Download - PDF IS Risk
-
8/10/2019 PDF IS Risk
1/45
13
BAB 2
LANDASAN TEORI
2.1 Teknologi Informasi
Menurut Williams dan Sawyer, teknologi informasi adalah setiap
teknologi yang membantu, menghasilkan, memanipulasi, menyimpan,
berkomunikasi, dan /atau menyebarkan informasi. Dan sisi lain, menurut Obrien
(2005), teknologi informasi adalah hardware, software, telekomunikasi,
manajemen database, dan teknologi pemrosesan informasi lainnya yang
digunakan dalam sistem informasi berbasis komputer.
2.2 Infrakstruktur Teknologi Informasi
Menurut Williams dan Sawyer ada dua kategori dasar dalam teknologi
informasi, yaitu hardwaredan software.
2.2.1 Hardware
Hardware adalah semua mesin peralatan di komputer yang juga sering
dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer,
yaitu :
1. Input. Yang berkaitan dengan peralatan, proses, atau saluran yang
dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat
input komputer mencakup keyboard, layar sentuh, pena, mouse, dan
lain-lan. Alat alat tersebut mengonversi data ke dalam bentuk
-
8/10/2019 PDF IS Risk
2/45
14
elektronik dengan entri langsung atau melalui jaringan
telekomunikasi ke dalam sistem komputer.
2. Proses. Central processing unit(CPU) adalah komponen pemrosesan
utama dari sistem komputer
3. Storage. Fungsi storage dari sistem komputer berada pada sirkuit
penyimpanan dari unit penyimpanan primer (primary storage unit)
atau memori, yang didukung oleh alat penyimpanan sekunder
(secondary storage), seperti disket, magnetis, dan disk drive optical.
4. Output. Berkaitan dengan peralatan, proses, atau saluran yang
dilibatkan dalam transfer data atau informasi ke luar dari sistem
pemrosesan informasi. Alat outp ut dari sistem komputer mencakup
unit tampilan visual, printer, unit respons audio, dan lain-lain. Alat-
alat ini mengubah informasi elektronik yang dihasilkan oleh sistem
komputer menjadi bentuk yang dapat dipresentasikan ke pemakai.
5. Komunikasi. Yang berkaitan dengan pengiriman informasi dan
menerima informasi dari orang atau komputer lain dalam satu
jaringan. Contohny a, modem.
6. Connecting hardware. Termasuk hal-hal seperti terminal paralel
yang menghubungkan printer, kabel penghubung yang
menghubungkan printer ke terminal paralel dan peralatan penghubung
internal yang sebagian besar termasuk alat pengantar untuk perjalanan
informasi dari satu bagian hardware ke bagian lainnya.
-
8/10/2019 PDF IS Risk
3/45
15
2.2.2 Software
Menurut Williams and Sawyer, software adalah program yang secara
elektronik mengkodekan intruksi yang memberitahukan hardware komputer
untuk melakukan tugas. Ada 2 tipe utama dari software, yaitu application
software dan system software. Application software manajemen risiko
berkaitan dengan potensi kerugian, termasuk kerugian ekonomi, penderitaan
manusia, atau yang dapat mencegah organisasi dari yang untuk mencapai
tujuannya sedangkan system software memungkinkan perangkat lunak aplikasi
untuk berinteraksi dengan komputer dan membantu komputer mengelola
sumber daya internal dan eksternal.
System software dibagi menjadi 2 sistem yakni : operating system dan
utility software. Operating system software adalah komponen utama dari
perangkat lunak sistem dalam sistem komputer, sedangkan Utility software
umumnya digunakan untuk mendukung, meningkatkan, atau memperluas
program yang ada dalam sistem komputer.
2.2.3 Jaring an Komputer
Menurut Williams and Sawyer, jaringan dapat juga disebut jaringan
komunikasi sistem komputer yang saling berhubungan, telepon, atau perangkat
komunikasi yang dapat berkomunikasi dengan satu sama lain dan berbagi
aplikasi dan data. Jaringan komputer menjadi penting bagi manusia dan
organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan
bagi mereka. Beberapa manfaat dari jaringan komputer adalah :
-
8/10/2019 PDF IS Risk
4/45
16
1. Pembagian perangkat periferal: perangkat periferal seperti printer
laser, disk driver, dan scanner biasanya sangat mahal. Akibatnya,
untuk menjadi dasar pengadaannya, manajemen memaksimalkan
penggunaan mereka. Biasanya, cara terbaik untuk melakukan ini
adalah menghubungkan ke jaringan peripheral yang melayani
beberapa pengguna komputer.
2. Pembagian Program & Data: seluruh program, peralatan dan data
yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa
dipengaruhi lokasi sumber dan pemakai.
3. komunikasi yang baik: memungkinkan kerjasama antar orang-orang
yang saling berjauhan melalui jaringan komputer baik untuk bertukar
data maupun berkomunikasi.
4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa
saja sebuah data informasi hanya dimiliki oleh satu karyawan saja,
yang disimpan di komputer yang bersangkutan. Apabila karyawan
tesebut diberhentikan, atau kantor yang bersangkutan mengalami
bencana kebakaran atau banjir, maka kantor tersebut akan kehilangan
data informasi tersebut. Sekarang in i data-data tersebut dibuat
cadangan atau digandakan pada perangkat penyimpanan jaringan
yang dapat diakses oleh karyawan lain.
5. Akses ke dalamdatabase : jaringan memungkinkan pengguna untuk
memanfaatkan berbagai database, apapun database perusahaan
swasta atau database publik secara online melalui internet tersedia.
-
8/10/2019 PDF IS Risk
5/45
17
Berdasarkan tinjauan dari rentang geografis yang dicakup oleh suatu
jaringan, jaringan komputer t erbagi menjadi 5 jenis, yaitu : WAN (Wide Area
Network), MAN (Metropolitan Area Network), LAN ( Local Area Network),
HAN (Home Area Network), PAN ( Personal Area Network).
1. WAN adalah jaringan komunikasi yang mencakup area geografis
yang luas. Contohnyajaringan komputer antarwilayah, antarkota, atau
bahkan antarnegara. WAN digunakan untuk menghubungkan jaringan
lokal yang satu dengan jaringan lokal yang lain sehingga pengguna
atau komputer di lokasi yang satu dapat berkomunikasi dengan
pengguna dan komputer di lokasi yang lain.
2. MAN adalah jaringan komunikasi yang mencakup sebuah kota atau
pinggiran kota. Jangkauan dari MAN ini antara 10 hingga 50 km.
