bina nusantara | library & knowledge...
TRANSCRIPT
BAB 2
LANDASAN TEORI
2.1 Pengertian Sistem
Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian
bagian yang saling tergantung dan bekerja sama untuk mencapai tujuan tertentu.
Menurut (Puspitawati & Anggadini, 2011, p. 2), sesuatu dapat dikatakan
sistem apabila memenuhi 2 syarat, yaitu :
1. Memiliki bagian-bagian yang saling berinteraksi dengan maksud untuk
mencapai suatu tujuan
2. Bagian-bagian itu dinamakan subsistem dan harus memenuhi 3 unsur
input-proses-output.
2.2 Pengertian Informasi
Kata informasi berasal dari kata Perancis kuno informacion (tahun 1387)
yang diambil dari bahasa latin informationem yang berarti “garis besar, konsep,
ide”.Informasi merupakan kata benda dari informare yang berarti aktifitas dalam
“pengetahuan yang dikomunikasikan.
Menurut (Puspitawati & Anggadini, 2011, p. 13), informasi merupakan hasil
dari pengolahan data, akan tetapi tidak semua hasil dari pengolahan tersebut bisa
menjadi informasi.
9
Menurut (Mardi, 2011, p. 4), informasi adalah hasil proses atau hasil
pengolahan data, meliputi hasil gabungan, analisis, penyimpulan dan pengolahan
sistem informasi komputerisasi.
2.3 Pengertian Sistem Informasi
Menurut (Gondodiyoto & Hendarti, 2007, p. 112), sistem informasi masih
dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan
prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan
hierarki tertentu dan bertujuan untuk mengolah data menjadi informasi.
Menurut (Rainer & Turban, 2009, p. 415), “Information System a process
that collects, processes, stores, analyze, and disseminates information for a specific
purpose; most Iss are computerized.”.
Jadi dapat disimpulkan bahwa sistem informasi adalah suatu kumpulan
fungsi-fungsi yang saling berkaitan untuk mengubah data menjadi informasi yang
bermanfaat untuk mengambil keputusan dan menyelesaikan masalah tertentu.
2.3.1 Infrastruktur Sistem Informasi
2.3.1.1 Hardware
Menurut (O'Brien & Marakas, 2007, p. 6), hardware mencakup
semua peralatan fisik yang digunakan dalam pemrosesan infromasi.
Hardware berkaitan dengan peralatan keras dengan media komunikasi,
yang menghubungkan berbagai jaringan, dan memproses paket-paket data
sehingga transmisi data menjadi lebih efektif.
10
Hardware adalah semua mesin dan peralatan dalam sebuah sistem
computer. Hardware berjalan di bawah control software dan akan sia-sia
tanpa software. Hardware memiliki sirkuit yang mampu melakukan
pemrosesan.
Hardware dibagi ke dalam lima bagian, yaitu :
1. Input hardware terdiri dari perangkat-perangkat yang berfungsi untuk
memasukkan data ke dalam komputer di dalam suatu format yang dapat
digunakan oleh komputer.
2. Processing and memory hardware adalah otak dari komputer yang
terinsalasi di dalam sebuah sistem kabinet. Contoh dari processing and
memory hardware adalah power supply, processor chip, memory chip,
dan motherboard.
3. Storage hardware adalah sebuah perangkat yang berfungsi untuk
menyimpan data dan program secara permanen. Contoh storage
software adalah floopy disk, harddisk, dan CD/DVD drive.
4. Output hardware adalah sebuah perangkat yang berfungsi untuk
menerjemahkan informasi yang diproses oleh komputer kedalam
sebuah format yang dapat dimengerti oleh pengguna komputer tersebut.
Contoh dari output software adalah monitor, printer, dan speaker.
5. Communication hardware adalah sebuah perangkat elektromagnetik
dan sebuah sistem untuk melakukan komunikasi jarak jauh. Contoh
perangkat communication hardware adalah modem.
11
2.3.1.2 Software
Menurut (O'Brien & Marakas, 2007, p. 104), software meliputi semua
rangkaian perintah pemrosesan informasi. Konsep umum software ini
meliputi tidak hanya rangkaian perintah informasi yang disebut program
dengan hardware komputer pengendalian dan langsung, tapi juga
rangkaian perintah pemrosesan informasi yang disebut prosedur yang
dibutuhkan orang-orang.
Menurut (Syafrizal, 2007, p. 22) mendefinisikan perangkat lunak
sebagai berikut : “Berfungsi sebagai pengatur aktivitas kerja komputer dan
semua intruksi yang mengarah pada sistem komputer. Perangkat lunak
menjembatani interaksi user dengan komputer yang hanya memahami
bahasa mesin.”
