Meningkatnya ketergantungan organisasi pada sistem informasi sejalan dengan resiko yang mungkin timbul. Informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan serta terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut.
Informasi merupakan sebuah aset penting bagi organisasi yang perlu dilindungi dan diamankan. Keamanan informasi tidak bisa hanya disandarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi dan menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi.
Sebuah cara sistemik yang bisa dilakukan adalah melalui pendekatan evaluasi resiko keamanan informasi. Cara ini dilakukan untuk memperoleh nilai resiko yang dihadapi oleh organisasi terkait dengan aset informasi yang dimilikinya, kemudian menentukan strategi yang tepat dalam menangani resiko tersebut.
Salah satu metode untuk mengevaluasi resiko keamanan informasi adalah dengan menggunakan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). OCTAVE dibangun berdasarkan pada 3 (tiga) fase, yaitu Build Asset-Based Threat Profile, Identify Infrastructure Vulnerabilities, dan Develop Security Strategy and Plan.
Build Asset-Based Threat Profile
Fase ini merupakan tahapan untuk membuat profil ancaman (threat profile) dengan cara menentukan aset yang penting bagi organisasi dan kebutuhan pengamanannya. Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Dari pengetahuan dan informasi masing-masing manajemen tersebut, kemudian dipilih beberapa aset informasi (umumnya sekitar 5 (lima)) yang sifatnya kritikal. Selanjutnya didefinisikan profil ancaman terhadap aset tesebut. Setelah profil ancaman terdefinisi dengan baik, maka selanjutnya akan dapat diperoleh kebutuhan keamanan yang diperlukan bagi setiap aset informasi.
Identify Infrastructure Vulnerabilities
Identifikasi kelemahan infrastruktur dilakukan melalui mengidentifikasi beberapa komponen penting dari sistem yang mendukung atau memproses informasi. Selanjutnya melakukan evaluasi terhadap komponen yang telah dipilih dan hasilnya dianalisis untuk memperjelas profil ancaman terhadap aset. Tahap identifikasi kelemahan infrastruktur ini lebih cenderung bersifat teknis terkait dengan teknologi infrastruktur yang digunakan.
Develop Security Strategy and Plan
Pada tahap pengembangan strategi keamanan dan perencanaannya dilakukan proses analisa resiko melalui pendefinisian kriteria evaluasi dampak bagi organisasi untuk membuat landasan umum penentuan impact value (high, medium, low), demikian juga untuk ancaman terhadap aset kritikal. Dari hasil proses analisa resiko, maka selanjutnya dapat mengembangkan strategi yang tepat untuk melindungi aset yang berfokus pada perbaikan praktek keamanan organisasi. Selain itu juga membuat perencanaan mitigasi bila terjadi accident.
Dari tiga fase diatas diharapkan kebutuhan akan sistem keamanan informasi dapat dipenuhi dengan baik. Tentunya berbagai unsur yang ada dalam setiap organisasi menjadi faktor penentu keberhasilan sebuah sistem keamanan informasi.
bagus fhoto2nya
ada tip merintrnet di blogku
dah lihat?
mohon komntar baliknya
trims