MAN ini merupakan jaringan yang tepat untuk membangun jaringan
antar kantor-kantor dalam satu kota, antara pabrik/instansi, dan kantor
pusat yang berada dalam jangkauannya.
3. LAN adalah menghubungkan komputer dan alat di daerah geografis
terbatas. Sebagai contoh, jaringan dalam satu kampus yang terpadu
atau di sebuah lokasi perusahaan. LAN pada umumnya menggunakan
media transmisi berupa kabel (UTP ataupun serat optik), tetapi ada
juga yang tidak menggunakan kabel dan disebut sebagai Wireless
LAN (WLAN) atau LAN tanpa kabel. Kecepatan LAN berkisar dari
10 Mbps sampai 1 Gbps.
4. HAN adalah koneksi dengan menggunakan kabel, atau tanpa kabel
(wireless) yang menghubungkan alat digital rumah tangga.
-
8/10/2019 PDF IS Risk
6/45
-
8/10/2019 PDF IS Risk
7/45
19
Node - nodedihubungan secara serial sepanjang kabel, dan pada kedua
ujung kabel dittutup dengan terminator
Sangat sederhana dalam instalasi
Sangat ekonomis dalam biaya
Paket- paket data saling bersimpangan pada suatu kabel
Tidak diperlukan hub, yang banyak diperlukan adalah Tconnector pada
setiap ethernet card.
Masalah yang sering terjadi adalah jika salah satu node rusak, maka
jaringan keseluruhan dapat down, sehingga node tidak bisa
berkomunikasi dalam jaringan tersebut
Gambar 2.1 Topologi Bus
2. TopologiRing
Topologi jaringan cincin mengikat prosesor komputer lokal dalam cincin
dengan dasar yang lebih setara.
Karakteristik TopologiRing, yaitu :
Node nodedihubungkan secara serial di sepanjang kabel, dengan
bentuk jaringan seperti lingkaran
-
8/10/2019 PDF IS Risk
8/45
20
Sangat sederhana dalam layout seperti jenis topologi bus
Paket p aket data dapat mengalit dalam satu arah (kekiri atau kekanan)
sehingga collisiondapat dihindarkan
Masalah yang dihadapi sama dengan topologi bus, yaitu jika salah satu
noderusak maka seleruh nodetidak bisa berkomunikasi dalam jaringan
tersebut
Tipe kabel yang digunakan biasanya kabel UTP atau Patch Cable(IBM
tipe)
Gambar 2.2 Topologi Ring
3. Topologi Star
Topologi jaringan bintang mengikat komputer pemakai akhir ke satu
komputer pusat. Karakteristik Topologi Star, yaitu:
Setiap nodeberkomunikasi langsung dengan konsentrator (HUB)
Bila setiap paket data yang masuk ke consentrator(HUB) kemudian
di broadcastke seluruh nodeyang terhubung sangat banyak
-
8/10/2019 PDF IS Risk
9/45
21
(misalnya memakai hub 32 port), maka kinerja jaringan akan semakin
turun
Sangat mudah dikembangkan
Jika salah satu ethernetcard rusak, atau salah satu kabel pada
terminal putus, maka keseluruhan jaringan masih tetap bisa
berkomunikasi atau tidak terjadi downpada jaringan keseluruhan
tersebut
Tipe kabel yang digunakan biasanya jenis UTP
Gambar 2.3 Topologi Star
4. TopologiMesh
Topologi jaringan Mesh menggunakan saluran komunikasi langsung untuk
saling menghubungkan beberapa atau semua komputer dalam cincin.
Karakteristik topologi mesh, yaitu:
TopologiMeshmemiliki hubungan yang berlebihan antara peralatan
peralatan yang ada
-
8/10/2019 PDF IS Risk
10/45
22
Susunannya pada setiap peralatan yang ada di dalam jaringan saling
terhubung satu sama lain
Jika jumlah peralatan yang terhubung sangat banyak, akan sangat
sulit untuk dikendalikan dibandingkan hanya sedikit peralatan saja
yang terhubung
Gambar 2.4 Topologi Mesh
2.4 Konsep Manajemen Risiko
2.4.1 Pengertian Risiko
Menurut Djojosoedarso (2005, p.2), istilah risiko sudah biasa dipakai
dalam kehidupan kita sehari-hari, yang umumnya sudah dipahami secara intuitif.
Akan tetapi, pengertian secara ilmiah dari risiko sampai saat ini masih tetap
beragam, di antaranya :
a. Risiko adalah suatu variasi dari hasil- hasil yang dapat terjadi selama
periode tertentu ( Arthur Williams dan Richard, M.H).
-
8/10/2019 PDF IS Risk
11/45
23
b. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan
peristiwa kerugian ( loss)( A.Abas Salim).
Dari definisi tersebut, dapat disimpulkan bahwa risiko selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang
tidak diduga/tidak diinginkan.
2.4.1.1 Macam-macam Risiko
Menurut Djojosoerdarso (2005, p3), risiko dapat dibedakan dengan
berbagai macam, antara lain:
1. Menurut sifat risiko dapat dibedakan ke dalam:
a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang
apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa
disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam,
pencurian, pengegelapan, pengacauan, dan sebagainya.
b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang
disengaja ditimbulkan oleh yang bersangkutan agar terjadinya
ketidakpastian memberikan keuntungan kepadanya. Misalnya,
risiko utang-piutang, perjudian, perdagangan berjangka (hedging),
dan sebagainya.
c. Risiko fundamental adalah risiko yang tidak dapat dilimpahkan
kepada seseorang dan yang menderita tidak hanya satu atau
beberapa orang saja, tetapi banyak orang. Seperti banjir, angin
topan, dan sebagainya.
-
8/10/2019 PDF IS Risk
12/45
24
d. Risiko khusus adalah risiko yang bersumber pada peristiwa
mandiri dan umumnya mudah diketahui penyebabnya, seperti
kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.
e. Risiko dinamis adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu
dan teknologi, seperti risiko keusangan dan risiko penerbangan
ruang angkasa. Kebalikannya adalah risiko statis, contohnya
seperti risiko hari tua dan juga risiko kematian.
2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain:
a. Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah p remi asuransi,
sehingga semua kerugian menjadi tanggungan (pindah) ke pihak
perusahaan asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan). Umumnya meliputi semua jenis risiko spekulatif.
3. Menurut sumber/penyebab timbulnya:
a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu
sendiri, seperti kerusakan aktiva karena ulah karyawan,
kecelakaan kerja, kesalahan manajemen, dan sebagainya.
b. Risiko ekstern, yaitu risiko yang berasal dari luar perusahaan,
seperti risiko pencurian, penipuan, persaingan, fluktuasi harga,
perubahan kebijakan pemerintah, dan sebagainya.
