budi.insan.co.id
http://www.cert.org/resilience/products-services/octave/octave-allegro-
method.cfm

Page 23 of 23
PERSONAL ASSIGNMENT 4