OCTAVE is a framework for identifying and managing information security risks. In other
words, OCTAVE is an approach that defines a comprehensive security risks evaluation.
What security risks are evaluated?
O C TAV E
Operationally Critical Threat, Asset, and Vulnerability Evaluation
OCTAVE is a framework for identifying and managing information security risks. In other
words, OCTAVE is an approach that defines a comprehensive security risks evaluation.
Information Asset
O C TAV E
There are several activities carried out during the evaluation :
1 Identify
2 3 2
Analyze
4 3 Plan
1
4
5 Implement
5 Monitor
6 6 Control
O C TAV E
1 Identify 4 Implement
Identifying the information security risks such as risk Carrying out an act plan
profiles
5 Monitor
2 Analyze
Monitoring progress and
Analyzing the risks level to evaluate and determine a effectiveness
priority
6 Control
3 Plan
Analyzing data, making a
Planning to security maintenance and develop strategy decision, and execute.
O C TAV E M E T H O D
O C TAV E
Preparation Phase
1 Scheduling
2 Forming an analysis team
3
Asking for support
4
Preparing logistics
PEMBAHASAN
1 Tahap I Membangun Aset Berbasis Profil Ancaman
Pada metode OCTAVE sumber-sumber ancaman terhadap aset-aset informasi dalam 4 sumber yakni :
1. Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari dalam (inside) maupun dari luar
(outside).
2. Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik dari dalam (inside) maupun dari
luar (outside).
3. Sistem yang bermasalah (systems ploblem) meliputi hardware dan software yang cacat, malicious
code(worm, trojan, back door).
4. Masalah-masalah lain (other problems) seperti padamnya arus listrik, ancaman bencana alam, ancaman
lingkungan, gangguan telekomunikasi.
PEMBAHASAN
Dari setiap komponen kunci diuji dengan tools/utilitas evaluasi kelemahan (Nmap, Nexsus
dll) baik secara hardware dan software, Kegiatan ini dilakukan untuk mengaudit kelemahan
keamanan jaringan dan upaya-upaya penanggulangannya. Pada tahap ini banyak melibatkan
staf TI organisasi.
PEMBAHASAN
Dampak (impact) meliputi dampak reputasi, produktifitas, kostumer, hukum dan keuangan dengan tingkat risko
(Rendah, sedang dan tinggi) yang kita definisikan secara kualitatif seperti di bawah ini :