-
8/10/2019 PDF IS Risk
13/45
-
8/10/2019 PDF IS Risk
14/45
26
Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem,
karena kesalahan manusia, perubahan konfigurasi, kurangnya
pengurangan arsiktektur atau akibat lainnya.
3. Daya pulih
Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam
waktu yang cukup setelah sebah kejadian keamanan atau ketersediaan,
seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau
bencana alam.
4. Perfoma
Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan
oleh arsiktektur terdistribusi, permintaaan yang tinggi, dan topografi
informasi teknologi yang beragam.
5. Daya skala
Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk
arsiktekturnya membuat tidak mungkin menangani banyak aplikasi baru
dan biaya bisnis yang efektif.
6. Ketaatan
Risiko manajemen atau penggunaan informasi melanggar regulasi. Yang
dipersalahkan dalam hal ini mencakup regulasi pemerintah, paduan
pengaturan korporat dan kebijakan internal.
2.5 .2 Kelas Kel as Risi ko Teknologi Informasi
Menurut Jordan dan Silcock (2005), risiko risiko teknologi
didefinisikan dalam 7 kelas, di mana pada setiap kasus teknologi informasi dapat
-
8/10/2019 PDF IS Risk
15/45
27
juga melakukan kesalahan, tetapi konsekuensi konsekuensinya dapat berakibat
negatif bagi bisnis. Kelas kelas risiko:
1. Projects Failing to deliver
Kelas risiko ini berhubungan dengan proyek TI yang gagal. Tiga hal yang
menjadi ukuran dari gagalnya performa, yaitu waktu, kualitas, dan lingkup.
Contohnya, proyek terlambat diselesaikan, proyek banyak memakan banyak
sumber daya dan dana dibandingkan dengan yang sudah direncanakan,
memberikan fungsi yang kurang kepada pengguna dibandingkan dengan
yang sudah direncanankan, menggangu bisnis selama proses implementasi,
dan lain lain.
2. IT Service Continuity When business operations go off the air
Kelas risiko ini berhubungan dengan layanan TI yang tidak berjalan dan
ketidakandalan yang menyebabkan gangguan pada bisnis. Itu berhubungan
dengan sistem operasional atau produksi dan kemampuan mereka untuk tetap
beroperasi dengan andal unutk mendukung kebutuhan pengguna.
3. Information Assets Failing to protect and preserve
Kelas risiko ini berhubungan secara khusus mengenai kerusakan,
kerugian atau eksploitasi asset informasi yang ada dalam sistem TI. Dampak
risiko asset informasi ini bisa sangat signitifkan. Misalnya, informasi yang
penting mungkin didapatkan kompetitor, detail dari kartu kredit konsumen
bisa saja dicuri dan digunakan untuk tujuan yang sifatnya menipu, atau
dipublikasikan dan nantinya merusak hubungan dengan pelanggan dan
reputasi organisasi.
4. Service Providers and Vendors Breaks in the IT value chain
-
8/10/2019 PDF IS Risk
16/45
28
Layanan vendor dan penyedia memainkan peran yang signifikan dalam
proyek TI dan berjalannya sistem dari hari ke hari. Bila mereka gagal dalam
menyediakan layanan terbaik bagi organisasi maka akan berdampak pada
sistem dan layanan TI dan dampaknya bisa dirasakan dalam jangka panjang.
Misalnya, kelemahan pada kemampuan layanan TI bagi pengguna organisasi
tersebut.
5. Applications Flaky systems
Kelas risiko berhubungan dengan kegagalan dalam aplikasi TI. Dampak
dari aplikasi yang gagal untuk menjalankan fungsinya sebagaimana
diharapkan dan dibutuhkan dapat terhubung dengan banyak system lain di
organisasi sehingga dampaknya bisa terjadi pada hal-hal yang terkait.
6. Infrastructure Shaku foundations
Kelas risiko ini terkait kegagalan dalam infrastruktur TI. Infrastruktur
adalah nama yang umum untuk komputer dan jaringan yang tersentralisasi
dan terdistribusi di mana aplikasi berjalan. Kegagalan infrastruktur TI dapat
menjadi permanen ketika sebuah komponen terbakar, tercuri, atau terhenti
karena perbaikan, maupun ketika pasokan energi tidak ada atau koneksi
jaringan putus. Dampak kegagalan tergantung pada tingkat ketahanan dan
redudansi pada sistem dan ketersediaan dan kesiapan dari fasilitas yang siap
mendukung. Sistem yang sudah tidak cocok sebaiknya diganti oleh
organisasi.
7. Strategic and Emergent Disabled by IT
Kelas risiko ini terkait dengan kemampuan TI untuk mengeksekusi
strategi bisnis. Dampaknya tidak segera dirasakan, tetapi akan menjadi
-
8/10/2019 PDF IS Risk
17/45
-
8/10/2019 PDF IS Risk
18/45
30
(termasuk mengevaluasi), dan program penanggulangan risiko. Program
manajemen risiko dengan demikian mengcakup tugas-tugas, seperti :
1. Mengidentifikasi risiko-risiko yang dihadapi
2. Mengukur atau menentukan besarnya risiko tersebut
3. Mencari jalan untuk menghadapi atau menanggulangi risiko
4. Menyusun strategi untuk memperkecil atau pun menanggulangi risiko
5. Mengkoordinasikan pelaksanaan risiko secara mengevaluasi program
penanggulangan risiko yang telah dibuat.
2.6.2
Fun gsi - Fungsi Pokok Manaje men Risi ko
Menurut Djojosoedarso (2005,p14), fungsi pokok manajemen risiko
terdiri dari :
1. Menemukan kerugian potensial
Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko
murni yang dihadapi perusahaan, yaitu:
a. Kerusakan fisik dari harta kekayaan perusahaan.
b. Kehilangan pendapatan atau kerugian lainnya akibat
terganggunya operasi perusahaan.
c. Kerugian akibat adanya tuntutan hukum dari pihak lain.
d. Kerugian-kerugian yang timbul karena penipuan, tindakan-
tindakan kriminal lainnya, dan tidak jujurnya karyawan.
e. Kerugian-kerugian yang timbul akibat karyawan kunci (keymen)
meninggal dunia, sakit, atau cacat.
