Diberdayakan oleh Blogger.

Senin, 13 Maret 2017

An integrative study of information systems security effectiveness

  3/13/2017 08:40:00 PM    

Sebuah paper oleh Prof Kankanhalli dan kawan-kawan.

Pada paper ini disampaikan beberapa poin penting terkait organisasi yang sudah sangat bergantung pada sistem informasi, membuat diperlukannya transaksi elektronis, hal ini meningkatkan kemungkinan serangan.

Sayangnya isu penyalahgunaan TI lebih rendah dibandingkan dari isu lainnya dari sudut pandang manajemen:

  1. Manajemen berfikir penyalah gunaan IT itu rendah
  2. Manajemen berfikir skeptis karena sulitnya mengukur efektifitas keamanan TI
  3. Manajemen memiliki pengetahuan yang rendah tentang penanganan yang tersedia untuk mengurangi penyalahgunaan TI

Sehingga dipandang penting untuk meyakinkan manajemen tentang keuntungan dari upaya kemanana TI

Paper ini kemudian membuat sebuah model  efektifitas kemanan informasi. Efektifitas keamanan informasi adalah sebuah kemampuan pengukuran keamanan TI untuk melindungi yang tidak berhak atau penyalah gunaan aset TI bagi orang.

Aset TI meliputi:

  1. Hardware
  2. Software
  3. Data
  4. Layanan

Penyalah gunaan TI meliputi:

  1. Pencurian atau perusakan hardware
  2. Penggelapan atau modifikasi data
  3. Penggunaan oleh yang tidak berhak atau menghalangi layanan

Praktik keamanan saat ini jika dilihat dari tindakan untuk meningkatkan kemanan SI dengan mengurangi risiko SI:

  1. Deterrent efforts (Membuat jera), dengan menghalangi orang untuk melakukan kriminal melalui ketakutan dan sanksi
  2. Perlindungan, dengan menghindari kejahatan melalui pengontrolan
    1. Menerapkan perangkat lunak tertentu
    2. Mendesain fasilitas dengan fitur kemanan SI

Metode atau solusi yang dirancang adalah dengan:

  1. Membangun konstruk operasional
    1. Membuat pengukur ukuran organisasi
    2. Membuat pengukur dukungan manajemen atas
    3. Membuat pengukur deterrent efforts
    4. Membuat pengukur preventif efforts
    5. Membuat pengukur efektifitas keamanan informasi
  2. Survey dikirim ke 164 manajer SI, beserta tujuan dari studi, salinan survey, yang diiringi dengan telpon untuk konfirmasi, dari 164 orang yang dikirim 63% yang mengembalikan
  3. Dilakukan pembedaan antara institusi finansial dan bukan finansial
  4. Dilakukan analisis partial least square
  5. Dilakukan PLS measurement model
  6. Tes validitas
    1. reliabilitas pertanyaan
    2. reliabilitas konstruk
    3. dan variance extracted by constructs

Hasil utama dari penelitian ini:

  1. Efektifitas keamanan SI
    1. deterrent effort dan preventive effort berdampak baik pada efektifitas kemanan SI
    2. deterrent severity tidak berpengaruh pada efektifitas keamanan SI
    3. Kesadaran yang kurang dari manajemen bisa diatasi dengan
      1. Membuat panduan
      2. Melakukan edukasi
      3. Menarik pekerja auditor yang terlatih dan berpengalaman
  2. Ukuran organisasi, organisasi yang besar berinvestasi lebih besar di deterrent efforts
  3. Dukungan manajemen atas, dukungan manajemen atas berpengaruh positif terhadap preventive efforts
  4. Tipe industri, organisasi finansial berinvestasi lebih banyak dibandingkan dengan organisai lain dalam deterrent efforts, dan memiliki tingkat deterrent severity yang lebih tinggi

Keterbatasan dari penelitian ini adalah jumlah peserta survey yang sedikit.


Sumber: Kankanhalli, A., Teo, H. H., Tan, B. C., & Wei, K. K. (2003). An integrative study of information systems security effectiveness. International journal of information management, 23(2), 139-154.

