SlideShare a Scribd company logo

It risk management with octave sm

Download as PPTX, PDF
Didit Bagus Prasetyo
Didit Bagus Prasetyo

Ringkasan dokumen tersebut adalah: Dokumen tersebut merangkum metode manajemen risiko aset OCTAVESM yang terdiri dari 3 fase untuk mengevaluasi risiko keamanan informasi secara komprehensif dan sistematis dengan mengidentifikasi ancaman, kerentanan, dan mengembangkan strategi perlindungan berdasarkan studi kasus sistem XYZ.

1 of 30
MANAJEMEN RISIKO ASET OCTAVESM Didit Bagus Prasetyo 1412411055 Iman Saladin B.A 1412410512 Lisa Artha Sari 1412410134 M. Fadly Kurniawan 1412410651 Nur Fitri Ika Insanti 1412409454 Restu Pinasthika 1412409435
Pendahuluan  OCTAVESM menjelaskan suatu evaluasi risiko keamanan information yang komprehensif, sistematik, konteks.  Dengan metode OCTAVESM suatu organisasi dapat membuat keputusan perlindungan informasi berdasarkan risiko terhadap kerahasiaan, integritas, dan ketersediaan aset kritis dari teknologi informasi (TI).  OCTAVESM menggunakan tiga fase dalam meneliti masalah organisasi dan teknologi untuk merakit gambaran yang komprehensif tentang kebutuhan keamanan informasi dari suatu organisasi.
Prinsip dan Atribut Prinsip Atribut Self-direction Analysis team Augmenting analysis team skills Adaptable measures Catalog of practices Generic threat profile Catalog of vulnerabilities Defined process Defined evaluation activities Documented evaluation results Evaluation scope Foundation for a continuous process Next steps Catalog of practices Senior management participation Forward-looking view Focus on risk Focus on the critical few Evaluation scope Focused activities
Prinsip dan Atribut Prinsip Atribut Integrated management Organizational and technological issues Business and information technology participation Senior management participation Open communication Collaborative approach Global perspective Organizational and technological issues Business and information technology participation Teamwork Analysis team Augment analysis team skills Business and information technology participation Collaborative approach
Fase–Fase OCTAVESM
Fase 1 : Membangun Profil Ancaman (Threat Profile) Berbasis Aset  Hal – hal yang dilakukan dalam fase ini antara lain :  Mengindentifikasi aset kritis.  Apa yang dilakukan untuk melindungi aset kritis tersebut.  Persyaratan keamanan untuk setiap aset yang diidentifikasi  Output dari fase ini adalah  Aset Kritis  Persyaratan keamanan untuk aset kritis  Anacaman terhadap aset kritis  Praktek keamanan saat ini  Kerentanan organisasi saat ini
Proses Fase 1
Aktivitas pada Fase 1: Aktivitas pada fase 1 adalah : 1. Identifikasi aset relatif dan prioritas 2. Mengidentifikasi bidang yang menjadi perhatian. 3. Mengidentifikasi persyaratan keamanan untuk aset yang paling kritis 4. Mengumpulkan pengetahuan dari praktik keamanan saat ini dan kerentanan organisasi. 5. Konsolidasi informasi dari proses 1 sampai 3. 6. Memilih aset kritirs. 7. Menyempurnakan presyaratan keamanan untuk aset kritis. 8. Mengidentifikasi dari ancaman terhadap aset kritis Proses 1 - 3 Proses 4
Fase 2 : Mengidentifikasi Kerentanan Infrasruktur  Hal – hal yang dilakukan dalam fase ini antara lain :  Periksa Network Access  Mengidentifikasi Kelas Komponen IT untuk Setiap aset  Tentukan ketahanan terhadap Serangan Jaringan  Output dari fase ini adalah  Komponen kunci  Kerentanan teknologi saat ini
Proses Fase 2
Aktivitas pada Fase 2: Aktivitas pada fase 2 adalah : 1. Mengidentifikasi kelas komponen utama 2. Mengidentifikasi komponen infrastruktur untuk diperiksa 3. Menjalankan alat evaluasi kerentanan pada komponen infrastruktur yang dipilih 4. Meninjau kerentanan teknologi dan meringkas hasil Proses 5 Proses 6
Fase 3 : Mengembangkan Strategi dan Rencana Keamanan  Hal – hal yang dilakukan dalam fase ini antara lain :  Identifikasi Resiko untuk Aset Kritis  Mengembangkan strategi perlindungan dan rencana mitgasi.  Analisis berdasarkan fase sebelumnya.  Output dari fase ini adalah  Risiko terhadap aset kritis  Pengukuran risiko  Startegi perlindungan  Rencana mitigasi risiko
Proses Fase 3