2. Mengevaluasi kerugian potensial
-
8/10/2019 PDF IS Risk
19/45
31
Artinya melakukan evaluasi dan penilaian terhadap semua kerugian
potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini
meliput i perkiraan mengenai :
a. Besarnya kemungkinan frekuensi terjadinya kerugian. Artinya,
memperkirakan jumlah kemungkinan terjadinya kerugian selama
suatu periode tertentu atau berapa kali terjadinya kerugian selama
suatu periode tertentu.
b. Besarnya bahaya yang tiap-tiap kerugian, artinya menilai
besarnya kerugian yang diderita, yang biasanya dikaitkan dengan
besarnya pengaruh kerugian tersebut, terutama terhadap kondisi
finansial or ganisasi.
3. Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari
teknik-teknik yang tepat guna menanggulangi kerugian. Pada dasarnya,
terdiri dari empat cara yang dapat dipakai untuk menanggulangi risiko,
yaitu mengurangi kesempatan terjadinya kerugian, meretensi,
mengasuransikan, atau menghindari. Tugas dari manajer risiko adalah
memilih satu cara yang paling tepat untuk menanggulangi risiko.
2.6.3 Tah apan Mana je men Ri siko Teknol ogi
Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen
risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda
untuk jenis risiko yang berbeda :
1. Pengenalan/ penemuan menaruh risiko teknologi informasi pada radar
manajemen.
-
8/10/2019 PDF IS Risk
20/45
32
2. Penilaian/ analisis mengerti risiko informasi teknologi dalam konteks
tas surat keseluruhan risiko informasi teknologi dan menilai
kemungkinan munculnya dan pengaruhnya pada bisnis.
3. Perawatan menentukan pilihan terbaik dari beberapa langkah tindakan
yang memungkinkan untuk mengatasi risiko, merencanakan, dan
menyelesaikan tindakan y ang diperlukan.
4. Pengamatan dan peninjauan menindaklanjuti untuk memastikan apa
yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada
tas surat risiko teknologi informasi.
2.7 Fi rewall
Menurut OBrien (2007, p.458), firewall adalah sebuah sistem atau
perangkat yang mengizinkan pengerakan lalu lintas jaringan yang dianggap aman
untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting
yang digunakan untuk mengendalikan dan mengamankan Internet dan berbagai
macam jaringan merupakan kegunaan dari firewall. Firewall dapat disebut
sebagai gatekeeper atau penjaga pintu gerbang, yang melindungi akses Internet
perusahaan dan jaringan komputer lainnya d ari intrusi atau penyusup. Firewall
pada umumnya juga digunakan untuk mengontrol akses erhadap siapapun yang
memiliki akses t erhadap jaringan pribadi dari pihak luar.
2.8Down Time
Downtime merupakan istilah yang merujuk kepada periode di mana
sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat
-
8/10/2019 PDF IS Risk
21/45
33
melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena
adanya gangguan hardware, software, ataupun komunikasi.
2.9 Virus
Menurut OBrien (2007, p.446), salah satu contoh kejahatan komputer
yang paling bersifat merusak adalah virus komputer atau yang biasa desebut
dengan worm. Virus adalah istilah yang paling popular. Secara teknis, virus
adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke
dalam program yang lainnya. Worm sendiri merupakan program yang berbeda
yang dapat berjalan tanpa bantuan. Dapat disimpulkan, virus adalah program
yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat
mereplikasi sendiri penyebarannya karena dilakukan oleh orang, seperti copy
file, biasanya melalui attachement email, game, program bajakan, dan lain-lain.
2.10 Server
Menurut OBrien (2007, p190), serverdiartikan sebagai komputer yang
mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian
peralatan periferal, software, dan database di antara berbagai terminal kerja
dalam jaringan, dan yang kedua diartikan sebagai versi software untuk
pemasangan server jaringan yang di desain untuk mengendalikan aplikasi pada
mikro komputer klien dalam jaringan.
-
8/10/2019 PDF IS Risk
22/45
-
8/10/2019 PDF IS Risk
23/45
35
sama. Lebih tepatnya, kata ini bisa mengindikasikan rangkaian aktivitas, tugas-
tugas, langkah-langkah, dan proses-proses yang dijalankan.
2.14Demil i tariz ed Zon e
Demilitarized Zone (DMZ) merupakan mekanisme unutk melindungi
sistem internal dari serangan hacker ataupun pihak pihak lain yang ingin
memasuki sistem tanpa mempunyai hak akses. Secara esensial, DMZ melakukan
perpindahan semua layanan suatu jaringan ke jaringan lain yang berbeda. DM Z
terdiri dari semua port terbuka, yang dapat dilihat oleh pihak luar.
2.15Domain Name System
Domain Name System (DNS) adalah sebuah sistem yang menyimpan
informasi tentang nama host maupun nama domain dalam bentuk basis data
tersebar (distributed database) di dalam jaringan komputer. DNS
menyediakan alamat IP untuk setiap nama host dan mendata setiap server
transmisi surat (mail exchange server) yang menerima surel (email) untuk setiap
domain.
DNS menyediakan servis yang cukup penting untuk Internet. Bilamana
perangkat keras komputer dan jaringan bekerja dengan alamat IP untuk
mengerjakan tugas seperti pengalamatan dan penjaluran (routing), manusia pada
umumnya lebih memilih untuk menggunakan nama host dan nama domain.
Contohnya adalah penunjukan sumber universal (URL) dan alamat surel.
Analogi yang umum digunakan untuk menjelaskan fungsinya adalah DNS bisa
dianggap seperti buku telepon Internet dimana saat pengguna mengetikkan
-
8/10/2019 PDF IS Risk
24/45
36
www.contoh.com di perambah web maka pengguna akan diarahkan ke alamat IP
192.0.32.10 (IPv4) dan 2620:0:2d0:200:10 (IPv6).
2.16 Proxy S erver
Proxy Server adalah sebuah server(sistem komputer atau aplikasi) yang
bertindak sebagai perantara permintaan dari klien mencari sumber daya dari
server lain. Klien A terhubung ke server perantara, meminta beberapa servis,
seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia
dari server yang berbeda. Server perantara mengevaluasi permintaan menurut
aturan penyaringan. Sebagai contoh, mungkin filter lalu lintas oleh [alamat [IP]]
atau protokol. Jika p ermintaan divalidasi oleh filter, perantara menyediakan
sumber daya dengan menghubungkan ke server yang relevan dan meminta
layanan atas nama klien. Sebuah server perantara secara opsional dapat
mengubah permohonan klien atau menanggapi di server, dan kadang-kadang
mungkin melayani permintaan tanpa menghubungi server yang ditetapkan.
Dalam hal ini, tanggapan yang tembolok dari remoteserver, dan selanjutnya
kembali permintaan konten yang sama secara langsung.
