MANAJEMEN RISIKO ASET

OCTAVESM

Didit Bagus Prasetyo 1412411055

Iman Saladin B.A 1412410512
Lisa Artha Sari 1412410134
M. Fadly Kurniawan 1412410651
Nur Fitri Ika Insanti 1412409454
Restu Pinasthika 1412409435
Pendahuluan

 OCTAVESM menjelaskan suatu evaluasi risiko keamanan information yang

komprehensif, sistematik, konteks.
 Dengan metode OCTAVESM suatu organisasi dapat membuat keputusan
perlindungan informasi berdasarkan risiko terhadap kerahasiaan, integritas,
dan ketersediaan aset kritis dari teknologi informasi (TI).
 OCTAVESM menggunakan tiga fase dalam meneliti masalah organisasi dan
teknologi untuk merakit gambaran yang komprehensif tentang kebutuhan
keamanan informasi dari suatu organisasi.
Prinsip dan Atribut
Prinsip
Self-direction
Adaptable measures
Defined process
Foundation for a continuous
process
Forward-looking view
Focus on the critical few
Atribut
Analysis team
Augmenting analysis team skills
Catalog of practices
Generic threat profile
Catalog of vulnerabilities
Defined evaluation activities
Documented evaluation results
Evaluation scope
Next steps
Catalog of practices
Senior management participation
Focus on risk
Evaluation scope
Focused activities
Prinsip dan Atribut
Prinsip Atribut
Integrated management Organizational and technological
issues
Business and information technology
participation
Senior management participation
Open communication Collaborative approach
Global perspective Organizational and technological
issues
Business and information technology
participation
Teamwork Analysis team
Augment analysis team skills
Business and information technology
participation
Collaborative approach
Fase–Fase OCTAVESM
 Fase 1 : Membangun Profil Ancaman
(Threat Profile) Berbasis Aset
 Hal – hal yang dilakukan dalam fase ini antara lain :
 Mengindentifikasi aset kritis.
 Apa yang dilakukan untuk melindungi aset kritis tersebut.
 Persyaratan keamanan untuk setiap aset yang diidentifikasi
 Output dari fase ini adalah
 Aset Kritis
 Persyaratan keamanan untuk aset kritis
 Anacaman terhadap aset kritis
 Praktek keamanan saat ini
 Kerentanan organisasi saat ini
Proses Fase 1
Aktivitas pada Fase 1:
Aktivitas pada fase 1 adalah :
1. Identifikasi aset relatif dan prioritas
2. Mengidentifikasi bidang yang menjadi perhatian.
Proses
3. Mengidentifikasi persyaratan keamanan untuk aset yang paling kritis
1-3
4. Mengumpulkan pengetahuan dari praktik keamanan saat ini dan
kerentanan organisasi.
5. Konsolidasi informasi dari proses 1 sampai 3.
6. Memilih aset kritirs. Proses 4
7. Menyempurnakan presyaratan keamanan untuk aset kritis.
8. Mengidentifikasi dari ancaman terhadap aset kritis
 Fase 2 : Mengidentifikasi Kerentanan
Infrasruktur
 Hal – hal yang dilakukan dalam fase ini antara lain :
 Periksa Network Access
 Mengidentifikasi Kelas Komponen IT untuk Setiap aset
 Tentukan ketahanan terhadap Serangan Jaringan
 Output dari fase ini adalah
 Komponen kunci
 Kerentanan teknologi saat ini
Proses Fase 2
Aktivitas pada Fase 2:
Aktivitas pada fase 2 adalah :
1. Mengidentifikasi kelas komponen utama
Proses 5
2. Mengidentifikasi komponen infrastruktur untuk diperiksa
3. Menjalankan alat evaluasi kerentanan pada komponen infrastruktur yang
dipilih Proses 6
4. Meninjau kerentanan teknologi dan meringkas hasil
 Fase 3 : Mengembangkan Strategi dan
Rencana Keamanan
 Hal – hal yang dilakukan dalam fase ini antara lain :
 Identifikasi Resiko untuk Aset Kritis
 Mengembangkan strategi perlindungan dan rencana mitgasi.
 Analisis berdasarkan fase sebelumnya.
 Output dari fase ini adalah
 Risiko terhadap aset kritis
 Pengukuran risiko
 Startegi perlindungan
 Rencana mitigasi risiko
Proses Fase 3
Aktivitas pada Fase 3:

Aktivitas pada fase 3 adalah :

