Manajemen Risiko Keamanan Informasi

dengan SOBF untuk Pembelajaran

Universitas
Modul I: Environment Setup & Context Establishment

MEI, 2020
Panduan Pembelajaran
MANAJEMEN RISIKO
KEAMANAN INFORMASI
DENGAN SOBF
Modul I: Environment Setup & Context Establishment

Penyusun:
Iqbal Santosa
Rokhman Fauzi
Rahmat Mulyana

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 2

DAFTAR ISI
DAFTAR ISI................................................................................................................................................. 3
DAFTAR GAMBAR................................................................................................................................... 4
1. Tentang Aplikasi SOBF ..................................................................................................................... 5
2. Menginstal Aplikasi SOBF ................................................................................................................ 6
3. Membuka Aplikasi SOBF ........................................................................................................................6
4. Mengelola Daftar Aset...................................................................................................................... 7
5. Mengelola Daftar Ancaman ........................................................................................................... 12
6. Mengelola Daftar Kerentanan ....................................................................................................... 11
7. Pengumpulan Data........................................................................................................................... 13
8. Analisis Ancaman ............................................................................................................................. 14
9. Analisis Kerentanan......................................................................................................................... 15
10. Mencetak Laporan ....................................................................................................................... 15

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 3

DAFTAR GAMBAR

Gambar 2-1: Mengunduh Aplikasi SOBF ............................................................................................................... 6

Gambar 2-2: Membuat Shortcut Aplikasi SOBF .................................................................................................. 6
Gambar 4-1: Mengelola Daftar Aset ...................................................................................................................... 7
Gambar 4-2: Menambahkan Aset............................................................................................................................ 8
Gambar 4-3: Mengubah Rincian Aset ..................................................................................................................... 8
Gambar 5-1: Mengelola Daftar Ancaman .............................................................................................................. 9
Gambar 5-2: Menambahkan Ancaman ................................................................................................................. 10
Gambar 5-3: Mengubah Rincian Ancaman .......................................................................................................... 11
Gambar 6-1: Mengelola Daftar Kerentanan ....................................................................................................... 12
Gambar 6-2: Menambahkan Kerentanan............................................................................................................. 11
Gambar 6-3: Menentukan Likelyhood dan Impact pada Kerentanan .............................................................. 12
Gambar 7-1: Mengelola Ruang Lingkup Aset ..................................................................................................... 13
Gambar 7-2: Menambahkan Ruang Lingkup Aset.............................................................................................. 14
Gambar 8-1: Menganalisis Ancaman ..................................................................................................................... 15
Gambar 9-1: Menganalisis Kerentanan ................................................................................................................ 15
Gambar 10-1: Mencetak Laporan Aset................................................................................................................ 16
Gambar 10-2: Mencetak Laporan Ancaman ....................................................................................................... 16
Gambar 10-3: Mencetak Laporan Kerentanan................................................................................................... 17

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 4

1. Tentang Aplikasi SOBF
Aplikasi Security Officers Best Friend (SOBF) adalah aplikasi open source yang dikembangkan
oleh SOMAP.org dan kontributornya untuk memudahkan penggunanya mengelola risiko
keamanan informasi suatu organisasi. Hingga publikasi ini disusun, Aplikasi SOBF hanya
tersedia dalam versi desktop/swing client yang dijalankan sebagai aplikasi java.

Aplikasi SOBF menyediakan fitur pengelolaan risiko keamanan informasi yang sesuai dengan
standar manajemen risiko keamanan informasi ISO 27005. Diharapakan dengan adanya
Aplikasi SOBF ini, pengguna terutama Security Officer dapat menjalankan proses manajemen
risiko keamanan informasi dengan lebih mudah dan cepat, sehingga efisien dalam pengelolaan
risiko keamanan informasi secara berkelanjutan.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 5

2. Menginstal Aplikasi SOBF
Aplikasi Security Officers Best Friend (SOBF) yang digunakan dalam panduan ini ialah versi 1.0b1.
Anda perlu terlebih dahulu mengunduh aplikasi SOBF pada website http://somap.org serta Java SE
Runtime Environment (JRE) pada website http://www.oracle.com sesuai sistem operasi yang digunakan
pada desktop Anda. Kemudian install JRE dan tunggu sampai selesai.

