com
Sayangnya, harapan bukanlah sebuah rencana, jadi organisasi melihat ke badan standar
sepertiISO, OKTAV,PCI DSS, NIST, dll untuk panduan tentang praktik terbaik keamanan.
Tetapi memilih standar atau kerangka kerja praktik terbaik untuk diikuti adalah tantangannya.
Ada banyak dari mereka dan banyak faktor untuk dievaluasi, termasuk kesamaan standar dengan
praktik organisasi yang ada, biaya, kompleksitas, dokumentasi pendukung.
Istilah metodologi berarti seperangkat prinsip dan aturan yang terorganisir yang mendorong
tindakan dalam bidang pengetahuan tertentu. Metodologi tidak menjelaskan metode tertentu;
namun itu tidak menentukan beberapa proses yang perlu diikuti. Proses-proses ini merupakan
kerangka kerja generik. Mereka mungkin dipecah dalam sub-proses, mereka dapat digabungkan,
atau urutannya dapat berubah. Namun, setiap latihan manajemen risiko harus melakukan proses
ini dalam satu atau lain bentuk; dokumen berikut membandingkan proses yang diperkirakan oleh
tiga standar terkemuka (ISO 27005, NIST SP 800-30 & OCTAVE).
ISO/IEC 27005:2008 berlaku untuk semua jenis organisasi (misalnya perusahaan komersial,
lembaga pemerintah, organisasi nirlaba) yang bermaksud mengelola risiko yang dapat
membahayakan keamanan informasi organisasi.” ISO 27005 adalah metodologi yang diterima
secara luas dan mencakup teknologi, orang, dan proses dalam penilaian risiko.
kebijakan keamanan,
organisasi keamanan informasi,
manajemen aset,
keamanan sumber daya manusia,
keamanan fisik dan lingkungan,
komunikasi dan manajemen operasi,
kontrol akses,
akuisisi, pengembangan, dan pemeliharaan sistem informasi
manajemen insiden keamanan informasi,
manajemen kelangsungan bisnis, dan
Kepatuhan terhadap peraturan.
Identifikasi resiko
Identifikasi risiko menyatakan apa yang dapat menyebabkan potensi kerugian; berikut ini harus
diidentifikasi:
aset, primer (yaitu Proses bisnis dan informasi terkait) dan pendukung (yaitu perangkat
keras, perangkat lunak, personel, situs, struktur organisasi)
ancaman
langkah-langkah keamanan yang ada dan yang direncanakan
kerentanan
konsekuensi
proses bisnis terkait
daftar aset dan proses bisnis terkait yang akan dikelola risikonya dengan daftar ancaman
terkait, tindakan keamanan yang ada dan yang direncanakan
daftar kerentanan yang tidak terkait dengan ancaman yang teridentifikasi
daftar skenario insiden dengan konsekuensinya.
Estimasi risiko memiliki input output dari analisis risiko dan dapat dibagi dalam langkah-langkah
berikut:
Penilaian risiko kuantitatif murni adalah perhitungan matematis berdasarkan metrik keamanan
diaset(sistem atau aplikasi). Penilaian risiko kualitatif (evaluasi tiga sampai lima langkah, dari
Sangat Tinggi ke Rendah) dilakukan ketika organisasi memerlukan penilaian risiko yang
dilakukan dalam waktu yang relatif singkat atau untuk memenuhi anggaran yang kecil, jumlah
data relevan yang signifikan tidak tersedia, atau orang yang melakukan penilaian tidak memiliki
keahlian penilaian matematika, keuangan, dan risiko yang diperlukan. Penilaian risiko kualitatif
dapat dilakukan dalam waktu yang lebih singkat dan dengan data yang lebih sedikit. Penilaian
risiko kualitatif biasanya dilakukan melalui wawancara sampel personel dari semua kelompok
yang relevan dalam organisasi yang bertanggung jawab atas keamanan aset yang dinilai.
Penilaian risiko kualitatif bersifat deskriptif versus terukur.
Evaluasi Risiko
Proses evaluasi risiko menerima sebagai input output dari proses analisis risiko. Ini
membandingkan setiap tingkat risiko terhadap kriteria penerimaan risiko dan memprioritaskan
daftar risiko dengan indikasi penanganan risiko.
