MANAJEMEN RISIKO ASET OCTAVESM

Didit Bagus Prasetyo1412411055Iman Saladin B.A1412410512Lisa Artha Sari1412410134M. Fadly Kurniawan1412410651Nur Fitri Ika Insanti1412409454Restu Pinasthika1412409435

Pendahuluan

OCTAVESM menjelaskan suatu evaluasi risiko keamanan information yang komprehensif, sistematik, konteks.

Dengan metode OCTAVESM suatu organisasi dapat membuat keputusan perlindungan informasi berdasarkan risiko terhadap kerahasiaan, integritas, dan ketersediaan aset kritis dari teknologi informasi (TI).

OCTAVESM menggunakan tiga fase dalam meneliti masalah organisasi dan teknologi untuk merakit gambaran yang komprehensif tentang kebutuhan keamanan informasi dari suatu organisasi.

Prinsip dan AtributPrinsip Atribut

Self-direction Analysis teamAugmenting analysis team skills

Adaptable measures Catalog of practicesGeneric threat profileCatalog of vulnerabilities

Defined process Defined evaluation activitiesDocumented evaluation resultsEvaluation scope

Foundation for a continuousprocess

Next stepsCatalog of practicesSenior management participation

Forward-looking view Focus on risk

Focus on the critical few Evaluation scopeFocused activities

Prinsip dan AtributPrinsip Atribut

Integrated management Organizational and technological issuesBusiness and information technologyparticipationSenior management participation

Open communication Collaborative approach

Global perspective Organizational and technological issuesBusiness and information technologyparticipation

Teamwork Analysis teamAugment analysis team skillsBusiness and information technologyparticipationCollaborative approach

Fase–Fase OCTAVESM

Fase 1 : Membangun Profil Ancaman (Threat Profile) Berbasis Aset

Hal – hal yang dilakukan dalam fase ini antara lain :

Mengindentifikasi aset kritis.

Apa yang dilakukan untuk melindungi aset kritis tersebut.

Persyaratan keamanan untuk setiap aset yang diidentifikasi

Output dari fase ini adalah

Aset Kritis

Persyaratan keamanan untuk aset kritis

Anacaman terhadap aset kritis

Praktek keamanan saat ini

Kerentanan organisasi saat ini

Proses Fase 1

Aktivitas pada Fase 1:

Aktivitas pada fase 1 adalah :

1. Identifikasi aset relatif dan prioritas

2. Mengidentifikasi bidang yang menjadi perhatian.

3. Mengidentifikasi persyaratan keamanan untuk aset yang paling kritis

4. Mengumpulkan pengetahuan dari praktik keamanan saat ini dan

kerentanan organisasi.

5. Konsolidasi informasi dari proses 1 sampai 3.

6. Memilih aset kritirs.

7. Menyempurnakan presyaratan keamanan untuk aset kritis.

8. Mengidentifikasi dari ancaman terhadap aset kritis

Proses 1 - 3

Proses 4

Fase 2 : Mengidentifikasi Kerentanan Infrasruktur

Hal – hal yang dilakukan dalam fase ini antara lain :

Periksa Network Access

Mengidentifikasi Kelas Komponen IT untuk Setiap aset

Tentukan ketahanan terhadap Serangan Jaringan

Output dari fase ini adalah

Komponen kunci

Kerentanan teknologi saat ini

Proses Fase 2

Aktivitas pada Fase 2:

Aktivitas pada fase 2 adalah :

1. Mengidentifikasi kelas komponen utama

2. Mengidentifikasi komponen infrastruktur untuk diperiksa

3. Menjalankan alat evaluasi kerentanan pada komponen infrastruktur

yang dipilih

4. Meninjau kerentanan teknologi dan meringkas hasil

Proses 5

Proses 6

Fase 3 : Mengembangkan Strategi dan Rencana Keamanan

Hal – hal yang dilakukan dalam fase ini antara lain :

Identifikasi Resiko untuk Aset Kritis

Mengembangkan strategi perlindungan dan rencana mitgasi.

Analisis berdasarkan fase sebelumnya.

Output dari fase ini adalah

Risiko terhadap aset kritis

Pengukuran risiko

Startegi perlindungan

Rencana mitigasi risiko

Proses Fase 3

Aktivitas pada Fase 3:

Aktivitas pada fase 3 adalah :

1. Mengidentifikasi dampak dari ancaman aset kritis

2. Membuat kriteria evaluasi risiko

3. Evaluasi dampak dari ancaman aset kritis

4. Konsolidasi informasi dari proses 1 sampai 3

5. Mereview informasi risiko

6. Membuat strategi perlindungan

7. Membuat rencana mitigasi

8. Membuat daftar tindakan

Proses 7

Proses 8

Case Study : System XYZ (Critical Assets and Threat)

Aset kritis pada case study ini adalah system XYZ.