Secara garis besar software terbagi menjadi 3(tiga) golongan yaitu :
1. Sistem Operasi yaitu program-program yang menginstegrasikan antara
hardware dan software untuk mengatur proses sistem komputer.
Sistem operasi ada 2 (dua) golongan yaitu sistem operasi jaringan dan
sistem operasi komputer tunggal.
2. Paket Program Aplikasi yaitu program yang dibuat dengan tujuan
untuk aplikasi bidang yang sudah tertentu.
3. Bahasa Pemrograman yaitu serangkaian simbol-simbol dan aturan
pemakaian yang digunakan untuk mengarahkan pengoperasian
komputer. Ada 4 (empat) kategori bahasa pemprograman yaitu bahasa
mesin, bahasa assembly, bahasa tingkat tinggi dan bahasa non
prosedural.
12
2.3.2 Jaringan Komputer
Menurut (Sofana, 2008, p. 3), jaringan komputer (computer networks)
adalah suatu himpunan interkoneksi sejumlah komputer autonomous. Dalam
bahasa yang popular dapat dijelaskan bahwa jaringan komputer adalah
kumpulan beberapa komputer (dan perangkat lain seperti printer, hub, dan
sebagainya) yang saling terhubung satu sama lain melalui media perantara.
Media perantara ini bisa berupa media kabel ataupun media tanpa kabel
(nirkabel). Informasi berupa data akan mengalir dari suatu komputer ke
komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masing-
masing komputer yang terhubung tersebut bisa saling bertukar data atau sebagai
perangkat keras.
Tujuan dari jaringan komputer adalah:
a. Membagi sumber daya: contohnya berbagi pemakaian printer, CPU,
hardisk.
b. Komunikasi: contohnya e-mail, instant messenger, chatting.
c. Akses informasi: contohnya web browsing.
Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan
komputer meminta dan memberikan layanan (service). Pihak yang
meminta / menerima layanan disebut klien (client) dan yang memberikan /
mengirim layanan disebut pelayan (server). Arsitektur ini disebut dengan
sistem client server, dan digunakan pada hampir seluruh aplikasi jaringan
komputer.
13
Macam – macam Jaringan:
A. Berdasarkan skala :
a. Local Area Network (LAN): suatu jaringan komputer yang
menghubungkan suatu komputer dengan komputer lain dengan jarak
yang terbatas.
b. Metropolitant Area Network (MAN): prinsip samadengan LAN,
hanya saja jaraknya lebih luas, yaitu 10-50 km.
c. Wide Area Network (WAN): jaraknya antar kota, negara, dan benua.
Ini sama dengan internet.
B. Menurut (Sofana, 2010, p. 110), berdasarkan pola pengoprasiannya dan
fungsi masing – masing komputer jaringan dapat dibagi menjadi:
a. Peer to peer
Peer to peer adalah jenis jaringan komputer dimana setiap komputer
bisa menjadi server dan sekaligus client. Setiap komputer dapat
menerima dan member access dari dank e-computer lainnya. Pola ini
banyak di implementasikan pada jaringan LAN.
b. Client Server
Client server adalah jaringan komputer yang salah satunya di
fungsikan menjadi server untuk melayani komputer lain. Komputer
yang dilayani oleh server dinamakan client.
14
C. Menurut (Sofana, 2010, p. 114), jenis–jenis topologi jaringan LAN di
bagi menjadi :
a. Topologi Bus
Topologi bus menggunakan sebuah kabel backbone dan semua host
terhubung secara langsung pada kabel backbone tersebut.
b. Topologi Star
Topologi star menghubungkan semua komputer pada sentral atau
konsentrator, biasanya konsentrator adalah sebuah hub dan switch.
c. Topologi Ring
Topologi ring menghubungkan host dengan host lainnya hingga
membentuk ring (lingkaran tertutup).
d. Topologi Mesh
Topologi mesh menghubungkan setiap komputer secara point to point
yang berarti semua komputer akan saling terhubung satu dengan yang
lainnya.
Topologi ini biasanya digunakan pada lokasi kritis seperti instalasi
nuklir.
D. Berdasarkan media transmisi data
a. Jaringan Berkabel (Wired Network)
Pada jaringan ini, untuk menghubungkan satu komputer dengan
komputer lain diperlukan penghubung berupa kabel jaringan. Kabel
jaringan berfungsi dalam mengirim informasi dalam bentuk sinyal
listrik antar komputer jaringan.
15
b. Jaringan Nirkabel (WI-FI)
Jaringan nirkabel menjadi trend sebagai alternatif dari jaringan kabel,
terutama untuk pengembangan Local Area Network (LAN) tradisional
karena bisa mengurangi biaya pemasangan kabel dan mengurangi
tugas-tugas relokasi kabel apabila terjadi perubahan dalam arsitektur
jaringan. Topologi ini dikenal dengan berbagai nama, misalnya
WLAN, WaveLAN, HotSpot, dan sebagainya.
