PDF IS Risk

8/10/2019 PDF IS Risk

1/45

13

BAB 2

LANDASAN TEORI

2.1 Teknologi Informasi

Menurut Williams dan Sawyer, teknologi informasi adalah setiap

teknologi yang membantu, menghasilkan, memanipulasi, menyimpan,

berkomunikasi, dan /atau menyebarkan informasi. Dan sisi lain, menurut Obrien

(2005), teknologi informasi adalah hardware, software, telekomunikasi,

manajemen database, dan teknologi pemrosesan informasi lainnya yang

digunakan dalam sistem informasi berbasis komputer.

2.2 Infrakstruktur Teknologi Informasi

Menurut Williams dan Sawyer ada dua kategori dasar dalam teknologi

informasi, yaitu hardwaredan software.

2.2.1 Hardware

Hardware adalah semua mesin peralatan di komputer yang juga sering

dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer,

yaitu :

1. Input. Yang berkaitan dengan peralatan, proses, atau saluran yang

dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat

input komputer mencakup keyboard, layar sentuh, pena, mouse, dan

lain-lan. Alat alat tersebut mengonversi data ke dalam bentuk


2/45

14

elektronik dengan entri langsung atau melalui jaringan

telekomunikasi ke dalam sistem komputer.

2. Proses. Central processing unit(CPU) adalah komponen pemrosesan

utama dari sistem komputer

3. Storage. Fungsi storage dari sistem komputer berada pada sirkuit

penyimpanan dari unit penyimpanan primer (primary storage unit)

atau memori, yang didukung oleh alat penyimpanan sekunder

(secondary storage), seperti disket, magnetis, dan disk drive optical.

4. Output. Berkaitan dengan peralatan, proses, atau saluran yang

dilibatkan dalam transfer data atau informasi ke luar dari sistem

pemrosesan informasi. Alat outp ut dari sistem komputer mencakup

unit tampilan visual, printer, unit respons audio, dan lain-lain. Alat-

alat ini mengubah informasi elektronik yang dihasilkan oleh sistem

komputer menjadi bentuk yang dapat dipresentasikan ke pemakai.

5. Komunikasi. Yang berkaitan dengan pengiriman informasi dan

menerima informasi dari orang atau komputer lain dalam satu

jaringan. Contohny a, modem.

6. Connecting hardware. Termasuk hal-hal seperti terminal paralel

yang menghubungkan printer, kabel penghubung yang

menghubungkan printer ke terminal paralel dan peralatan penghubung

internal yang sebagian besar termasuk alat pengantar untuk perjalanan

informasi dari satu bagian hardware ke bagian lainnya.


3/45

15

2.2.2 Software

Menurut Williams and Sawyer, software adalah program yang secara

elektronik mengkodekan intruksi yang memberitahukan hardware komputer

untuk melakukan tugas. Ada 2 tipe utama dari software, yaitu application

software dan system software. Application software manajemen risiko

berkaitan dengan potensi kerugian, termasuk kerugian ekonomi, penderitaan

manusia, atau yang dapat mencegah organisasi dari yang untuk mencapai

tujuannya sedangkan system software memungkinkan perangkat lunak aplikasi

untuk berinteraksi dengan komputer dan membantu komputer mengelola

sumber daya internal dan eksternal.

System software dibagi menjadi 2 sistem yakni : operating system dan

utility software. Operating system software adalah komponen utama dari

perangkat lunak sistem dalam sistem komputer, sedangkan Utility software

umumnya digunakan untuk mendukung, meningkatkan, atau memperluas

program yang ada dalam sistem komputer.

2.2.3 Jaring an Komputer

Menurut Williams and Sawyer, jaringan dapat juga disebut jaringan

komunikasi sistem komputer yang saling berhubungan, telepon, atau perangkat

komunikasi yang dapat berkomunikasi dengan satu sama lain dan berbagi

aplikasi dan data. Jaringan komputer menjadi penting bagi manusia dan

organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan

bagi mereka. Beberapa manfaat dari jaringan komputer adalah :


4/45

16

1. Pembagian perangkat periferal: perangkat periferal seperti printer

laser, disk driver, dan scanner biasanya sangat mahal. Akibatnya,

untuk menjadi dasar pengadaannya, manajemen memaksimalkan

penggunaan mereka. Biasanya, cara terbaik untuk melakukan ini

adalah menghubungkan ke jaringan peripheral yang melayani

beberapa pengguna komputer.

2. Pembagian Program & Data: seluruh program, peralatan dan data

yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa

dipengaruhi lokasi sumber dan pemakai.

3. komunikasi yang baik: memungkinkan kerjasama antar orang-orang

yang saling berjauhan melalui jaringan komputer baik untuk bertukar

data maupun berkomunikasi.

4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa

saja sebuah data informasi hanya dimiliki oleh satu karyawan saja,

yang disimpan di komputer yang bersangkutan. Apabila karyawan

tesebut diberhentikan, atau kantor yang bersangkutan mengalami

bencana kebakaran atau banjir, maka kantor tersebut akan kehilangan

data informasi tersebut. Sekarang in i data-data tersebut dibuat

cadangan atau digandakan pada perangkat penyimpanan jaringan

yang dapat diakses oleh karyawan lain.

5. Akses ke dalamdatabase : jaringan memungkinkan pengguna untuk

memanfaatkan berbagai database, apapun database perusahaan

swasta atau database publik secara online melalui internet tersedia.


5/45

17

Berdasarkan tinjauan dari rentang geografis yang dicakup oleh suatu

jaringan, jaringan komputer t erbagi menjadi 5 jenis, yaitu : WAN (Wide Area

Network), MAN (Metropolitan Area Network), LAN ( Local Area Network),

HAN (Home Area Network), PAN ( Personal Area Network).

1. WAN adalah jaringan komunikasi yang mencakup area geografis

yang luas. Contohnyajaringan komputer antarwilayah, antarkota, atau

bahkan antarnegara. WAN digunakan untuk menghubungkan jaringan

lokal yang satu dengan jaringan lokal yang lain sehingga pengguna

atau komputer di lokasi yang satu dapat berkomunikasi dengan

pengguna dan komputer di lokasi yang lain.

2. MAN adalah jaringan komunikasi yang mencakup sebuah kota atau

pinggiran kota. Jangkauan dari MAN ini antara 10 hingga 50 km.

MAN ini merupakan jaringan yang tepat untuk membangun jaringan

antar kantor-kantor dalam satu kota, antara pabrik/instansi, dan kantor

pusat yang berada dalam jangkauannya.

