keamana informasi
TRANSCRIPT
TUGAS AKHIR EC5010 KEAMANAN SISTEM INFORMASI
KONSEP MANAJEMEN KEAMANAN INFORMASI ISO-17799
DENGAN RISK ASSESSMENT MENGGUNAKAN METODE OCTAVE
Oleh :
PUGUH KUSDIANTO
13298086
DEPARTEMEN TEKNIK ELEKTROFAKULTAS TEKNOLOGI INDUSTRIINSTITUT TEKNOLOGI BANDUNG
2005
DASAR MANAJEMEN KEAMANAN INFORMASI
1.1 Informasi Sebagai Aset
Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang
sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut
sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi,
meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat
kembalinya investasi dan memperluas peluang usaha [1]. Beragam bentuk informasi yang
mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya : informasi
yang tersimpan dalam komputer ( baik desktop komputer maupun mobile komputer ),
informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim
melalui fax, tersimpan dalam disket,cd,atau media penyimpanan lain, informasi yang
dilakukan dalam pembicaraan ( termasuk percakapan melalui telepon ), dikirim melalui telex,
email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan
dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan
untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan [2].
1.2 Keamanan Informasi
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara
umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘[3]. Untuk
menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai
dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam
kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki
fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan
informasi adalah:
Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau
anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi
bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi
Operation Security yang memfokuskan strategi untuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.
Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara
keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan
perangkat yang digunakan, menyimpan, dan mengirimkannya [3]. Keamanan informasi
melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha,
meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi
dan peluang usaha [2].
1.3 Aspek Keamanan Informasi
Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa
menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model [3],
adalah sebagai berikut:
Confidentiality
Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak
yang boleh mengakses informasi tertentu.
Integrity
Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi,
kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.
Availability
Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat
mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak
bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang
tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.
Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam
bukunya Management Of Information Security adalah:
Privacy
Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah
dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi
ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari
orang lain.
Identification
Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu
pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke
informasi yang diamankan. Identifikasi secara umum dilakukan dalam
penggunaan user name atau user ID.
Authentication
Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang
benar-benar orang yang memiliki identitas yang mereka klaim.
Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi
memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah
mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah,
atau menghapus isi dari aset informasi.
Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua
aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan
aktifitas itu.
1.4 Manajemen
Untuk membuat proses keamanan informasi secara efektif, sangat penting memahami
beberapa prinsip dalam manajemen. Secara sederhana, manajemen adalah proses untuk
mencapai tujuan dengan menggunakan sumberdaya yang ada [3]. Manajer adalah seseorang
yang bekerja dengan orang lain dan melalui orang lain dengan cara mengkoordinasi kerja
mereka untuk memenuhi tujuan organisasi. Tugas manajer adalah untuk memimpin
pengelolaan sumberdaya organisasi, melakukan koordinasi penyelesaian pekerjaan orang-
orang dalam organisasi, dan memegang aturan-aturan yang diperlukan untuk memenuhi
tujuan organisasi. Diantara aturan-aturan itu adalah:
Aturan informasi : mengumpulkan, memproses, dan menggunakan informasi yang
dapat mempengaruhi pencapaian tujuan.
Aturan interpersonal : berinteraksi dengan stakeholder dan orang atau organisasi
lain yang mempengaruhi atau dipengaruhi oleh tercapainya tujuan organisasi
dimana dia menjadi manajer.
Aturan keputusan : memilih diantara beberapa alternatif pendekatan, memecahkan
konflik, dilema atau tantangan.
Manajer mengelola sumberdaya organisasi meliputi perencanaan biaya organisasi, otorisasi
pengeluaran biaya, dan menyewa pekerja.
1.5 Manajemen Keamanan Informasi
Sebagaimana telah disebutkan sebelumnya bahwa manajemen keamanan informasi
adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC.
Sebagai bagian dari keseluruhan manajemen, tujuan manajemen keamanan informasi
berbeda dengan manajemen teknologi informasi dan manajemen umum, karena
memfokuskan diri pada keamanan operasi organisasi. Karena manajemen keamanan
informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus
yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P
yaitu:
1.5.1 Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
(1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode
yang lama, biasanya lima tahunan atau lebih, (2)tactical planning memfokuskan diri pada
pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih
rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning
dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung
perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan
dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen
keamanan informasi, meliputi :
1.5.1.1 Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan
mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi
dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility
sumberdaya informasi. Insident Response Planning meliputi incident detection, incident
response, dan incident recovery.
1.5.1.2 Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP
dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi
menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden
dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan
akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar
sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
1.5.1.3 Business Continuity Planning
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana,
BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang
diperhitungkan dalam BCP adalah biaya.
1.5.2 Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise information security policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
1.5.3 Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training and
awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai
keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga
dicapai peningkatan keamanan informasi organisasi.
1.5.4 Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras.
Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
1.5.5 People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan
informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
1.5.6 Project Management
Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen
kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang
dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi
dan peningkatannya dalam mencapai tujuan keamanan informasi.
