Pengertian Dan Penjelasan Octave Menurut Ahli
Menurut Alberts, et al (2005,vol 1), OCTAVE is a suite of tools,
techniques and methods for risk-based information security strategic
assessment and planning. (suatu jenis strategi pengamanan berdasarkan
teknik perencanaan dan Risiko. OCTAVE-S merupakan salah satu teknik dan
metode yang digunakan untuk strategi dan perencanaan risiko keamanan
informasi.).
Metode OCTAVE-S ini dikembangkan bersama-sama dengan perusahaan
besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran bukan
pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya
memiliki multi-layered hierarchy dan digunakan untuk mempertahankan
penghitungan infrastruktur mereka seiring dengan kemampuan internal
untuk menjalankan alat evaluasi dan menginterpretasikan hasilnya dalam
hubungan dengan aset-aset yang berharga. Keuntungan Metode-metode OCTAVE
adalah :
a. Self-directed : Sekelompok anggota organisasi dalam unit-unit bisnis
yang bekerja sama dengan divisi IT untuk mengidentifikasi kebutuhan
keamanan dari organisasi.
b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan lingkungan risiko perusahaan di berbagai level.
c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada
sisi keamanan dan menempatkan teknologi di bidang bisnis.
NIST SP 800-30
Menurut Peltier (2001, p228) NIST 800-30 merupakan sebuah proses
pengukuran resiko yang dikembangkan pada tahun 1980-an oleh
International Computer Security Risk Management Model Builders’
Workshop.
Dalam jurnal oleh Stoneburner et al, (2002), dikatakan bahwa NIST SP
800-30 dilaksanakan oleh anggota yang terlatih atau tidak terlatih,
teknikal atau tidak, yang menggunakan atau mendukung proses manajemen
risiko atas sistem teknologi informasi.
Keuntugan dalam pengunaan NIST Framework adalah karena proses ini
cangkupannya lebih luas, dan secara teknik memiliki garis pedoman yang
pasti dalam proses manajemen risiko informasi.
Kerugian yang ditimbulkan dalam penggunaan metode ini adalah
penggunaannya masih bersifat manual dan menghabiskan waktu sekitar satu
sampai dengan dua bulan, dan dalam proses analisis kualitatif nya
menghabiskan waktu dua tahun atau lebih jika perusahaannya termasuk
dalam perusahaan skala besar.
FRAP
Menurut Peltier (2001, p69) merupakan suatu proses yang dikembangkan
secara efisien dan teratur untuk memastikan keamanan informasi dari
proses bisnis yang berisiko dipertimbangkan dan didokumentasikan. Dalam
metode ini dapat dianalisis system dari perusahaan, aplikasi yang
digunakan atau proses bisnis dalam perusahaan. Selama sesi FRAP tim
mengidentifikasi ancaman, kerentanan, dan dampak negatif pada
integritas data, kerahasiaan dan ketersediaan informasi.
Keuntungan menggunakan metode FRAP
FRAP merupakan metodelogi formal yang dikembangkan untuk merubah atau
memodifikasi proses analisis resiko sebelumnya yang bersifat kualitatif
dan kuantitatif untuk memenuhi segala persyaratan yang ada pada saat
ini. Selain itu FRAP digunakan oleh perusahaan untuk memastikan adanya
pengendalian terhadap proses bisnis agar dapat memenuhi tujuan dari
perusahaan tersebut. Selain itu juga FRAP fokus pada kebutuhan bisnis
dan fokus dengan waktu yang digunakan untuk menganalisis resiko dalam
suatu organisasi atau perusahaan.
Dalam proses analisis risiko dengan menggunakan metode FRAP, akan
dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan
prioritas terhadap ancaman serta membuat daftar pengendalian. Selain itu
proses FRAP juga bersifat cost-effective yaitu hemat biaya karena FRAP
tidak memakan waktu lama dalam pengerjaannya dan menggunakan sumber daya
manusia dari dalam perusahaan yang bersangkutan.
Proses Analisis Risiko FRAP
Proses pengukuran risiko dengan menggunakan FRAP, dibagi dalam 4 sesi yang berbeda , antara lain :
1. Pre FRAP Meeting
Merupakan sesi yang paling penting dalam proses menganalisis
risiko. Sesi ini memakan waktu sekitar 1 jam dan melibatkan
manajer bisnis, pimpinan proyek dan fasilitator. Terdapat 3 komponen
penting yang dihasilkan dalam proses ini, antara lain :
a. Scope Statemet : Pemimpin project dan manager bisnis perlu untuk membuat pernyataan kesempatan untuk ditinjau.
b. Visual Model : Merupakan gambaran dari proses analisis atau foil diagram yang menggambarkan proses yang akan direview.
c. Establish the FRAP team : Tim FRAP biasanya terdiri dari
7-15 anggota dan memiliki perwakilan dari bidang bisnis dan daerah.