3. LAN adalah menghubungkan komputer dan alat di daerah geografis

terbatas. Sebagai contoh, jaringan dalam satu kampus yang terpadu

atau di sebuah lokasi perusahaan. LAN pada umumnya menggunakan

media transmisi berupa kabel (UTP ataupun serat optik), tetapi ada

juga yang tidak menggunakan kabel dan disebut sebagai Wireless

LAN (WLAN) atau LAN tanpa kabel. Kecepatan LAN berkisar dari

10 Mbps sampai 1 Gbps.

4. HAN adalah koneksi dengan menggunakan kabel, atau tanpa kabel

(wireless) yang menghubungkan alat digital rumah tangga.


6/45


7/45

19

Node - nodedihubungan secara serial sepanjang kabel, dan pada kedua

ujung kabel dittutup dengan terminator

Sangat sederhana dalam instalasi

Sangat ekonomis dalam biaya

Paket- paket data saling bersimpangan pada suatu kabel

Tidak diperlukan hub, yang banyak diperlukan adalah Tconnector pada

setiap ethernet card.

Masalah yang sering terjadi adalah jika salah satu node rusak, maka

jaringan keseluruhan dapat down, sehingga node tidak bisa

berkomunikasi dalam jaringan tersebut

Gambar 2.1 Topologi Bus

2. TopologiRing

Topologi jaringan cincin mengikat prosesor komputer lokal dalam cincin

dengan dasar yang lebih setara.

Karakteristik TopologiRing, yaitu :

Node nodedihubungkan secara serial di sepanjang kabel, dengan

bentuk jaringan seperti lingkaran


8/45

20

Sangat sederhana dalam layout seperti jenis topologi bus

Paket p aket data dapat mengalit dalam satu arah (kekiri atau kekanan)

sehingga collisiondapat dihindarkan

Masalah yang dihadapi sama dengan topologi bus, yaitu jika salah satu

noderusak maka seleruh nodetidak bisa berkomunikasi dalam jaringan

tersebut

Tipe kabel yang digunakan biasanya kabel UTP atau Patch Cable(IBM

tipe)

Gambar 2.2 Topologi Ring

3. Topologi Star

Topologi jaringan bintang mengikat komputer pemakai akhir ke satu

komputer pusat. Karakteristik Topologi Star, yaitu:

Setiap nodeberkomunikasi langsung dengan konsentrator (HUB)

Bila setiap paket data yang masuk ke consentrator(HUB) kemudian

di broadcastke seluruh nodeyang terhubung sangat banyak


9/45

21

(misalnya memakai hub 32 port), maka kinerja jaringan akan semakin

turun

Sangat mudah dikembangkan

Jika salah satu ethernetcard rusak, atau salah satu kabel pada

terminal putus, maka keseluruhan jaringan masih tetap bisa

berkomunikasi atau tidak terjadi downpada jaringan keseluruhan

tersebut

Tipe kabel yang digunakan biasanya jenis UTP

Gambar 2.3 Topologi Star

4. TopologiMesh

Topologi jaringan Mesh menggunakan saluran komunikasi langsung untuk

saling menghubungkan beberapa atau semua komputer dalam cincin.

Karakteristik topologi mesh, yaitu:

TopologiMeshmemiliki hubungan yang berlebihan antara peralatan

peralatan yang ada


10/45

22

Susunannya pada setiap peralatan yang ada di dalam jaringan saling

terhubung satu sama lain

Jika jumlah peralatan yang terhubung sangat banyak, akan sangat

sulit untuk dikendalikan dibandingkan hanya sedikit peralatan saja

yang terhubung

Gambar 2.4 Topologi Mesh

2.4 Konsep Manajemen Risiko

2.4.1 Pengertian Risiko

Menurut Djojosoedarso (2005, p.2), istilah risiko sudah biasa dipakai

dalam kehidupan kita sehari-hari, yang umumnya sudah dipahami secara intuitif.

Akan tetapi, pengertian secara ilmiah dari risiko sampai saat ini masih tetap

beragam, di antaranya :

a. Risiko adalah suatu variasi dari hasil- hasil yang dapat terjadi selama

periode tertentu ( Arthur Williams dan Richard, M.H).


11/45

23

b. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan

peristiwa kerugian ( loss)( A.Abas Salim).

Dari definisi tersebut, dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang

tidak diduga/tidak diinginkan.

2.4.1.1 Macam-macam Risiko

Menurut Djojosoerdarso (2005, p3), risiko dapat dibedakan dengan

berbagai macam, antara lain:

1. Menurut sifat risiko dapat dibedakan ke dalam:

a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang

apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa

disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam,

pencurian, pengegelapan, pengacauan, dan sebagainya.

b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang

disengaja ditimbulkan oleh yang bersangkutan agar terjadinya

ketidakpastian memberikan keuntungan kepadanya. Misalnya,

risiko utang-piutang, perjudian, perdagangan berjangka (hedging),

dan sebagainya.

c. Risiko fundamental adalah risiko yang tidak dapat dilimpahkan

kepada seseorang dan yang menderita tidak hanya satu atau

beberapa orang saja, tetapi banyak orang. Seperti banjir, angin

topan, dan sebagainya.


12/45

24

d. Risiko khusus adalah risiko yang bersumber pada peristiwa

mandiri dan umumnya mudah diketahui penyebabnya, seperti

kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.

e. Risiko dinamis adalah risiko yang timbul karena perkembangan

dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu

dan teknologi, seperti risiko keusangan dan risiko penerbangan

ruang angkasa. Kebalikannya adalah risiko statis, contohnya

seperti risiko hari tua dan juga risiko kematian.

2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain:

a. Risiko yang dapat dialihkan kepada pihak lain, dengan

mempertanggungkan suatu objek yang akan terkena risiko kepada

perusahaan asuransi, dengan membayar sejumlah p remi asuransi,

sehingga semua kerugian menjadi tanggungan (pindah) ke pihak

perusahaan asuransi.

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat

diasuransikan). Umumnya meliputi semua jenis risiko spekulatif.

3. Menurut sumber/penyebab timbulnya:

a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu

sendiri, seperti kerusakan aktiva karena ulah karyawan,

kecelakaan kerja, kesalahan manajemen, dan sebagainya.

b. Risiko ekstern, yaitu risiko yang berasal dari luar perusahaan,

seperti risiko pencurian, penipuan, persaingan, fluktuasi harga,

perubahan kebijakan pemerintah, dan sebagainya.