Gambar 2-1: Mengunduh Aplikasi SOBF

Extract Aplikasi SOBF pada folder yang diinginkan, misal pada “C:\sobf_1.0b1\”. Untuk memudahkan
dalam menjalankan Aplikasi, Anda dapat membuat shortcut Aplikasi SOBF dengan menentukan
location/target aplikasi dan menyesuaikan start in/directory aplikasi.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 6

 Gambar 2-2: Membuat Shortcut Aplikasi SOBF

Gambar 2-3: Menyesuaikan Shortcut Aplikasi SOBF

3. Membuka Aplikasi SOBF

Jika langkah sebelumnya sudah selesai silakan klik icon Aplikasi SOBF pada shortcut yang sudah dibuat,
kemudian akan muncul dua layar yakni “Getting Started…” sebagai penjelasan singkat memulai
aplikasi dan “Security Officers Best Friend” sebagai aplikasi utamanya.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 7

4. Mengelola Daftar Aset
Untuk mengelola daftar aset terkait teknologi informasi, silakan klik pada menu “Repository > Show
asset qual”, maka akan muncul daftar aset secara kualitatif yang berisi nama aset (Name), tingkat
kerahasiaan (Confidentiality), tingkat integritas (Integrity), tingkat ketersediaan (Availability) dan nilai
asetnya (Asset Value).

Gambar 4-1: Mengelola Daftar Aset

Penambahan aset dapat dilakukan dengan mengklik tombol “Add”, sedangkan penghapusan aset dapat
dilakukan dengan mengklik tombol “Delete”. Pada saat menambahkan aset, field yang wajib diisi ialah nama
aset (Name), field lain dapat dibiarkan kosong.

Gambar 4-2: Menambahkan Aset

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 8

 Perubahan rincian aset dapat dilakukan dengan memilih aset yang akan diubah, kemudian klik tombol
“Detail” untuk menampilkan rincian aset tersebut, dan klik “Edit”. Klik “Ok” untuk menyimpan
perubahan, atau klik “Cancel” untuk membatalkan perubahan. Klik tombol “List” untuk kembali
menampilkan semua daftar aset.

Gambar 4-3: Mengubah Rincian Aset

Pengaturan daftar “Asset Type” dapat dilakukan melalui menu “Repository > Show asset type”.

5. Mengelola Daftar Ancaman

Untuk mengelola daftar ancaman terkait teknologi informasi, silakan klik pada menu “Repository >
Show threat”, maka akan muncul daftar ancaman yang berisi nama ancaman (Name), tipe ancaman
(Threat Type) dan nilai asetnya (Threat Agent).

Gambar 5-1: Mengelola Daftar Ancaman

Penambahan ancaman dapat dilakukan dengan mengklik tombol “Add”, sedangkan penghapusan ancaman
dapat dilakukan dengan mengklik tombol “Delete”. Pada saat menambahkan ancaman, field yang wajib diisi
ialah nama aset (Name), field lain dapat dibiarkan kosong.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 9

 Gambar 5-2: Menambahkan Ancaman

Perubahan rincian ancaman dapat dilakukan dengan memilih aset yang akan diubah, kemudian klik tombol
“Detail” untuk menampilkan rincian aset tersebut, dan klik “Edit”. Klik “Ok” untuk menyimpan
perubahan, atau klik “Cancel” untuk membatalkan perubahan. Klik tombol “List” untuk kembali
menampilkan semua daftar ancaman.

Gambar 5-3: Mengubah Rincian Ancaman

Pengaturan daftar “Threat Agent” dan “Threat Type” dapat dilakukan melalui menu “Repository >
Show threat type” dan juga “Repository > Show threat agent”.