2.4 Pengertian Teknologi
Menurut (Miarso, 2007, p. 51), teknologi merupakan sistem yang diciptakan
oleh manusia untuk sesuatu tujuan tertentu. Ia merupakan perpanjangan dari
kemampuan manusia. Ia dapat kita pakai untuk menambah kemampuan kita
menyajikan pesan, memproduksi barang lebih cepat dan lebih banyak, memproses
data lebih banyak, memberikan berbagai macam kemudahan, serta untuk mengelola
proses maupun orang.
Teknologi sebagai produk ciptaan manusia tergantung bagaimana manusia
merancangnya, memanfaatkannya, dan menerimanya. Teknologi yang berhasil
memperingan kerja badan manusia, di lain pihak dapat menyebabkan pengangguran
dan kejemuan kerja.
Teknologi, karena sifatnya, mencampuri (mengintervensi) urusan manusia
dengan lingkungannya, serta secara konseptual mencampuri peranan orang dalam
dunianya.Keberhasilan atau kegagalan orang dalam dunia yang digelutinya dapat
disebabkan oleh teknologi yang dipakai atau dihadapinya.Jadi nilai segala bentuk
teknologi tergantung pada kegunaannya bagi umat manusia serta akibatnya bagi diri
dan lingkungannya.
16
2.5 Pengertian Teknologi Informasi
Menurut (Kailani, 2011, p. 23), teknologi informasi adalah hasil rekayasa
manusia terhadap proses penyampaian informasi dari pengirim ke penerima sehingga
pengiriman informasi tersebut akan lebih cepat, lebih luas sebarannya, dan lebih
lama penyimpanannya.
Menurut (O'Brien & Marakas, 2007, p. 6), teknologi informasi adalah
hardware, software, telekomunikasi, manajemen database, dan teknologi
pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis
komputer.
Jadi dapat disimpulkan teknologi informasi adalah hasil rekayasa buatan
manusia yang digunakan untuk mengolah data untuk menghasilkan informasi yang
berkualitas dan proses penyampaian informasi yang lebih cepat dan lebih luas.
Sedangkan perbedaan teknologi informasi dan sistem informasi yaitu
teknologi informasi merupakan infrastruktur yang digunakan untuk mengolah data
menjadi informasi yang berkualitas dan sistem informasi merupakan sistem yang
terdiri dari infrastruktur-infrastruktur yang digunakan dalam proses menghasilkan
informasi.
2.6 Pengertian Manajemen
Menurut (Anoraga, 2009, p. 110), manajemen adalah persoalan mencapai
suatu tujuan tertentu dengan suatu kelompok orang.
17
Menurut (Robbins & Coulter, 2009, p. 7), manajemen adalah hal yang
dilakukan oleh para manajer. Manajemen melibatkan aktivitas-aktivitas koordinasi
dan pengawasan terhadap pekerjaan orang lain, sehingga pekerjaan tersebut dapat
diselesaikan secara efisien dan efektif.
2.7 Pengertian Risiko
Menurut (Basyaid, 2007, p. 1), risiko didefinisikan sebagai peluang terjadinya
hasil yang tidak diinginkan sehingga risiko hanya terkait dengan situasi yang
memungkinkan munculnya hasil negatif serta berkaitan dengan kemampuan
memperkirakan terjadinya hasil negatiftadi.
Menurut (Gondodiyoto & Hendarti, 2007, p. 110), risiko adalah suatu
chances, perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa
kontrol, namun tidak mungkin dapat sepenuhnya menghindari adanya exposure,
bahkan dengan struktur pengendalian maksimal sekalipun.
2.7.1 Jenis Risiko
Menurut (Gondodiyoto, 2009, pp. 110-111)dari berbagai sudut
pandang, risiko dapat dibedakan dalam beberapa jenis :
a. Risiko Bisnis (Business Risks)
Risiko bisnis adalah risiko yang dapat disebabkan oleh factor-faktor
internmaupun ekstern yang berakibat kemungkinan tidak tercapainya
tujuan organisasi.
b. Risiko Bawaan (Inherent Risks)
Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang
melekat pada suatu kegiatan jika tidak ada pengendalian internal.
18
c. Risiko Pengendalian (Control Risks)
Dalam suatu organisasi yang baik seharusnya sudah ada risk
assessment, dan dirancang pengendalian internal secara optimal
terhadap setiap potensi risiko.Risiko pengendalian ialah masih adanya
risiko meskipun sudah ada pengendalian.
d. Risiko Deteksi (Detection Risks)
Risiko deteksi ialah risiko yang terjadi karena prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya erroryang cukup
materialitas atau adanya kemungkinan fraud.
e. Risiko Audit (Audit Risks)
Risiko audit sebenarnya kombinasi dari inherent risks, control risks,
dan detection risks. Risiko audit adalah risiko bahwa hasil pemeriksaan
auditor ternyata belum dapat mencerminkan keadaan yang
sesungguhnya.