13/45


14/45

26

Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem,

karena kesalahan manusia, perubahan konfigurasi, kurangnya

pengurangan arsiktektur atau akibat lainnya.

3. Daya pulih

Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam

waktu yang cukup setelah sebah kejadian keamanan atau ketersediaan,

seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau

bencana alam.

4. Perfoma

Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan

oleh arsiktektur terdistribusi, permintaaan yang tinggi, dan topografi

informasi teknologi yang beragam.

5. Daya skala

Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk

arsiktekturnya membuat tidak mungkin menangani banyak aplikasi baru

dan biaya bisnis yang efektif.

6. Ketaatan

Risiko manajemen atau penggunaan informasi melanggar regulasi. Yang

dipersalahkan dalam hal ini mencakup regulasi pemerintah, paduan

pengaturan korporat dan kebijakan internal.

2.5 .2 Kelas Kel as Risi ko Teknologi Informasi

Menurut Jordan dan Silcock (2005), risiko risiko teknologi

didefinisikan dalam 7 kelas, di mana pada setiap kasus teknologi informasi dapat


15/45

27

juga melakukan kesalahan, tetapi konsekuensi konsekuensinya dapat berakibat

negatif bagi bisnis. Kelas kelas risiko:

1. Projects Failing to deliver

Kelas risiko ini berhubungan dengan proyek TI yang gagal. Tiga hal yang

menjadi ukuran dari gagalnya performa, yaitu waktu, kualitas, dan lingkup.

Contohnya, proyek terlambat diselesaikan, proyek banyak memakan banyak

sumber daya dan dana dibandingkan dengan yang sudah direncanakan,

memberikan fungsi yang kurang kepada pengguna dibandingkan dengan

yang sudah direncanankan, menggangu bisnis selama proses implementasi,

dan lain lain.

2. IT Service Continuity When business operations go off the air

Kelas risiko ini berhubungan dengan layanan TI yang tidak berjalan dan

ketidakandalan yang menyebabkan gangguan pada bisnis. Itu berhubungan

dengan sistem operasional atau produksi dan kemampuan mereka untuk tetap

beroperasi dengan andal unutk mendukung kebutuhan pengguna.

3. Information Assets Failing to protect and preserve

Kelas risiko ini berhubungan secara khusus mengenai kerusakan,

kerugian atau eksploitasi asset informasi yang ada dalam sistem TI. Dampak

risiko asset informasi ini bisa sangat signitifkan. Misalnya, informasi yang

penting mungkin didapatkan kompetitor, detail dari kartu kredit konsumen

bisa saja dicuri dan digunakan untuk tujuan yang sifatnya menipu, atau

dipublikasikan dan nantinya merusak hubungan dengan pelanggan dan

reputasi organisasi.

4. Service Providers and Vendors Breaks in the IT value chain


16/45

28

Layanan vendor dan penyedia memainkan peran yang signifikan dalam

proyek TI dan berjalannya sistem dari hari ke hari. Bila mereka gagal dalam

menyediakan layanan terbaik bagi organisasi maka akan berdampak pada

sistem dan layanan TI dan dampaknya bisa dirasakan dalam jangka panjang.

Misalnya, kelemahan pada kemampuan layanan TI bagi pengguna organisasi

tersebut.

5. Applications Flaky systems

Kelas risiko berhubungan dengan kegagalan dalam aplikasi TI. Dampak

dari aplikasi yang gagal untuk menjalankan fungsinya sebagaimana

diharapkan dan dibutuhkan dapat terhubung dengan banyak system lain di

organisasi sehingga dampaknya bisa terjadi pada hal-hal yang terkait.

6. Infrastructure Shaku foundations

Kelas risiko ini terkait kegagalan dalam infrastruktur TI. Infrastruktur

adalah nama yang umum untuk komputer dan jaringan yang tersentralisasi

dan terdistribusi di mana aplikasi berjalan. Kegagalan infrastruktur TI dapat

menjadi permanen ketika sebuah komponen terbakar, tercuri, atau terhenti

karena perbaikan, maupun ketika pasokan energi tidak ada atau koneksi

jaringan putus. Dampak kegagalan tergantung pada tingkat ketahanan dan

redudansi pada sistem dan ketersediaan dan kesiapan dari fasilitas yang siap

mendukung. Sistem yang sudah tidak cocok sebaiknya diganti oleh

organisasi.

7. Strategic and Emergent Disabled by IT

Kelas risiko ini terkait dengan kemampuan TI untuk mengeksekusi

strategi bisnis. Dampaknya tidak segera dirasakan, tetapi akan menjadi


17/45


18/45

30

(termasuk mengevaluasi), dan program penanggulangan risiko. Program

manajemen risiko dengan demikian mengcakup tugas-tugas, seperti :

1. Mengidentifikasi risiko-risiko yang dihadapi

2. Mengukur atau menentukan besarnya risiko tersebut

3. Mencari jalan untuk menghadapi atau menanggulangi risiko

4. Menyusun strategi untuk memperkecil atau pun menanggulangi risiko

5. Mengkoordinasikan pelaksanaan risiko secara mengevaluasi program

penanggulangan risiko yang telah dibuat.

2.6.2

Fun gsi - Fungsi Pokok Manaje men Risi ko

Menurut Djojosoedarso (2005,p14), fungsi pokok manajemen risiko

terdiri dari :

1. Menemukan kerugian potensial

Artinya berupaya untuk menemukan atau mengidentifikasi seluruh risiko

murni yang dihadapi perusahaan, yaitu:

a. Kerusakan fisik dari harta kekayaan perusahaan.

b. Kehilangan pendapatan atau kerugian lainnya akibat

terganggunya operasi perusahaan.

c. Kerugian akibat adanya tuntutan hukum dari pihak lain.

d. Kerugian-kerugian yang timbul karena penipuan, tindakan-

tindakan kriminal lainnya, dan tidak jujurnya karyawan.

e. Kerugian-kerugian yang timbul akibat karyawan kunci (keymen)

meninggal dunia, sakit, atau cacat.

2. Mengevaluasi kerugian potensial


19/45

31

Artinya melakukan evaluasi dan penilaian terhadap semua kerugian

potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini

meliput i perkiraan mengenai :

a. Besarnya kemungkinan frekuensi terjadinya kerugian. Artinya,

memperkirakan jumlah kemungkinan terjadinya kerugian selama

suatu periode tertentu atau berapa kali terjadinya kerugian selama

suatu periode tertentu.

b. Besarnya bahaya yang tiap-tiap kerugian, artinya menilai

besarnya kerugian yang diderita, yang biasanya dikaitkan dengan

besarnya pengaruh kerugian tersebut, terutama terhadap kondisi

finansial or ganisasi.