1. Mengidentifikasi dampak dari ancaman aset kritis
2. Membuat kriteria evaluasi risiko Proses 7

3. Evaluasi dampak dari ancaman aset kritis

4. Konsolidasi informasi dari proses 1 sampai 3
5. Mereview informasi risiko
6. Membuat strategi perlindungan
Proses 8
7. Membuat rencana mitigasi
8. Membuat daftar tindakan
Case Study : System XYZ (Critical
Assets and Threat)
 Aset kritis pada case study ini adalah system XYZ.
 Konsen dari area aset kritis ini (areas of concern)antara lain :
 Orang-orang sengaja memasukkan data yang salah ke dalam sistem XYZ. Hal ini
menyebabkan catatan yang salah pada sistem tersebut.
 Seseorang bisa menggunakan catatan dari sistem XYZ untuk keuntungan
pribadi.
 Kelemahan yang melekat dan kerentanan dalam sistem XYZ dapat dieksploitasi
oleh penyerang untuk melihat atau mengubah informasi penting dalam
catatan.
Case Study : System XYZ (Threat
Properties)
 Propertis ancman :
 Concern 1 :
 asset – penyimpanan system XYZ
 access – network (data yang dimasukan dan direkam pada sebuah
sistem)
 actor – insiders (staff yang memiliki askes)
 ·motive – accidental
 outcome – modification (Data yang salah, dimodifikasi)
Case Study : System XYZ (Threat
Properties)
 Propertis ancman :
 Concern 2 :
 asset – penyimpanan system XYZ
 access – network (aktor dapat mengakses record dari sistem)
 actor – insiders dan outsider(staff atau pihak luar yang memiliki askes )
 ·motive – deliberate
 outcome – disclosure (aktor iniyang bisa melihat informasi seharusnya ia
tidak bisa melihat )
Case Study : System XYZ (Threat
Properties)
 Propertis ancman :
 Concern 3 :
 asset – penyimpanan system XYZ
 access – network (aktor dapat mengakses record dari sistem)
 actor – outsider(pihak luar ang menyerang sistem ini )
 ·motive – deliberate
 outcome – disclosure ,modification
Case Study : System XYZ (Threat Profile)
 Case Study : Sytem XYZ (Key
Component and Vulnerabilities)
Key
Component

Server Network Security Workstation PC User

Router Firewall

Security
Switch
Access Matrix

User Access
Matrix
 Case Study : System XYZ (Key
Component and Vulnerabilities)
Vulnerability
Component Tools Scan/Review
Summary
Server 3 High
Y
2 Medium
Router Improve-UR- Y 1 High
Network
Switch Y 1 High
Firewall Y 1 High
Security Access 5 High
Y
Matrix Review
User Access Matrix Y 5 High
Workstation Improve-UR- 2 high
Y
Network
PC User 1 Vulnerabilies-R- Y 2 Medium
PC User 2 Found Y 2 Medium
Case Study : Sytem XYZ ( Vulnerability
Security Level)
 Case Study : Sytem XYZ (Impact &
Probability)
Case Actor Motive Outcome Impact Probability
1 Inside Accidental Modification High Medium
Inside Deliberate Disclosure High High
2
Outside Deliberate Disclosure High Medium
Disclosure High Medium
3 Outside Deliberate
Modification High Medium
 Case Study : Sytem XYZ (Evalutaion)

Case Impact Probability Evaluation

1 High Medium High
High High High
2
High Medium High
High Medium High
3
High Medium High
Case Study : System XYZ ( Impact )

Tingkatan impact berdasarkan :

Reputation/customer confidence
Life/health of customers
Productivity
Fines/legal penalties
Finances
Facilities
Case Study : System XYZ ( Probability &
Evaluation)
 Case Study : System XYZ (Strategi
Perlindungan)
Case Actor Motive Outcome Strategi Perlindungan
Inside Accidental Modification Security Awareness
1
and Training
Inside Deliberate Disclosure Security Awareness
and training, Security
management and
2 Security Policies
Outside Deliberate Disclosure Security
management
Disclosure Security
management
3 Outside Deliberate
Modification Security
management
 Case Study : System XYZ (Mitigation
Plan)
Case Actor Motive Outcome Mitigation Plan
Inside Accidental Modification Menerapkan fungsi
1
maker checker
Inside Deliberate Disclosure Mengupadate UAM
dan SAM,
mengupadte firewall,
2 router, switch
Outside Deliberate Disclosure Mengupadte firewall,
router, switch
Disclosure Mengupadte firewall,
router, switch
3 Outside Deliberate
Modification Mengupadte firewall,
router, switch
Referensi

 Dorofee, Audrey & Albets, Christopher. (2002). Managing Information

Security Risks: The OCTAVESM Approach. Adison Wesley.
 Dorofee, Audrey & Albets, Christopher. OCTAVESM* Threat Profiles. Carnegie
Mellon University.
TERIMA KASIH