6. Mengelola Daftar Kerentanan

Penambahan kerentanan dilakukan dengan mengklik menu “Repository > Show vulnerability setup”. Pada
dropdown list sebelah kiri pilih nama aset yang memiliki kerentanan, dan pada dropdown list sebelah kanan
pilih nama ancaman yang mungkin terjadi pada aset tersebut, kemudian klik tombol “+” untuk
menambahkannya sebagai kerentanan. Setelah muncul pada area sebelah bawah, maka akan muncul aset
dan ancaman yang tadi dipilih pada kolom “Asset Id” dan “Threat Id”.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 10

 Gambar 6-1: Mengelola Daftar Kerentanan

Penentuan tingkat kejadian (Likelyhood) dan tingkat dampak (Impact) dari ancaman tersebut akan
dilakukan pada tahap berikutnya. Setelah selesai menambahkan kerentanan, Anda dapat keluar dari
jendela ini.

Untuk menampilkan daftar kerentanan terkait teknologi informasi, silakan klik pada menu
“Repository > Show vulnerabilities”, maka akan muncul daftar kerentanan yang berisi nama aset
(Asset Id), ancaman yang relevan dengan aset tersebut (Threat Id) beserta tingkat kejadian (Likelyhood)
dan tingkat dampak (Impact). Kerentanan yang telah ditambahkan sebelumnya akan muncul semua
disini.

Gambar 6-2: Menambahkan Kerentanan

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 11

Penentuan tingkat kejadian (Likelyhood) dan tingkat dampak (Impact) pada kerentanan tersebut dapat
dilakukan dengan mengklik tombol “Detail” untuk menampilkan rincian kerentanan tersebut, dan klik
“Edit”. Klik “Ok” untuk menyimpan perubahan, atau klik “Cancel” untuk membatalkan perubahan.
Klik tombol “List” untuk kembali menampilkan semua daftar kerentanan.

Gambar 6-3: Menentukan Likelyhood dan Impact pada Kerentanan

7. Pengumpulan Data
Setelah selesai melakukan pengaturan pada repository aset, ancaman dan kerentanan, kini saatnya masuk
ke proses penetapan konteks (context establishment). Tahap pertama dari proses penetapan konteks ialah
pengumpulan data (Collect Data), dimana kita akan memilih mana saja aset yang akan menjadi ruang
lingkup dari manajemen risiko. Pengumpulan data dilakukan dengan mengklik tombol “Collect Data”
pada area “1. Context Establishment”.

Gambar 7-1: Mengelola Ruang Lingkup Aset

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 12

Penambahan ruang lingkup aset dapat dilakukan dengan mengklik tombol “Add”, sedangkan penghapusan
ruang lingkup aset dapat dilakukan dengan mengklik tombol “Delete”. Setelah Anda memilih aset, field
“Confidentiality”, “Integrity”, dan “Availability” akan secara default menampilkan apa yang sudah
diinputkan sebelumnya pada repository aset. Anda dapat menyesuaikannya jika memang diperlukan.

Gambar 7-2: Menambahkan Ruang Lingkup Aset

Perubahan rincian ruang lingkup aset dapat dilakukan dengan memilih aset yang akan diubah,
kemudian klik tombol “Detail” untuk menampilkan rincian aset tersebut, dan klik “Edit”. Klik “Ok”
untuk menyimpan perubahan, atau klik “Cancel” untuk membatalkan perubahan. Klik tombol “List”
untuk kembali menampilkan semua daftar aset yang menjadi ruang lingkup.

8. Analisis Ancaman
Tahap kedua dari proses penetapan konteks ialah analisis ancaman (Threat Analysis), dimana kita akan
memilih mana saja ancaman yang relevan dengan ruang lingkup manajemen risiko yang telah
ditentukan sebelumnya. Tahap analisis ancaman dilakukan dengan mengklik tombol “Threat Analysis”
pada area “1. Context Establishment”. Aktifkan ancaman yang mungkin terjadi pada ruang lingkup
aset yang telah ditentukan sebelumnya dengan mengklik “Activate Threat”, lakukan hal ini secara
berulang (jika diperlukan). Untuk menonaktifkan, klik “Inactivate Threat”, lakukan hal ini secara
berulang (jika diperlukan).

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 13

 Gambar 8-1: Menganalisis Ancaman

9. Analisis Kerentanan
Tahap ketiga dari proses penetapan konteks ialah analisis kerentanan (Vulnerability Analysis), dimana
kita akan mengidentifikasi kerentanan mana saja yang dapat dieksploitasi pada ruang lingkup
manajemen risiko yang telah ditentukan sebelumnya. Tahap analisis kerentanan dilakukan dengan
mengklik tombol “Vulnerability Analysis” pada area “1. Context Establishment”.