3. Memilih teknis/cara yang tepat atau menentukan suatu kombinasi dari

teknik-teknik yang tepat guna menanggulangi kerugian. Pada dasarnya,

terdiri dari empat cara yang dapat dipakai untuk menanggulangi risiko,

yaitu mengurangi kesempatan terjadinya kerugian, meretensi,

mengasuransikan, atau menghindari. Tugas dari manajer risiko adalah

memilih satu cara yang paling tepat untuk menanggulangi risiko.

2.6.3 Tah apan Mana je men Ri siko Teknol ogi

Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen

risiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda

untuk jenis risiko yang berbeda :

1. Pengenalan/ penemuan menaruh risiko teknologi informasi pada radar

manajemen.


20/45

32

2. Penilaian/ analisis mengerti risiko informasi teknologi dalam konteks

tas surat keseluruhan risiko informasi teknologi dan menilai

kemungkinan munculnya dan pengaruhnya pada bisnis.

3. Perawatan menentukan pilihan terbaik dari beberapa langkah tindakan

yang memungkinkan untuk mengatasi risiko, merencanakan, dan

menyelesaikan tindakan y ang diperlukan.

4. Pengamatan dan peninjauan menindaklanjuti untuk memastikan apa

yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada

tas surat risiko teknologi informasi.

2.7 Fi rewall

Menurut OBrien (2007, p.458), firewall adalah sebuah sistem atau

perangkat yang mengizinkan pengerakan lalu lintas jaringan yang dianggap aman

untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting

yang digunakan untuk mengendalikan dan mengamankan Internet dan berbagai

macam jaringan merupakan kegunaan dari firewall. Firewall dapat disebut

sebagai gatekeeper atau penjaga pintu gerbang, yang melindungi akses Internet

perusahaan dan jaringan komputer lainnya d ari intrusi atau penyusup. Firewall

pada umumnya juga digunakan untuk mengontrol akses erhadap siapapun yang

memiliki akses t erhadap jaringan pribadi dari pihak luar.

2.8Down Time

Downtime merupakan istilah yang merujuk kepada periode di mana

sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat


21/45

33

melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena

adanya gangguan hardware, software, ataupun komunikasi.

2.9 Virus

Menurut OBrien (2007, p.446), salah satu contoh kejahatan komputer

yang paling bersifat merusak adalah virus komputer atau yang biasa desebut

dengan worm. Virus adalah istilah yang paling popular. Secara teknis, virus

adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke

dalam program yang lainnya. Worm sendiri merupakan program yang berbeda

yang dapat berjalan tanpa bantuan. Dapat disimpulkan, virus adalah program

yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat

mereplikasi sendiri penyebarannya karena dilakukan oleh orang, seperti copy

file, biasanya melalui attachement email, game, program bajakan, dan lain-lain.

2.10 Server

Menurut OBrien (2007, p190), serverdiartikan sebagai komputer yang

mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian

peralatan periferal, software, dan database di antara berbagai terminal kerja

dalam jaringan, dan yang kedua diartikan sebagai versi software untuk

pemasangan server jaringan yang di desain untuk mengendalikan aplikasi pada

mikro komputer klien dalam jaringan.


22/45


23/45

35

sama. Lebih tepatnya, kata ini bisa mengindikasikan rangkaian aktivitas, tugas-

tugas, langkah-langkah, dan proses-proses yang dijalankan.

2.14Demil i tariz ed Zon e

Demilitarized Zone (DMZ) merupakan mekanisme unutk melindungi

sistem internal dari serangan hacker ataupun pihak pihak lain yang ingin

memasuki sistem tanpa mempunyai hak akses. Secara esensial, DMZ melakukan

perpindahan semua layanan suatu jaringan ke jaringan lain yang berbeda. DM Z

terdiri dari semua port terbuka, yang dapat dilihat oleh pihak luar.

2.15Domain Name System

Domain Name System (DNS) adalah sebuah sistem yang menyimpan

informasi tentang nama host maupun nama domain dalam bentuk basis data

tersebar (distributed database) di dalam jaringan komputer. DNS

menyediakan alamat IP untuk setiap nama host dan mendata setiap server

transmisi surat (mail exchange server) yang menerima surel (email) untuk setiap

domain.

DNS menyediakan servis yang cukup penting untuk Internet. Bilamana

perangkat keras komputer dan jaringan bekerja dengan alamat IP untuk

mengerjakan tugas seperti pengalamatan dan penjaluran (routing), manusia pada

umumnya lebih memilih untuk menggunakan nama host dan nama domain.

Contohnya adalah penunjukan sumber universal (URL) dan alamat surel.

Analogi yang umum digunakan untuk menjelaskan fungsinya adalah DNS bisa

dianggap seperti buku telepon Internet dimana saat pengguna mengetikkan


24/45

36

www.contoh.com di perambah web maka pengguna akan diarahkan ke alamat IP

192.0.32.10 (IPv4) dan 2620:0:2d0:200:10 (IPv6).

2.16 Proxy S erver

Proxy Server adalah sebuah server(sistem komputer atau aplikasi) yang

bertindak sebagai perantara permintaan dari klien mencari sumber daya dari

server lain. Klien A terhubung ke server perantara, meminta beberapa servis,

seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia

dari server yang berbeda. Server perantara mengevaluasi permintaan menurut

aturan penyaringan. Sebagai contoh, mungkin filter lalu lintas oleh [alamat [IP]]

atau protokol. Jika p ermintaan divalidasi oleh filter, perantara menyediakan

sumber daya dengan menghubungkan ke server yang relevan dan meminta

layanan atas nama klien. Sebuah server perantara secara opsional dapat

mengubah permohonan klien atau menanggapi di server, dan kadang-kadang

mungkin melayani permintaan tanpa menghubungi server yang ditetapkan.

Dalam hal ini, tanggapan yang tembolok dari remoteserver, dan selanjutnya

kembali permintaan konten yang sama secara langsung.

