Pelatihan Intensif Bagi Karyawan Perusahaan

Jun 9th

Posted by admin in Pelatihan

No comments

Tahukah anda ?

Sliepresentasi.com dapat memberikan training-training khusus bagi Karyawan anda ?

ya, sangat bisa….. selama ini kami tidak mempublikasikan kepada umum bahwa kami memberikan pelatihan-pelatihan yang bersifat produktif bagi karyawan anda sehingga memberikan impact yang di harapkan perusahaan.

Bagi anda yang baru mengetahui dan tertarik untuk mengundang kami untuk merencanakan, melatih dan mengimplementasikan Modul-modul Pelatihan kami, silahkan Hubungi 0817785474.

Untuk Mengetahui Materi-materi pelatihan yang kami sering kami berikan silahkan melihat halaman Pelatihan dan Seminar

Rgd

 

Slidepresentasi.com

, ,

GAMBARU

May 8th

Posted by admin in Artikel

No comments

Oleh Rouli Esther Pasaribu pada 14 Maret 2011 jam 12:02

Terus terang aja, satu kata yang bener2 bikin muak jiwa raga setelah tiba di Jepang dua tahun lalu adalah : GAMBARU alias berjuang mati-matian sampai titik darah penghabisan. Muak abis, sumpah, karena tiap kali bimbingan sama prof, kata-kata penutup selalu : motto gambattekudasai (ayo berjuang lebih lagi), taihen dakedo, isshoni gambarimashoo (saya tau ini sulit, tapi ayo berjuang bersama-sama), motto motto kenkyuu shitekudasai (ayo bikin penelitian lebih dan lebih lagi). Sampai gw rasanya pingin ngomong, apa ngga ada kosa kata lain selain GAMBARU? apaan kek gitu, yang penting bukan gambaru.

Gam baru itu bukan hanya sekadar berjuang2 cemen gitu2 aja yang kalo males atau ada banyak rintangan, ya udahlah ya…berhenti aja. Menurut kamus bahasa jepang sih, gambaru itu artinya : “doko made mo nintai shite doryoku suru” (bertahan sampai kemana pun juga dan berusaha abis-abisan) Gambaru itu sendiri, terdiri dari dua karakter yaitu karakter “keras” dan “mengencangkan”. Jadi image yang bisa didapat dari paduan karakter ini adalah “mau sesusah apapun itu persoalan yang dihadapi, kita mesti keras dan terus mengencangkan diri sendiri, agar kita bisa menang atas persoalan itu” (maksudnya jangan manja, tapi anggap semua persoalan itu adalah sebuah kewajaran dalam hidup, namanya hidup emang pada dasarnya susah, jadi jangan ngarep gampang, persoalan hidup hanya bisa dihadapi dengan gambaru, titik.). Terus terang aja, dua tahun gw di jepang, dua tahun juga gw ngga ngerti, kenapa orang2 jepang ini menjadikan gambaru sebagai falsafah hidupnya.

Bahkan anak umur 3 tahun kayak Joanna pun udah disuruh gambaru di sekolahnya, kayak pake baju di musim dingin mesti yang tipis2 biar ngga manja terhadap cuaca dingin, di dalam sekolah ngga boleh pakai kaos kaki karena kalo telapak kaki langsung kena lantai itu baik untuk kesehatan, sakit2 dikit cuma ingus meler2 atau demam 37 derajat mah ngga usah bolos sekolah, tetap dihimbau masuk dari pagi sampai sore, dengan alasan, anak akan kuat menghadapi penyakit jika ia relawan penyakitnya itu sendiri.

Akibatnya, kalo naik sepeda di tanjakan sambil bonceng Joanna, dan gw ngos2an kecapean, otomatis Joanna ngomong : Mama, gambare! mama faitoooo! (mama ayo berjuang, mama ayo fight!). Pokoknya jangan manja sama masalah deh, gambaru sampe titik darah penghabisan it’s a must!

Gw bener2 baru mulai sedikit mengerti mengapa gambaru ini penting banget dalam hidup, adalah setelah terjadi tsunami dan gempa bumi dengan kekuatan 9.0 di jepang bagian timur. Gw tau, bencana alam di indonesia seperti tsunami di aceh, nias dan sekitarnya, gempa bumi di padang, letusan gunung merapi….juga bukanlah hal yang gampang untuk dihadapi.

