Manajemen Risiko Keamanan Informasi Dengan SOBF Modul 1
Manajemen Risiko Keamanan Informasi Dengan SOBF Modul 1
MEI, 2020
Panduan Pembelajaran
MANAJEMEN RISIKO
KEAMANAN INFORMASI
DENGAN SOBF
Modul I: Environment Setup & Context Establishment
Penyusun:
Iqbal Santosa
Rokhman Fauzi
Rahmat Mulyana
Aplikasi SOBF menyediakan fitur pengelolaan risiko keamanan informasi yang sesuai dengan
standar manajemen risiko keamanan informasi ISO 27005. Diharapakan dengan adanya
Aplikasi SOBF ini, pengguna terutama Security Officer dapat menjalankan proses manajemen
risiko keamanan informasi dengan lebih mudah dan cepat, sehingga efisien dalam pengelolaan
risiko keamanan informasi secara berkelanjutan.
Extract Aplikasi SOBF pada folder yang diinginkan, misal pada “C:\sobf_1.0b1\”. Untuk memudahkan
dalam menjalankan Aplikasi, Anda dapat membuat shortcut Aplikasi SOBF dengan menentukan
location/target aplikasi dan menyesuaikan start in/directory aplikasi.
Penambahan aset dapat dilakukan dengan mengklik tombol “Add”, sedangkan penghapusan aset dapat
dilakukan dengan mengklik tombol “Delete”. Pada saat menambahkan aset, field yang wajib diisi ialah nama
aset (Name), field lain dapat dibiarkan kosong.
Pengaturan daftar “Asset Type” dapat dilakukan melalui menu “Repository > Show asset type”.
Penambahan ancaman dapat dilakukan dengan mengklik tombol “Add”, sedangkan penghapusan ancaman
dapat dilakukan dengan mengklik tombol “Delete”. Pada saat menambahkan ancaman, field yang wajib diisi
ialah nama aset (Name), field lain dapat dibiarkan kosong.
Perubahan rincian ancaman dapat dilakukan dengan memilih aset yang akan diubah, kemudian klik tombol
“Detail” untuk menampilkan rincian aset tersebut, dan klik “Edit”. Klik “Ok” untuk menyimpan
perubahan, atau klik “Cancel” untuk membatalkan perubahan. Klik tombol “List” untuk kembali
menampilkan semua daftar ancaman.
Pengaturan daftar “Threat Agent” dan “Threat Type” dapat dilakukan melalui menu “Repository >
Show threat type” dan juga “Repository > Show threat agent”.
Penentuan tingkat kejadian (Likelyhood) dan tingkat dampak (Impact) dari ancaman tersebut akan
dilakukan pada tahap berikutnya. Setelah selesai menambahkan kerentanan, Anda dapat keluar dari
jendela ini.
Untuk menampilkan daftar kerentanan terkait teknologi informasi, silakan klik pada menu
“Repository > Show vulnerabilities”, maka akan muncul daftar kerentanan yang berisi nama aset
(Asset Id), ancaman yang relevan dengan aset tersebut (Threat Id) beserta tingkat kejadian (Likelyhood)
dan tingkat dampak (Impact). Kerentanan yang telah ditambahkan sebelumnya akan muncul semua
disini.
7. Pengumpulan Data
Setelah selesai melakukan pengaturan pada repository aset, ancaman dan kerentanan, kini saatnya masuk
ke proses penetapan konteks (context establishment). Tahap pertama dari proses penetapan konteks ialah
pengumpulan data (Collect Data), dimana kita akan memilih mana saja aset yang akan menjadi ruang
lingkup dari manajemen risiko. Pengumpulan data dilakukan dengan mengklik tombol “Collect Data”
pada area “1. Context Establishment”.
Perubahan rincian ruang lingkup aset dapat dilakukan dengan memilih aset yang akan diubah,
kemudian klik tombol “Detail” untuk menampilkan rincian aset tersebut, dan klik “Edit”. Klik “Ok”
untuk menyimpan perubahan, atau klik “Cancel” untuk membatalkan perubahan. Klik tombol “List”
untuk kembali menampilkan semua daftar aset yang menjadi ruang lingkup.
8. Analisis Ancaman
Tahap kedua dari proses penetapan konteks ialah analisis ancaman (Threat Analysis), dimana kita akan
memilih mana saja ancaman yang relevan dengan ruang lingkup manajemen risiko yang telah
ditentukan sebelumnya. Tahap analisis ancaman dilakukan dengan mengklik tombol “Threat Analysis”
pada area “1. Context Establishment”. Aktifkan ancaman yang mungkin terjadi pada ruang lingkup
aset yang telah ditentukan sebelumnya dengan mengklik “Activate Threat”, lakukan hal ini secara
berulang (jika diperlukan). Untuk menonaktifkan, klik “Inactivate Threat”, lakukan hal ini secara
berulang (jika diperlukan).
9. Analisis Kerentanan
Tahap ketiga dari proses penetapan konteks ialah analisis kerentanan (Vulnerability Analysis), dimana
kita akan mengidentifikasi kerentanan mana saja yang dapat dieksploitasi pada ruang lingkup
manajemen risiko yang telah ditentukan sebelumnya. Tahap analisis kerentanan dilakukan dengan
mengklik tombol “Vulnerability Analysis” pada area “1. Context Establishment”.
Pilih aset pada area “Inventory List” maka akan muncul kerentanan yang relevan dengan aset tersebut
pada area “Vulnerability List”, kemudian klik “Add” sehingga muncul pada area “Risk List” yang
menandakan bahwa kerentanan pada aset tersebut telah didaftarkan sebagai risiko, lakukan hal ini
secara berulang (jika diperlukan). Untuk menghilangkannya dari “Risk List”, klik “Remove”, lakukan
hal ini secara berulang (jika diperlukan).
Hingga disini, proses penetapan konteks telah selesai. Adapun poin terakhir setelah ini –yakni
mencetak laporan– dilakukan jika memang diperlukan.
Untuk mencetak laporan inventory aset yang menjadi ruang lingkup manajemen risiko, dapat
dilakukan dengan mengklik tombol “Inventory Report” pada area “1. Context Establishment”.
Untuk mencetak laporan analisis ancaman yang relevan dengan ruang lingkup manajemen risiko, dapat
dilakukan dengan mengklik tombol “Threat Analysis Report” pada area “1. Context Establishment”.
Pada buku panduan modul 1 ini Anda telah berkenalan dengan pengaturan
lingkungan pada aplikasi serta proses penetapan konteks yang mencakup
pengumpulan data, analisis ancaman, dan analisis kerentanan. Di modul
berikutnya akan dibahas lebih lanjut mengenai identifikasi risiko, estimasi risiko,
evaluasi risiko, dan penanganan risiko. Sampai jumpa!
Salam,
Tim Penyusun