Diberdayakan oleh Blogger.

Jumat, 10 Maret 2017

ISRAM information security risk analysis method

  3/10/2017 09:04:00 AM    

Bilge Karabacak
Paper ini ditulis oleh: Karabacak, B., & Sogukpinar, I.

Paper ini menekankan pada hal berikut:
  1. Teknologi yang selalu berubah memaksa proses perubahan dari metode analisis risiko keamanan informasi, perlu sebuah metode yang bisa mengakomodir perubahan tersebut, saat ini ada dua metode yang digunakan: kuantitatif dan kualitatif.
  2. Analisis risiko yang menggunakan pengukuran kuantitatif secara intensif tidak cocok diterapkan untuk analisis risiko kemanan informasi saat ini, hal ini disebabkan karena:
    1. berbeda dengan dekade sebelumnya, sistem informasi saat ini memiliki struktur yang kompleks dan penggunaan yang tersebar
    2. pengukuran matematis yang digunakan untuk memodelkan lingkungan yang kompleks membuat proses penilaian menjadi sulit
    3. Kalkulasi yang dilakukan selama proses analisis semakin kompleks
  3. Kelemahan dari pengukuran kualitatif adalah hasil yang tidak konsisten
    1. sangat bergantung pada subjektif orang yang melakukan analisis tersebut
  4. Analisis Kuantitatif dan kualitatif didukung oleh
    1. Software, memanfaatkan perangkat lunak untuk melakukan analisis, dukungan ini memiliki  kendala:
      1. biaya yang tinggi
      2. kerangka utama dari dari proses analisis risiko ditentukan oleh software
      3. perubahan yang dibutuhkan dalam proses analisis risiko tidak bisa dilakukan (kaku)
    2. Paper Based, terdiri dari rapat, diskusi, dan kertas kerja, kendala utama cara ini adalah:
      1. durasi waktu yang cukup panjang
Paper ini kemudian menawarkan pembuatan sebuah metode penilaian analisis risiko keamanan informasi dengan menggunakan pendekatan kuantitatif dengan mempertimbangkan kebutuhan saat ini sebagai pertimbangan (berdasarkan paper based).

Berdasarkan usulan tersebut disediakan tahapan sebagai berikut:
  1. Mendeteksi masalah keamanan informasi
  2. Membuat daftar yang faktor dan pengaruh dari masing-masing faktor yang mempengaruhi probabilitas serangan, dan yang mempengaruhi akibat serangan. Ini dilakukan dengan menggunakan staf yang memiliki pengetahuan dan kesadaran akan kemanan informasi, pengaruh, dan kemunginan penyebab serangan, staf tersebut sebaiiknya memiliki pengetahuan sistem informasi apa yang dipengaruhi oleh serangan tersebut.
  3. Berdasarkan dua daftar faktor tersebut kemudian disusun pertanyaan survei, setiap pertanyaan memiliki banyak pilihan yang berbeda, yang diserahkan pada analis risiko, ini akan dijadikan komponen dasar penilaian risiko
  4. Mempersiapkan dua tabel risiko yang digunakan untuk mengevaluasi hasil survei
  5. Melaksanakan 2 survei, dengan partisipan yang sebaiknya berbeda
  6. Mendapatkan hasil kuantitatif dari hasil survei
  7. Melakukan fase penilaian hasil survei, dan pertanyaan survei
Makalah ini menyimpulkan bahwa:
  1. ISRAM bisa mengatasi kelemahan analisis kuantitatif dan kualitatif serta dukungan berbasis software
  2. Setiap analisis risiko bisa dilakukan tanpa kekakuan
Kelemahan dari metode yang ditawarkan adalah:
  1. Organisasi yang menggunakan metode ini harus memiliki staf dengan pengetahuan TI yang tinggi
  2. Membutuhkan partisipan dalam jumlah yang banyak

Sumber: Karabacak, B., & Sogukpinar, I. (2005). ISRAM: information security risk analysis method. Computers & Security, 24(2), 147-159.

Sumber gambar: Research Gate

  

  No Comments

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)