Taxonomy of information security risk assessment (ISRA)

Taxonomy of information security risk assessment (ISRA)

  3/10/2017 08:48:00 AM    DIBACA ORG

---

Alireza Shameli-Sendi

Paper ini ditulis oleh: Sendi, A. S.; Barzegar, R. A.; Cheriet, M.

Paper sebelumnya tentang taksonomi penilaian risiko keamanan informasi dipandang memiliki ambiguitas, sehingga organisasi mengalami kesulitan dalam memilih metoda penilaian risiko yang memenuhi kebutuhan mereka. Kebanyakan dari metoda yang ada sebagian besar berdasarkan taksonomi lama yang memiliki kelemahan dalam mengatasi masalah perkembangan teknologi yang cepat dan tingginya tingkat pengetahuan si penyerang. Paper ini mendiskusikan fitur utama dari penilaian risiko yang harusnya diikutsertakan dalam sistem manajemen keamanan informasi. Dan, taksonomi lama dipandang belum bisa menjawab pertanyaan berikut:

1. Tingkat abstraksi ISRA: aset, layanan, atau proses bisnis?
2. Bagaimana menghitung nilai resource?
3. Apakah hubungan antar resource diperhitungkan sebagai nilai dari resource?
4. Apakah dalam proses evaluasi risiko, akibat perambatan dari penyerangan compromised resource merupakan bagian dari proses evaluasi risiko atau tidak?
5. Berapa banyak akibat perambatan penyerangan bisa dibedakan dari compromised resource?

Paper ini memberikan kontribusi pada pemahaman konsep-konsep penilaian risiko yang ada, dan membantu memilih yang sesuai dengan kebutuhan organisasi.

Dalam mencapai tujuan tersebut dilakukan survei literatur security risk assessment sebanyak 125 paper dari tahun 1995 sampai dengan Mei 2014.

Hasil utama dari paper ini adalah penambahan 3 kategori untuk taksonomi penilaian risiko keamanan informasi: perspektif, penilaian sumberdaya, dan pengukuran risiko.

1. Perspektif, pendekatan yang dilakukan biasanya adalah dalam sudut pandang aset, sedangkan pendekatan dalam mengidentifikasi dan menilai risiko seharusnya melibatkan aset, layanan, dan proses bisnis. Dengan menggunakan pendekatan ini peneliti bisa melihat risiko dari tingkat yang berbeda
2. Penilaian sumber daya, model yang akurat harusnya bisa memisahkan sumber daya yang kritis dan yang tidak, pendekatan yang digunakan biasanya adalah dengan melihat keterhubungan tingkat abstraksi (aset, layanan, dan proses bisnis) untuk mengetahui tingkat kritis dari sumberdaya tersebut.
3. Pengukuran Risiko, penyerangan pada salah satu sumberdaya akan berlanjut pada sumberdaya yang lain sehingga kita harus mempertimbangkan risiko lanjutan.

Sumber: Shameli-Sendi, A., Aghababaei-Barzegar, R., & Cheriet, M. (2016). Taxonomy of information security risk assessment (ISRA). Computers & Security, 57, 14-30.

Gambar: Research Gate