MANAJEMEN RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE (OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY EVALUATION)
Untuk mencapai tujuan bisnis keamanan informasi, seringkali perusahaan atau organisasi menggunakan Teknologi Informasi (TI) dalam mengelola informasi sebagai basis dalam penciptaan layanan yang berkualitas ataupun dalam optimalisasi proses bisnisnya. Meningkatnya tingkat ketergantungan organisasi pada sistem informasi sejalan dengan resiko yang mungkin timbul.
Salah satu risiko yang timbul adalah risiko keamanan informasi, dimana informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan, serta terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut. teknologi Informasi merupakan sebuah aset penting bagi organisasi yang perlu dilindungi dan diamankan oleh perusahaan dan organisasinya.
Aset informasi (hardware, software, sistem, informasi dan manusia) merupakan aset yang penting bagi suatu organisasi yang perlu dilindungi dari risiko keamanannya baik dari pihak luar dan dalam organisasi. Keamanan informasi tidak bisa hanya disandarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi dan menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi). Untuk itu butuh pengelolaan keamanan informasi yang sistemik dan komprehensif. Aspek kebutuhan keamanan informasi harus memuat 3 unsur penting yakni :
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), harus terjaga keakuratan dan keutuhan informasi serta
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait bilamana diperlukan.
Tiga aspek keamanan rawan terhadap ancaman serangan-serangan yang mengancam keberadaanya baik serangan terhadap sumber-sumber informasi baik secara fisik dan melalui akses secara jaringan.
Untuk mengatasi risiko keamanan butuh kemampuan dalam pengelolaan/manajemen risiko keamanan informasi untuk itu dibutuhkan pendekatan ilmu manajemen.
1. Framework Manajemen Keamanan Risiko Sistem Informasi
Evaluasi kegiatan mempertimbangkan apa yang terjadi selama evaluasi, ketika sebuah organisasi yang melakukan evaluasi risiko keamanan informasi, maka untuk melakukan kegiatan :
a) Identifikasi
Mengidentifikasi risiko keamanan informasi (merekam profil risiko dan informasi organisasi)
b) Analisis
Menganalisis risiko untuk menvaluasi risiko dan menentukan prioritas.
c) Monitor
Memantau kemajuan dan efektifitas, kegiatan ini meliputi pemantauan risiko untuk setiap perubahan.
d) Control
Mengontrol pelaksanaanya telah sesuai dengan tindakan korektif, dengan cara menganalsis data, membuat keptusan dan meneksekusi hasil keputusan yang dibuat.
2. Metode OCTAVE
Untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat membuat rencanapenanggulangan dan mengurangi/mitigasi risiko terhadap masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University, 1999 memungkinkan organisasi melakukan hal di atas.
OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis organisasi.
Metode OCTAVE memberikan panduan secara sistemik dan komprehensif dalam manajemen risiko keamanan informasi. Metode ini lebih menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia diantara semua sistem keamanan informasi pasti memiliki kelemahan dan ancaman yang akan terjadi pada semua aset perangkat yang ada di sistem tersebut.
Kata kunci : teknologi informasi, aset, risiko