1.6 Perlunya Manajemen Keamanan Informasi
Manajemen keamanan informasi diperlukan karena ancaman terhadap C.I.A triangle
aset informasi semakin lama semakin meningkat. Menurut survey UK Department of Trade
and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah aset yang
penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi
meyakini bahwa keamanan informasi sangat penting untuk memperoleh kepercayaan
konsumen. Organisasi menghadapi berbagai ancaman terhadap informasi yang dimilikinya,
sehingga diperlukan langkah-langkah yang tepat untuk mengamankan aset informasi yang
dimiliki.
1.7 Standarisasi Sistem Manajemen Keamanan Informasi
Ada banyak sekali model manajemen keamanan informasi dan penerapannya karena
banyaknya konsultan keamanan informasi yang menawarkannya. Satu yang popular dan
banya diterima adalah model sistem manajemen keamanan informasi yang telah diratifikasi
menjadi standarisasi internasional yaitu British Standard 7799 yang menyajikan dua
komponen, masing-masing memfokuskan diri pada area yang berbeda dalam praktek
manajemen keamanan informasi.
BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO,
disebut sebagai Information Technology—Code of Practice for Information Security
Management.
BS 7799:2 disebut sebagai Information Security Management: Specification with
Guidance for Use.
Untuk mendapatkan dokumen ini, organisasi yang akan menerapkannya harus membayarnya.
1.7.1 BS 7799:1
Information Technology—Code of Practice for Information Security Management
dalam BS 7799:1 adalah yang banyak dijadikan referensi dan didiskusikan dalam lingkungan
model keamanan informasi. Dokumen detil standarisasi ini hanya bisa diperoleh dengan cara
membeli , tetapi deskripsi dan struktur umumnya dikenal secara luas sebagai “ The Ten
Sections of ISO/IEC 17799 “ [3]. Tujuan ISO/IEC 17799 adalah untuk memeberikan
rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang
bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada
organisasinya. BS 7799:1 memberikan ringkasan area keamanan informasi dan menyajikan
127 kendali dalam 10 kategori keamanan informasi.
1.7.1.1 Organizational Security Policy
Diperlukan untuk memberikan arah dan dukungan terhadap manajemen keamanan
informasi yang akan diterapkan dalam organisasi. Hal ini tidak selalu menjadi yang pertama
dilakukan dalam manajemen keamanan informasi, tetapi bisa merupakan refleksi dari hasil
risk assessment yang telah dilakukan. Information Security Policy harus senantiasa dianalisa
dan diupdate secara reguler karena adanya perubahan-perubahan ancaman terhadap
keamanan informasi.
1.7.1.2 Organizational Security Infrastructure
Tujuan organizational security infrastructure meliputi: mengatur keamanan informasi
di dalam organisasi, mengelola keamanan fasilitas pemrosesan informasi organisasi dan aset
informasi yang diakses oleh pihak ketiga, mengelola keamanan informasi jika tanggungjawab
pemrosesan informasi dilakukan oleh pihak ketiga atau organisasi lain.
1.7.1.3 Asset Classification and Control
Diperlukan untuk mengelola langkah proteksi yang tepat untuk aset organisasi dan
menjamin bahwa aset informasi memperoleh tingkat perlindungan yang tepat.
1.7.1.4 Personnel Security
Bertujuan untuk: mengurangi kesalahan manusia, pencurian, kesalahan penggunaan
fasilitas; menjamin bahwa pengguna mengetahui ancaman terhadap keamanan informasidan
dilengkapi peralatan pendukung kebijakan keamanan informasi dalam kerja mereka;
meminimalkan kerusakan akibat insiden keamanan dan malfungsi serta belajar dari insiden
yang pernah terjadi.
1.7.1.5 Physical and Environmental Security
Memiliki tujuan mencegah akses tanpa otorisasi, kerusakan, dan interferensi terhadap
tempat kerja dan informasi; mencegah kehilangan, kerusakan aset, dan gangguan terhadap
aktifitas organisasi; mencegah pencurian informasi dan fasilitas pemrosesan informasi.
1.7.1.6 Communication and Operation Management
Menjamin keamanan operasi pada fasilitas pemrosesan informasi; Meminimalkan
resiko kegagalan sistem; melindungi integritas software dan informasi; mengelola integrity
dan availability proses informasi dan komunikasi; menjamin perlindungan informasi dalam
jaringan dan perlindungan terhadap infrastruktur pendukung; mencegah kerusakan aset dan
interupsi terhadap aktifitas organisasi; mencegah kehilangan, modifikasi, atau kesalahan
pertukaran informasi antar organisasi.
2.7.1.7 System Access Control
Tujuannya meliputi: pengendalian akses informasi; mencgah akses tanpa otorisasi ke
dalam sistem informasi; menjamin perlindungan layanan jaringan; mencegah akses komputer
tanpa otorisasi; mendeteksi aktifitas tanpa otorisasi; menjamin keamanan informasi saat
menggunakan perangkat bergerak dan jaringan telekomunikasi.