2.17 Ligh t W eight Di rectoory Acess Proto col (LD AP)

Light Weight Directoory Acess Protocol (LDAP) adalah suatu bentuk protokol

client- server yang digunakan untuk mengakses suatu directory service. Pada

tahap awalnya, LDAP digunakan sebagai suatu front end bagi X.500, tetapi

juga dapat digunakan bersama directory serveryang stand- alone dan juga yang

lainnya. LDAP memungkinkan untuk mengembangkan kemampuan yang dapat


25/45

37

digunakan untuk mencari suatu organisasi, mencari suatu individu, dan juga

mencari sumber daya yang lainnya, misalnya file maupun alat devicedi dalam

suatu jaringan.

2.18 Metode Pengukuran Risiko teknologi Informasi

2.18.1ISO 27005

A. Penilaian Risiko Keamanan Informasi

Risiko adalah kombinasi dari konsekuensi yang akan mengikuti

terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya

peristiwa tersebut. Penilaian risiko kuantitatif atau kualitatif yang akan

menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan

risiko sesuai dengan keseriusan yang mereka rasakan atau ketetapan kriteria

lainnya.

Penilaian risiko terdiri dari beberapa kegiatan berikut ini :

1. Analisa Risiko yang mana terdiri dari :

a. Identifikasi Risiko

b. Estimasi Risiko

2. Evaluasi R isiko

Penilaian risiko menentukan nilai aset informasi, mengidentifikasi

ancaman dan kerentanan yang berlaku yang telah ada (atau bisa ada),

mengidentifikasi kontrol yang ada dan efeknya pada risiko yang teridentifikasi,

menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko yang


26/45

38

diperoleh dan peringkat mereka terhadap kriteria evaluasi resiko yang ditetapkan

dalam pembentukan konteks.

Penilaian risiko sering dilakukan di dua (atau lebih) iterasi. Pertama,

penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi

tinggi serta menjamin penilaian lebih lanjut. Iterasi berikutnya dapat melibatkan

pertimbangan l ebih lanjut yang mendalam tentang risiko yang berpotensi t inggi

dan terungkap dalam iterasi awal. Hal ini menyediakan informasi yang cukup

untuk menilai risiko. Kemungkinan, analisis yang lebih lanjut secara rinci

dilakukan, yaitu pada bagian-bagian dari total ruang lingkup, dan mungkin

menggunakan metode yang berbeda.

1. Analisis Risiko

a) Identifikasi Risiko

Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa

terjadi dan yang menyebabkan potensi kerugian, dan untuk mendapatkan

wawasan tentang bagaimana, di mana dan mengapa kerugian yang mungkin

terjadi.

1. Identifikasi Aset

Masukan: Ruang lingkup dan batas-batas untuk penilaian resiko yang akan

dilakukan, daftar konstituen dengan pemilik, lokasi, fungsi, dll

Pelaksanaan bimbingan:

Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan

karenanya membutuhkan suatu perlindungan. Untuk identifikasi aset, harus


27/45

39

diingat bahwa sistem informasi terdiri dari lebih dari sekedar hardware dan

software.

Identifikasi aset harus dilakukan pada tingkat rincian yang cocok dengan

menyediakan informasi yang cukup untuk penilaian risiko. Tingkat detail yang

digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan

informasi yang dikumpulkan selama penilaian risiko. Tingkat detail dapat

disempurnakan dalam iterasi yang lebih lanjut dari penilaian risiko.

Seorang pemilik aset harus diidentifikasi untuk setiap asetnya, untuk

memberikan tanggung jawab dan akuntabilitas untuk aset tersebut. Pemilik aset

mungkin tidak memiliki hak properti untuk aset itu, tetapi memiliki tanggung

jawab untuk pengembangan produksi, perawatan penggunaan, yang sesuai

keamanan. Pemilik aset adalah orang yang seringkali paling cocok untuk

menentukan nilai aset untuk organisasinya

2. Identifikasi ancaman

Masukan : Informasi tentang ancaman yang diperoleh dari tinjauan kejadian,

pemilik aset, pengguna dan sumber-sumber lain, termasuk katalog ancaman

eksternal.


Ancaman memiliki potensi untuk membahayakan aset, seperti informasi,

proses dan sistem, dan juga organisasi itu. Ancaman dapat berasal dari alam atau

manusia, dan bisa kebetulan terjadi atau juga disengaja. Sumber ancaman baik

disengaja dan tidak disengaja harus diidentifikasi. Ancaman mungkin timbul dari

dalam atau dari luar organisasi. Ancaman harus diidentifikasi secara umum dan


28/45

40

menurut jenisnya (tindakan tidak sah misalnya, kerusakan fisik, kegagalan

teknis) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik

yang diidentifikasi. Ini berarti tidak ada ancaman yang terlupakan, termasuk

yang tak terduga, tetapi volume pekerjaan yang dibutuhkan adalah terbatas.

Beberapa ancaman dapat mempengaruhi lebih dari satu aset. Dalam kasus

seperti itu, mereka dapat menyebabkan dampak yang berbeda tergantung pada

aset yang dipengaruhi.

Input untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya

hal tersebut dapat diperoleh dari pemilik aset atau pengguna, dari staf sumber

daya manusia, dari manajemen fasilitas dan spesialis informasi keamanan, pakar

keamanan fisik, departemen hukum dan organisasi lainnya termasuk badan

hukum, otoritas cuaca, perusahaan asuransi dan otoritas pemerintah. Aspek

lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman.

Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus

dipertimbangkan dalam penilaian saat ini. Mungkin ada baiknya untuk

berkonsultasi pada katalog ancaman lainnya (mungkin dapat spesifik untuk

sebuah organisasi atau bisnis) untuk melengkapi daftar ancaman generik, yang

relevan. Katalog ancaman dan statistik telah tersedia dari badan-badan industri,

pemerintah, badan hukum, perusahaan asuransi dll.

Bila menggunakan katalog ancaman, atau hasil penilaian ancaman

sebelumnya, salah satu harus menyadari bahwa ada perubahan terus-menerus

dari ancaman yang relevan, khususnya jika perubahan sistem lingkungan bisnis

atau informasi tersebut.


29/45


30/45

42

yang dihapus, atau diganti dengan yang lain, dengan kontrol yang lebih cocok,

atau apakah harus tinggal di tempat, misalnya, untuk alasan biaya.

