Octave

Pengertian Dan Penjelasan Octave Menurut Ahli 

Menurut Alberts, et al (2005,vol 1), OCTAVE is a suite of tools, techniques and methods for risk-based information security strategic assessment and planning. (suatu jenis strategi pengamanan berdasarkan teknik perencanaan dan Risiko. OCTAVE-S merupakan salah satu teknik dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan informasi.).

Metode OCTAVE-S ini dikembangkan bersama-sama dengan perusahaan besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran bukan pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered hierarchy dan digunakan untuk mempertahankan penghitungan infrastruktur mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga. Keuntungan Metode-metode OCTAVE adalah :

a. Self-directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang bekerja sama dengan divisi IT untuk mengidentifikasi kebutuhan keamanan dari organisasi.

b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan lingkungan risiko perusahaan di berbagai level.

c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi keamanan dan menempatkan teknologi di bidang bisnis.

NIST SP 800-30

Menurut Peltier (2001, p228) NIST 800-30 merupakan sebuah proses pengukuran resiko yang dikembangkan pada tahun 1980-an oleh International Computer Security Risk Management Model Builders’ Workshop.

Dalam jurnal oleh Stoneburner et al, (2002), dikatakan bahwa NIST SP 800-30 dilaksanakan oleh anggota yang terlatih atau tidak terlatih, teknikal atau tidak, yang menggunakan atau mendukung proses manajemen risiko atas sistem teknologi informasi.

Keuntugan dalam pengunaan NIST Framework adalah karena proses ini cangkupannya lebih luas, dan secara teknik memiliki garis pedoman yang pasti dalam proses manajemen risiko informasi.

Kerugian yang ditimbulkan dalam penggunaan metode ini adalah penggunaannya masih bersifat manual dan menghabiskan waktu sekitar satu sampai dengan dua bulan, dan dalam proses analisis kualitatif nya menghabiskan waktu dua tahun atau lebih jika perusahaannya termasuk dalam perusahaan skala besar.

FRAP

Menurut Peltier (2001, p69) merupakan suatu proses yang dikembangkan secara efisien dan teratur untuk memastikan keamanan informasi dari proses bisnis yang berisiko dipertimbangkan dan didokumentasikan. Dalam metode ini dapat dianalisis system dari perusahaan, aplikasi yang digunakan atau proses bisnis dalam perusahaan. Selama sesi FRAP tim mengidentifikasi ancaman, kerentanan, dan dampak negatif pada integritas data, kerahasiaan dan ketersediaan informasi.

Keuntungan menggunakan metode FRAP

FRAP merupakan metodelogi formal yang dikembangkan untuk merubah atau memodifikasi proses analisis resiko sebelumnya yang bersifat kualitatif dan kuantitatif untuk memenuhi segala persyaratan yang ada pada saat ini. Selain itu FRAP digunakan oleh perusahaan untuk memastikan adanya pengendalian terhadap proses bisnis agar dapat memenuhi tujuan dari perusahaan tersebut. Selain itu juga FRAP fokus pada kebutuhan bisnis dan fokus dengan waktu yang digunakan untuk menganalisis resiko dalam suatu organisasi atau perusahaan.

Dalam proses analisis risiko dengan menggunakan metode FRAP, akan dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan prioritas terhadap ancaman serta membuat daftar pengendalian. Selain itu proses FRAP juga bersifat cost-effective yaitu hemat biaya karena FRAP tidak memakan waktu lama dalam pengerjaannya dan menggunakan sumber daya manusia dari dalam perusahaan yang bersangkutan.

Proses Analisis Risiko FRAP

Proses pengukuran risiko dengan menggunakan FRAP, dibagi dalam 4 sesi yang berbeda , antara lain :

1. Pre FRAP Meeting

Merupakan sesi yang paling penting dalam proses menganalisis risiko. Sesi ini memakan waktu sekitar 1 jam dan melibatkan manajer bisnis, pimpinan proyek dan fasilitator. Terdapat 3 komponen penting yang dihasilkan dalam proses ini, antara lain :

a. Scope Statemet : Pemimpin project dan manager bisnis perlu untuk membuat pernyataan kesempatan untuk ditinjau.

b. Visual Model : Merupakan gambaran dari proses analisis atau foil diagram yang menggambarkan proses yang akan direview.

c. Establish the FRAP team : Tim FRAP biasanya terdiri dari 7-15 anggota dan memiliki perwakilan dari bidang bisnis dan daerah.