2.7.1.8 System Development and Maintenance
Tujuannya meliputi: menjamin keamanan terbangun dalam sistem operasional
organisasi; mencegah kehilangan, modifikasi, atau kesalahan pemakaian data pengguna
dalam sistem aplikasi; melindungi confidentiality, authenticity, dan integrity informasi;
menjamin proyek teknologi informasi dan aktifitas pendukungnya berada dalam keamanan;
mengelola keamanan software aplikasi dan data.
2.7.1.9 Business Continuity Management
Bertujuan untuk melakukan reaksi terhadap gangguan aktifitas organisasi dan proses
bisnis yang kritis bagi organisasi ketika terjadi bencana.
2.7.1.10 Compliance
Memiliki tujuan: menghindari pelanggaran terhadap setiap hukum kriminal dan
sosial,peraturan perundang-undangan, dan obligasi kontrak dalam setiap kebutuhan
keamanan informasi; menjamin terpenuhinya organizational security policy dan standar
keamanan informasi dalam penerapan manajemen keamanan informasi organisasi;
memaksimalkan efektifitas dan meminimalkan pengaruh kepada atau dari proses audit.
2.8 BS 7799:2
Bagian ke dua dalam BS 7799 menyajikan implementasi detil menggunakan siklus
Plan-Do-Check-Act, seperti disebutkan berikut ini:
Plan
- Mendefinisikan scope sistem manajemen keamanan informasi
- Mendefinisikan kebijakan sistem manajemen keamanan informasi
- Mendefinisikan pendekatan yang digunakan untuk risk assessment
- Mengidentifikasi resiko
- Memperkirakan resiko
- Mengidentifikasi dan mengevaluasi pilihan perlindungan terhadap resiko
- Memilih tujuan kendali dan kendalinya
- Mempersiapkan sebuah Statement of Aplicabilit
Do
- Membuat sebuah formulasi rencana pengelolaan resiko
- Melakukan Implementasi rencana pengelolaan resiko
- Melakukan implementasi kendali
- Melakukan implementasi program pelatihan dan pemahaman keamanan informasi
- Melakukan pengelolaan kegiatan
- Melakukan pengelolaan sumberdaya
- Melakukan implementasi prosedur untuk mendeteksi dan merespon insiden
keamanan informasi
Check
- Melakukan prosedur pemantauan
- Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi
- Melakukan pengkajian terhadap tingkatan resiko dan resiko yang dapat diterima
- Melaksanakan audit sistem manajemen keamanan informasi secara internal
- Melakukan peninjauan manajemen secara berkala terhadap pelaksanaan sistem
manajemen keamanan informasi
- Melakukan pencatatan aktifitas dan kejadian yang mempengaruhi sistem
manajemen keamanan informasi
Act
- Melakukan implementasi peningkatan yang telah diidentifikasi
- Mengambil tindakan pencegahan dan koreksi
- Melakukan implementasi pelatihan yang telah diterima
- Mengkomunikasikan hasil kepada rekan yang berkepentingan
- Menjamin peningkatan pencapaian tujuan
Siklus PDCA2 digambarkan dalam ilustrasi berikut :
gambar PDCA
2.9 Security Management Index (SMI)
Satu cara untuk mengetahui sejauh mana sebuah organisasi memenuhi standarisasi
ISO 17799 adalah dengan cara melakukan survey terhadap penerapan sistem manajemen
keamanan informasi. Callio Technologie Inc membuat satu set kuisioner yang terdiri dari 127
pertanyaan berkaitan dengan 10 aspek dalam sistem manajemen keamanan informasi menurut
BS 7799 :2. Kuisioner ini diperlukan dalam melakukan survey pencapaian sistem manajemen
keamanan informasi terhadap standarisasi ISO 17799. Untuk memperoleh keuntungan dari
pengukuran security management index, Human Firewall Council merekomendasikan hal
berikut:
Melakukan pengenalan lebih mendalam terhadap 10 kategori dalam manajemen
keamanan informasi.
Melakukan benchmark penerapan manajemen keamanan informasi dengan melakukan
survey
Mengevaluasi hasil survey dalam setiap kategori untuk mengidentifikasi kekuatan dan
kelemahan
Menguji saran untuk peningkatan dalam setiap kategori pada laporan hasil survey
Menggunakan hasil SMI untuk memperoleh dukungan peningkatan keamanan
informasi.
2.10 Audit Sistem Manajemen Keamanan Informasi
Meskipun terdapat perbedaan pendapat dan perdebatan penting atau tidaknya
sertifikasi BS 7799 (dengan alasan bahwa penerapan sistem manajemen keamanan informasi
yang efektif lebih berharga daripada sekedar plakat sertifikasi) ada tujuan memacu organisasi
yang telah memperoleh sertifikasi untuk benar-benar menerapkan manajemen keamanan
informasi dengan baik sesuai dengan standarisasi BS 7799. Suatu audit sertifikasi biasanya
menggunakan pelaporan negatif (misalnya biasanya lebih menyoroti kekurangan daripada
kelebihan yang dicapai) untuk menilai penerapan sebuah sistem manajemen keamanan
informasi memenuhi persyaratan BS 7799 atau tidak.
2.11 Kendala penerapan ISMS
Meskipun BS 7799 sudah memberikan gambaran lengkap mengenai ketatalaksanaan
sistem manajemen keamanan informasi, tetapi terdapat kesulitan dalam menerapkannya
disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen
keamanan informasi. Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk
risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali
yang tepat untuk diterapkan. Oleh karena itu, bab selanjutnya akan membahas pemecahannya
berdasarkan konsep sistem manajemen keamanan informasi menurut ISO-17799.
RISK ASSESSMENT
2. Metode Risk Assessment
Sebagaimana telah dibahas pada bab sebelumnya, risk assessment memegang peranan
penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang
dapat digunakan untuk melaksanakan risk assessment, karena banyaknya konsultan
keamanan informasi yang mengembangkan berbagai pendekatan untuk melakukannya. Satu
yang terkenal diantaranya adalah metode OCTAVE yang dikembangkan oleh Carnegie
Mellon Software Engineering Institute, Pittsburg. Metode inilah yang akan digunakan dalam
penelitian tugas akhir ini.
2.1.1 Pengenalan metode OCTAVE
OCTAVE criteria
OCTAVE Method (as defined in OCTAVE Method Implementation Guide v2.0)
Developed by the SEI.
An OCTAVE-Consistent Method for Small Organizations
Under development by the SEI.
Other Methods Consistent with the OCTAVE criteria
Developed by others.
Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang ini.
Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan
memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat terhadap
aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara
operasional organisasi dengan persyaratan teknologi informasi sehingga menempatkan aset
dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak lengkap,
sehingga gagal mencakup seluruh komponen resiko ( aset, ancaman, dan
vulnerability )Banyak organisasi kemudian menyewa konsultan untuk mengevaluasi resiko
keamanan informasi dalam organisasinya. Hasilnya mungkin tidak sesuai dengan perspektif
organisasi tersebut. Risk assessment yang dilakukan sendiri oleh organisasi yang
bersengkutan memberikan pengetahuan untuk memahami resiko dan membuat keputusan
yang tepat.
Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali
apakah resiko organisasi yang menerapkannya. Setelah resiko diidentifikasi, organisasi dapat
membuat rencana penanggulangan dan reduksi resiko terhadap masing-masing resiko yang
telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and
Vulnerability Evaluation) memungkinkan organisasi melakukan hal di atas. OCTAVE adalah
sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif,
sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang
mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi
Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim
(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota
tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset informasi kritis
organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur
praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi. Katalog ini
meliputi:
catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi
generic threat profile – sebuah koleksi sumber ancaman utama
catalog of vulnerabilities – sebuah koleksi dari vulnerability berdasarkan platform dan
aplikasi
2.1.2 Langkah-langkah metode OCTAVE
Metode OCTAVE menggunakan pendekatan tiga fase untuk menguji isu-isu
teknologi, menyusun sebuah gambaran komprehensif keamanan informasi yang dibutuhkan
oleh organisasi (dalam gambar). Metode ini menggunakan lokakarya untuk melakukan
diskusi dan pertukaran informasi mengenai aset, praktek keamanan informasi dan strategi
keamanan informasi. Setiap fase terdiri dari beberapa proses dan setiap proses memiliki satu
atau lebuh lokakarya yang dipimpin oleh tim analisis. Beberapa aktifitas persiapan juga
diperlukan untuk menetapkan dasar yang baik untuk suksesnya evaluasi secara keseluruhan.
2.1.3 Persiapan
Mempersiapkan OCTAVE membuat dasar evaluasi yang berhasil. Beberapa kunci
untuk keberhasilan evaluasi adalah:
Mendapatkan dukungan sepenuhnya dari tingkatan manajemen tertinggi. Hal ini
merupakan faktor terpenting untuk keberhasilan evaluasi. Jika manajemen tertinggi
mendukung proses, maka orang-orang dalam organisasi akan berpartisipasi secara
aktif. Dukungan, dalam hal ini terwujud sebagai berikut: dukungan nyata dan
berkesinambungan dalam aktifitas OCTAVE, peningkatan partisipasi aktif anggota
organisasi, pendelegasian tanggungjawab dan otoritas untuk menyelesaikan seluruh
aktifitas OCTAVE, komitmen untuk mengalokasikan sumberdaya yang dibutuhkan,
persetujuan untuk meninjau hasil dan memutuskan langkah yang tepat yang harus
diambil dengan adanya hasil evaluasi yang telah dilakukan.
Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan keahlian
yang mencukupi untuk memimpin evaluasi. Mereka juga harus mengatahui
bagaimana menambah pengetahuan dan kemampuan mereka di luar tim.