Untuk identifikasi kontrol yang ada atau direncanakan, kegiatan berikut

dapat membantunya :

a. Meninjau dokumen yang berisi informasi tentang kontrol (misalnya,

rencana penanganan pelaksanaan resiko), jika proses manajemen

keamanan informasi didokumentasikan dengan baik pada semua kontrol

yang ada atau telah direncanakan dan status pelaksanaannya pun juga

harus tersedia;

b. Memeriksa pada orang yang bertanggung jawab untuk keamanan

informasi (informasi dari petugas misalnya keamanan dan sistem

keamanan informasi, manajer bangunan atau manajer operasi) dan

pengguna untuk yang benar-benar diimplementasikan kontrolnya untuk

proses informasi atau sistem informasi yang telah dipertimbangkan;

c. Melakukan kajian di lokasi kontrol fisik, membandingkan mereka yang

diimplementasikan dengan daftar kontrol apa yang harus ada, dan

memeriksa mereka yang diimplementasikan seperti apakah mereka dapat

bekerja dengan benar dan efektif, atau

d. Meninjau hasil audit internal

4.

Identifikasi Kerentanan

Masukan: Sebuah daftar ancaman yang diketahui, daftar aset dan kontrol yang

ada.



31/45


32/45

44

5. Identifikasi Konsekuensi

Masukan: Sebuah daftar aset, daftar proses bisnis, dan daftar ancaman dan

kerentanan yang tepat, yang terkait dengan aset dan relevansi mereka.

Pelaksanaan b imbingan:

Konsekwensinya dapat kehilangan efektivitas, kondisi operasi yang

merugikan, kerugian bisnis, kerusakan reputasi, dll.

Kegiatan ini mengidentifikasi kerusakan atau konsekuensi bagi organisasi

yang dapat disebabkan oleh skenario insiden. Sebuah skenario insiden adalah

deskripsi ancaman yang memanfaatkan kerentanan tertentu atau serangkaian

kerentanan dalam sebuah insiden keamanan informasi. Dampak dari skenario

insiden akan ditentukan dengan mempertimbangkan kriteria dampak yang

ditentukan selama kegiatan pembentukan konteks. Ini dapat mempengaruhi satu

atau lebih aset atau bagian dari aset tersebut. Jadi aset mungkin telah ditetapkan

dengan nilai y ang baik untuk biaya keuangan dan karena konsekuensi bisnis

mereka jika bisnis itu telah rusak atau merugi. Konsekuensi mungkin bersifat

sementara atau mungkin permanen seperti dalam kasus perusakan aset.

Organisasi harus mengidentifikasi konsekuensi operasional skenario

insiden dalam hal (namun tidak terbatas pada):

a. Waktu investigasi dan perbaikan

b. Kehilangan waktu (Kerja)

c. Kehilangan peluang

d. Keamanan dan Keselamatan


33/45

45

e. Biaya keuangan keterampilan khusus untuk memperbaiki kerusakan

tersebut

f. Reputasi dan niat baik pada gambar

b) Estimasi Risiko

1. Metodologi Estimasi Risiko

Analisis risiko dapat dilakukan dalam berbagai tingkat detail tergantung pada

kekritisan aset, tingkat kerentanan yang diketahui, dan insiden sebelumnya yang

terjadi di dalam organisasi. Sebuah estimasi metodologi bisa bersifat kualitatif

atau kuantitatif, atau gabungan keduanya, tergantung pada keadaannya. Dalam

prakteknya, estimasi kualitatif sering digunakan sebagai awalan untuk

mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko

utama. Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik

atau kuantitatif pada risiko yang besar karena biasanya hal tersebut kurang

kompleks dan lebih mudah untuk kinerja kualitatif daripada analisis kuantitatif.

Bentuk analisis harus konsisten dengan kriteria evaluasi risiko yang

dikembangkan sebagai bagian dari penentuan konteks.

Rincian lebih lanjut dari metodologi estimasi yang sekarang dapat dijelaskan

sebagai berikut :

a. Estimasi Kualitatif

Estimasi kualitatif menggunakan skala kualifikasi atribut untuk

menggambarkan besarnya konsekuensi potensial (misalnya Rendah, Menengah

dan Tinggi) dan kemungkinan konsekuensi tersebut terjadi. Sebuah keuntungan


34/45

46

dari estimasi kualitatif adalah mudah dipahami oleh semua personil yang relevan,

sementara kelemahannya adalah ketergantungan pada skala pilihan subjektif.

Skala ini dapat diadaptasi atau disesuaikan dengan keadaan dan deskripsi yang

berbeda yang dapat digunakan untuk risiko yang berbeda. Estimasi kualitatif

dapat digunakan:

1. Sebagai suatu kegiatan pemeriksaan awal untuk mengidentifikasi

risiko yang memerlukan analisis yang lebih rinci.

2. Dimana analisis semacam ini cocok untuk keputusan tersebut

3. Dimana data numerik atau sumber daya yang memadai untuk estimasi

kuantitatif

Analisis kualitatif harus menggunakan informasi faktual dan data yang tersedia.

b. Estimasi Kuantitatif

Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik (bukan

skala deskriptif yang digunakan di dalam estimasi kualitatif) untuk keduanya

yaitu konsekuensi dan kemungkinan, untuk menggunakan data dari berbagai

sumber. Kualitas dari analisis tergantung pada keakuratan dan kelengkapan dari

nilai-nilai numerik dan validitas model yang digunakan. Estimasi kuantitatif

dalam banyak kasus menggunakan data kejadian historis, memberikan

keuntungan yang dapat berhubungan langsung dengan tujuan keamanan

informasi dan keprihatinan organisasi. Kelemahannya adalah kurangnya data

tersebut pada risiko baru atau kelemahan keamanan informasi. Kelemahan dari

pendekatan kuantitatif dapat terjadi dimana faktual data yang diaudit tidak

tersedia sehingga menciptakan ilusi nilai dan akurasi penilaian risiko.


35/45

47

Cara di mana konsekuensi dan kemungkinan diekspresikan dan cara-cara di

mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi

sesuai dengan jenis dan tujuan risiko dimana output penilaian risiko yang akan

digunakan. Ketidakpastian dan variabilitas dari keduanya yaitu konsekuensi dan

kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara

efektif.

2. Pe nilaian konsekuensi

Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk

identifikasi ancaman, kerentanan, aset yang terkena dampak, konsekuensi untuk

aset dan proses bisnis.

Pelaksanaan Bimbingan:

Setelah mengidentifikasi semua aset di dalam tinjauan ini, nilai-nilai

ditugaskan untuk aset-aset ini dan harus dipertimbangkan saat menilai

konsekuensinya.