2.8 Pengertian Manajemen Risiko
Menurut (Jones & Rama, 2008, p. 193), manajemen risiko adalah kegiatan
pemimpinan puncak mengidentifikasi, mengevaluasi, menangani dan memonitor
risiko bisnis yang dihadapi perusahaan mereka di masa yang akan datang.
Menurut (Blokdijk, Engle, & Brewster, 2008), tugas manajemen risiko adalah
mengelola risiko suatu proyek untuk risiko. Tujuannya adalah untuk mengelola risiko
bahwa dengan melakukan tindakan untuk menjaga hubungan ke tingkat yang dapat
diterima dengan cara yang hemat biaya.
Manajemen risiko meliputi :
a. Akses yang bisa dipercaya, tentang risiko yang terbaru
19
b. Proses pengambilan keputusan didukung oleh kerangka analisis risiko dan proses
evaluasi
c. Memantau risiko
d. Pengendalian yang tepat untuk menghadapi risiko
Menurut (Sentosa, 2009, p. 157), manajemen risiko merupakan aplikasi dari
manajemen umum yang secara khusus membahas strategi untuk mengatasi aktivitas-
aktivitas yang menimbulkan risiko terjadi.
Jadi dapat disimpulkan manajemen risiko adalah proses menyeluruh yang
secara khusus digunakan untuk membahas strategi, mengenali, mengukur, dan
mengelola risiko.
2.9 Kinerja dalam Organisasi Publik
Menurut (Wirawan, 2009), kinerja adalah keluaran yang dihasilkan oleh
fungsi-fungsi atau indikator-indikator suatu pekerjaan atau suatu profesi dalam waktu
tertentu.Kinerja dalam organisasi merupakan jawaban dari berhasil atau tidaknya
tujuan organisasi yang telah ditetapkan. Menurut (Dwiyanto, 2008, pp. 50-51),
terdapat beberapa indikator kinerja, yaitu :
1. Produktivitas
Karakteristik-karakteristik kepribadian individu yang muncul dalam bentuk sikap
mental dan mengandung makna keinginan dan upaya individu yang selalu
berusaha untuk meningkatkan kualitas kehidupannya.
20
2. Kualitas Layanan
Banyak pandangan negatifyang terbentuk mengenai organisasi publik, muncul
karena ketidakpuasan masyarakat terhadap kualitas layanan yang diterima dari
organisasi publik. Dengan demikian kepuasan dari masyarakat bisa menjadi
parameter untuk menilai organisasi publik.
3. Responsivitas
Kemampuan organisasi untuk mengenali dan memenuhi kebutuhan masyarakat.
Responsivitas perlu dimasukkan ke dalam indikator kinerja karena
menggambarkan secara langsung kemampuan organisasi pemerintah dalam
menjalankan misi dan tujuannya.
4. Responsibilitas
Responsibilitas menjelaskan apakah pelaksanaan kegiatan organisasi publik itu
dilakukan sesuai dengan prinsip-prinsip administrasi yang benar atau sesuai
dengan kebijakan organisasi, baik yang eksplisit maupun implisit.
5. Akuntabilitas
Akuntabilitas publik menunjukkan pada berapa besar kebijakan dan kegiatan
organisasi publik tunduk pada pejabat politik yang dipilih oleh rakyat. Dalam
konteks ini, konsep akuntabilitas publik dapat digunakan untuk melihat berapa
besar kebijakan dan kegiatan organisasi publik itu konsisten dengan kehendak
masyarakat banyak.
2.10 Pegukuran Risiko Teknologi Informasi Berdasarkan OCTAVE-S
Menurut (A., Stevens, & Woody, 2005), OCTAVE is a suite of tools,
techniques, and methods for risk-based information security strategic assessment
21
and planning. Dapat diartikan OCTAVE adalah suatu jenis strategi pengamanan
berdasarkan teknik perencanaan dan risiko. OCTAVE merupakan salah satu teknik
dan metode yang digunakan untuk strategi dan perencanaan risiko keamanan
informasi.
OCTAVE difokuskan pada risiko organisasi, hasil praktek dan strategi yang
saling terkait. Ketika menerapkan OCTAVE, satu tim kecil yang terdiri dari unit
operasional (atau bisnis) dan dari departemen teknologi informasi bekerja bersama-
sama untuk menunjukkan kebutuhan keamanan dari organisasi, menyeimbangkan 3
aspek utama : risiko operasional, praktek pengamanan, dan teknologi.
Terdapat 3 jenis metode OCTAVE :
a) Metode OCTAVESM digunakan dalam membentuk dasar pengetahuan
OCTAVE.
b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan
informasi dan jaminan.
c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil.
Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE,
pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi keamanan
informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut manajemen risiko
yang digunakan dalam metode-metode OCTAVE.
Sarana dan keuntungan metode-metode OCTAVE adalah :
a. Self directed : Sekelompok anggota organisasi dalam unit-unit bisnis yang
bekerja sama dengan divisi teknologi informasi untuk mengidentifikasi
kebutuhan keamanan dari organisasi.
22
b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan
lingkungan risiko perusahaan di berbagai level.
c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada sisi
keamanan dan menempatkan teknologi di bidang bisnis.
2.10.1 OCTAVE
OCTAVE adalah penilaian strategis berbasis risiko dan teknik
perencanaan untuk keamanan informasi. Hal ini mengarahkan diri sendiri,
yang berarti bahwa orang-orang dari dalam organisasi bertanggung jawab
untuk menetapkan strategi keamanan organisasi. Pendekatan ini
memanfaatkan pengetahuan masyarakat yang berhubungan dengan keamanan
praktek organisasi mereka dan proses untuk menangkap keadaan saat praktek
keamanan dalam organisasi. Risiko terhadap aset yang paling penting yang
digunakan untuk memprioritaskan bidang perbaikan dan mengatur strategi
keamanan untuk organisasi.
Berbeda dengan penilaian teknologi yang berfokus yang ditargetkan
pada risiko teknologi dan fokus pada isu-isu taktis, OCTAVE ditargetkan
pada risiko organisasi dan terfokus pada strategi, praktik-isu terkait. Ini
adalah evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar
organisasi.
Ketika menerapkan OCTAVE, sebuah tim kecil dari unit operasional
atau bisnis dan departemen TI bekerja bersama untuk membentuk tim analisis
dan kebutuhan keamanan organisasi. Tim Analisis:
a. Mengidentifikasi aset informasi penting
b. Fokus pada kegiatan analisis risiko atas aset kritis
23
c. Mempertimbangkan hubungan antara aset kritis, ancaman terhadap aset-
aset dan kerentanan (baik organisasi dan teknologi) yang dapat
mengekspos aset untuk ancaman
d. Mengevaluasi risiko dalam konteks operasional, yaitu, bagaimana aset
penting yang digunakan untuk melakukan bisnis organisasi dan bagaimana
mereka berisiko karena ancaman keamanan dan kerentanan
e. Menciptakan praktik berbasis strategi perlindungan untuk perbaikan
organisasi serta mitigasi resiko berencana untuk mengurangi risiko
terhadap aset kritis organisasi
2.10.1.1 OCTAVESM
Metode OCTAVESM ini dikembangkan bersama-sama dengan
perusahaan besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran buku
pertimbangan satu-satunya. Contohnya, perusahaan besar umumnya memiliki
multi-layered hierarchy dan digunakan untuk mempertahankan perhitungan
infrastruktur mereka seiring dengan kemampuan internal untuk menjalankan
alat evaluasi dan menginterpretasikan hasilnya dalam hubungan dengan aset-
aset yang berharga.
Metode OCTAVESM menggunakan pendekatan tiga fase untuk
menganalisa masalah-masalah perusahaan dan teknologi, menyusun gambaran
komprehensif dari kebutuhan keamanan informasi perusahaan yang disepakati
dalam berbagai kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh
tim analisis yang terdiri dari tiga sampai lima anggota perusahaan.
Metode ini mengambil keuntungan dari berbagai tingkatan
pengetahuan perusahaan, yang berfokus pada :
24
a) Identifikasi aset kritikal dan ancaman terhadap aset tersebut
b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal
yang mengekspos ancaman dan menimbulkan risiko perusahaan
c) Mengembangkan strategi pelatihan berbasis proteksi dan rencana
pengurangan risiko untuk mendukung misi dan prioritas
perusahaan
Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja
yang dapat digunakan untuk memperoleh informasi selama diskusi dan selama
sesi penyelesaian masalah.
2.10.1.2 OCTAVE Allegro
OCTAVE Allegro merupakan suatu metode varian modern yang
berkembang dari metode octave yang dimana berfokus pada aset informasi.
Seperti metode octave sebelumnya, octave allegro bisa ditampilkan di
workshop-style, collaborative setting, tetapi octave allegro juga cocok untuk
individu yang ingin menampilkan penaksiran yang berisiko tanpa keterlibatan
organisasi yang luas, keahlian, dan masukan-masukan.
Fokus utama dari octave allegro adalah aset informasi, aset lain yang
penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan
pada aset informasi yang terhubung dengan aset-aset organisasi tersebut.
Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat:
1. Fase pertama : Pendukung penafsiran menguatkan risiko
pengukuran konsekuensi kriteria dengan pengemudi (orang
yang menjalankan) organisasi : misi organisasi, sasaran
tujuan/target dan faktor yang sangat menentukan.
25
2. Fase kedua : Peserta membuat profile dari setiap aset informasi
yang kritis yang menentukan batasan-batasan yang jelas untuk
aset, mengidentifikasi syarat keamanannya, dan
mengidentifikasi semua wadahnya.
3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap
aset informasi dalam konteks wadahnya.
4. Fase keempat : Peserta mengidentifikasi dan menganalisa
risiko-risiko pada aset informasi dan mulai dikembangkan.
2.10.1.3 OCTAVE-S
Menurut (A., Stevens, & Woody, 2005), OCTAVE-S is a variation of
the approach tailored to the limited means and unique constrains typically
found in small organizations (less than 100 people). Dapat diartikan
OCTAVE-S adalah variasi dan pendekatan OCTAVE yang dikembangkan
untuk kebutuhan organisasi yang kecil (kurang dari 100 orang).
Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu
dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin
terjadi. Salah satu metode analisa risiko keamanan sistem informasi suatu
organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu
mengelola risiko perusahaan dengan mengenali risiko-risiko yang mungkin
terjadi pada perusahaan dan membuat rencana penanggulangan dan mitigasi
terhadap masing-masing risiko yang telah diketahui.
Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh
metode OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan
26
sendiri. Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan
menggunakan metode OCTAVE-S, maka perlu suatu sistem berbasis komputer
yang mampu melakukan analisa risiko terhadap keamanan perusahaan sesuai
dengan langkah-langkah metode OCTAVE-S.
Dua aspek unik dari metode OCTAVE yang harus dipahami adalah :
a. Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja
mengarahkan penggunaan OCTAVE-S secara bersama-sama,
anggota tim analisis harus memiliki pemahaman yang luas
mengenai bisnis organisasi dan proses pengamanan sehingga dapat
menangani semua aktifitas OCTAVE-S. Karena itu OCTAVE-S
tidak mewajibkan adanya suatu workshop formal dalam
pengumpulan data untuk memulai suatu evaluasi.
b. OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama
tahap 2. Organisasi kecil sering kali mengoutsourcekan servis dan
fungsi teknologi informasi mereka, sehingga biasanya tidak bisa
menggunakan dan menginterpretasikan alat evaluasi kerentanan.
Bagaimanapun, kekurangan dari kemampuan organisasi untuk
menjalankan alat seperti itu tidak mencegah suatu organisasi dalam
menentukan sebuah strategi pengamanan.
2.10.1.3.1 Proses OCTAVE-S
Menurut (A., Stevens, & Woody, 2005), proses OCTAVE-S terdiri
dari 3 tahap :
27
Phase 1 : Build Asset-Based Threat Profiles
Pada tahap ini, tim analisa mendefinisikan kriteria dampak
evaluasi yang akan dipergunakan nantinya untuk mengevaluasi
risiko. Dan juga mengidentifikasikan asset organisasi yang
penting dan mengevaluasi prkatek keamanan yang sedang
berjalan dalam organisasi. Pada akhirnya, tim mendefinisikan
kebutuhan keamanan dan suatu profil ancaman untuk masing-
masing asset yang kritis.
Dalam tahap ini, proses yang sedang terjadi adalah :
Process 1 : Identify Organizational Information
Aktifitasnya :
1. a) Establish Impact Evaluation Criteria
Langkah 1 : Mendefinisikan suatu pengukuran
berdasarkan kualitasnya (high, medium, low) yang
berlawanan dengan apa yang akan dievaluasi mengenai
efek risiko dalam misi organisasi dan tujuan bisnis.
1. b) Identify Organizational Assets
Langkah 2 : Mengidentifikasi asset-aset yang
berhubungan dengan informasi dalam organisasi
(informasi, sistem, aplikasi, orang-orang).
1. c) Evaluate Organizational Security Practices
Langkah 3 dibagi menjadi dua :
1. Menentukan batasan-batasan pada setiap praktek dalam
survey yang digunakan dalam organisasi.
28
2. Mengevaluasi masing-masing praktek pengamanan dengan
mempergunakan survei dari langkah sebelumnya.
Langkah 4 : Setelah menyelesaikan langkah 3 tentukan
stoplight status (red, yellow, or green) untuk masing-
masing area praktek pengamanan.
Process 2 : Create Threat Profiles
Aktivitasnya :
2. a) Select Critical Assets
Langkah 5 :Mengkaji ulang aset-aset yang berhubungan
dengan informasi yang telah diidentifikasi pada saat
langkah 2 dan memilih kurang lebih 5 aset yang paling
kritis dalam organisasi.
Langkah 6 : Memulai sebuah Critical Asset Information
Worksheet untuk masing-masing aset kritis yang ada pada
Critical Asset Information Worksheet yang sesuai.