Secara umum, tim analisis terdiri dari
tiga sampai lima orang dalam kelompok inti yang merepresentasikan bisnis dan
perspektif teknologi informasi, memiliki pengetahuan dalam proses bisnis dan
teknologi informasi, memiliki kemampuan yang baik dalam berkomunikasi dan
memfasilitasi, serta berkomitmen untuk mengerahkan kemampuan yang dimiliki demi
keberhasilan OCTAVE.
Aturan dan tanggung jawab tim analisis adalah untuk : bekerja dengan manajer dalam
menentukan cakupan eveluasi, memilih partisipan,dan menjadwalkan aktifitas
OCTAVE; berkoordinasi dengan manajer senior atau manajer operasional dan
pendukung teknologi informasi untuk mengevaluasi vulnerability; mendapatkan,
menganalisa dan mengelola data dan hasil selama proses OCTAVE; mengaktifkan
aktifitas assessment, yang fungsi utamanya adalah menjamin bahwa personil yang
diinginkan hadir dalam lokakarya yang ditentukan; mengurus dukungan logistik.
Secara umum, tim inti analisis harus memiliki kemampuan berikut:
fasilitasi,komunikasi yang baik, analisis yang baik, bekerjasama dengan manajer
senior, manajer operasional dan anggota organisasi, memahami lingkungan bisnis
organisasi, memahami lingkungan teknologi informasi dalam organisasi dan
mengetahui bagaimana staf bisnis menggunakan teknologi informasi organisasi.
Pada saat yang lain, tim inti analisis harus memiliki pengetahuan berikut ini, atau
memperolehnya melalui anggota tim tambahan: lingkungan taknologi informasi
organisasi dan pengetahuan topologi jaringan dalam organisasi, mengetahui
aksploitasi terkini terhadap vulnerability, mengetahui bagaimana menginterpretasikan
hasil evaluasi vulnerability oleh perangkat lunak, mengetahui praktekperencanaan
organisasi, serta mampu mengembangkan perencanaan.
Menentukan cakupan OCTAVE. Evaluasi harus mencakup area operasi yang penting.
Jika cakupan terlalu luas, maka akan sulit menganalisa data, dan jika cakupan terlalu
sempit maka hasilnya tidak akan banyak berarti.
Memilih partisipan. Anggota organisasi dari berbagai tingkatan struktural akan
menyumbangkan pengetahuannya. Anggota organisasi perlu mengetahui area kerja
mereka.
Mengkoordinasi logistik. Tim inti analisis melakukan koordinasilogistik yang
diperlukan dalam setiap aktifitas OCTAVE meliputi: penjadwalan, koordinasi
persiapan ruang pertemuan, peralatan yang diperlukan dalam setiap aktifitas
OCTAVE, menangani kejadian tidak terduga misalnya penggantian jadwal dan
perubahan personil dalam pertemuan.
2.1.4 Fase Pertama. Organizational View
Fase pertama dalam OCTAVE adalah Asset-Based Threat Profiles. Fase ini meliputi
lokakarya pengumpulan pengetahuan untuk memperoleh informasi mengenai aset, keamanan
yang dibutuhkan oleh setiap aset, area yang diperhatikan, strategi proteksi yang sedang
diterapkan,dan vulnerability organisasi terkini. Pada fase ini data yang diperoleh
dikonsolidasikan oleh tim analisis ke dalam sebuah profil aset kritis organisasi.
Fase pertama ini meliputi empat proses yang harus dilakukan. Keempat proses ini
dibahas dalam penjelasan berikut :
2.1.4.1 Fase I proses I. Identify Senior Manager Knowledge
Proses pertama dalam fase I adalah melakukan identifikasi pengetahuan manajer
senior dalam hal keamanan informasi. Tim analisis melakukan lokakarya dengan manajer
senior sebagai partisipan. Aktifitas dalam proses ini terdiri dari:
Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting
untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk
mengidentifikasi lima aset yang terpenting.
Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior
mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
Process 1:Identify Senior Management Knowledge
InputsCurrent knowledge of senior managersOrganizational dataCatalog of practices
OutputsSenior management assets with relative prioritiesSenior management areas of concern Security requirements for senior management assetsCurrent senior management protection strategy practicesSenior management organizational vulnerabilities
WorksheetsAsset worksheet (W1.1)Areas of concern worksheet (W1.2)Security requirements worksheet (W1.3)Senior management survey (W1.4)Protection strategy worksheet (W1.5)
Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior
mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer
senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan
jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
Meninjau kembali cakupan evaluasi – Ini adalah kesempatan kedua untuk manajer
senior terlibat dalam lokakarya proses pertama jika akan menambah atau mengurangi
daftar area operasi atau manajer.