Dampak nilai bisnis dapat dinyatakan dalam bentuk kualitatif dan

kuantitatif, tetapi setiap metode penugasan nilai moneter pada umumnya dapat

memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya

memfasilitasi proses pembuatan keputusan yang lebih efisien.

Penilaian aset dimulai dengan klasifikasi aset yang sesuai dengan

kekritisan mereka, dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari

organisasi. Penilaian ini kemudian ditentukan dengan menggunakan dua ukuran,

yaitu :


36/45

48

a. Nilai penggantian aset: biaya pembersihan recoverydan penggantian

informasi (jika semua itu mungkin), dan

b. Konsekuensi dari bisnis yaitu membahayakan atau kehilangan aset,

seperti bisnis potensial yang merugikan dan / atau konsekuensi

hukum atau peraturan dari pengungkapan, modifikasi,

ketidaktersediaan dan / atau perusakan informasi, dan aset informasi

lainnya

Penilaian ini dapat ditentukan dari analisis dampak bisnis. Nilai,

ditentukan oleh konsekuensi untuk bisnis, biasanya secara signifikan lebih tinggi

daripada biaya penggantian yang sederhana, tergantung pada pentingnya aset

bagi organisasi dalam mencapai tujuan bisnisnya.

Penilaian aset merupakan faktor kunci dalam penilaian dampak dari

skenario insiden, karena insiden itu dapat mempengaruhi lebih dari satu aset

(misalnya aset dependen), atau hanya bagian dari aset. Ancaman dan kerentanan

yang berbeda akan memiliki dampak yang berbeda pada aset, seperti hilangnya

kerahasiaan, integritas atau ketersediaan. Dengan begitu penilaian konsekuensi

terkait dengan penilaian aset yang berdasarkan analisis dampak bisnis.

Konsekuensi atau dampak bisnis dapat ditentukan dengan hasil

pemodelan dari suatu peristiwa atau serangkaian peristiwa, atau dengan

ekstrapolasi dari studi eksperimental atau data masa lalu.

Konsekuensi dapat dinyatakan dalam kriteria dampak moneter, teknis

atau manusia, atau kriteria lain yang relevan untuk organisasi. Dalam beberapa

kasus, lebih dari satu nilai numerik yang diperlukan untuk menentukan

konsekuensi untuk waktu yang berbeda, tempat, kelompok atau situasinya.


37/45

49

Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan

yang sama digunakan untuk kemungkinan ancaman dan kerentanan. Konsistensi

harus

3. Penilaian Kemungkinan Insiden

Masukan: Daftar identifikasi skenario kejadian yang relevan, termasuk

identifikasi ancaman, aset yang terkena dampak, eksploitasi kerentanan dan

konsekuensi terhadap aset dan proses bisnis. Selain itu, daftar dari semua kontrol

yang ada dan yang telah direncanakan, efektivitas, pelaksanaan dan status

penggunaan mereka.


Setelah mengidentifikasi skenario insiden, adalah perlu untuk menilai

kemungkinan setiap skenario dan dampak yang terjadi, dengan menggunakan

teknik estimasi kualitatif atau kuantitatif. Hal ini harus memperhitungkan

seberapa sering ancaman itu terjadi dan bagaimana cara kerentanan yang dapat

dieksploitasi, dengan mengingat:

a. Pengalaman dan statist ik yang berlaku untuk kemungkinan ancaman

b. Untuk sumber ancaman yang disengaja: motivasi dan kemampuan, yang

akan berubah dari waktu ke waktu, dan sumber daya yang tersedia untuk

kemungkinan penyerangan, serta daya tarik persepsi dan aset kerentanan

untuk kemungkinan seseorang menyerang

c. Untuk sumber ancaman kecelakaan: faktor geografis misalnya berdekatan

dengan bahan kimia atau pabrik minyak bumi, kemungkinan kondisi


38/45

50

cuaca yang ekstrim, dan faktor-faktor yang dapat mempengaruhi

kesalahan manusia dan kerusakan peralatan

d. Kerentanan, baik secara individu dan dalam pengumpulannya

e. Kontrol yang tersedia dan bagaimana dengan cenderung mereka

mengurangi kerentanan tersebut

Sebagai contoh, sebuah sistem informasi mungkin memiliki kerentanan

terhadap ancaman yang menyamar sebagai identitas pengguna dan

penyalahgunaan sumber daya. Kerentanan yang menyamar pada identitas

pengguna mungkin menjadi t inggi karena kurangnya otentikasi pengguna. Di sisi

lain, kemungkinan penyalahgunaan sumber daya mungkin menjadi rendah,

meskipun kurangnya otentikasi pengguna, karena cara untuk menyalahgunakan

sumber daya yang terbatas.

Tergantung pada kebutuhan untuk akurasi, aset dapat dikelompokkan,

atau mungkin perlu untuk membagi aset menjadi elemen-elemen mereka dan

berhubungan dengan skenario untuk elemen-elemen t ersebut. Sebagai contoh, di

seluruh lokasi geografis, sifat ancaman terhadap jenis-jenis aset yang sama dan

dapat berubah, atau efektivitas pengendalian yang tersedia mungkin bervariasi.

4. Tingkat Estimasi Risiko

Masukan: Daftar skenario insiden dengan konsekuensi mereka yang berkaitan

dengan aset dan proses bisnis dan kemungkinan mereka lainnya (kuantitatif atau

kualitatif).



39/45


40/45

52

tingkat kepercayaan pada identifikasi dan analisis risiko juga harus

dipertimbangkan. Agregasi beberapa risiko yang rendah atau menengah dapat

mengakibatkan risiko secara keseluruhan menjadi jauh lebih tinggi dan perlu

ditangani sesuai dengan hal tersebut.

Pertimbangan tersebut harus mencakup:

1. Sifat keamanan Informasi: jika salah satu kriteria yang tidak relevan

untuk organisasi (misalnya hilangnya kerahasiaan), maka semua risiko

yang berdampak pada kriteria ini mungkin menjadi tidak relevan

2. Proses bisnis atau kegiatan kepentingan yang didukung oleh seperangkat

aset atau aset tertentu: jika proses ini ditentukan untuk menjadi

kepentingan yang rendah, risiko yang terkait dengan itu harus diberikan

pertimbangan risiko yang lebih rendah daripada dampak yang lebih tinggi

pada proses atau kegiatan kepentingan tersebut.

Evaluasi Risiko yang menggunakan pemahaman risiko diperoleh dengan

analisis risiko untuk membuat keputusan tentang tindakan di masa depan.