Langkah 7 : Mencatat dasar pemikiran untuk memilih
masing-masing aset kritis pada Critical Asset Information
Worksheet.
Langkah 8 : Mencatat uraian untuk masing-masing aset
kritis pada Critical Asset Information Worksheet.
Pertimbangkan siapa saja yang menggunakan masing-
masing aset kritis seperti halnya siapa saja yang
bertanggung jawab terhadap aset kritis tersebut.
Langkah 9 : Mencatat aset yang berhubungan dengan
masing-masing aset kritis pada Critical Asset Information
29
Worksheet.Mengacu pada Asset IdentificationWorksheet
untuk menentukan aset yang berhubungan dengan aset
kritis.
2. b) Identify Security Requirements for Critical Assets
Langkah 10 : Mencatat pengamanan yang dibutuhkan
untuk masing-masing aset kritis pada Critical Asset
Information Worksheet.
Langkah 11 : Untuk masing-masing aset kritis, catat
kebutuhan keamanan yang paling penting pada aset-
aset tersebut yang ada di dalam Critical Asset
Information Worksheet.
2. c) Identify Threats to Critical Assets
Langkah 12 : Lengkapi semua skema ancaman yang
sesuai untuk masing-masing aset yang kritis. Tandai
masing-masing bagian dari tiap skema untuk ancaman
yang tidak penting terhadap aset.Saat melengkapi langkah
ini, apabila menemukan kesulitan dalam menafsirkan
sebuah ancaman dalam skema ancaman, periksa kembali
gambaran dan contoh dari ancaman tersebut dalam Threat
Translation Guide.
Langkah 13 : Mencatat contoh spesifik dari perilaku
ancaman pada Risk Profile Worksheet untuk setiap
kombinasi motif pelaku yang sesuai.
30
Langkah 14 : Mencatat seberapa besar kekuatan dari motif
ancaman yang disengaja yang disebabkan oleh pelaku.
Catat seberapa besar perkiraan kekuatan motif dari pelaku.
Langkah 15 : Mencatat seberapa sering ancaman-ancaman
tersebut terjadi di masa lampau. Dan juga catat seberapa
keakuratan data.
Langkah 16 : Catat area terkait untuk setiap sumber
ancaman yang sesuai. Area terkait merupakan suatu
skenario yang menjelaskan bagaimana ancaman spesifik
dapat mempengaruhi aset kritis.
Phase 2 : Identify Infrastructure Vulnerabilities
Selama tahap ini, tim analisa melaksanakan high level
review dari infrastruktur organisasi, berfokus pada sejauh mana
maintainers dari infrastruktur mempertimbangkan keamanan. Tim
analisa menganalisa bagaimana orang-orang menggunakan
infrastruktur untuk mengakses akses yang kritis, menghasilkan
kelas kunci dari komponen seperti halnya siapa yang bertanggung
jawab untuk mengatur dan memelihara komponen itu.
Process 3 : Examine Computing Infrastructure in Relation to
Critical Assets
31
Aktifitasnya :
3. a) Examine Access Paths
Langkah 17 : Memilih sistem yang menarik untuk setiap
aset kritis (yaitu sistem yang paling berkaitan erat pada
aset kritis).
Langkah 18 dibagi menjadi 5 :
1. Memeriksa kembali jalur yang digunakan untuk
mengakses setiap aset kritis dan memilih kelas kunci
dari komponen yang berhubungan pada masing-masing
aset kritis.
2. Menentukan kelas mana dari komponen yang bertugas
sebagai perantara jalur aset (yaitu komponen yang
biasanya mengirimkan informasi dan aplikasi dari
system of interest kepada orang-orang).
3. Menentukan kelas mana dari komponen, baik internal
dan eksternal untuk jaringan organisasi, yang
digunakan oleh orang-orang (misalnya, pengguna,
penyerang) untuk mengakses sistem.
4. Menentukan di mana informasi dari system of
interestdisimpan untuk membuat backup.
5. Menentukan sistem akses informasi dan aplikasi-
aplikasi dari system of interestdan kelas dari komponen
lain yang mana yang dapat digunakan sebagai aset yang
kritis.
32
3. b) Analyze Technology-Related Processes
Langkah 19 dibagi menjadi 2 :
1. Menentukan kelas dari komponen yang terkait dari
satu atau lebih aset kritis dan yang dapat mendukung
akses ke aset-aset tersebut. Tandai jalur pada setiap
kelas yang terpilih pada langkah 18. Mencatat
subclasses yang cocok atau contoh spesifik pada saat
dibutuhkan.
2. Untuk setiap kelas dari komponen yang
didokumentasikan pada langkah sebelumnya, catat
aset kritis yang berhubungan terhadap kelas tersebut.