Tapi, tsunami dan gempa bumi di jepang kali ini, jauuuuuh lebih parah dari semuanya itu. Bahkan, ini adalah gempa bumi dan tsunami terparah dan terbesar di dunia. Wajaaaaaaar banget kalo kemudian pemerintah dan masyarakat jepang panik kebingungan karena bencana ini. Wajaaaaar banget kalo mereka kemudian mulai ngerasa galau, nangis2, ga tau mesti ngapain.

Bahkan untuk skala bencana sebesar ini, rasanya bisa “dimaafkan” jika stasiun-stasiun TV memasang sedikit musik latar ala lagu-lagu ebiet dan membuat video klip tangisan anak negeri yang berisi wajah-wajah korban bencana yang penuh kepiluan dan tatapan kosong tak punya harapan.

bagaimana tidak, tsunami dan gempa bumi ini benar-benar menyapu habis seluruh kehidupan yang mereka miliki. Sangat wajar jika kemudian mereka tidak punya harapan.

Tapi apa yang terjadi pasca bencana mengerikan ini? Dari hari pertama bencana, gw nyetel TV dan nungguin lagu-lagu ala ebiet diputar di stasiun TV. Nyari-nyari juga di mana rekening dompet bencana alam. Video klip tangisan anak negeri juga gw tunggu2in. Tiga unsur itu (lagu ala ebiet, rekening dompet bencana, video klip tangisan anak negeri), sama sekali ngga disiarkan di TV.

Jadi yang ada apaan dong? Ini yang gw lihat di stasiun2 TV :

1. Peringatan pemerintah agar setiap warga tetap waspada

2. Himbauan pemerintah agar seluruh warga jepang bahu membahu menghadapi bencana (termasuk permintaan untuk menghemat listrik agar warga di wilayah tokyo dan tohoku ngga lama-lama terkena mati lampu)

3. Permintaan maaf dari pemerintah karena terpaksa harus melakukan pemadaman listrik terencana

4. Tips-tips menghadapi bencana alam

5. nomor telepon call centre bencana alam yang bisa dihubungi 24 jam

6. Pengiriman tim SAR dari setiap perfektur menuju daerah-daerah yang terkena bencana

7. Potret warga dan pemerintah yang bahu membahu menyelamatkan warga yang terkena bencana (sumpah sigap banget, nyawa di jepang benar-benar bernilai banget harganya)

8. Pengobaran semangat dari pemerintah yang dibawakan dengan gaya tenang dan tidak emosional : mari berjuang sama-sama menghadapi bencana, mari kita hadapi (government official pake kata norikoeru, yang kalo diterjemahkan secara harafiah : menaiki dan melewati) dengan sepenuh hati

9. Potret para warga yang terkena bencana, yang saling menyemangati :*ada yang nyari istrinya, belum ketemu2, mukanya udah galau banget, tapi tetap tenang dan ngga emosional, disemangati nenek2 yang ada di tempat pengungsian : gambatte sagasoo! kitto mitsukaru kara. Akiramenai de (ayo kita berjuang cari istri kamu. Pasti ketemu. Jangan menyerah)*

Tulisan di twitter : ini gempa terbesar sepanjang sejarah. Karena itu, kita mesti memberikan usaha dan cinta terbesar untuk dapat melewati bencana ini; Gelap sekali di Sendai, lalu ada satu titik bintang terlihat terang. Itu bintang yang sangat indah. Warga Sendai, lihatlah ke atas.

Sebagai orang Indonesia yang tidak pernah melihat cara penanganan bencana ala gambaru kayak gini, gw bener-bener merasa malu dan di saat yang bersamaan : kagum dan hormat banget sama warga dan pemerintah Jepang. Ini negeri yang luar biasa, negeri yang sumber daya alamnya terbatas banget, negeri yang alamnya keras, tapi bisa maju luar biasa dan punya mental sekuat baja, karena : falsafah gambaru-nya itu. Bisa dibilang, orang-orang jepang ini ngga punya apa-apa selain GAMBARU. Dan, gambaru udah lebih dari cukup untuk menghadapi segala persoalan dalam hidup.

Bener banget, kita mesti berdoa, kita mesti pasrah sama Tuhan. Hanya, mental yang apa-apa “nyalahin” Tuhan, bilang2 ini semua kehendakNya, Tuhan marah pada umatNya, Tuhan marah melalui alam maka tanyalah pada rumput yang bergoyang…..