Aktivitas pada Fase 3: Aktivitas pada fase 3 adalah : 1. Mengidentifikasi dampak dari ancaman aset kritis 2. Membuat kriteria evaluasi risiko 3. Evaluasi dampak dari ancaman aset kritis 4. Konsolidasi informasi dari proses 1 sampai 3 5. Mereview informasi risiko 6. Membuat strategi perlindungan 7. Membuat rencana mitigasi 8. Membuat daftar tindakan Proses 7 Proses 8
Case Study : System XYZ (Critical Assets and Threat)  Aset kritis pada case study ini adalah system XYZ.  Konsen dari area aset kritis ini (areas of concern)antara lain :  Orang-orang sengaja memasukkan data yang salah ke dalam sistem XYZ. Hal ini menyebabkan catatan yang salah pada sistem tersebut.  Seseorang bisa menggunakan catatan dari sistem XYZ untuk keuntungan pribadi.  Kelemahan yang melekat dan kerentanan dalam sistem XYZ dapat dieksploitasi oleh penyerang untuk melihat atau mengubah informasi penting dalam catatan.
Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 1 :  asset – penyimpanan system XYZ  access – network (data yang dimasukan dan direkam pada sebuah sistem)  actor – insiders (staff yang memiliki askes)  ·motive – accidental  outcome – modification (Data yang salah, dimodifikasi)
Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 2 :  asset – penyimpanan system XYZ  access – network (aktor dapat mengakses record dari sistem)  actor – insiders dan outsider(staff atau pihak luar yang memiliki askes )  ·motive – deliberate  outcome – disclosure (aktor iniyang bisa melihat informasi seharusnya ia tidak bisa melihat )
Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 3 :  asset – penyimpanan system XYZ  access – network (aktor dapat mengakses record dari sistem)  actor – outsider(pihak luar ang menyerang sistem ini )  ·motive – deliberate  outcome – disclosure ,modification
Case Study : System XYZ (Threat Profile)
Case Study : Sytem XYZ (Key Component and Vulnerabilities) Key Component Server Network Router Switch Security Firewall Security Access Matrix User Access Matrix Workstation PC User
Case Study : System XYZ (Key Component and Vulnerabilities) Component Tools Scan/Review Vulnerability Summary Server Improve-UR- Network Y 3 High 2 Medium Router Y 1 High Switch Y 1 High Firewall Y 1 High Security Access Matrix Review Y 5 High User Access Matrix Y 5 High Workstation Improve-UR- Network Y 2 high PC User 1 Vulnerabilies-R- Found Y 2 Medium PC User 2 Y 2 Medium
Case Study : Sytem XYZ ( Vulnerability Security Level)
Case Study : Sytem XYZ (Impact & Probability) Case Actor Motive Outcome Impact Probability 1 Inside Accidental Modification High Medium 2 Inside Deliberate Disclosure High High Outside Deliberate Disclosure High Medium 3 Outside Deliberate Disclosure High Medium Modification High Medium
Case Study : Sytem XYZ (Evalutaion) Case Impact Probability Evaluation 1 High Medium High 2 High High High High Medium High 3 High Medium High High Medium High
Case Study : System XYZ ( Impact ) Tingkatan impact berdasarkan : Reputation/customer confidence Life/health of customers Productivity Fines/legal penalties Finances Facilities
Case Study : System XYZ ( Probability & Evaluation)
Case Study : System XYZ (Strategi Perlindungan) Case Actor Motive Outcome Strategi Perlindungan 1 Inside Accidental Modification Security Awareness and Training 2 Inside Deliberate Disclosure Security Awareness and training, Security management and Security Policies Outside Deliberate Disclosure Security management 3 Outside Deliberate Disclosure Security management Modification Security management
Case Study : System XYZ (Mitigation Plan) Case Actor Motive Outcome Mitigation Plan 1 Inside Accidental Modification Menerapkan fungsi maker checker 2 Inside Deliberate Disclosure Mengupadate UAM dan SAM, mengupadte firewall, router, switch Outside Deliberate Disclosure Mengupadte firewall, router, switch 3 Outside Deliberate Disclosure Mengupadte firewall, router, switch Modification Mengupadte firewall, router, switch
Referensi  Dorofee, Audrey & Albets, Christopher. (2002). Managing Information Security Risks: The OCTAVESM Approach. Adison Wesley.  Dorofee, Audrey & Albets, Christopher. OCTAVESM* Threat Profiles. Carnegie Mellon University.
TERIMA KASIH