Ilustrasi: Comp.nus.edu.sg

  

  No Comments

Information security risk analysis methods and research trends: AHP and fuzzy comprehensive method

  3/13/2017 08:15:00 PM    

Paper ini disusun oleh Ming-Chang Lee. Paper ini mengedepankan bahwa pendekatan kualitatif dan kuantitatif dalam analisis risiko memiliki keuntungan dan juga kelemahan, harus ada proses integrasi untuk mendapatkan keuntungan yang maksimal.

Menurut paper ini ada beberapa metode kompreshensif

  1. analisis hirarkial
  2. penilaian risiko menggunakan probabilitas
  3. metode evaluasi komprehensif fuzzy
  4. AHP (dengan kemampuan mengubah index kualitatif menjadi kuantitatif)
  5. Model Hybrid, yang mengintegrasikan model yang sudah ada

Pada paper ini dijelaskan bahwa analisa risiko dengan pendekatan bukan soft computing hanya bisa untuk sistem yang sederhana, dan menekankan bahwa soft computing cocok diterapkan untuk analisis risiko.

Kontribusi utama dari paper ini adalah membuat metode hybrid untuk menggabungkan antara AHP dengan komprehensif fuzzy. Untuk itu ditawarkan metoda sebagai berikut:


  1. AHP
    1. Membuat struktur hirarki
    2. Membandingkan berdasarkan bobot
    3. Mengestimasi bobot relatif
    4. Mengecek konsistensi
  2. Komprehensif Fuzzy
    1. Menentukan elemen dan nilai
    2. Menentukan matriks evaluasi
    3. Mendapatkan evaluasi komprehensif
    4. Evaluasi komprehensif fuzzy dengan banyak level
    5. Mendapatkan kesimpulan evaluasi
Adapun hasil utama yang didapatkan adalah: 
  1. Tahapan praktis untuk mengevaluasi risiko keamanan informasi berdasarkan AHP dan metode fuzzy komprehensif
  2. AHP digunakan untuk menyederhanakan pengambilan keputusan dengan multi kriteria menjadi kriteria keputusan hirarkis
  3. Pakar kemudian digunakan untuk membuat evaluasi menggunakan fuzzy komprehensif

Sumber: Lee, M. C. (2014). Information security risk analysis methods and research trends: AHP and fuzzy comprehensive method. International Journal of Computer Science & Information Technology, 6(1), 29

Ilustrasi: Researhgate.net

  

  No Comments

Jumat, 10 Maret 2017

ISRAM information security risk analysis method

  3/10/2017 09:04:00 AM    

Bilge Karabacak
Paper ini ditulis oleh: Karabacak, B., & Sogukpinar, I.

Paper ini menekankan pada hal berikut:
  1. Teknologi yang selalu berubah memaksa proses perubahan dari metode analisis risiko keamanan informasi, perlu sebuah metode yang bisa mengakomodir perubahan tersebut, saat ini ada dua metode yang digunakan: kuantitatif dan kualitatif.
  2. Analisis risiko yang menggunakan pengukuran kuantitatif secara intensif tidak cocok diterapkan untuk analisis risiko kemanan informasi saat ini, hal ini disebabkan karena:
    1. berbeda dengan dekade sebelumnya, sistem informasi saat ini memiliki struktur yang kompleks dan penggunaan yang tersebar
    2. pengukuran matematis yang digunakan untuk memodelkan lingkungan yang kompleks membuat proses penilaian menjadi sulit
    3. Kalkulasi yang dilakukan selama proses analisis semakin kompleks
  3. Kelemahan dari pengukuran kualitatif adalah hasil yang tidak konsisten
    1. sangat bergantung pada subjektif orang yang melakukan analisis tersebut
  4. Analisis Kuantitatif dan kualitatif didukung oleh
    1. Software, memanfaatkan perangkat lunak untuk melakukan analisis, dukungan ini memiliki  kendala:
      1. biaya yang tinggi
      2. kerangka utama dari dari proses analisis risiko ditentukan oleh software
      3. perubahan yang dibutuhkan dalam proses analisis risiko tidak bisa dilakukan (kaku)
    2. Paper Based, terdiri dari rapat, diskusi, dan kertas kerja, kendala utama cara ini adalah:
      1. durasi waktu yang cukup panjang
Paper ini kemudian menawarkan pembuatan sebuah metode penilaian analisis risiko keamanan informasi dengan menggunakan pendekatan kuantitatif dengan mempertimbangkan kebutuhan saat ini sebagai pertimbangan (berdasarkan paper based).