I guarantee you 100 percent, selama masih mental ini yang berdiam di dalam diri kita, sampai kiamat sekalipun, gw rasa bangsa kita ngga akan bisa maju. kalau ditilik lebih jauh, “menyalahkan” Tuhan atas semua bencana dan persoalan hidup, sebenarnya adalah kata lain dari ngga berani bertanggungjawab terhadap hidup yang dianugerahkan Sang Pemilik Hidup. Jika diperjelas lagi, ngga berani bertanggungjawab itu maksudnya : lari dari masalah, ngga mau ngadepin masalah, main salah2an, ngga mau berjuang dan baru ketemu sedikit rintangan aja udah nangis manja.

Kira-kira setahun yang lalu, ada sanak keluarga yang mempertanyakan, untuk apa gw menuntut ilmu di Jepang. Ngapain ke Jepang, ngga ada gunanya, kalo mau S2 atau S3 mah, ya di eropa atau amerika sekalian, kalo di Jepang mah nanggung. Begitulah kata beliau.

Sempat terpikir juga akan perkataannya itu, iya ya, kalo mau go international ya mestinya ke amrik atau eropa sekalian, bukannya jepang ini. Toh sama-sama asia, negeri kecil pula dan kalo ga bisa bahasa jepang, ngga akan bisa survive di sini. Sampai sempat nyesal juga,kenapa gw ngedaleminnya sastra jepang dan bukan sastra inggris atau sastra barat lainnya.

Tapi sekarang, gw bisa bilang dengan yakin sama sanak keluarga yang menyatakan ngga ada gunanya gw nuntut ilmu di jepang. Pernyataan beliau adalah salah sepenuhnya. Mental gambaru itu yang paling megang adalah jepang. Dan menjadikan mental gambaru sebagai way of life adalah lebih berharga daripada go international dan sejenisnya itu. Benar, sastra jepang, gender dan sejenisnya itu, bisa dipelajari di mana saja. Tapi, semangat juang dan mental untuk tetap berjuang abis-abisan biar udah ngga ada jalan, gw rasa, salah satu tempat yang ideal untuk memahami semua itu adalah di jepang. Dan gw bersyukur ada di sini, saat ini.

Maka, mulai hari ini, jika gw mendengar kata gambaru, entah di kampus, di mall, di iklan-iklan TV, di supermarket, di sekolahnya joanna atau di mana pun itu, gw tidak akan lagi merasa muak jiwa raga.

Sebaliknya, gw akan berucap dengan rendah hati : Indonesia jin no watashi ni gambaru no seishin to imi wo oshietekudasatte, kokoro kara kansha itashimasu. Nihon jin no minasan no yoo ni, gambaru seishin wo mi ni tsukeraremasu yoo ni, hibi gambatteikitai to omoimasu. (Saya ucapkan terima kasih dari dasar hati saya karena telah mengajarkan arti dan mental gambaru bagi saya, seorang Indonesia. Saya akan berjuang tiap hari, agar mental gambaru merasuk dalam diri saya, seperti kalian semuanya, orang-orang Jepang).

Say YES to GAMBARU!

 

, , , ,

Keamanan Informasi

May 5th

Posted by admin in Artikel

No comments

KEAMANAN SISTEM INFORMASI

KONSEP MANAJEMEN KEAMANAN INFORMASI  ISO-17799

DENGAN RISK ASSESSMENT MENGGUNAKAN METODE OCTAVE

DASAR MANAJEMEN KEAMANAN INFORMASI

1.1 Informasi Sebagai Aset

Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha [1]. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya : informasi yang tersimpan dalam komputer ( baik desktop komputer maupun mobile komputer ), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket,cd,atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan ( termasuk percakapan melalui telepon ), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan [2].

1.2 Keamanan Informasi

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘[3]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

  • Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
  • Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi
  • Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
  • Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
  • Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya [3]. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha [2].

 

1.3 Aspek Keamanan Informasi

Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model [3], adalah sebagai berikut:

  • Confidentiality

Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.

  • Integrity

Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.

  • Availability

Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam bukunya Management Of Information Security adalah:

  • Privacy

Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

  • Identification

Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.

  • Authentication

Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.

  • Authorization

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.

  • Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.