Recommended

Ferli Apriadi - Keamanan Sistem Informasi
Ferli Apriadi - Keamanan Sistem InformasiFerli Apriadi - Keamanan Sistem Informasi
Ferli Apriadi - Keamanan Sistem Informasi
belajarkomputer
 
Financial statement analysis
Financial statement analysisFinancial statement analysis
Financial statement analysis
Didit Bagus Prasetyo
 
Sister02
Sister02Sister02
Sister02Abbanae Dandim
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasi
Selfia Dewi
 
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Institut Teknologi Sepuluh Nopember Surabaya
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
Panji Ramadhan Hadjarati
 
Snati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangSnati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangNanang Sasongko
 
Ethical Hacking1
Ethical Hacking1Ethical Hacking1
Ethical Hacking1dodontn
 

Recommended

Ferli Apriadi - Keamanan Sistem Informasi
Ferli Apriadi - Keamanan Sistem InformasiFerli Apriadi - Keamanan Sistem Informasi
Ferli Apriadi - Keamanan Sistem Informasi
belajarkomputer
 
Financial statement analysis
Financial statement analysisFinancial statement analysis
Financial statement analysis
Didit Bagus Prasetyo
 
Sister02
Sister02Sister02
Sister02Abbanae Dandim
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasi
Selfia Dewi
 
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Institut Teknologi Sepuluh Nopember Surabaya
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
Panji Ramadhan Hadjarati
 
Snati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangSnati2011 Penelitian cloud computing - nanang
Snati2011 Penelitian cloud computing - nanangNanang Sasongko
 
Ethical Hacking1
Ethical Hacking1Ethical Hacking1
Ethical Hacking1dodontn
 
Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)Fathoni Mahardika II
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaAhmad Hassan Saeful Bahri
 
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability AssessmentCyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
Panji Ramadhan Hadjarati
 
Design Software
Design SoftwareDesign Software
Design Software
Universitas Pendidikan Indonesia
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Desain sistem keamanan jaringan
Desain sistem keamanan jaringanDesain sistem keamanan jaringan
Desain sistem keamanan jaringanTeuacan Nami
 
Slide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptSlide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.ppt
saydewiknow
 
Sia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerangSia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerang
ira auliawati
 
Sia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiamiSia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiami
Wulan Sari
 
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
Sandy Setiawan
 
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
Sandy Setiawan
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)elimyudha
 
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdfMAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MrChibi1
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
direktoratkaminfo
 
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Lia Sapoean
 
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree AnalysisAnalisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
ayu bekti
 
1._Audit_Si_.ppt
1._Audit_Si_.ppt1._Audit_Si_.ppt
1._Audit_Si_.ppt
faridagushybana
 
1.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi11111111111111111.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi1111111111111111
indrasunardi1
 