2.1.4.2 Fase I proses II. Identify Operational Management Knowledge
InputsCurrent knowledge of operational area managersOrganizational dataCatalog of practices
Process 2:Identify Operational Area Management Knowledge
OutputsOperational area management assets with relative prioritiesOperational area management areas of concern Security requirements for operational area management assetsCurrent operational area management protection strategy practicesOperational area management organizational vulnerabilities
WorksheetsAsset worksheet (W2.1)Areas of concern worksheet (W2.2)Security requirements worksheet (W2.3)Operational area management survey (W2.4)Protection strategy worksheet (W2.5)
Pada proses ke dua ini diperoleh gambaran pengetahuan dari manajer area
operasional. Manajer ini adalah manajer dimana area yang dikelolanya termasuk dalam
cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan manajer area operasional
sebagai parsisipannya. Aktifitas dalam proses 2 ini terdiri dari:
Mengidentifikasi aset penting – Manajer senior mendefinisikan aset apa yang penting
untuk mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk
mengidentifikasi lima aset yang terpenting.
Mendeskripsikan area of concern – Untuk lima aset terpenting, manajer senior
mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Manajer senior
mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Manajer
senior melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan
jawaban survey mereka untuk memberikan tambahan informasi terhadap apa yang
sudah dan apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
Memverifikasi staf yang menjadi partisipan – Manajer area meninjau kembali siapa
saja staf yang akan menjadi partisipan dalam OCTAVE.
2.1.4.3 Fase I proses III. Identify Staff Knowledge
Pada proses ke tiga ini diperoleh gambaran pengetahuan dari para staf umum dan staf
teknologi informasi. Para staf ini adalah para staf dimana area tempatnya bekerja termasuk
dalam cakupan OCTAVE. Tim analisis memfasilitasi lokakarya dengan para staf sebagai
Process 3:Identify Staff Knowledge
InputsCurrent knowledge of staffOrganizational dataCatalog of practices
OutputsStaff assets with relative prioritiesStaff areas of concern Security requirements for staff assetsCurrent staff protection strategy practicesStaff organizational vulnerabilities
WorksheetsAsset worksheet (W3.1)Areas of concern worksheet (W3.2)Security requirements worksheet (W3.3)Staff survey (W3.4)IT staff survey (W3.4 IT)Protection strategy worksheet (W3.5)
parsisipannya. Partisipan dalam setiap lokakarya dibatasi lima orang, jika jumlah staf lebih
dari lima orang, maka akan diadakan beberapa lokakarya dengan partisipan yang berbeda
pada setiap lokakarya.Aktifitas dalam proses 3 ini terdiri dari:
Mengidentifikasi aset penting – para staf mendefinisikan aset apa yang penting untuk
mereka dan untuk organisasi. Mereka juga membuat skala prioritas untuk
mengidentifikasi lima aset yang terpenting.
Mendeskripsikan area of concern – Untuk lima aset terpenting, para staf
mendeskripsikan skenario bagaimana aset –aset tersebut terancam.
Mendefinisikan kebutuhan keamanan untuk setiap aset terpenting – Para staf
mendefinisikan kebutuhan keamanan yang diperlukan untuk aset terpenting.
Mengidentifikasi strategi proteksi terkini dan vulnerability organisasi – Para staf
melengkapi survey berdasarkan catalog of practices. Mereka mendiskusikan jawaban
survey mereka untuk memberikan tambahan informasi terhadap apa yang sudah dan
apa yang belum dilaksanakan dengan baik dalam pandangan keamanan.
2.1.4.4 Fase I proses IV. Create Threat Profile
Proses ke empat menggabungkan semua informasi yang diperoleh dalam proses
pertama sampai proses ke tiga dan membuat sebuah profil ancaman terhadap aset kritis.
Proses ke empat dilakukan oleh tim analisis (beserta tim tambahan jika diperlukan). Aktifitas
yang dilakukan terdiri dari:
Process 4:
Create Threat ProfilesInputsCurrent knowledge of analysis teamGeneric threat profileResults from Process 1Results from Process 2Results from Process 3
OutputsConsolidated informationAssetsSecurity requirementsAreas of concernCritical assetsSecurity requirements for critical assetsThreats to critical assets
WorksheetsAsset group worksheet (W4.1)Security requirements group worksheet (W4.2)Areas of concern group worksheet (W4.3)Asset Profile Workbook (WK)
Konsolidasi data – tim analisis mendata daftar aset terpenting, kebutuhan keamanan
masing-masing aset, dan area of concern yang diperoleh pada proses pertama sampai
proses ke tiga.
Memilih aset kritis - Dari keseluruhan aset terpenting yang diajukan oleh manajer
senior, manajer area operasional dan para staf, aset yang terpenting diseleksi oleh tim
analisis.
Mendefinisikan kebutuhan keamanan untuk aset kritis – tim analisisi
menyempurnakan informasi yang diperoleh pada proses pertama sampai ke tiga untuk
sampai pada sebuah rancangan akhir kebutuhan keamanan.