 

1.4 Manajemen

Untuk membuat proses keamanan informasi secara efektif, sangat penting memahami beberapa prinsip dalam manajemen. Secara sederhana, manajemen adalah proses untuk mencapai tujuan dengan menggunakan sumberdaya yang ada [3]. Manajer adalah seseorang yang bekerja dengan orang lain dan melalui orang lain dengan cara mengkoordinasi kerja mereka untuk memenuhi tujuan organisasi. Tugas manajer adalah untuk memimpin pengelolaan sumberdaya organisasi, melakukan koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang aturan-aturan yang diperlukan untuk memenuhi tujuan organisasi. Diantara aturan-aturan itu adalah:

  • Aturan informasi : mengumpulkan, memproses, dan menggunakan informasi yang dapat mempengaruhi pencapaian tujuan.
  • Aturan interpersonal : berinteraksi dengan stakeholder dan orang atau organisasi lain yang mempengaruhi atau dipengaruhi oleh tercapainya tujuan organisasi dimana dia menjadi manajer.
  • Aturan keputusan : memilih diantara beberapa alternatif pendekatan, memecahkan konflik, dilema atau tantangan.

Manajer mengelola sumberdaya organisasi meliputi perencanaan biaya organisasi, otorisasi pengeluaran biaya, dan menyewa pekerja.

1.5 Manajemen Keamanan Informasi

Sebagaimana telah disebutkan sebelumnya bahwa manajemen keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen, tujuan  manajemen keamanan informasi berbeda dengan manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada keamanan operasi organisasi. Karena manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

1.5.1    Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih, (2)tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :

1.5.1.1 Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery.

1.5.1.2  Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.

1.5.1.3  Business Continuity Planning

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.

1.5.2        Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

  • Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
  • Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
  • System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

1.5.3        Programs

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

1.5.4        Protection

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.

1.5.5        People

Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.

1.5.6        Project Management

Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.

1.6 Perlunya Manajemen Keamanan Informasi

Manajemen keamanan informasi diperlukan karena ancaman terhadap C.I.A triangle aset informasi semakin lama semakin meningkat. Menurut survey UK Department of  Trade and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah aset yang penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi meyakini bahwa keamanan informasi sangat penting untuk memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai ancaman terhadap informasi yang dimilikinya, sehingga diperlukan langkah-langkah yang tepat untuk mengamankan aset informasi yang dimiliki.

1.7 Standarisasi Sistem Manajemen Keamanan Informasi

Ada banyak sekali model manajemen keamanan informasi dan penerapannya karena banyaknya konsultan keamanan informasi yang menawarkannya. Satu yang popular dan banya diterima adalah model sistem manajemen keamanan informasi yang telah diratifikasi menjadi standarisasi internasional yaitu British Standard 7799 yang menyajikan dua komponen, masing-masing memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan informasi.

  • BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO, disebut sebagai Information Technology—Code of Practice for Information Security Management.
  • BS 7799:2 disebut sebagai Information Security Management: Specification with Guidance for Use.

Untuk mendapatkan dokumen ini, organisasi yang akan menerapkannya harus membayarnya.

1.7.1        BS 7799:1

Information Technology—Code of Practice for Information Security Management dalam BS 7799:1 adalah yang banyak dijadikan referensi dan didiskusikan dalam lingkungan model keamanan informasi. Dokumen detil standarisasi ini hanya bisa diperoleh dengan cara membeli , tetapi deskripsi dan struktur umumnya dikenal secara luas sebagai “ The Ten Sections of ISO/IEC 17799 “ [3]. Tujuan ISO/IEC 17799 adalah untuk memeberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada organisasinya. BS 7799:1 memberikan ringkasan area keamanan informasi dan menyajikan 127 kendali dalam 10 kategori keamanan informasi.

1.7.1.1  Organizational Security Policy

Diperlukan untuk memberikan arah dan dukungan terhadap manajemen keamanan informasi yang akan diterapkan dalam organisasi. Hal ini tidak selalu menjadi yang pertama dilakukan dalam manajemen keamanan informasi, tetapi bisa merupakan refleksi dari hasil risk assessment yang telah dilakukan. Information Security Policy harus senantiasa dianalisa dan diupdate secara reguler karena adanya perubahan-perubahan ancaman terhadap keamanan informasi.

1.7.1.2  Organizational Security Infrastructure

Tujuan organizational security infrastructure meliputi: mengatur keamanan informasi di dalam organisasi, mengelola keamanan fasilitas pemrosesan informasi organisasi dan aset informasi yang diakses oleh pihak ketiga, mengelola keamanan informasi jika tanggungjawab pemrosesan informasi dilakukan oleh pihak ketiga atau organisasi lain.

