OCTAVE

Bella Marettiani Sulaiman

Pius Restiantoro
Silvia Dewi
 O C TAV E
Operationally Critical Threat, Asset, and Vulnerability Evaluation

OCTAVE is a framework for identifying and managing information security risks. In other
words, OCTAVE is an approach that defines a comprehensive security risks evaluation.
What security risks are evaluated?
 O C TAV E
Operationally Critical Threat, Asset, and Vulnerability Evaluation

OCTAVE is a framework for identifying and managing information security risks. In other
words, OCTAVE is an approach that defines a comprehensive security risks evaluation.
Information Asset
 O C TAV E
There are several activities carried out during the evaluation :

1 Identify

2 3 2
Analyze

4 3 Plan

1
4
5 Implement

5 Monitor

6 6 Control
 O C TAV E
1 Identify 4 Implement
Identifying the information security risks such as risk Carrying out an act plan
profiles
5 Monitor
2 Analyze
Monitoring progress and
Analyzing the risks level to evaluate and determine a effectiveness
priority
6 Control
3 Plan
Analyzing data, making a
Planning to security maintenance and develop strategy decision, and execute.
O C TAV E M E T H O D
 O C TAV E
Preparation Phase
1 Scheduling
2 Forming an analysis team
3
Asking for support
4
Preparing logistics
 PEMBAHASAN
1 Tahap I Membangun Aset Berbasis Profil Ancaman
Pada metode OCTAVE sumber-sumber ancaman terhadap aset-aset informasi dalam 4 sumber yakni :
1. Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari dalam (inside) maupun dari luar
(outside).
2. Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik dari dalam (inside) maupun dari
luar (outside).
3. Sistem yang bermasalah (systems ploblem) meliputi hardware dan software yang cacat, malicious
code(worm, trojan, back door).
4. Masalah-masalah lain (other problems) seperti padamnya arus listrik, ancaman bencana alam, ancaman
lingkungan, gangguan telekomunikasi.
 PEMBAHASAN

Dari ancaman memberikan hasil pengaruh

(outcomes) serangan terhadap aset-aset yakni :

- Disclosure : dapat terungkapnya informasi- informasi yang

sensitif Kemudian dilanjutkan dengan mengevaluasi katalog-
katalog praktek-praktek keamanan.

- Modification : berubahnya informasi yang dilakukan oleh orang

yang tidak berhak.

- Destructive and lost : kerusakkan dan hilangnya informasi yang

sensitif.

- Interuption : gangguan akses terhadap informasi yang

Hubungan sumber ancaman dan pengaruhnya
dibutuhkan. terhadap aset.
 PEMBAHASAN

Dari kondisi diatas metode OCTAVE mendiskripsikan

dalam bentuk diagram pohon untuk memudahkan
pemetaan sumber ancaman dan pengaruhnya.

Dimana properti ancaman terdiri dari aset, akses (cara

memperoleh informasi), Aktor (pelaku yang berasal
dari dalam dan luar), motif (alasan mengakses
informasi sengaja atau tidak disengaja) dan outcome
(pengungkapan informasi, perubahan, perusakkan dan
penghilangan serta gangguan akses informasi).

Diagram pohon profil ancaman.

 PEMBAHASAN

Apabila terdapat dokumen-dokumen yang tesebut

pada gambar di atas maka bisa dilakukan uji
kepatuhan (compliance test). Jika tidak ada
dokumen maka diupayakan untuk membuat
dokumen untuk memudahkan evaluasi.

Diagram dokumentasi katalog dan praktek- praktek metode OCTAVE.

 PEMBAHASAN

2 Tahap II Identifikasi Kerentanan-

Kerentanan Infrastruktur
Tahap kedua melakukan evaluasi kelemahan
(vulnerability) terhadap jaringan infrastruktur
komputasi yang digunakan oleh organisasi.
Dilakukan dengan cara menseleksi komponen-
komponen penting yang dapat mempengaruhi
kinerja jaringan sistem komputer.

Komponen kunci jaringan infrastruktur sistem

informasi

Dari setiap komponen kunci diuji dengan tools/utilitas evaluasi kelemahan (Nmap, Nexsus
dll) baik secara hardware dan software, Kegiatan ini dilakukan untuk mengaudit kelemahan
keamanan jaringan dan upaya-upaya penanggulangannya. Pada tahap ini banyak melibatkan
staf TI organisasi.
 PEMBAHASAN

3 Tahap III Mengembangkan Strategi

Keamanan dan Perencanaannya
Dari tahap I dan II diperoleh profil ancaman dan kelemahan
infrastruktur sistem jaringan informasi. Pada tahap III
ditindaklanjuti dengan merangkum kegiatan sebelumnya
menjadi bentuk profil risiko dengan tingkat ukuran risiko
(secara kualitatif) yang dikaitkan dengan dampaknya bagi
perusahaan serta rencana mitigasi risiko.

Pada level pengukuran resiko ditentukan secara subyektifitas

asumsi yang dimilki organisasi terhadap level risiko. Profil
risiko dideskripsikan dengan diagram pohon seperti berikut
ini :

Profil risiko terhadap ancaman tindakan manusia yang

menggunakan akses jaringan.
 PEMBAHASAN

Dampak (impact) meliputi dampak reputasi, produktifitas, kostumer, hukum dan keuangan dengan tingkat risko
(Rendah, sedang dan tinggi) yang kita definisikan secara kualitatif seperti di bawah ini :

Dari hal tersebut kemudian ditentukan rencana untuk mitigasi risiko

terkait dengan tingkat risiko yang dimiliki organisasi.
THANKS FOR YOUR
ATTENTION