2.17 Ligh t W eight Di rectoory Acess Proto col (LD AP)
Light Weight Directoory Acess Protocol (LDAP) adalah suatu bentuk protokol
client- server yang digunakan untuk mengakses suatu directory service. Pada
tahap awalnya, LDAP digunakan sebagai suatu front end bagi X.500, tetapi
juga dapat digunakan bersama directory serveryang stand- alone dan juga yang
lainnya. LDAP memungkinkan untuk mengembangkan kemampuan yang dapat
-
8/10/2019 PDF IS Risk
25/45
37
digunakan untuk mencari suatu organisasi, mencari suatu individu, dan juga
mencari sumber daya yang lainnya, misalnya file maupun alat devicedi dalam
suatu jaringan.
2.18 Metode Pengukuran Risiko teknologi Informasi
2.18.1ISO 27005
A. Penilaian Risiko Keamanan Informasi
Risiko adalah kombinasi dari konsekuensi yang akan mengikuti
terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya
peristiwa tersebut. Penilaian risiko kuantitatif atau kualitatif yang akan
menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan
risiko sesuai dengan keseriusan yang mereka rasakan atau ketetapan kriteria
lainnya.
Penilaian risiko terdiri dari beberapa kegiatan berikut ini :
1. Analisa Risiko yang mana terdiri dari :
a. Identifikasi Risiko
b. Estimasi Risiko
2. Evaluasi R isiko
Penilaian risiko menentukan nilai aset informasi, mengidentifikasi
ancaman dan kerentanan yang berlaku yang telah ada (atau bisa ada),
mengidentifikasi kontrol yang ada dan efeknya pada risiko yang teridentifikasi,
menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko yang
-
8/10/2019 PDF IS Risk
26/45
38
diperoleh dan peringkat mereka terhadap kriteria evaluasi resiko yang ditetapkan
dalam pembentukan konteks.
Penilaian risiko sering dilakukan di dua (atau lebih) iterasi. Pertama,
penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi
tinggi serta menjamin penilaian lebih lanjut. Iterasi berikutnya dapat melibatkan
pertimbangan l ebih lanjut yang mendalam tentang risiko yang berpotensi t inggi
dan terungkap dalam iterasi awal. Hal ini menyediakan informasi yang cukup
untuk menilai risiko. Kemungkinan, analisis yang lebih lanjut secara rinci
dilakukan, yaitu pada bagian-bagian dari total ruang lingkup, dan mungkin
menggunakan metode yang berbeda.
1. Analisis Risiko
a) Identifikasi Risiko
Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa
terjadi dan yang menyebabkan potensi kerugian, dan untuk mendapatkan
wawasan tentang bagaimana, di mana dan mengapa kerugian yang mungkin
terjadi.
1. Identifikasi Aset
Masukan: Ruang lingkup dan batas-batas untuk penilaian resiko yang akan
dilakukan, daftar konstituen dengan pemilik, lokasi, fungsi, dll
Pelaksanaan bimbingan:
Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan
karenanya membutuhkan suatu perlindungan. Untuk identifikasi aset, harus
-
8/10/2019 PDF IS Risk
27/45
39
diingat bahwa sistem informasi terdiri dari lebih dari sekedar hardware dan
software.
Identifikasi aset harus dilakukan pada tingkat rincian yang cocok dengan
menyediakan informasi yang cukup untuk penilaian risiko. Tingkat detail yang
digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan
informasi yang dikumpulkan selama penilaian risiko. Tingkat detail dapat
disempurnakan dalam iterasi yang lebih lanjut dari penilaian risiko.
Seorang pemilik aset harus diidentifikasi untuk setiap asetnya, untuk
memberikan tanggung jawab dan akuntabilitas untuk aset tersebut. Pemilik aset
mungkin tidak memiliki hak properti untuk aset itu, tetapi memiliki tanggung
jawab untuk pengembangan produksi, perawatan penggunaan, yang sesuai
keamanan. Pemilik aset adalah orang yang seringkali paling cocok untuk
menentukan nilai aset untuk organisasinya
2. Identifikasi ancaman
Masukan : Informasi tentang ancaman yang diperoleh dari tinjauan kejadian,
pemilik aset, pengguna dan sumber-sumber lain, termasuk katalog ancaman
eksternal.
Pelaksanaan bimbingan:
Ancaman memiliki potensi untuk membahayakan aset, seperti informasi,
proses dan sistem, dan juga organisasi itu. Ancaman dapat berasal dari alam atau
manusia, dan bisa kebetulan terjadi atau juga disengaja. Sumber ancaman baik
disengaja dan tidak disengaja harus diidentifikasi. Ancaman mungkin timbul dari
dalam atau dari luar organisasi. Ancaman harus diidentifikasi secara umum dan
-
8/10/2019 PDF IS Risk
28/45
40
menurut jenisnya (tindakan tidak sah misalnya, kerusakan fisik, kegagalan
teknis) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik
yang diidentifikasi. Ini berarti tidak ada ancaman yang terlupakan, termasuk
yang tak terduga, tetapi volume pekerjaan yang dibutuhkan adalah terbatas.
Beberapa ancaman dapat mempengaruhi lebih dari satu aset. Dalam kasus
seperti itu, mereka dapat menyebabkan dampak yang berbeda tergantung pada
aset yang dipengaruhi.
Input untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya
hal tersebut dapat diperoleh dari pemilik aset atau pengguna, dari staf sumber
daya manusia, dari manajemen fasilitas dan spesialis informasi keamanan, pakar
keamanan fisik, departemen hukum dan organisasi lainnya termasuk badan
hukum, otoritas cuaca, perusahaan asuransi dan otoritas pemerintah. Aspek
lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman.
Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus
dipertimbangkan dalam penilaian saat ini. Mungkin ada baiknya untuk
berkonsultasi pada katalog ancaman lainnya (mungkin dapat spesifik untuk
sebuah organisasi atau bisnis) untuk melengkapi daftar ancaman generik, yang
relevan. Katalog ancaman dan statistik telah tersedia dari badan-badan industri,
pemerintah, badan hukum, perusahaan asuransi dll.
Bila menggunakan katalog ancaman, atau hasil penilaian ancaman
sebelumnya, salah satu harus menyadari bahwa ada perubahan terus-menerus
dari ancaman yang relevan, khususnya jika perubahan sistem lingkungan bisnis
atau informasi tersebut.
-
8/10/2019 PDF IS Risk
29/45
-
8/10/2019 PDF IS Risk
30/45
42
yang dihapus, atau diganti dengan yang lain, dengan kontrol yang lebih cocok,
atau apakah harus tinggal di tempat, misalnya, untuk alasan biaya.