Studi Kelayakan MPPL
Studi Kelayakan MPPLStudi Kelayakan MPPL
Studi Kelayakan MPPL
Jason Wilyandi
 
Mis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiMis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiAndi Iswoyo
 

More Related Content

Similar to It risk management with octave sm

CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability AssessmentCyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
Panji Ramadhan Hadjarati
 
Design Software
Design SoftwareDesign Software
Design Software
Universitas Pendidikan Indonesia
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Desain sistem keamanan jaringan
Desain sistem keamanan jaringanDesain sistem keamanan jaringan
Desain sistem keamanan jaringanTeuacan Nami
 
Slide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptSlide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.ppt
saydewiknow
 
Sia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerangSia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerang
ira auliawati
 
Sia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiamiSia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiami
Wulan Sari
 
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
Sandy Setiawan
 
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
Sandy Setiawan
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)elimyudha
 
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdfMAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MrChibi1
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
direktoratkaminfo
 
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Lia Sapoean
 
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree AnalysisAnalisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
ayu bekti
 
1._Audit_Si_.ppt
1._Audit_Si_.ppt1._Audit_Si_.ppt
1._Audit_Si_.ppt
faridagushybana
 
1.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi11111111111111111.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi1111111111111111
indrasunardi1
 
Studi Kelayakan MPPL
Studi Kelayakan MPPLStudi Kelayakan MPPL
Studi Kelayakan MPPL
Jason Wilyandi
 
Mis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiMis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiAndi Iswoyo
 

Similar to It risk management with octave sm (20)

Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringa
 
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability AssessmentCyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
 
Design Software
Design SoftwareDesign Software
Design Software
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan Komputer
 
Desain sistem keamanan jaringan
Desain sistem keamanan jaringanDesain sistem keamanan jaringan
Desain sistem keamanan jaringan
 
Slide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.pptSlide-SIF324-W1-Keamanan-Informasi.ppt
Slide-SIF324-W1-Keamanan-Informasi.ppt
 
Sia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerangSia,ira,suryanih,stiami tangerang
Sia,ira,suryanih,stiami tangerang
 
Sia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiamiSia, wulansari, suryanih, institut stiami
Sia, wulansari, suryanih, institut stiami
 
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
11. SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Inter...
 
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
SI-PI, Sandy Setiawan, Hapzi Ali, Sistem Informasi dan Pengendalian Internal,...
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)
 
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdfMAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
MAKALAHITFTGS2 1901020056 Merrick Renee Thamrin.pdf
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
 
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...
 
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree AnalysisAnalisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
Analisa Keselamatan Pembangunan Konstruksi Dengan Fault Tree Analysis
 
1._Audit_Si_.ppt
1._Audit_Si_.ppt1._Audit_Si_.ppt
1._Audit_Si_.ppt
 
1.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi11111111111111111.Audit_Sistem informasi1111111111111111
1.Audit_Sistem informasi1111111111111111
 
Studi Kelayakan MPPL
Studi Kelayakan MPPLStudi Kelayakan MPPL
Studi Kelayakan MPPL
 
Mis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasiMis2013 chapter 13-keamanan sistem informasi
Mis2013 chapter 13-keamanan sistem informasi
 