Berdasarkan usulan tersebut disediakan tahapan sebagai berikut:
  1. Mendeteksi masalah keamanan informasi
  2. Membuat daftar yang faktor dan pengaruh dari masing-masing faktor yang mempengaruhi probabilitas serangan, dan yang mempengaruhi akibat serangan. Ini dilakukan dengan menggunakan staf yang memiliki pengetahuan dan kesadaran akan kemanan informasi, pengaruh, dan kemunginan penyebab serangan, staf tersebut sebaiiknya memiliki pengetahuan sistem informasi apa yang dipengaruhi oleh serangan tersebut.
  3. Berdasarkan dua daftar faktor tersebut kemudian disusun pertanyaan survei, setiap pertanyaan memiliki banyak pilihan yang berbeda, yang diserahkan pada analis risiko, ini akan dijadikan komponen dasar penilaian risiko
  4. Mempersiapkan dua tabel risiko yang digunakan untuk mengevaluasi hasil survei
  5. Melaksanakan 2 survei, dengan partisipan yang sebaiknya berbeda
  6. Mendapatkan hasil kuantitatif dari hasil survei
  7. Melakukan fase penilaian hasil survei, dan pertanyaan survei
Makalah ini menyimpulkan bahwa:
  1. ISRAM bisa mengatasi kelemahan analisis kuantitatif dan kualitatif serta dukungan berbasis software
  2. Setiap analisis risiko bisa dilakukan tanpa kekakuan
Kelemahan dari metode yang ditawarkan adalah:
  1. Organisasi yang menggunakan metode ini harus memiliki staf dengan pengetahuan TI yang tinggi
  2. Membutuhkan partisipan dalam jumlah yang banyak

Sumber: Karabacak, B., & Sogukpinar, I. (2005). ISRAM: information security risk analysis method. Computers & Security, 24(2), 147-159.

Sumber gambar: Research Gate

  

  No Comments

The IS risk analysis based on a business model

  3/10/2017 08:54:00 AM    

Bomil Suh
Paper ini ditulis oleh: Bomil Suh, Ingoo Han

Paper ini menekankan pada analisis risiko yang ada masih mengalami kesulitan dalam menentukan nilai kerugian dari aset yang terganggu. Metode kuantitatif tidak menghitung kerugian yang diakibatkan gangguan, sedangkan metode kualitatif mempertimbangkan kerugian, namun sangat subjektif sehingga tidak cocok untuk pendukung keputusan yang cost-benefit. Belum adanya metode tersistematis untuk mengukur nilai dari aset berdasarkan sudut pandang kontinuitas operasional.

Kontribusi utama yang dihasilkan adalah menghasilkan sebuah metode analisis risiko berdasarkan model bisnis dengan pendekatan kuantitatif sistematis, nilai dari aset ditentukan berdasarkan tingkat kepentingan dari fungsi bisnis dan tingkat kebutuhan dari aset.

Suh dan Han kemudian menyatakan bahwa ada 4 tahapan dalam melakukan analisis risiko:
  1. Investigasi tingkat kepentingan fungsi bisnis dengan menggunakan successive paired comparison technique presented in Analytic Hierarchy Process (AHP), metode ini membandingkan pengaruh dari sebuah fungsi bisnis terhadap tujuan organisasi yang menghasilkan tingkat kepentingan dari fungsi bisnis tersebut
  2. Menentukan tingkat kepentingan aset, aset harus diklasifikasikan dalam fungsi bisnis tertentu, juga dengan menggunakan AHP, untuk mengetahui tingkat kepentingan aset terhadap fungsi bisnis. Karena aset masih berhubungan dengan fungsi bisnis, maka perlu dilakukan perhitungan kontribusi aset tersebut terhadap fungsi bisnis dihubungkan dengan tingkat kepentingan fungsi bisnis tersebut terhadap organisasi. Tingkat kepentingan relatif aset juga bisa saling bergantung antara satu aset dengan aset lainnya, jika aset A bergantung pada aset B, dan aset B berisiko, maka risiko aset A juga diwarisi dari risiko aset B
  3. Melakukan penilaian ancaman dan kelemahan, probabilitas ancaman bisa dilakukan dengan kuistioner, pendekatan IBM, teknik Delphi, brainstorming, threat scenario approach, dan pendekatan statistik.
  4. Menentukan ALE, sebelumnya peneliti harus menentukan waktu perbaikan yang dibutuhkan dengan teknik PERT, kemudian dari waktu perbaikan tersebut di kehilangan pendapatan, terakhir ditentukan ALE (ekspektasi kerugian tahunan)
Paper ini menghasilkan cara menentukan nilai aset dilakukan berdasarkan hubungan aset tersebut dengan fungsi bisnis, aset dilihat sebagai kondisi esensial untuk melakukan fungsi bisnis. Metode ini mengatasi kelemahan pendekatan kuantitatif dalam mengukur aset keuangan.