Untuk identifikasi kontrol yang ada atau direncanakan, kegiatan berikut
dapat membantunya :
a. Meninjau dokumen yang berisi informasi tentang kontrol (misalnya,
rencana penanganan pelaksanaan resiko), jika proses manajemen
keamanan informasi didokumentasikan dengan baik pada semua kontrol
yang ada atau telah direncanakan dan status pelaksanaannya pun juga
harus tersedia;
b. Memeriksa pada orang yang bertanggung jawab untuk keamanan
informasi (informasi dari petugas misalnya keamanan dan sistem
keamanan informasi, manajer bangunan atau manajer operasi) dan
pengguna untuk yang benar-benar diimplementasikan kontrolnya untuk
proses informasi atau sistem informasi yang telah dipertimbangkan;
c. Melakukan kajian di lokasi kontrol fisik, membandingkan mereka yang
diimplementasikan dengan daftar kontrol apa yang harus ada, dan
memeriksa mereka yang diimplementasikan seperti apakah mereka dapat
bekerja dengan benar dan efektif, atau
d. Meninjau hasil audit internal
4.
Identifikasi Kerentanan
Masukan: Sebuah daftar ancaman yang diketahui, daftar aset dan kontrol yang
ada.
Pelaksanaan bimbingan:
-
8/10/2019 PDF IS Risk
31/45
-
8/10/2019 PDF IS Risk
32/45
44
5. Identifikasi Konsekuensi
Masukan: Sebuah daftar aset, daftar proses bisnis, dan daftar ancaman dan
kerentanan yang tepat, yang terkait dengan aset dan relevansi mereka.
Pelaksanaan b imbingan:
Konsekwensinya dapat kehilangan efektivitas, kondisi operasi yang
merugikan, kerugian bisnis, kerusakan reputasi, dll.
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi bagi organisasi
yang dapat disebabkan oleh skenario insiden. Sebuah skenario insiden adalah
deskripsi ancaman yang memanfaatkan kerentanan tertentu atau serangkaian
kerentanan dalam sebuah insiden keamanan informasi. Dampak dari skenario
insiden akan ditentukan dengan mempertimbangkan kriteria dampak yang
ditentukan selama kegiatan pembentukan konteks. Ini dapat mempengaruhi satu
atau lebih aset atau bagian dari aset tersebut. Jadi aset mungkin telah ditetapkan
dengan nilai y ang baik untuk biaya keuangan dan karena konsekuensi bisnis
mereka jika bisnis itu telah rusak atau merugi. Konsekuensi mungkin bersifat
sementara atau mungkin permanen seperti dalam kasus perusakan aset.
Organisasi harus mengidentifikasi konsekuensi operasional skenario
insiden dalam hal (namun tidak terbatas pada):
a. Waktu investigasi dan perbaikan
b. Kehilangan waktu (Kerja)
c. Kehilangan peluang
d. Keamanan dan Keselamatan
-
8/10/2019 PDF IS Risk
33/45
45
e. Biaya keuangan keterampilan khusus untuk memperbaiki kerusakan
tersebut
f. Reputasi dan niat baik pada gambar
b) Estimasi Risiko
1. Metodologi Estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail tergantung pada
kekritisan aset, tingkat kerentanan yang diketahui, dan insiden sebelumnya yang
terjadi di dalam organisasi. Sebuah estimasi metodologi bisa bersifat kualitatif
atau kuantitatif, atau gabungan keduanya, tergantung pada keadaannya. Dalam
prakteknya, estimasi kualitatif sering digunakan sebagai awalan untuk
mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko
utama. Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik
atau kuantitatif pada risiko yang besar karena biasanya hal tersebut kurang
kompleks dan lebih mudah untuk kinerja kualitatif daripada analisis kuantitatif.
Bentuk analisis harus konsisten dengan kriteria evaluasi risiko yang
dikembangkan sebagai bagian dari penentuan konteks.
Rincian lebih lanjut dari metodologi estimasi yang sekarang dapat dijelaskan
sebagai berikut :
a. Estimasi Kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk
menggambarkan besarnya konsekuensi potensial (misalnya Rendah, Menengah
dan Tinggi) dan kemungkinan konsekuensi tersebut terjadi. Sebuah keuntungan
-
8/10/2019 PDF IS Risk
34/45
46
dari estimasi kualitatif adalah mudah dipahami oleh semua personil yang relevan,
sementara kelemahannya adalah ketergantungan pada skala pilihan subjektif.
Skala ini dapat diadaptasi atau disesuaikan dengan keadaan dan deskripsi yang
berbeda yang dapat digunakan untuk risiko yang berbeda. Estimasi kualitatif
dapat digunakan:
1. Sebagai suatu kegiatan pemeriksaan awal untuk mengidentifikasi
risiko yang memerlukan analisis yang lebih rinci.
2. Dimana analisis semacam ini cocok untuk keputusan tersebut
3. Dimana data numerik atau sumber daya yang memadai untuk estimasi
kuantitatif
Analisis kualitatif harus menggunakan informasi faktual dan data yang tersedia.
b. Estimasi Kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik (bukan
skala deskriptif yang digunakan di dalam estimasi kualitatif) untuk keduanya
yaitu konsekuensi dan kemungkinan, untuk menggunakan data dari berbagai
sumber. Kualitas dari analisis tergantung pada keakuratan dan kelengkapan dari
nilai-nilai numerik dan validitas model yang digunakan. Estimasi kuantitatif
dalam banyak kasus menggunakan data kejadian historis, memberikan
keuntungan yang dapat berhubungan langsung dengan tujuan keamanan
informasi dan keprihatinan organisasi. Kelemahannya adalah kurangnya data
tersebut pada risiko baru atau kelemahan keamanan informasi. Kelemahan dari
pendekatan kuantitatif dapat terjadi dimana faktual data yang diaudit tidak
tersedia sehingga menciptakan ilusi nilai dan akurasi penilaian risiko.
-
8/10/2019 PDF IS Risk
35/45
47
Cara di mana konsekuensi dan kemungkinan diekspresikan dan cara-cara di
mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi
sesuai dengan jenis dan tujuan risiko dimana output penilaian risiko yang akan
digunakan. Ketidakpastian dan variabilitas dari keduanya yaitu konsekuensi dan
kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara
efektif.
2. Pe nilaian konsekuensi
Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk
identifikasi ancaman, kerentanan, aset yang terkena dampak, konsekuensi untuk
aset dan proses bisnis.
Pelaksanaan Bimbingan:
Setelah mengidentifikasi semua aset di dalam tinjauan ini, nilai-nilai
ditugaskan untuk aset-aset ini dan harus dipertimbangkan saat menilai
konsekuensinya.