It risk management with octave sm

  • 1. MANAJEMEN RISIKO ASET OCTAVESM Didit Bagus Prasetyo 1412411055 Iman Saladin B.A 1412410512 Lisa Artha Sari 1412410134 M. Fadly Kurniawan 1412410651 Nur Fitri Ika Insanti 1412409454 Restu Pinasthika 1412409435
  • 2. Pendahuluan  OCTAVESM menjelaskan suatu evaluasi risiko keamanan information yang komprehensif, sistematik, konteks.  Dengan metode OCTAVESM suatu organisasi dapat membuat keputusan perlindungan informasi berdasarkan risiko terhadap kerahasiaan, integritas, dan ketersediaan aset kritis dari teknologi informasi (TI).  OCTAVESM menggunakan tiga fase dalam meneliti masalah organisasi dan teknologi untuk merakit gambaran yang komprehensif tentang kebutuhan keamanan informasi dari suatu organisasi.
  • 3. Prinsip dan Atribut Prinsip Atribut Self-direction Analysis team Augmenting analysis team skills Adaptable measures Catalog of practices Generic threat profile Catalog of vulnerabilities Defined process Defined evaluation activities Documented evaluation results Evaluation scope Foundation for a continuous process Next steps Catalog of practices Senior management participation Forward-looking view Focus on risk Focus on the critical few Evaluation scope Focused activities
  • 4. Prinsip dan Atribut Prinsip Atribut Integrated management Organizational and technological issues Business and information technology participation Senior management participation Open communication Collaborative approach Global perspective Organizational and technological issues Business and information technology participation Teamwork Analysis team Augment analysis team skills Business and information technology participation Collaborative approach
  • 6. Fase 1 : Membangun Profil Ancaman (Threat Profile) Berbasis Aset  Hal – hal yang dilakukan dalam fase ini antara lain :  Mengindentifikasi aset kritis.  Apa yang dilakukan untuk melindungi aset kritis tersebut.  Persyaratan keamanan untuk setiap aset yang diidentifikasi  Output dari fase ini adalah  Aset Kritis  Persyaratan keamanan untuk aset kritis  Anacaman terhadap aset kritis  Praktek keamanan saat ini  Kerentanan organisasi saat ini
  • 8. Aktivitas pada Fase 1: Aktivitas pada fase 1 adalah : 1. Identifikasi aset relatif dan prioritas 2. Mengidentifikasi bidang yang menjadi perhatian. 3. Mengidentifikasi persyaratan keamanan untuk aset yang paling kritis 4. Mengumpulkan pengetahuan dari praktik keamanan saat ini dan kerentanan organisasi. 5. Konsolidasi informasi dari proses 1 sampai 3. 6. Memilih aset kritirs. 7. Menyempurnakan presyaratan keamanan untuk aset kritis. 8. Mengidentifikasi dari ancaman terhadap aset kritis Proses 1 - 3 Proses 4
  • 9. Fase 2 : Mengidentifikasi Kerentanan Infrasruktur  Hal – hal yang dilakukan dalam fase ini antara lain :  Periksa Network Access  Mengidentifikasi Kelas Komponen IT untuk Setiap aset  Tentukan ketahanan terhadap Serangan Jaringan  Output dari fase ini adalah  Komponen kunci  Kerentanan teknologi saat ini
  • 11. Aktivitas pada Fase 2: Aktivitas pada fase 2 adalah : 1. Mengidentifikasi kelas komponen utama 2. Mengidentifikasi komponen infrastruktur untuk diperiksa 3. Menjalankan alat evaluasi kerentanan pada komponen infrastruktur yang dipilih 4. Meninjau kerentanan teknologi dan meringkas hasil Proses 5 Proses 6
  • 12. Fase 3 : Mengembangkan Strategi dan Rencana Keamanan  Hal – hal yang dilakukan dalam fase ini antara lain :  Identifikasi Resiko untuk Aset Kritis  Mengembangkan strategi perlindungan dan rencana mitgasi.  Analisis berdasarkan fase sebelumnya.  Output dari fase ini adalah  Risiko terhadap aset kritis  Pengukuran risiko  Startegi perlindungan  Rencana mitigasi risiko
  • 14. Aktivitas pada Fase 3: Aktivitas pada fase 3 adalah : 1. Mengidentifikasi dampak dari ancaman aset kritis 2. Membuat kriteria evaluasi risiko 3. Evaluasi dampak dari ancaman aset kritis 4. Konsolidasi informasi dari proses 1 sampai 3 5. Mereview informasi risiko 6. Membuat strategi perlindungan 7. Membuat rencana mitigasi 8. Membuat daftar tindakan Proses 7 Proses 8