Konsen dari area aset kritis ini (areas of concern)antara lain :

Orang-orang sengaja memasukkan data yang salah ke dalam sistem XYZ. Hal ini menyebabkan catatan yang salah pada sistem tersebut.

Seseorang bisa menggunakan catatan dari sistem XYZ untuk keuntungan pribadi.

Kelemahan yang melekat dan kerentanan dalam sistem XYZ dapat dieksploitasi oleh penyerang untuk melihat atau mengubah informasi penting dalam catatan.

Case Study : System XYZ (Threat Properties)

Propertis ancman :

Concern 1 :

asset – penyimpanan system XYZ

access – network (data yang dimasukan dan direkam pada sebuah sistem)

actor – insiders (staff yang memiliki askes)

·motive – accidental

outcome – modification (Data yang salah, dimodifikasi)

Case Study : System XYZ (Threat Properties)

Propertis ancman :

Concern 2 :

asset – penyimpanan system XYZ

access – network (aktor dapat mengakses record dari sistem)

actor – insiders dan outsider(staff atau pihak luar yang memiliki askes )

·motive – deliberate

outcome – disclosure (aktor iniyang bisa melihat informasi seharusnya ia tidak bisa melihat )

Case Study : System XYZ (Threat Properties)

Propertis ancman :

Concern 3 :

asset – penyimpanan system XYZ

access – network (aktor dapat mengakses record dari sistem)

actor – outsider(pihak luar ang menyerang sistem ini )

·motive – deliberate

outcome – disclosure ,modification

Case Study : System XYZ (Threat Profile)

Case Study : Sytem XYZ (Key Component and Vulnerabilities)

Key Component

Server Network

Router

Switch

Security

Firewall

Security Access Matrix

User Access Matrix

Workstation PC User

Case Study : System XYZ (Key Component and Vulnerabilities)

Component Tools Scan/Review Vulnerability Summary

Server

Improve-UR-Network

Y 3 High2 Medium

Router Y 1 High

Switch Y 1 High

Firewall Y 1 High

Security Access Matrix

ReviewY 5 High

User Access Matrix Y 5 High

Workstation Improve-UR-Network Y 2 high

PC User 1 Vulnerabilies-R-Found

Y 2 Medium

PC User 2 Y 2 Medium

Case Study : Sytem XYZ ( Vulnerability Security Level)

Case Study : Sytem XYZ (Impact & Probability)

Case Actor Motive Outcome Impact Probability

1 Inside Accidental Modification

High Medium

2Inside Deliberate Disclosure High High

Outside Deliberate Disclosure High Medium

3 Outside DeliberateDisclosure High Medium

Modification

High Medium

Case Study : Sytem XYZ (Evalutaion)

Case Impact Probability Evaluation

1 High Medium High

2High High High

High Medium High

3High Medium High

High Medium High

Case Study : System XYZ ( Impact )

Tingkatan impact berdasarkan : Reputation/customer confidence Life/health of customers Productivity Fines/legal penalties Finances Facilities

Case Study : System XYZ ( Probability & Evaluation)

Case Study : System XYZ (Strategi Perlindungan)

Case Actor Motive Outcome Strategi Perlindungan

1Inside Accidental Modificatio

nSecurity Awareness and Training

2

Inside Deliberate Disclosure Security Awareness and training, Security management and Security Policies

Outside Deliberate Disclosure Security management

3 Outside Deliberate

Disclosure Security management

Modification

Security management

Case Study : System XYZ (Mitigation Plan)

Case Actor Motive Outcome Mitigation Plan

1Inside Accidental Modificatio

nMenerapkan fungsi maker checker

2

Inside Deliberate Disclosure Mengupadate UAM dan SAM, mengupadte firewall, router, switch

Outside Deliberate Disclosure Mengupadte firewall, router, switch

3 Outside Deliberate

Disclosure Mengupadte firewall, router, switch

Modification

Mengupadte firewall, router, switch

Referensi

Dorofee, Audrey & Albets, Christopher. (2002). Managing Information Security Risks: The OCTAVESM Approach. Adison Wesley.

Dorofee, Audrey & Albets, Christopher. OCTAVESM* Threat Profiles. Carnegie Mellon University.

TERIMA KASIH