Dalam paper ini juga dijabarkan bahwa terdapat kelemahan sebagai berikut:
  1. Aset tidak dimonopoli oleh satu fungsi bisnis tertentu saja, jika ada aset yang bernilai besar bagi beberapa fungsi bisnis sekaligus, namun karena ditempatkan pada satu fungsi bisnis saja, aset tersebut bisa jadi tidak menjadi prioritas utama.
  2. Fokus tulisan adalah pada aset sehingga mengabaikan probabilitas dari ancaman
  3. Metode tidak bisa digunakan jika aset bergantung penuh pada aset lainnya

  

  No Comments

Taxonomy of information security risk assessment (ISRA)

  3/10/2017 08:48:00 AM    

Alireza Shameli-Sendi
Paper ini ditulis oleh: Sendi, A. S.; Barzegar, R. A.; Cheriet, M.

Paper sebelumnya tentang taksonomi penilaian risiko keamanan informasi dipandang memiliki ambiguitas, sehingga organisasi mengalami kesulitan dalam memilih metoda penilaian risiko yang memenuhi kebutuhan mereka. Kebanyakan dari metoda yang ada sebagian besar berdasarkan taksonomi lama yang memiliki kelemahan dalam mengatasi masalah perkembangan teknologi yang cepat dan tingginya tingkat pengetahuan si penyerang. Paper ini mendiskusikan fitur utama dari penilaian risiko yang harusnya diikutsertakan dalam sistem manajemen keamanan informasi. Dan, taksonomi lama dipandang belum bisa menjawab pertanyaan berikut:

  1. Tingkat abstraksi ISRA: aset, layanan, atau proses bisnis?
  2. Bagaimana menghitung nilai resource?
  3. Apakah hubungan antar resource diperhitungkan sebagai nilai dari resource?
  4. Apakah dalam proses evaluasi risiko, akibat perambatan dari penyerangan compromised resource merupakan bagian dari proses evaluasi risiko atau tidak?
  5. Berapa banyak akibat perambatan penyerangan bisa dibedakan dari compromised resource?
Paper ini memberikan kontribusi pada pemahaman konsep-konsep penilaian risiko yang ada, dan membantu memilih yang sesuai dengan kebutuhan organisasi.

Dalam mencapai tujuan tersebut dilakukan survei literatur security risk assessment sebanyak 125 paper dari tahun 1995 sampai dengan Mei 2014.

Hasil utama dari paper ini adalah penambahan 3 kategori untuk taksonomi penilaian risiko keamanan informasi: perspektif, penilaian sumberdaya, dan pengukuran risiko.
  1. Perspektif, pendekatan yang dilakukan biasanya adalah dalam sudut pandang aset, sedangkan pendekatan dalam mengidentifikasi dan menilai risiko seharusnya melibatkan aset, layanan, dan proses bisnis. Dengan menggunakan pendekatan ini peneliti bisa melihat risiko dari tingkat yang berbeda
  2. Penilaian sumber daya, model yang akurat harusnya bisa memisahkan sumber daya yang kritis dan yang tidak, pendekatan yang digunakan biasanya adalah dengan melihat keterhubungan tingkat abstraksi (aset, layanan, dan proses bisnis) untuk mengetahui tingkat kritis dari sumberdaya tersebut.
  3. Pengukuran Risiko, penyerangan pada salah satu sumberdaya akan berlanjut pada sumberdaya yang lain sehingga kita harus mempertimbangkan risiko lanjutan.

  

  No Comments

Langganan: Postingan (Atom)