Dampak nilai bisnis dapat dinyatakan dalam bentuk kualitatif dan
kuantitatif, tetapi setiap metode penugasan nilai moneter pada umumnya dapat
memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya
memfasilitasi proses pembuatan keputusan yang lebih efisien.
Penilaian aset dimulai dengan klasifikasi aset yang sesuai dengan
kekritisan mereka, dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari
organisasi. Penilaian ini kemudian ditentukan dengan menggunakan dua ukuran,
yaitu :
-
8/10/2019 PDF IS Risk
36/45
48
a. Nilai penggantian aset: biaya pembersihan recoverydan penggantian
informasi (jika semua itu mungkin), dan
b. Konsekuensi dari bisnis yaitu membahayakan atau kehilangan aset,
seperti bisnis potensial yang merugikan dan / atau konsekuensi
hukum atau peraturan dari pengungkapan, modifikasi,
ketidaktersediaan dan / atau perusakan informasi, dan aset informasi
lainnya
Penilaian ini dapat ditentukan dari analisis dampak bisnis. Nilai,
ditentukan oleh konsekuensi untuk bisnis, biasanya secara signifikan lebih tinggi
daripada biaya penggantian yang sederhana, tergantung pada pentingnya aset
bagi organisasi dalam mencapai tujuan bisnisnya.
Penilaian aset merupakan faktor kunci dalam penilaian dampak dari
skenario insiden, karena insiden itu dapat mempengaruhi lebih dari satu aset
(misalnya aset dependen), atau hanya bagian dari aset. Ancaman dan kerentanan
yang berbeda akan memiliki dampak yang berbeda pada aset, seperti hilangnya
kerahasiaan, integritas atau ketersediaan. Dengan begitu penilaian konsekuensi
terkait dengan penilaian aset yang berdasarkan analisis dampak bisnis.
Konsekuensi atau dampak bisnis dapat ditentukan dengan hasil
pemodelan dari suatu peristiwa atau serangkaian peristiwa, atau dengan
ekstrapolasi dari studi eksperimental atau data masa lalu.
Konsekuensi dapat dinyatakan dalam kriteria dampak moneter, teknis
atau manusia, atau kriteria lain yang relevan untuk organisasi. Dalam beberapa
kasus, lebih dari satu nilai numerik yang diperlukan untuk menentukan
konsekuensi untuk waktu yang berbeda, tempat, kelompok atau situasinya.
-
8/10/2019 PDF IS Risk
37/45
49
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan
yang sama digunakan untuk kemungkinan ancaman dan kerentanan. Konsistensi
harus
3. Penilaian Kemungkinan Insiden
Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk
identifikasi ancaman, aset yang terkena dampak, eksploitasi kerentanan dan
konsekuensi terhadap aset dan proses bisnis. Selain itu, daftar dari semua kontrol
yang ada dan yang telah direncanakan, efektivitas, pelaksanaan dan status
penggunaan mereka.
Pelaksanaan bimbingan:
Setelah mengidentifikasi skenario insiden, adalah perlu untuk menilai
kemungkinan setiap skenario dan dampak yang terjadi, dengan menggunakan
teknik estimasi kualitatif atau kuantitatif. Hal ini harus memperhitungkan
seberapa sering ancaman itu terjadi dan bagaimana cara kerentanan yang dapat
dieksploitasi, dengan mengingat:
a. Pengalaman dan statist ik yang berlaku untuk kemungkinan ancaman
b. Untuk sumber ancaman yang disengaja: motivasi dan kemampuan, yang
akan berubah dari waktu ke waktu, dan sumber daya yang tersedia untuk
kemungkinan penyerangan, serta daya tarik persepsi dan aset kerentanan
untuk kemungkinan seseorang menyerang
c. Untuk sumber ancaman kecelakaan: faktor geografis misalnya berdekatan
dengan bahan kimia atau pabrik minyak bumi, kemungkinan kondisi
-
8/10/2019 PDF IS Risk
38/45
50
cuaca yang ekstrim, dan faktor-faktor yang dapat mempengaruhi
kesalahan manusia dan kerusakan peralatan
d. Kerentanan, baik secara individu dan dalam pengumpulannya
e. Kontrol yang tersedia dan bagaimana dengan cenderung mereka
mengurangi kerentanan tersebut
Sebagai contoh, sebuah sistem informasi mungkin memiliki kerentanan
terhadap ancaman yang menyamar sebagai identitas pengguna dan
penyalahgunaan sumber daya. Kerentanan yang menyamar pada identitas
pengguna mungkin menjadi t inggi karena kurangnya otentikasi pengguna. Di sisi
lain, kemungkinan penyalahgunaan sumber daya mungkin menjadi rendah,
meskipun kurangnya otentikasi pengguna, karena cara untuk menyalahgunakan
sumber daya yang terbatas.
Tergantung pada kebutuhan untuk akurasi, aset dapat dikelompokkan,
atau mungkin perlu untuk membagi aset menjadi elemen-elemen mereka dan
berhubungan dengan skenario untuk elemen-elemen t ersebut. Sebagai contoh, di
seluruh lokasi geografis, sifat ancaman terhadap jenis-jenis aset yang sama dan
dapat berubah, atau efektivitas pengendalian yang tersedia mungkin bervariasi.
4. Tingkat Estimasi Risiko
Masukan: Daftar skenario insiden dengan konsekuensi mereka yang berkaitan
dengan aset dan proses bisnis dan kemungkinan mereka lainnya (kuantitatif atau
kualitatif).
Pelaksanaan bimbingan:
-
8/10/2019 PDF IS Risk
39/45
-
8/10/2019 PDF IS Risk
40/45
52
tingkat kepercayaan pada identifikasi dan analisis risiko juga harus
dipertimbangkan. Agregasi beberapa risiko yang rendah atau menengah dapat
mengakibatkan risiko secara keseluruhan menjadi jauh lebih tinggi dan perlu
ditangani sesuai dengan hal tersebut.
Pertimbangan tersebut harus mencakup:
1. Sifat keamanan Informasi: jika salah satu kriteria yang tidak relevan
untuk organisasi (misalnya hilangnya kerahasiaan), maka semua risiko
yang berdampak pada kriteria ini mungkin menjadi tidak relevan
2. Proses bisnis atau kegiatan kepentingan yang didukung oleh seperangkat
aset atau aset tertentu: jika proses ini ditentukan untuk menjadi
kepentingan yang rendah, risiko yang terkait dengan itu harus diberikan
pertimbangan risiko yang lebih rendah daripada dampak yang lebih tinggi
pada proses atau kegiatan kepentingan tersebut.