1.7.1.3  Asset Classification and Control

Diperlukan untuk mengelola langkah proteksi yang tepat untuk aset organisasi dan menjamin bahwa aset informasi memperoleh tingkat perlindungan yang tepat.

1.7.1.4  Personnel Security

Bertujuan untuk: mengurangi kesalahan manusia, pencurian, kesalahan penggunaan fasilitas; menjamin bahwa pengguna mengetahui ancaman terhadap keamanan informasidan dilengkapi peralatan pendukung kebijakan keamanan informasi dalam kerja mereka; meminimalkan kerusakan akibat insiden keamanan dan malfungsi serta belajar dari insiden yang pernah terjadi.

1.7.1.5  Physical and Environmental Security

Memiliki tujuan mencegah akses tanpa otorisasi, kerusakan, dan interferensi terhadap tempat kerja dan informasi;  mencegah kehilangan, kerusakan aset, dan gangguan terhadap aktifitas organisasi; mencegah pencurian informasi dan fasilitas pemrosesan informasi.

1.7.1.6  Communication and Operation Management

Menjamin keamanan operasi pada fasilitas pemrosesan informasi; Meminimalkan resiko kegagalan sistem; melindungi integritas software dan informasi; mengelola integrity dan availability proses informasi dan komunikasi; menjamin perlindungan informasi dalam jaringan dan perlindungan terhadap infrastruktur pendukung; mencegah kerusakan aset dan interupsi terhadap aktifitas organisasi; mencegah kehilangan, modifikasi, atau kesalahan pertukaran informasi antar organisasi.

2.7.1.7 System Access Control

Tujuannya meliputi: pengendalian akses informasi; mencgah akses tanpa otorisasi ke dalam sistem informasi; menjamin perlindungan layanan jaringan; mencegah akses komputer tanpa otorisasi; mendeteksi aktifitas tanpa otorisasi; menjamin keamanan informasi saat menggunakan perangkat bergerak dan jaringan telekomunikasi.

2.7.1.8  System Development and Maintenance

Tujuannya meliputi: menjamin keamanan terbangun dalam sistem operasional organisasi; mencegah kehilangan, modifikasi, atau kesalahan pemakaian data pengguna dalam sistem aplikasi; melindungi confidentiality, authenticity, dan integrity informasi; menjamin proyek teknologi informasi dan aktifitas pendukungnya berada dalam keamanan; mengelola keamanan software aplikasi dan data.

2.7.1.9  Business Continuity Management

Bertujuan untuk melakukan reaksi terhadap gangguan aktifitas organisasi dan proses bisnis yang kritis bagi organisasi ketika terjadi bencana.

2.7.1.10     Compliance

Memiliki tujuan: menghindari pelanggaran terhadap setiap hukum kriminal dan sosial,peraturan perundang-undangan, dan obligasi kontrak  dalam setiap kebutuhan keamanan informasi; menjamin terpenuhinya organizational security policy dan standar keamanan informasi dalam penerapan manajemen keamanan informasi organisasi; memaksimalkan efektifitas dan meminimalkan pengaruh kepada atau dari proses audit.

2.8 BS 7799:2

Bagian ke dua dalam BS 7799 menyajikan implementasi detil menggunakan siklus Plan-Do-Check-Act, seperti disebutkan berikut ini:

  • Plan

-          Mendefinisikan scope sistem manajemen keamanan informasi

-          Mendefinisikan kebijakan sistem manajemen keamanan informasi

-          Mendefinisikan pendekatan yang digunakan untuk risk assessment

-          Mengidentifikasi resiko

-          Memperkirakan resiko

-          Mengidentifikasi dan mengevaluasi pilihan perlindungan terhadap resiko

-          Memilih tujuan kendali dan kendalinya

-          Mempersiapkan sebuah Statement of Aplicabilit

  • Do

-          Membuat sebuah formulasi rencana pengelolaan resiko

-          Melakukan Implementasi rencana pengelolaan resiko

-          Melakukan implementasi kendali

-          Melakukan implementasi program pelatihan dan pemahaman keamanan informasi

-          Melakukan pengelolaan kegiatan

-          Melakukan pengelolaan sumberdaya

-          Melakukan implementasi prosedur untuk mendeteksi dan merespon insiden keamanan informasi