Pilih aset pada area “Inventory List” maka akan muncul kerentanan yang relevan dengan aset tersebut
pada area “Vulnerability List”, kemudian klik “Add” sehingga muncul pada area “Risk List” yang
menandakan bahwa kerentanan pada aset tersebut telah didaftarkan sebagai risiko, lakukan hal ini
secara berulang (jika diperlukan). Untuk menghilangkannya dari “Risk List”, klik “Remove”, lakukan
hal ini secara berulang (jika diperlukan).

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 14

 Gambar 9-1: Menganalisis Kerentanan

Hingga disini, proses penetapan konteks telah selesai. Adapun poin terakhir setelah ini –yakni
mencetak laporan– dilakukan jika memang diperlukan.

10. Mencetak Laporan

Aplikasi SOBF menyediakan fitur untuk mencetak laporan. Pada proses penetapan konteks, terdapat
tiga macam laporan yang dapat dibuat secara otomatis, yakni:

a. Laporan inventory aset (Inventory Report)

b. Laporan analisis ancaman (Threat Analysis Report)

c. Laporan analisis kerentanan (Vulnerability Analysis Report)

Untuk mencetak laporan inventory aset yang menjadi ruang lingkup manajemen risiko, dapat
dilakukan dengan mengklik tombol “Inventory Report” pada area “1. Context Establishment”.

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 15

 Gambar 10-1: Mencetak Laporan Aset

Untuk mencetak laporan analisis ancaman yang relevan dengan ruang lingkup manajemen risiko, dapat
dilakukan dengan mengklik tombol “Threat Analysis Report” pada area “1. Context Establishment”.

Gambar 10-2: Mencetak Laporan Ancaman

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 16

Untuk mencetak laporan analisis kerentanan yang dapat dieksploitasi pada ruang lingkup manajemen
risiko, dapat dilakukan dengan mengklik tombol “Vulnerability Analysis Report” pada area “1.
Context Establishment”.

Gambar 10-3: Mencetak Laporan Kerentanan

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 17

Penutup
Selamat!
Anda telah mengikuti dan menyelesaikan panduan pembelajaran ini dalam
waktu yang sangat singkat. Panduan ini belum menjelaskan bagaimana data
masukan diperoleh, namun setidaknya memberikan gambaran mengenai proses
manajemen risiko keamanan informasi. Diperlukan pemahaman atas konsep,
standar maupun kerangka kerja manajemen risiko keamanan informasi disertai
praktik langsung atau studi kasus agar Anda dapat memahami dan
mengimplementasikan proses manajemen risiko keamanan informasi ini.

Pada buku panduan modul 1 ini Anda telah berkenalan dengan pengaturan
lingkungan pada aplikasi serta proses penetapan konteks yang mencakup
pengumpulan data, analisis ancaman, dan analisis kerentanan. Di modul
berikutnya akan dibahas lebih lanjut mengenai identifikasi risiko, estimasi risiko,
evaluasi risiko, dan penanganan risiko. Sampai jumpa!

Salam,
Tim Penyusun

Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 18

 Buku ini merupakan buku pertama yang membahas mengenai panduan
manajemen risiko keamanan informasi berbasis aplikasi untuk
pembelajaran universitas. Buku ini ditujukan bagi siapapun (mahasiswa,
profesional, umum) yang ingin mempelajari proses manajemen risiko
dengan praktik langsung maupun studi kasus.

Aplikasi Security Officers Best Friend (SOBF) dipilih karena sesuai

dengan standar ISO 27005, mudah digunakan serta gratis alias tidak
berbayar. Pada buku panduan modul 1 ini Anda akan berkenalan dengan
pengaturan lingkungan pada aplikasi serta proses penetapan konteks
yang mencakup pengumpulan data, analisis ancaman, dan analisis
kerentanan.

Lab Riset System Architecture and Governance (SAG)

Telkom University
Panduan Pembelajaran Manajemen Risiko Keamanan Informasi dengan SOBF 19