2 The FRAP Session

Dari beberapa organisasi proses ini diperluaskan selama 3 hari tapi pada umumnya proses ini hanya memakan waktu selama 4 jam dan melibatkan orang sekitar 7 sampai 15 orang paling banyak 50 orang dan paling sedikit 4 orang. Dalam metode ini terdapat 3 proses yaitu :

a. Risk Identified : Tim FRAP bersama-sama mengidentifikasi risiko- risiko yang berkemungkinan mengancam sistem informasi perusahaan.

b. Risk Prioritized : tim FRAP membuat prioritas dari risiko-risiko yang akan dihadapi. Dimulai yang paling tinggi ke rendah dengan menggunakan tabel yang berhubungan dengan impact terhadap bisnis dan vulnerability-nya

c. Controls identified : Dari risiko-risiko yang akan dihadapi tim FRAP membuat kontrol perlindungan yang bisa dilakukan untuk menghadapi atau mengurangi risiko-risiko tersebut.

Ada beberapa definisi – definisi yang harus disetujui dalam pertemuan FRAP yaitu :

a. High Vulnerability : Kerentanan perusahaan terhadap risiko sangat besar karena tingginya tingkat kelemahan dalam sistem aplikasi dan juga operasional bisnis perusahaan.

b. Medium Vulnerability : Kerentanan perusahaan terhadap risiko tergolong cuup besar karena masih ditemukan beberapa kelemahan dalam sistem aplikasi dan juga operasional bisnis perusahaan.

c. Low Vulnerability : Sistem aplikasi sudah dirancang dengan baik dan dioperasikan dengan benar.

d. High Impact : Cenderung menempatkan perusahaan keluar dari bisnis sangat merusak prospek bisnis dan pengembangan.

e. Medium Impact : akan menyebabkan kerusakan yang signifikan dan biaya perusahaan akan bertahan.

f. Low Impact : Jenis dampak operasional yang diharapkan seseorang untuk mengelola sebagai bagian dari kehidupan bisnis biasa.

3. FRAP Analysis dan Report Generation

Proses ini memakan waktu sekitar 4 sampai 6 hari. Diselesaikan oleh fasilitator dan scribe. Diungkapkan oleh Thomas R. Peltier (2000) di dijelaskan bahwa proses FRAP Analysis dan Report Generation ini menggunakan beberapa metode perhitungan yaitu :

a. Annualized Loss Exposure (ALE)

Menurut Peltier “A value presented by the classic risk analysis process indicating loss expectancy for a given threat.”

Nilai ini didapatkan dari rumus berikut :

b. Annualized Rate of Occurrence (ARO)

Menurut Peltier “How often a threat might be expected to happen in one year.”

c. Single-time Loss Expectancy (SLE)

Menurut Peltier “When a threat occurs, how much the loss of asset value is expected to be in monetary terms).

d. Exposure Factor ( EF )

Menurut Peltier “This risk element represents a measure of the magnitude of loss or impact on the value of an asset, expressed within a range from 0 – 100 percent loss arising from a threat occurrence.” ( Elemen risiko ini menggambarkan ukuran besarnya kerugian atau dampak terhadap nilai aset, dinyatakan dalam kisaran 0-100 persen kerugian yang timbul akibat ancaman yang terjadi).

4 Post FRAP Meeting

Proses ini merupakan sesi terakhir dari FRAP, yang memakan waktu sekitar 1 jam dan melibatkan manajer bisnis, pimpinan proyek, dan fasilitator. Post-FRAP Meeting dibagi menjadi 2 proses yaitu sebagai berikut :

a. Cross-referance Sheet

Merupakan kertas kerja yang dibuat berdasarkan tabel risiko dan tabel pengendalian untuk mengidentfikasi pengendalian yang cocok dengan risiko yang telah teridentifikasi.

b. Action Plan

Merupakan kertas kerja yang dibuat untuk menentukan jenis penanggulangan risiko yang tepat sesuai dengan keadaan perusahaan, selain itu juga ditentukan oleh siapa dan kapan penanggulangan tersebut akan dilakukan.

Dalam proses ini cross-reference sheet memakan waktu yang cukup lama dibandingkan dengan proses lainnya. Cross-reference sheet digunakan untuk menentukan pengendalian yang cocok dengan risiko.