Evaluasi Risiko yang menggunakan pemahaman risiko diperoleh dengan
analisis risiko untuk membuat keputusan tentang tindakan di masa depan.
Keputusan itu harus mencakup:
1. Apakah kegiatan yang harus dilakukan
2. Prioritas untuk penanganan risiko dengan mempertimbangkan estimasi
tingkat risiko
Selama tahap evaluasi risiko, kontrak, persyaratan dan peraturan hukum
merupakan faktor yang harus diperhitungkan selain resiko yang diperkirakan.
-
8/10/2019 PDF IS Risk
41/45
53
2.18.2OCTAVE - S
Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol1), OCTAVE-S
is a vach tailored to the limited means and unique constraints typically found in
small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah
variasi dari pendekatan OCTAVE-S yang dikembangkan untuk kebutuhan
organisasi yang kecil (kurang dari 100 orang).
Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu
dilakukan analisa resiko untuk mengurangi kerugian-kerugian yang mungkin
terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu
organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation) yang mampu mengelola
risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi pada
perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap
masing-masing risiko yang telah diketahui.
Keuntungan Metode-Metode OCTAVE-S adalah :
1. Self directed : Sekelompok anggota organisasidalam unit-unit bisnis
yang bekerja sama dengan divisi IT untuk mengidentifikasikan kebutuhan
keamanan dari organisasi.
2. Flexible: Setiap metode dapat diterapkan pada sasaran , keamanan dan
lingkungan risiko perusahaan diberbagai level.
3. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada
sisi keamanan dan menempatkan teknologi di bidang bisnis.
-
8/10/2019 PDF IS Risk
42/45
-
8/10/2019 PDF IS Risk
43/45
55
2. Proses Analisis Risiko FRAP
Proses pengukuran risiko dengan menggunakan FRAP, dibagi dalam 4 sesi yang
berbeda antara lain :
a. Pre FRAP Meeting
b. The FRAP Session
c. FRAP Analysis dan Report Generation
d. Post FRAP Meeting
2.18.4Perbe daan antara ISO 27005, Octave dan FRAP
Perbedaan ISO 27005 FRAP OCTAVE-S
Tahapan-
tahapan :
1. Gambaran umum
penilaian risikokeamanan risiko
Analisis Risikoo Pengantar
Indentifikasi Risiko
o Identifikasiasset
o Identifikasi
ancamano Identifikasi
control
yang adao Identifikasi
ancamano Identifikasi
Konsekuensi
Estimasi Risiko
o MetodologiEstimasi
Risikoo Penilaian
konse kuensi
o Penilaiankemungkinan insiden
o Tingkatestimasi
risiko
a. Pre FRAP Meeting
ScopeStatement
Visual Model Establish the
FRAP Team
b. The FRAP Session Risk Identified
Risk Prioriti zed Control
Identiified
c. FRAP Analysis andReport Generation
d. Post FRAPMeeting
CrossReference
Sheet Action Plan
a. Tahap 1 : Build
Asset- BasedThread Profile
b. Tahap 2: IdentifyInfrastructure
Vulnerabilitiesc. Tahap 3: Develop
Security StrategyAnd Plans
Proses 1 : IdentifikasiInformasi Organisasi
Proses 2: MembuatProfil Ancaman
Proses 3: MemeriksaPerhitungan Infrastruktur
yang Berhubungandengan Aset Kritis
Proses 4: Identifikasidan Analisa Risiko
Proses 5:Mengembangkan
Startegi Perlindungandan Rencana Mitigasi
- 30 langkah
-
8/10/2019 PDF IS Risk
44/45
56
Evaluasi risiko
2.Gambaran umumpenanganan risiko
Penguranganrisiko
Risikopenyimpanan
Penghindaran
risiko
Transfer risiko
Keuntunga
n - Di dalampengumpulan datanya
tidak diwajibkanmenggunakan metode
tertentu(contoh:kuisioner,intervi
ew,dll)
- Merupakanstandarisasi
internasional
- Langkahnyasederhana
- Proses analisis dan
evaluasi lebih mudah
- Mudah dimengerti
1. Hemat Biaya2. Tidak memakan
waktu lama3. Tahapan-
tahapannya sudahdi jelaskan
a. Sederhana dan
terarah, karena memilikiketetapan mengenai
praktek dan lembar kerjauntuk
mendokumentasikanhasil pemodelan.
b. Bersifat objektif,karena risiko didapat
dari pihak yang terkait.c. Mendokumentasikan
dan mengukur risikokeamanan TI secara
keseluruhan.d. Pembentukan tim
kerja lebih sederhanasehingga lebih tepat
waktu.e. Memiliki Framework
sehingga pengukuransesuai dengan detail list
yang telah ditentukan.
Kelemahan
- Tidak mempunyaipenjelasan teknik
dalam melakukanidentifikasi risiko
- Cara
penanganannyakurang spesifik
1. Untuk menghasilkandata harus se suai
dengan tahapan-tahapan.
a. Memakan waktu
cukup lama, karenapengukuran risiko TI
dilakukan secarakeseluruhan.
b. Adanya probabilitasoptional, hal ini dianggap
tidak sesuai denganstandar OCTAVE-S.
c. Memiliki banyakworksheet dan
implementasi.
Subtance
Estimasi risiko(berupa angka dan
huruf)
Post FRAP Meeting :a. Cross-Reference
Sheetb. Action Plan
Tahap 1: Profile aset
Tahap 2: Profileancaman
Tahap 3: Strategiperlindungan dan
rencana mitigasi.
-
8/10/2019 PDF IS Risk
45/45
57
Cara
pengumpulan data :
Bebas (tanpateknik)
Pre FRAP Meeting
Melalui framework yang
telah ditentukan sesuaidengan buku OCTAVE-
S Implementation Guide,Version 1.0 yang
dikarang olehChristopher Alberts et all
Tabel 2.1 Perbedaaan ISO 27005, FRAP, OCTAVE-S
Dari pembahasan tabel di atas , dapat disimpulkan bahwa ke tiga metode di atas
memiliki kelebihan dan kelemahan masing - masing. Metode ISO 27005 memiliki
langkah yang lebih sederhanan dibanding ke dua metode yang lain, namun , ISO
27005 tidak mempunyai penjelasan teknik dalam melakukan identifikasi risiko dan cara
penanganannya kurang spesifik. Sedangkan FRAP dan OCTAVE S lebih memiliki
banyak worksheet dan implementasi, sehingga memakan waktu cukup lama, karena
pengukuran risiko TI dilakukan secara keseluruhan.