Langkah 20 : Untuk setiap kelas dari komponen yang
didokumentasikan di langkah 19.1, catat orang atau
grup yang bertanggung jawab untuk memelihara dan
mengamankan kelas komponen tersebut.
Langkah 21 : Untuk setiap kelas dari komponen yang
didokumentasikan di langkah 19.1, catat sejauh mana
kelas tahan terhadap serangan jaringan. Kemudian
catat bagaimana kesimpulan tersebut didapatkan.Pada
akhirnya dokumentasikan semua tambahan konteks
yang relevan terhadap analisa infrastruktur.
Phase 3 : Develop Security Strategy and Plans
Selama tahap 3, tim analisa mengidentifikasikan risiko ke aset
kritis organisasi dan memutuskan apa yang harus dilakukan terhadap
33
aset kritis tersebut. Berdasarkan pada analisa dari informasi yang
dikumpulkan, tim membuat strategi perlindungan untuk organisasi dan
rencana untuk mengurangi dan mengatasi risiko aset-aset kritis.
Process 4 : Identify and Analyze Risks
Aktifitasnya :
4. a) Evaluate Impacts of Threats
Langkah 22 : Menggunakan kriteria evaluasi dampak sebagai
panduan, menentukan nilai dampak (high, medium, low) untuk
setiap ancaman yang aktif untuk masing-masing aset kritis.
4. b) Establish Probability Evaluation Criteria
Langkah 23 : Mendefinisikan ukuran kualiatatif dari pengukuran
(high, medium, low) yang bertentangan terhadap kemungkinan
ancaman yang akan terjadi pada saat evaluasi.
4. c) Evaluate Probabilities of Threats
Langkah 24 : Menggunakan kemungkinan kriteria evaluasi
sebagai suatu panduan, menentukan suatu nilai kemungkinan
(high, medium, low) untuk setiap ancaman yang aktif untuk
masing-masing aset kritis. Mendokumentasikan taraf
kepercayaan pada estimasi kemungkinan tersebut.
Process 5 : Develop rotection Strategy and Mitigation Plans
Aktifitasnya :
5. a) Describe Current Protection Strategy
Langkah 25 : Mentransfer stoplightstatus pada masing-masing
area praktek pengamanan terhadap area tanggapan pada
Protection Strategy Worksheet. Untuk masing-masing area
34
praktek pengamanan, identifikasi pendekatan organisasi saat ini
untuk menangani area tersebut.
5. b) Select Mitigation Approaches
Langkah 26 : Mentransfer stoplightstatus dari masing-masing
area praktek pengamanan dari Security Practice Worksheet ke
bagian Security Practice Area dari masing-masing aset kritis
pada Risk Profile Worksheet.
Langkah 27 : Memilih salah satu pendekatan pengurangan risiko
(mengurangi, menunda, menerima) untuk masing-masing risiko
aktif.
5. c) Develop Risk Mitigation Plans
Langkah 28 : Mengembangkan rencana pengurangan beban
untuk masing-masing area praktek pengamanan yang dipilih
selama langkah 27.
5. d) Identify Changes to Protection Strategy
Langkah 29 :Menentukan apakah rencana pengurangan risiko
mempengaruhi strategi pengamanan organisasi. Catat semua
perubahan apapun pada Protection Strategy Worksheet.
5. e) Identify Next Steps
Langkah 30 : Menentukan apa yang dibutuhkan oleh organisasi,
mengimplementasikan keamanan dari hasil dari evaluasi serta
meningkatkan keamanan.
35
2.10.1.3.2 OCTAVE-S outputs
Menurut (A., Stevens, & Woody, 2005), hasil utama dari
OCTAVE-S memiliki 3 strata dan meliputi :
1. Organization Wide Protection Strategy : memperhatikan praktek
pengamanan informasi.
2. Risk Mitigation Plans : rencana ini dimaksudkan untuk
mengurangi risiko terhadap aset kritis dengan meningkatkan
praktek keamanan yang dipilih.
3. Action List : ini termasuk tindakan jangka pendek yang digunakan
untuk menunjukkan kekurangan spesifik.
Kegunaan Output OCTAVE-S lainnya, meliputi :
a. Daftar dari aset-aset yang berhubungan dengan informasi penting
yang mendukung tujuan dan sasaran bisnis organisasi.
b. Hasil survey menunjukkan sejauh mana organisasi mengikuti
praktek keamanan yang baik.
c. Profil risiko masing-masing aset kritis yang menggambarkan
jangkauan risiko terhadap aset tersebut.
Masing-masing tahap dari OCTAVE-S menghasilkan hasil yang
dapat dipakai bahkan suatu evaluasi kecilakan menghasilkan
informasi yang berguna untuk meningkatkan sikap keamanan
organisasi.
36