  • 15. Case Study : System XYZ (Critical Assets and Threat)  Aset kritis pada case study ini adalah system XYZ.  Konsen dari area aset kritis ini (areas of concern)antara lain :  Orang-orang sengaja memasukkan data yang salah ke dalam sistem XYZ. Hal ini menyebabkan catatan yang salah pada sistem tersebut.  Seseorang bisa menggunakan catatan dari sistem XYZ untuk keuntungan pribadi.  Kelemahan yang melekat dan kerentanan dalam sistem XYZ dapat dieksploitasi oleh penyerang untuk melihat atau mengubah informasi penting dalam catatan.
  • 16. Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 1 :  asset – penyimpanan system XYZ  access – network (data yang dimasukan dan direkam pada sebuah sistem)  actor – insiders (staff yang memiliki askes)  ·motive – accidental  outcome – modification (Data yang salah, dimodifikasi)
  • 17. Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 2 :  asset – penyimpanan system XYZ  access – network (aktor dapat mengakses record dari sistem)  actor – insiders dan outsider(staff atau pihak luar yang memiliki askes )  ·motive – deliberate  outcome – disclosure (aktor iniyang bisa melihat informasi seharusnya ia tidak bisa melihat )
  • 18. Case Study : System XYZ (Threat Properties)  Propertis ancman :  Concern 3 :  asset – penyimpanan system XYZ  access – network (aktor dapat mengakses record dari sistem)  actor – outsider(pihak luar ang menyerang sistem ini )  ·motive – deliberate  outcome – disclosure ,modification
  • 19. Case Study : System XYZ (Threat Profile)
  • 20. Case Study : Sytem XYZ (Key Component and Vulnerabilities) Key Component Server Network Router Switch Security Firewall Security Access Matrix User Access Matrix Workstation PC User
  • 21. Case Study : System XYZ (Key Component and Vulnerabilities) Component Tools Scan/Review Vulnerability Summary Server Improve-UR- Network Y 3 High 2 Medium Router Y 1 High Switch Y 1 High Firewall Y 1 High Security Access Matrix Review Y 5 High User Access Matrix Y 5 High Workstation Improve-UR- Network Y 2 high PC User 1 Vulnerabilies-R- Found Y 2 Medium PC User 2 Y 2 Medium
  • 22. Case Study : Sytem XYZ ( Vulnerability Security Level)
  • 23. Case Study : Sytem XYZ (Impact & Probability) Case Actor Motive Outcome Impact Probability 1 Inside Accidental Modification High Medium 2 Inside Deliberate Disclosure High High Outside Deliberate Disclosure High Medium 3 Outside Deliberate Disclosure High Medium Modification High Medium
  • 24. Case Study : Sytem XYZ (Evalutaion) Case Impact Probability Evaluation 1 High Medium High 2 High High High High Medium High 3 High Medium High High Medium High
  • 25. Case Study : System XYZ ( Impact ) Tingkatan impact berdasarkan : Reputation/customer confidence Life/health of customers Productivity Fines/legal penalties Finances Facilities
  • 26. Case Study : System XYZ ( Probability & Evaluation)
  • 27. Case Study : System XYZ (Strategi Perlindungan) Case Actor Motive Outcome Strategi Perlindungan 1 Inside Accidental Modification Security Awareness and Training 2 Inside Deliberate Disclosure Security Awareness and training, Security management and Security Policies Outside Deliberate Disclosure Security management 3 Outside Deliberate Disclosure Security management Modification Security management
  • 28. Case Study : System XYZ (Mitigation Plan) Case Actor Motive Outcome Mitigation Plan 1 Inside Accidental Modification Menerapkan fungsi maker checker 2 Inside Deliberate Disclosure Mengupadate UAM dan SAM, mengupadte firewall, router, switch Outside Deliberate Disclosure Mengupadte firewall, router, switch 3 Outside Deliberate Disclosure Mengupadte firewall, router, switch Modification Mengupadte firewall, router, switch
  • 29. Referensi  Dorofee, Audrey & Albets, Christopher. (2002). Managing Information Security Risks: The OCTAVESM Approach. Adison Wesley.  Dorofee, Audrey & Albets, Christopher. OCTAVESM* Threat Profiles. Carnegie Mellon University.