  • Check

-          Melakukan prosedur pemantauan

-          Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi

-          Melakukan pengkajian terhadap tingkatan resiko dan resiko yang dapat diterima

-          Melaksanakan audit sistem manajemen keamanan informasi secara internal

-          Melakukan peninjauan manajemen secara berkala terhadap pelaksanaan sistem manajemen keamanan informasi

-          Melakukan pencatatan aktifitas dan kejadian yang mempengaruhi sistem manajemen keamanan informasi

  • Act

-          Melakukan implementasi peningkatan yang telah diidentifikasi

-          Mengambil tindakan pencegahan dan koreksi

-          Melakukan implementasi pelatihan yang telah diterima

-          Mengkomunikasikan hasil kepada rekan yang berkepentingan

-          Menjamin peningkatan pencapaian tujuan

Siklus PDCA2 digambarkan dalam ilustrasi berikut :

gambar PDCA

2.9 Security Management Index  (SMI)

Satu cara untuk mengetahui sejauh mana sebuah organisasi memenuhi standarisasi ISO 17799 adalah dengan cara melakukan survey terhadap penerapan sistem manajemen keamanan informasi. Callio Technologie Inc membuat satu set kuisioner yang terdiri dari 127 pertanyaan berkaitan dengan 10 aspek dalam sistem manajemen keamanan informasi menurut BS 7799 :2. Kuisioner ini diperlukan dalam melakukan survey pencapaian sistem manajemen keamanan informasi terhadap standarisasi ISO 17799. Untuk memperoleh keuntungan dari pengukuran security management index, Human Firewall Council merekomendasikan hal berikut:

  • Melakukan pengenalan lebih mendalam terhadap 10 kategori dalam manajemen keamanan informasi.
  • Melakukan benchmark penerapan manajemen keamanan informasi dengan melakukan survey
  • Mengevaluasi hasil survey dalam setiap kategori untuk mengidentifikasi kekuatan dan kelemahan
  • Menguji saran untuk peningkatan dalam setiap kategori pada laporan hasil survey
  • Menggunakan hasil SMI untuk memperoleh dukungan peningkatan keamanan informasi.

2.10 Audit Sistem Manajemen Keamanan Informasi

Meskipun terdapat perbedaan pendapat dan perdebatan penting atau tidaknya sertifikasi BS 7799 (dengan alasan bahwa penerapan sistem manajemen keamanan informasi yang efektif lebih berharga daripada sekedar plakat sertifikasi) ada tujuan memacu organisasi yang telah memperoleh sertifikasi untuk benar-benar menerapkan manajemen keamanan informasi dengan baik sesuai dengan standarisasi BS 7799. Suatu audit sertifikasi biasanya menggunakan pelaporan negatif (misalnya biasanya lebih menyoroti kekurangan daripada kelebihan yang dicapai) untuk menilai penerapan sebuah sistem manajemen keamanan informasi memenuhi persyaratan BS 7799 atau tidak.

2.11 Kendala penerapan ISMS

Meskipun BS 7799 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen keamanan informasi, tetapi terdapat kesulitan dalam menerapkannya disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen keamanan informasi. Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan. Oleh karena itu, bab selanjutnya akan membahas pemecahannya berdasarkan konsep sistem manajemen keamanan informasi menurut ISO-17799.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

RISK ASSESSMENT

2.         Metode Risk Assessment

Sebagaimana telah dibahas pada bab sebelumnya, risk assessment memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan risk assessment, karena banyaknya konsultan keamanan informasi yang mengembangkan berbagai pendekatan untuk melakukannya. Satu yang terkenal diantaranya adalah metode OCTAVE yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg. Metode inilah yang akan digunakan dalam penelitian tugas akhir ini.

2.1.1        Pengenalan metode OCTAVE

Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang ini. Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara operasional organisasi dengan persyaratan teknologi informasi sehingga menempatkan aset dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak lengkap, sehingga gagal mencakup seluruh komponen resiko ( aset, ancaman, dan vulnerability )Banyak organisasi kemudian menyewa konsultan untuk mengevaluasi resiko keamanan informasi dalam organisasinya. Hasilnya mungkin tidak sesuai dengan perspektif organisasi tersebut. Risk assessment yang dilakukan sendiri oleh organisasi yang bersengkutan memberikan pengetahuan untuk memahami resiko dan membuat keputusan yang tepat.

Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali apakah resiko organisasi yang menerapkannya. Setelah resiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan reduksi resiko terhadap masing-masing resiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) memungkinkan organisasi melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim (interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog ini meliputi:

  • catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi
  • generic threat profile – sebuah koleksi sumber ancaman utama
  • catalog of vulnerabilities – sebuah koleksi dari vulnerability berdasarkan platform dan aplikasi

 

2.1.2        Langkah-langkah metode OCTAVE

Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk melakukan diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan strategi keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu atau lebuh lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan.

 

 

2.1.3        Persiapan

Mempersiapkan OCTAVE membuat dasar evaluasi yang berhasil. Beberapa kunci untuk  keberhasilan evaluasi adalah:

  • Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi mendukung proses, maka orang-orang dalam organisasi akan berpartisipasi secara aktif. Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan berkesinambungan dalam aktifitas OCTAVE, peningkatan partisipasi aktif anggota organisasi, pendelegasian tanggungjawab dan otoritas untuk menyelesaikan seluruh aktifitas OCTAVE, komitmen untuk mengalokasikan sumberdaya yang dibutuhkan, persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus diambil dengan adanya hasil evaluasi yang telah dilakukan.
  • Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di luar tim.                                                                                            Secara umum, tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang merepresentasikan bisnis dan perspektif teknologi informasi, memiliki pengetahuan dalam proses bisnis dan teknologi informasi, memiliki kemampuan yang baik dalam berkomunikasi dan memfasilitasi, serta berkomitmen untuk mengerahkan kemampuan yang dimiliki demi keberhasilan OCTAVE.

Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer dalam menentukan cakupan eveluasi, memilih partisipan,dan menjadwalkan aktifitas OCTAVE; berkoordinasi dengan manajer senior atau manajer operasional dan pendukung teknologi informasi untuk mengevaluasi vulnerability; mendapatkan, menganalisa dan mengelola data dan hasil selama proses OCTAVE; mengaktifkan aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa personil yang diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan logistik.

Secara umum, tim inti analisis harus memiliki kemampuan berikut: fasilitasi,komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer senior, manajer operasional dan anggota organisasi, memahami lingkungan bisnis organisasi, memahami lingkungan teknologi informasi dalam organisasi dan mengetahui bagaimana staf bisnis menggunakan teknologi informasi organisasi.

Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau memperolehnya melalui anggota tim tambahan: lingkungan taknologi informasi organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui aksploitasi terkini terhadap vulnerability, mengetahui bagaimana menginterpretasikan hasil evaluasi vulnerability oleh perangkat lunak, mengetahui praktekperencanaan organisasi, serta mampu mengembangkan perencanaan.

  • Menentukan cakupan OCTAVE. Evaluasi harus mencakup area operasi yang penting. Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan terlalu sempit maka hasilnya tidak akan banyak berarti.
  • Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area kerja mereka.
  • Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang diperlukan dalam setiap aktifitas OCTAVE meliputi: penjadwalan, koordinasi persiapan ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas OCTAVE, menangani kejadian tidak terduga misalnya penggantian jadwal dan perubahan personil dalam pertemuan.

2.1.4        Fase Pertama. Organizational View

Fase pertama dalam OCTAVE adalah Asset-Based Threat Profiles. Fase ini meliputi lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai aset, keamanan yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi proteksi yang sedang diterapkan,dan vulnerability organisasi terkini. Pada fase ini data yang diperoleh dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis organisasi.

Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat proses ini dibahas dalam penjelasan berikut :

2.1.4.1  Fase I proses I. Identify Senior Manager Knowledge

Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan manajer senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:

  • Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
  • Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
  • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
  • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
  • Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua untuk manajer senior terlibat dalam lokakarya proses pertama jika akan menambah atau mengurangi daftar area operasi atau manajer.

2.1.4.2  Fase I proses II. Identify Operational Management Knowledge

Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan manajer area operasional sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:

  • Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
  • Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
  • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
  • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
  • Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kembali siapa saja staf yang akan menjadi partisipan dalam OCTAVE.

2.1.4.3  Fase I proses III. Identify Staff Knowledge

Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk dalam cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan para staf sebagai parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf lebih dari lima orang, maka akan diadakan beberapa lokakarya dengan partisipan yang berbeda pada setiap lokakarya.Aktifitas dalam proses 3 ini terdiri dari:

  • Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk mengidentifikasi lima aset yang terpenting.
  • Mendeskripsikan area of concern – Untuk lima aset terpenting, para staf mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
  • Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Para staf mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
  • Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.

