Pengertian OCTAVE dan OCTAVE-S

1. Pengertian OCTAVE dan OCTAVE-S

Alberts, C dan Dorofee.A (OCTAVEsm Catalog of Practices, Version 2.0) mendefinisikan OCTAVE sebagai pendekatan terhadap risiko keamanan informasi evaluasi yang bersifat komprehensif, sistematis, kontekstual, dan dapat diarahkan sendiri.

Hal ini memerlukan sebuah analisis tim untuk menguji resiko keamanan di sebuah aset organisasi dalam hubungannya dengan objective bisnis. Dengan mengimplementasi hasil-hasil dari OCTAVE, sebuah organisasi berusaha melindungi semua informasi dengan lebih baik dan meningkatkan keseluruhan bidang keamanan.

Definisi OCTAVE-S menurut Alberts, C dan Dorofee.A (2003, p3) adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk menemukan kebutuhan-kebutuhan kecil, organisasi-organisasi yang tidak memiliki hierarki.

Dapat disimpulkan, pengertian OCTAVE-S adalah sebuah variasi dari pendekatan OCTAVE yang dikembangkan untuk melakukan penilaian resiko terhadap organisasi skala kecil yang bersifat komprehensif,sistematis, kontekstual, dan dapat diarahkan sendiri.

2. Tahap, Proses, dan Aktivitas OCTAVE-S

Menurut Alberts, C dan Dorofee.A (2003, p5), OCTAVE-S  berdasar pada 3 tahap yang dideskripsikan dalam criteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas tahapan, proses, dan kegiatan OCTAVE-S. Tahapan-tahapan OCTAVE-S yang berbasis pada framework OCTAVE yaitu:

a. Membangun Aset Berbasis Profil Ancaman

Tahap satu adalah sebuah evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk mengevaluasi risiko. Tahap ini juga mengidentifikasi aset-aset organisasi yang penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini. Tim menyelesaikan tugasnya sendiri dan mengumpulkan informasi tambahan hanya ketika diperlukan.

Kemudian memilih 3 dari 5 aset kritikal untuk menganalisa dasar kedalaman dari hubungan penting dalam organisasi. Akhirnya, tim menggambarkan kebutuhan-kebutuhan keamanan dan menggambarkan profil ancaman pada setiap aset. Di mana pada tahap ini terdiri atas 2 proses, yaitu identifikasi informasi organisasi dan membuat profil ancaman serta memiliki enam aktivitas.

b. Mengidentifikasi kerentanan infrastruktur

Tahap kedua yaitu tim analisis melakukan peninjauan ulang level tinggi dari perhitungan infrastruktur organisasi, yang berfokus pada  keamanan yang dipertimbangkan pemelihara dari infrastruktur. Tim analisis pertama menganalisis bagaimana orang-orang menggunakan infrastruktur komputer pada akses aset kritis, menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam kaitannya dengan aset yang kritis dimana terdapat dua aktivitas.

c. Mengembangkan Strategi Keamanan dan Perencanaan.

Selama tahap ketiga tim analisis mengidentifikasi risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan mengenainya. Berdasarkan analisis dari kumpulan informasi, tim membuat strategi perlindungan untuk organisasi dan rencana mitigrasi risiko yang ditujukan pada aset kritis. Kertas kerja OCTAVE yang digunakan selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek katalog OCTAVE, memungkinkan tim untuk mengubungkan rekomendasirekomendasinya untuk meningkatkan praktek keamanan dari penerimaan benchmark. Tahap ini terdiri atas 2 proses, yaitu : identifikasi dan analisis risiko serta mengembangkan strategi perlindungan dan rencana mitigasi, di mana proses ini memiliki delapan aktivitas.

Manajemen risiko keamanan informasi memerlukan sebuah keseimbangan kegiatan reaksi dan proaktif. Selama dalam evaluasi OCTAVE, tim analisis memandang keamanan dari berbagai perspektif, memastikan rekomendasi mencapai keseimbanagn dasar yang sesuai pada kebutuhan organisasi.

3. Hasil OCTAVE-S

Menurut Alberts, C dan Dorofee.A (2003, p. 6), selama mengevaluasi OCTAVE,-S tim analisis melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi.

Hasil utama dari OCTAVE-S, yaitu:

1. Strategi perlindungan organisasi yang luas: Perlindungan strategi menguraikan secara singkat arah organisasi dengan mematuhi praktek keamanan informasi.

2. Rencana mitigasi risiko: rencana ini dimaksudkan untuk mengurangi risiko aset kritis untuk meningkatkan praktek keamanan yang di pilih.

3. Daftar tindakan: Termasuk tindakan jangka pendek yang dibutuhkan untuk menunjukkan kelemahan yang spesifik.

Hasil OCTAVE-S yang berguna lainnya, yaitu:

1. Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan sasaran organisasi.

2. Hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik.

3. Profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap aset. Jadi, setiap tahap OCTAVE-S memproduksi hasil yang bermanfaat sehingga sebagian evaluasi akan menghasilkan informasi yang berguna untuk meningkatkan sikap keamanan organisasi.