Keputusan itu harus mencakup:

1. Apakah kegiatan yang harus dilakukan

2. Prioritas untuk penanganan risiko dengan mempertimbangkan estimasi

tingkat risiko

Selama tahap evaluasi risiko, kontrak, persyaratan dan peraturan hukum

merupakan faktor yang harus diperhitungkan selain resiko yang diperkirakan.


41/45

53

2.18.2OCTAVE - S

Menurut Alberts, Dorofee, Stevens, dan Woody (2005,vol1), OCTAVE-S

is a vach tailored to the limited means and unique constraints typically found in

small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah

variasi dari pendekatan OCTAVE-S yang dikembangkan untuk kebutuhan

organisasi yang kecil (kurang dari 100 orang).

Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu

dilakukan analisa resiko untuk mengurangi kerugian-kerugian yang mungkin

terjadi. Salah satu metode analisa risiko untuk keamanan sistem informasi suatu

organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally

Critical Threat, Asset, and Vulnerability Evaluation) yang mampu mengelola

risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi pada

perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap

masing-masing risiko yang telah diketahui.

Keuntungan Metode-Metode OCTAVE-S adalah :

1. Self directed : Sekelompok anggota organisasidalam unit-unit bisnis

yang bekerja sama dengan divisi IT untuk mengidentifikasikan kebutuhan

keamanan dari organisasi.

2. Flexible: Setiap metode dapat diterapkan pada sasaran , keamanan dan

lingkungan risiko perusahaan diberbagai level.

3. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada

sisi keamanan dan menempatkan teknologi di bidang bisnis.


42/45


43/45

55

2. Proses Analisis Risiko FRAP

Proses pengukuran risiko dengan menggunakan FRAP, dibagi dalam 4 sesi yang

berbeda antara lain :

a. Pre FRAP Meeting

b. The FRAP Session

c. FRAP Analysis dan Report Generation

d. Post FRAP Meeting

2.18.4Perbe daan antara ISO 27005, Octave dan FRAP

Perbedaan ISO 27005 FRAP OCTAVE-S

Tahapan-

tahapan :

1. Gambaran umum

penilaian risikokeamanan risiko

Analisis Risikoo Pengantar

Indentifikasi Risiko

o Identifikasiasset

o Identifikasi

ancamano Identifikasi

control

yang adao Identifikasi

ancamano Identifikasi

Konsekuensi

Estimasi Risiko

o MetodologiEstimasi

Risikoo Penilaian

konse kuensi

o Penilaiankemungkinan insiden

o Tingkatestimasi

risiko

a. Pre FRAP Meeting

ScopeStatement

Visual Model Establish the

FRAP Team

b. The FRAP Session Risk Identified

Risk Prioriti zed Control

Identiified

c. FRAP Analysis andReport Generation

d. Post FRAPMeeting

CrossReference

Sheet Action Plan

a. Tahap 1 : Build

Asset- BasedThread Profile

b. Tahap 2: IdentifyInfrastructure

Vulnerabilitiesc. Tahap 3: Develop

Security StrategyAnd Plans

Proses 1 : IdentifikasiInformasi Organisasi

Proses 2: MembuatProfil Ancaman

Proses 3: MemeriksaPerhitungan Infrastruktur

yang Berhubungandengan Aset Kritis

Proses 4: Identifikasidan Analisa Risiko

Proses 5:Mengembangkan

Startegi Perlindungandan Rencana Mitigasi

- 30 langkah


44/45

56

Evaluasi risiko

2.Gambaran umumpenanganan risiko

Penguranganrisiko

Risikopenyimpanan

Penghindaran

risiko

Transfer risiko

Keuntunga

n - Di dalampengumpulan datanya

tidak diwajibkanmenggunakan metode

tertentu(contoh:kuisioner,intervi

ew,dll)

- Merupakanstandarisasi

internasional

- Langkahnyasederhana

- Proses analisis dan

evaluasi lebih mudah

- Mudah dimengerti

1. Hemat Biaya2. Tidak memakan

waktu lama3. Tahapan-

tahapannya sudahdi jelaskan

a. Sederhana dan

terarah, karena memilikiketetapan mengenai

praktek dan lembar kerjauntuk

mendokumentasikanhasil pemodelan.

b. Bersifat objektif,karena risiko didapat

dari pihak yang terkait.c. Mendokumentasikan

dan mengukur risikokeamanan TI secara

keseluruhan.d. Pembentukan tim

kerja lebih sederhanasehingga lebih tepat

waktu.e. Memiliki Framework

sehingga pengukuransesuai dengan detail list

yang telah ditentukan.

Kelemahan

- Tidak mempunyaipenjelasan teknik

dalam melakukanidentifikasi risiko

- Cara

penanganannyakurang spesifik

1. Untuk menghasilkandata harus se suai

dengan tahapan-tahapan.

a. Memakan waktu

cukup lama, karenapengukuran risiko TI

dilakukan secarakeseluruhan.

b. Adanya probabilitasoptional, hal ini dianggap

tidak sesuai denganstandar OCTAVE-S.

c. Memiliki banyakworksheet dan

implementasi.

Subtance

Estimasi risiko(berupa angka dan

huruf)

Post FRAP Meeting :a. Cross-Reference

Sheetb. Action Plan

Tahap 1: Profile aset

Tahap 2: Profileancaman

Tahap 3: Strategiperlindungan dan

rencana mitigasi.


45/45

57

Cara

pengumpulan data :

Bebas (tanpateknik)

Pre FRAP Meeting

Melalui framework yang

telah ditentukan sesuaidengan buku OCTAVE-

S Implementation Guide,Version 1.0 yang

dikarang olehChristopher Alberts et all

Tabel 2.1 Perbedaaan ISO 27005, FRAP, OCTAVE-S

Dari pembahasan tabel di atas , dapat disimpulkan bahwa ke tiga metode di atas

memiliki kelebihan dan kelemahan masing - masing. Metode ISO 27005 memiliki

langkah yang lebih sederhanan dibanding ke dua metode yang lain, namun , ISO

27005 tidak mempunyai penjelasan teknik dalam melakukan identifikasi risiko dan cara

penanganannya kurang spesifik. Sedangkan FRAP dan OCTAVE S lebih memiliki

banyak worksheet dan implementasi, sehingga memakan waktu cukup lama, karena

pengukuran risiko TI dilakukan secara keseluruhan.

Documents

PDF IS Risk