Menentukan ancaman terhadap aset kritis – tim analisis menyempurnakan informasi
area of concern yang diperoleh dari proses pertama sampai proses ke tiga dan
menjabarkannya dalam profil ancaman keamanan.
2.1.5 Fase Ke dua. Identify Infrastructure VulnerabilityFase ke dua dalam OCTAVE adalah Identify Infrastructure Vulnerabilities. Fase ini
melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur
kunci yang mendukung aset tersebut. Fase ke dua ini meliputi dua proses yang akan dibahas
lebih lanjut.
2.1.5.1 Fase II proses V. Identify Key Components
Proses V mengidentifikasi komponenkunci dari infrastruktur yang harus diuji
vulnerability-nya secara teknis untuk setiap aset kritis. Tim analisis mempertimbangkan
berbagai macam sistem dalam organisasi dan masing-masing komponennya. Tim analisis
mencari “system(s) of interest” untuk setiap aset kritis – yaitu sistem yang paling dekat
hubungannya dengan aset kritis. Aktifitas yang dilakukan terdiri dari:
Mengidentifikasi klasifikasi kunci setiap komponen – sebuah systems of interest
diidentifikasikan untuk setiap aset. Topologi atau pemetaan jaringan jenis lain
digunakan untuk meninjau di mana aset kritis berada dan bagaimana diakses.
Klasifikasi komponen kunci dipilih berdasarkan bagaimana aset diakses dan
digunakan.
Mengidentifikasi komponen infrastruktur yang akan diuji – Untuk setiap tipe
komponen, tim analisis memilih komponen tertentu untuk dievaluasi. Departemen
teknologi informasi harus memberikan alamat jaringan secara spesifik atau lokasi
fisiknya dan akan diperlukan untuk menyusun evaluasi.
2.1.5.2 Fase II proses VI. Evaluate Selected Components
Pada proses ini komponen infrastruktur yang dipilih untuk setiap aset kritis dievaluasi
untuk mengetahui vulnerability secara teknis. Tim analisis menjalankan peralatan evaluasi,
menganalisa hasilnya dan membuat rangkuman untuk tiap aset kritis. Aktifitas pada proses
initerdiri dari:
Prework: menjalankan peralatan evaluasi vulnerability pada komponen infrastruktur
sebelum lokakarya. Peralatan evaluasi mungkin sudah dimiliki oleh organisasi atau
bisa juga disewa dari pihak lain.
Process 5:Identify Key Components
InputsCurrent knowledge of analysis team and key IT staff Current network topology diagrams (including IP addresses for components)Threats to critical assets
OutputsKey classes of components Infrastructure components to examineSelected approach for evaluating each infrastructure component
WorksheetsAsset Profile Workbook (WK)
Process 6:Evaluate Selected Components
InputsCurrent knowledge of analysis team and key IT staffSoftware toolsCatalog of vulnerabilitiesCurrent network topology diagrams (including IP addresses for components)Infrastructure components to examineSelected approach for evaluating each infrastructure component
OutputsTechnology vulnerabilitiesTechnology vulnerability summary
WorksheetsAsset Profile Workbook (WK)
Mengkaji vulnerability teknologi dan merangkum hasilnya – pemimpin evaluasi
mempresentasikan rangkuman hasil evaluasi kepada tim analisis. Mereka kemudian
mendiskusikan vulnerability yang mana yang memerlukan perbaikan dalam jangka
waktu dekat, menengah atau jangka panjang, memodifikasi rangkuman jika
diperlukan. Secara umum hal ini berhubungan dengan derajat kerumitan vulnerability
dan aset kritis yang dipengaruhinya.
2.1.6 Fase III. Develop Security Strategy and Plans
Fase ke tiga dalam OCTAVE adalah Develop Security Strategy and Plans. Pada fase
ini didefinisikan resiko terkait dengan aset kritis, membuat rencana mitigasi untuk resiko
tersebut, dan membuat strategi proteksi organisasi.Rencana dan strategi dikaji dan diterima
oleh manajer senior. Terdapat dua proses dalam fase ke tiga yang akan dibahas berikutnya.
2.1.6.1 Fase III proses VII. Conduct Risk Analysis
Selama proses ke tujuh, tim analisis mengkaji semua informasi yang diperoleh dari
proses ke-1 sampai proses ke-6 dan membuat profil resiko untuk setiap aset kritis. Profil
resiko merupakan perluasan dari profil ancaman , menambahkan pengukuran kualitatif
terhadap akibat kepada organisasi untuk setiap kemungkinan ancaman yang terjadi.
Kemungkinan untuk setiap kejadian tidak digunakan. Karena menetapkan sebuah alasan
kemungkinan secara akurat dari setiap kejadian sangat sulit dan senantiasa berubah-ubah,
maka kemungkinan untuk setiap cabang diasumsikan sama. Proses 7 meliputi aktifitas:
Mengidentifikasi pengaruh setiap ancaman terhadap aset kritis – Untuk setiap aset
kritis, pernyataan pengaruh aktual terhadap organisasi ditetapkan untuk setiap akibat
dari ancaman.