2 The FRAP Session
Dari beberapa organisasi proses ini diperluaskan selama 3 hari tapi pada
umumnya proses ini hanya memakan waktu selama 4 jam dan melibatkan
orang sekitar 7 sampai 15 orang paling banyak 50 orang dan paling
sedikit 4 orang. Dalam metode ini terdapat 3 proses yaitu :
a. Risk Identified : Tim FRAP bersama-sama mengidentifikasi risiko-
risiko yang berkemungkinan mengancam sistem informasi
perusahaan.
b. Risk Prioritized : tim FRAP membuat prioritas dari risiko-risiko
yang akan dihadapi. Dimulai yang paling tinggi ke rendah dengan
menggunakan tabel yang berhubungan dengan impact terhadap bisnis dan
vulnerability-nya
c. Controls identified : Dari risiko-risiko yang akan dihadapi tim
FRAP membuat kontrol perlindungan yang bisa dilakukan untuk
menghadapi atau mengurangi risiko-risiko tersebut.
Ada beberapa definisi – definisi yang harus disetujui dalam pertemuan FRAP yaitu :
a. High Vulnerability : Kerentanan perusahaan terhadap risiko sangat
besar karena tingginya tingkat kelemahan dalam sistem aplikasi dan juga
operasional bisnis perusahaan.
b. Medium Vulnerability : Kerentanan perusahaan terhadap risiko
tergolong cuup besar karena masih ditemukan beberapa kelemahan dalam
sistem aplikasi dan juga operasional bisnis perusahaan.
c. Low Vulnerability : Sistem aplikasi sudah dirancang dengan baik dan dioperasikan dengan benar.
d. High Impact : Cenderung menempatkan perusahaan keluar dari bisnis sangat merusak prospek bisnis dan pengembangan.
e. Medium Impact : akan menyebabkan kerusakan yang signifikan dan biaya perusahaan akan bertahan.
f. Low Impact : Jenis dampak operasional yang diharapkan seseorang untuk mengelola sebagai bagian dari kehidupan bisnis biasa.
3. FRAP Analysis dan Report Generation
Proses ini memakan waktu sekitar 4 sampai 6 hari. Diselesaikan oleh
fasilitator dan scribe. Diungkapkan oleh Thomas R. Peltier (2000) di
dijelaskan bahwa proses FRAP Analysis dan Report Generation ini
menggunakan beberapa metode perhitungan yaitu :
a. Annualized Loss Exposure (ALE)
Menurut Peltier “A value presented by the classic risk analysis process indicating loss expectancy for a given threat.”
Nilai ini didapatkan dari rumus berikut :
b. Annualized Rate of Occurrence (ARO)
Menurut Peltier “How often a threat might be expected to happen in one year.”
c. Single-time Loss Expectancy (SLE)
Menurut Peltier “When a threat occurs, how much the loss of asset value is expected to be in monetary terms).
d. Exposure Factor ( EF )
Menurut Peltier “This risk element represents a measure of the magnitude
of loss or impact on the value of an asset, expressed within a range
from 0 – 100 percent loss arising from a threat occurrence.” ( Elemen
risiko ini menggambarkan ukuran besarnya kerugian atau dampak terhadap
nilai aset, dinyatakan dalam kisaran 0-100 persen kerugian yang timbul
akibat ancaman yang terjadi).
4 Post FRAP Meeting
Proses ini merupakan sesi terakhir dari FRAP, yang memakan waktu sekitar
1 jam dan melibatkan manajer bisnis, pimpinan proyek, dan fasilitator.
Post-FRAP Meeting dibagi menjadi 2 proses yaitu sebagai berikut :
a. Cross-referance Sheet
Merupakan kertas kerja yang dibuat berdasarkan tabel risiko dan tabel
pengendalian untuk mengidentfikasi pengendalian yang cocok dengan risiko
yang telah teridentifikasi.
b. Action Plan
Merupakan kertas kerja yang dibuat untuk menentukan jenis penanggulangan
risiko yang tepat sesuai dengan keadaan perusahaan, selain itu juga
ditentukan oleh siapa dan kapan penanggulangan tersebut akan
dilakukan.
Dalam proses ini cross-reference sheet memakan waktu yang cukup lama
dibandingkan dengan proses lainnya. Cross-reference sheet digunakan
untuk menentukan pengendalian yang cocok dengan risiko.
0 komentar:
Posting Komentar