NIST SP 800-30 paling cocok untuk penilaian risiko terkait Teknologi yang selaras dengan
kriteria umum. Metodologi penilaian risiko mencakup sembilan langkah utama:
Mitigasi risiko
Mitigasi risiko, proses kedua menurut SP 800-30, yang ketiga menurut ISO 27005 manajemen
risiko, melibatkan memprioritaskan, mengevaluasi, dan menerapkan kontrol pengurangan risiko
yang sesuai yang direkomendasikan dari proses penilaian risiko.
Mengurangi
Mempertahankan
Menghindari
Transfer
Risiko dan menghasilkan rencana penanganan risiko, yaitu output dari proses dengan risiko
residual yang dapat diterima oleh manajemen.
Mitigasi risiko adalah metodologi sistematis yang digunakan oleh manajemen senior untuk
mengurangi risiko misi. Mitigasi risiko dapat dicapai melalui salah satu opsi mitigasi risiko
berikut:
Asumsi Risiko. Untuk menerima potensi risiko dan melanjutkan pengoperasian sistem TI
atau menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat diterima
Penghindaran Risiko. Untuk menghindari risiko dengan menghilangkan penyebab
dan/atau konsekuensi risiko (misalnya, mengabaikan fungsi tertentu dari sistem atau
mematikan sistem ketika risiko teridentifikasi)
Batasan Risiko. Untuk membatasi risiko dengan menerapkan kontrol yang
meminimalkan dampak buruk dari ancaman yang menggunakan kerentanan (misalnya,
penggunaan kontrol pendukung, pencegahan, detektif)
Perencanaan Risiko. Untuk mengelola risiko dengan mengembangkan rencana mitigasi
risiko yang memprioritaskan, menerapkan, dan memelihara kontrol
Penelitian dan Pengakuan. Untuk menurunkan risiko kerugian dengan mengenali
kerentanan atau cacat dan meneliti kontrol untuk memperbaiki kerentanan
Pemindahan Risiko. Untuk mengalihkan risiko dengan menggunakan opsi lain untuk
mengkompensasi kerugian, seperti membeli asuransi.
OCTAVE ditargetkan pada risiko organisasi dan berfokus pada isu-isu strategis yang terkait
dengan praktik. Ini adalah evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar
organisasi. OCTAVE paling cocok untuk penilaian risiko spesifik proses yang didasarkan pada
pengetahuan orang. Aspek organisasi, teknologi, dan analisis dari evaluasi risiko keamanan
informasi dilakukan dengan pendekatan tiga fase dengan delapan proses.
Tim analisis mengidentifikasi jalur akses jaringan dan kelas komponen TI yang terkait dengan
setiap aset penting. Tim kemudian menentukan sejauh mana setiap kelas komponen tahan
terhadap serangan jaringan dan menetapkan kerentanan teknologi yang mengekspos aset penting.
Proses 5 – Identifikasi komponen utama
Proses 6 – Evaluasi komponen yang dipilih
Mitigasi risiko
Metodologi
o NISTterutama merupakan sistem manajemen dan memungkinkan eksekusi pihak
ketiga. NIST SP 800-30 paling cocok untuk penilaian risiko terkait Teknologi.
Panduan NIST mengeksplorasi isu-isu organisasional yang lebih taktis.
o OKTAFMetode diarahkan sendiri. Hanya sumber daya organisasi yang diizinkan
untuk mengimplementasikan proses. Evaluasi adalah proses aktual yang dikelola
dengan mengadakan lokakarya elisitasi, konsolidasi, dan analisis.
o ISO 27005mencakup Orang, Proses & Teknologi dan umumnya diarahkan ke
tingkat yang lebih tinggi, praktik manajemen.
Tim Penilai
o NISTmenyebutkan peran dalam metodologi tetapi tidak membuat tim penilai
o OKTAFmerinci pembuatan tim analisis (penilaian) yang terdiri dari perwakilan
dari lini bisnis dan departemen TI organisasi
o ISO 27005menyebutkan bahwa orang yang tepat (baik orang teknis dan bisnis)
terlibat dalam penilaian risiko
Pengumpulan Informasi/Komunikasi
o NISTmenggunakan teknik khas untuk pengumpulan informasi seperti kuesioner,
wawancara, dan tinjauan dokumen
o OKTAFmenggunakan pendekatan berbasis lokakarya untuk mengumpulkan
informasi dan membuat keputusan
o ISO 27005menggunakan teknik yang sama seperti yang digunakan dalam NIST
SP 800 – 30 dengan tambahan pengamatan proses yang disebutkan dalam
kebijakan organisasi.