Process 7:Conduct Risk Analysis
InputsCurrent knowledge of analysis team and key staff Critical assetsSecurity requirement for critical assets Threats to critical assets Areas of concern for critical assets
OutputsImpact of threats to critical assetsRisk evaluation criteriaImpact values
WorksheetsAsset Profile Workbook (WK)
Membuat kriteria evaluasi – dengan menggunakan pernyataan akibat pada aktifitas
pertama, sebuah kriteria evaluasi akibat ditetapkan untuk ancaman terhadap aset kritis
organisasi. Definisi tiga tingkatan evaluasi kualitatif (tinggi, menengah, dan rendah)
ditetapkan untuk banyak aspek (misalnya finansial atau akibat operasional).
Mengevaluasi akibat dari ancaman terhadap aset kritis – berdasarkan kriteria evaluasi
setiap akibat dari setiap ancaman didefinisikan sebagai tinggi, menengah, atau
rendah. Semua informasi mengenai hal ini dicatat dalam Asset Profile Workbook.
2.1.6.2 Fase III proses VIII. Develop Protection Strategy
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi proteksi organisasi
secara menyeluruh, rencana mitigasi untuk resiko terhadap aset kritis. Proses ini melibatkan
dua lokakarya. Pada lokakarya pertama (disebut sebagai lokakarya A), tim analisis menyusun
proposal strategi dan perencanaan. Pada lokakarya ke dua (disebut lokakarya B), manajer
senior mengkaji proposal, membuat perubahan yang diinginkan, dan menetapkan langkah
selanjutnya untuk menerapkan strategi dan perencanaan. Lokakarya A meliputi aktifitas:
Prework: Mengkompilasi hasil survey – hasil ini diperoleh dari kompilasi survey pada
proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana yang telah
dianggap baik oleh sebagian besar responden dan mana yang dianggap buruk oleh
sebagian besar responden
Mengkaji informasi – Informasi yang diperoleh dari proses-proses sebelumnya dikaji
ulang. Pengkajian ini meliputi vulnerability, praktek, informasi resiko, dan kebutuhan
keamanan aset kritis.
Membuat strategi proteksi – strategi ini meliputi setiap praktek yang dianggap harus
dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah dilaksanakan
dengan baik.Membuat rencana mitigasi – untuk setiap aset, rencana mitigasi dibuat
untuk melakukan pencegahan, pengenalan, dan pemulihan dari setiap resiko dan
menjelaskan bagaimana mengukur efektifitas dari kegiatan mitigasi.
Process 8:Develop Protection Strategy Workshop A
InputsCurrent knowledge of analysis team and key staff Consolidated informationAssetsSecurity requirementsAreas of concernCurrent protection strategy practices from each organizational levelOrganizational vulnerabilities from each organizational levelCritical assetsSecurity requirements for critical assetsThreats to critical assetsKey classes of components Infrastructure components to examine Technology vulnerability summary
Key classes of componentsTechnology vulnerabilities
OutputsCurrent protection strategy practices Current organizational vulnerabilitiesProposed protection strategy Proposed mitigation planProposed action list
WorksheetsCurrent strategic practices worksheet (W8A.1)Current operational practices worksheet (W8A.2)Protection strategy for strategic practices worksheet (W8A.3)Protection strategy for operational practices worksheet (W8A.4)Action list worksheet (W8A.5)Asset Profile Workbook (WK)
Process 8:Develop Protection Strategy Workshop B Outputs
Protection strategyMitigation planAction listNext steps
InputsCurrent knowledge of analysis team and key staff Current knowledge of senior managersProposed protection strategy Proposed mitigation planProposed action listConsolidated informationAssetsSecurity requirementsAreas of concernProtection strategy practicesOrganizational vulnerabilities
WorksheetsAsset summary worksheet (W8B.1)Risk profile for critical assets (W8B.2)Organization protection strategy worksheet (W8B.3)Mitigation plan worksheet (W8B.4)Action list worksheet (W8B.5)Next steps worksheet (W8B.6)
Current strategic practices worksheet (W8A.1)Current operational practices worksheet (W8A.2)Protection strategy for strategic practices worksheet (W8A.3)Protection strategy for operational practices worksheet (W8A.4)Action list worksheet (W8A.5)Asset Profile Workbook (WK)
Membuat daftar aktifitas – sebuah daftar aktifitas yang segera dilaksanakan, biasanya
meliputi vulnerability yang memerlukan perbaikan dengan segera.
Lokakarya B meliputi aktifitas:
Prework: Membuat presentasi untuk manajer senior
Mengkaji informasi resiko – tim analisis mempresentasikan informasi berkaitan
dengan aset kritis dan ringkasan hasil survey kepada manajer senior.
Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar
aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta
perubahan, penambahan, atau pengurangan.
Menetapkan langkah selanjutnya – Manajer senior memutuskan bagaimana
mengimplementasikan strategi, perencanaan, dan aktifitas.