 

2.1.4.4  Fase I proses IV. Create Threat Profile

Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses pertama sampai proses ke tiga dan membuat sebuah profil ancaman terhadap aset kritis. Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas yang dilakukan terdiri dari:

  • Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan keamanan masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai proses ke tiga.
  • Memilih aset kritis  – Dari keseluruhan aset terpenting yang diajukan oleh manajer senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim analisis.
  • Mendefinisikan kebutuhan keamanan untuk aset kritis – tim analisisi menyempurnakan informasi yang diperoleh pada proses pertama sampai ke tiga untuk sampai pada sebuah rancangan akhir kebutuhan keamanan.
  • Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan informasi area of concern yang diperoleh dari proses pertama sampai proses ke tiga dan menjabarkannya dalam profil ancaman keamanan.

2.1.5        Fase Ke dua. Identify Infrastructure Vulnerability

Fase ke dua dalam OCTAVE adalah Identify Infrastructure Vulnerabilities. Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur kunci yang mendukung aset tersebut. Fase ke dua ini meliputi dua proses yang akan dibahas lebih lanjut.

2.1.5.1  Fase II proses V. Identify Key Components

Proses V mengidentifikasi komponenkunci dari infrastruktur yang harus diuji vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis mencari “system(s) of interest” untuk setiap aset kritis – yaitu sistem yang paling dekat hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari:

  • Mengidentifikasi klasifikasi kunci setiap komponen – sebuah systems of interest diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses. Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan digunakan.
  • Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk setiap tipe komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen teknologi informasi harus memberikan alamat jaringan secara spesifik atau lokasi fisiknya dan akan diperlukan untuk menyusun evaluasi.

 

 

2.1.5.2  Fase II proses VI. Evaluate Selected Components

Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi, menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses initerdiri dari:

  • Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau bisa juga disewa dari pihak lain.
  • Mengkaji vulnerability teknologi dan merangkum hasilnya – pemimpin evaluasi mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability dan aset kritis yang dipengaruhinya.

2.1.6        Fase III. Develop Security Strategy and Plans

Fase ke tiga dalam OCTAVE adalah Develop Security Strategy and Plans. Pada fase ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi untuk resiko tersebut, dan membuat strategi proteksi organisasi.Rencana dan strategi dikaji dan diterima oleh manajer senior. Terdapat  dua proses dalam fase ke tiga yang akan dibahas berikutnya.

2.1.6.1  Fase III proses VII. Conduct Risk Analysis

Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh dari proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis. Profil resiko merupakan perluasan dari profil ancaman , menambahkan pengukuran kualitatif terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang terjadi. Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah alasan kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa berubah-ubah, maka kemungkinan untuk setiap cabang diasumsikan sama. Proses 7 meliputi aktifitas:

  • Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – Untuk setiap aset kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk setiap akibat dari ancaman.
  • Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset kritis organisasi. Definisi tiga tingkatan evaluasi kualitatif  (tinggi, menengah, dan rendah) ditetapkan untuk banyak aspek (misalnya finansial atau akibat operasional).
  • Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria evaluasi setiap akibat dari setiap ancaman didefinisikan sebagai  tinggi, menengah, atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile Workbook.

2.1.6.2  Fase III proses VIII. Develop Protection Strategy

Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada lokakarya ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi aktifitas:

  • Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana yang telah dianggap baik oleh sebagian besar responden dan mana yang dianggap buruk oleh sebagian besar responden
  • Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya dikaji ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan kebutuhan keamanan aset kritis.
  • Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah dilaksanakan dengan baik.Membuat rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan pemulihan dari setiap resiko dan menjelaskan bagaimana mengukur efektifitas dari kegiatan mitigasi.
  • Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan, biasanya meliputi vulnerability yang memerlukan perbaikan dengan segera.

Lokakarya B meliputi aktifitas:

  • Prework: Membuat presentasi untuk manajer senior
  • Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan dengan aset kritis dan ringkasan hasil survey kepada manajer senior.
  • Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta perubahan, penambahan, atau pengurangan.
  • Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana mengimplementasikan strategi, perencanaan, dan aktifitas.
, , , , , ,
12»