Mengenal Metodologi SQUARE untuk Pengelolaan Keamanan Sistem pada Sistem Manajemen Aset

misuse caseMetodologi SQUARE (System Quality Requirements Engineering) adalah sembilan langkah proses yang dikembangkan untuk membantu organisasi atau lembaga menjamin keamanan dan keberlangsungan sistem dan aplikasi berbasis Teknologi Informasi dalam sebuah Sistem Manajemen Aset. Proses ini meliputi proses mengidentifikasi dan menilai serta teknik untuk melakukan identifikasi kebutuhan, analisis, spesifikasi, dan manajemen. Metodologi SQUARE juga berfokus pada isu-isu manajemen yang terkait dengan perkembangan keamanan dan persyaratan privasi sistem TI yang baik.

Metodologi SQUARE dikaji dan dikembangkan oleh Carnegie Mellon Software Engineering Institute, dan menunjukkan potensi besar untuk diadopsi oleh industri dalam mengembangkan aplikasi perangkat lunak dan system yang aman.

Step 1: Definitions
Mendeskripsikan perangkat lunak yang dibangun dan mendefinisikan istilah-istilah keamanan informasi untuk sistem yang akan dianalisis yang disepakati di dalam organisasi.

Step 2: Safety and Security Goals
Menganalisis tujuan dan persyaratan keamanan sistem yang diperlukan oleh organisasi untuk memastikan keamanan secara keseluruhan sistem dan ketersediaan (availability) setiap saat.

Step 3: System Architecture
Menjelaskan arsitektur aplikasi yang dibangun.

Step 4: Use Case
Menggambarkan diagram Use Case aplikasi menggunakan UML (Unified Modeling Language) dan menjelaskannya dalam tabel use case untuk masing-masing kasus penggunaan. Use Case memberikan garis besar fungsi sistem dari perspektif pengguna, dengan klasifikasi hak istimewa tingkat pengguna dengan Access Control List (ACL). Penggambaran untuk use case meliputi:

  • pengguna yang berinteraksi dengan sistem, digambarkan sebagai seorang aktor
  • deskripsi tujuan yang akan dicapai melalui kasus penggunaan
  • asumsi yang harus dipenuhi untuk kasus penggunaan akan selesai dengan sukses
  • daftar langkah-langkah yang sebenarnya antara aktor dan sistem
  • variasi atau alternatif cara untuk mencapai tujuan
  • non-fungsional bahwa use case harus memenuhi kinerja atau keandalan

Step 5: Misuse Case
Mengidentifikasi kemungkinanan ancaman dan kasus potensi penyalahgunaan aplikasi yang disepakati dalam organisasi. Tujuannya adalah untuk mengetahui kerentanan dalam aplikasi yang ada dan memberikan rekomendasi arsitektur dan kebijakan dalam mengurangi kerentanan untuk mengamankan komponen kritis Sistem Manajemen Aset. Digambarkan dalam bentuk diagram misuse case.

Step 6: Attack Tree
Attack tree adalah pendekatan formal untuk memeriksa misuse case atau kasus penyalahgunaan dan untuk memverifikasi bahwa rekomendasi arsitektur misuse case atau kasus penyalahgunaan dan kebijakan yang diambil cukup dapat mengatasi semua potensi kerentanan yang dapat menyebabkan terjadinya penyalahgunaan.

Attack tree merupakan representasi hirarkis banyak jenis pelanggaran keamanan yang didasarkan kepada misuse case. Setiap skenario di attack tree diperiksa secara rinci untuk melihat apakah ada sekumpulan rekomendasi yang cukup dapat mengurangi risikonya. Jika ada skenario yang saat ini tidak tercakup, tambahan arsitektur atau rekomendasi kebijakan perlu dipertimbangkan dan ditambahkan ke daftar rekomendasi. Dengan kata lain, attack tree adalah visualisasi rinci misuse case dan elemen penting dari validasi untuk arsitektur dan rekomendasi kebijakan dari misuse case.

Step 7: Prioritization
Tahap metodologi SQUARE difokuskan pada prioritas persyaratan keselamatan dan keamanan. Untuk memprioritaskan persyaratan keselamatan dan keamanan digunakan misuse case dan kategorinya untuk menentukan misuse case mana yang paling penting untuk menjamin survivabilitas dari Sistem Manajemen Aset. Dengan mengevaluasi setiap misuse case (kasus penyalahgunaan) dan atributnya, akan mampu membuat daftar prioritas kerentanan dan penyalahgunaan yang merugikan Sistem Manajemen Aset.

Step 8: Categorizing and Detailing Recommendation
Membuat daftar kategori dan memberikan rekomendasi detail terhadap arsitektur dan kebijakan persyaratan penerapan keamanan system. Semua solusi teknis yang ada kemudian diteliti berdasarkan pada tingkatan prioritas misuse case, yang akan menyediakan semua yang diperlukan langkah-demi-langkah keamanan dan teknis dalam rangka implementasi pada komponen inti dari Sistem Manajemen Aset.

Step 9: Budgeting and Analisis
Dalam situasi ideal, semua misuse case atau kasus penyalahgunaan yang diprioritaskan tinggi (menengah dan rendah) akan diatasi dan diselesaikan untuk melindungi Sistem Manajemen Aset. Namun, karena keterbatasan jumlah sumber daya yang tersedia, hanya bagian tertentu dari misuse case dan secara inheren, arsitektur dan kebijakan rekomendasi harus dipilih. Untuk mengoptimalkan bagian ini, model matematika dirumuskan untuk memecahkan kombinasi terbaik dari misuse case. Hasilnya dalam tabel yang mereferensikan use case mana harus ditangani berdasarkan anggaran yang tersedia.

SQUARE Tool
SQUARE Tool merupakan tool yang dibuat untuk mendukung metodologi SQUARE yang dikembangkan oleh tim dari Carnegie Mellon Master of Software Engineering dengan pengawasan oleh staf CERT, dan tersedia secara gratis. Tool P-SQUARE, dirancang untuk digunakan oleh pemangku kepentingan, requirements engineers, dan administrator,  untuk mendukung keamanan dan aspek privasi SQUARE dengan cara:

  • merekam definisi dan mencari serta menambahkan persyaratan baru
  • mengidentifikasi tujuan bisnis proyek, aset, dan keamanan atau tujuan privasi
  • menambah atau mengedit link ke arsitektur proyek
  • melakukan penilaian risiko dan mengidentifikasi ancaman
  • membandingkan dan memilih teknik keamanan atau privasi
  • menghubungkan persyaratan untuk tujuan, risiko, dan arsitektur
  • mengklasifikasikan persyaratan berdasarkan kategori yang telah ditetapkan
  • memprioritaskan keamanan atau persyaratan privasi
  • memeriksa persyaratan, melihat ketertelusuran ke risiko dan arsitektur

Referensi: