Transcript Keamanan Sistem (CS4633) ..:: Manajemen Resiko : Pertemuan #5 21/09/2006 Fazmah Arif Yulianto • Manajemen resiko •…

Keamanan Sistem (CS4633)
..:: Manajemen Resiko :
Pertemuan #5
21/09/2006
Fazmah Arif Yulianto
• Manajemen
resiko
•…
Resiko & sistem keamanan
• Resiko: “Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan
perusahaan”
• Sistem keamanan: “Semua tindakan yang
dilakukan maupun aset yang digunakan
untuk menjamin keamanan perusahaan”
Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.
• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological
innovation, regulatory changes, brand
image damage etc.
• Operational risk: IT capability, business
operations, security threat, etc.
• …
Resiko sebagai ‘fungsi’
=
Probability
Threats
x Frequency
x
Impact
+ Vulnerability + Asset value
Klasifikasi ancaman dikaitkan
dengan informasi dan data
• Loss of confidentiality of information
– Informasi diperlihatkan kepada pihak yang tidak
berhak untuk melihatnya
• Loss of integrity of information
– Informasi tidak lengkap, tidak sesuai aslinya, atau
telah dimodifikasi
• Loss of availability of information
– Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
– Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
1-Identifikasi Aset
• Aset informasi: database, file data,
dokumentasi sistem,manual pengguna,
materi training, prosedur
• Aset perangkat keras: perangkat komputer
(server, storage, workstation dll),
perangkat jaringan (router, switch, hub,
modem dll), perangkat komunikasi (PABX,
telepon, facsimile), termasuk komponen di
dalam perangkat
Identifikasi Aset (cont’d)
• Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak
bantu
• Aset infrastruktur: power supply, AC, rak
• Aset layanan: layanan komputer dan
komunikasi
• FAZ: manusia  aset?
Dasar penilaian terhadap aset
• Nilai beli: pembelian awal dan biaya
pengembangan aset
• Nilai wajar pasar
• Nilai buku: nilai pembelian dikurangi
penyusutan
Pentingnya nilai aset
• Bisa digunakan untuk menentukan analisis
biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi
• Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan
terhadap pelanggaran keamanan
Klasifikasi nilai aset
• Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk
sementara waktu
• Sedang: kehilangan fungsi aset
mengganggu proses bisnis
• Tinggi: kehilangan fungsi aset
menghentikan proses bisnis
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
2- Analisis resiko
“Mencegah lebih baik
daripada memperbaiki”
Perlunya analisis resiko
• Memberi gambaran biaya perlindungan
keamanan
• Mendukung proses pengambilan
keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW
• Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW,
SW, infrastruktur, layanan)
Perlunya analisis resiko (cont’d)
• Memperkirakan aset mana yang rawan
terhadap ancaman
• Memperkirakan resiko apa yang akan
terjadi terhadap aset
• Menentukan solusi untuk mengatasi resiko
dengan penerapan sejumlah kendali
Pendekatan analisis resiko
• Kuantitatif: pendekatan nilai finansial
• Kualitatif: menggunakan tingkatan
kualitatif
• Bisa dilakukan secara bersama atau
terpisah  pertimbangan waktu dan biaya
Analisis resiko kuantitatif
• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca,
laporan tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas
Annualized Loss Expectation
ALE = nilai aset x EF x ARO
• ALE: Annualized Loss Expectation (perkiraan
kerugian per tahun)
• EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
• ARO: Annualized Rate of Occurrence (perkiraan
frekuensi terjadinya ancaman per tahun)
Analisis resiko kualitatif
• Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya
resiko menggunakan ranking atau
tingkatan kualitatif
• Lebih sering digunakan daripada metode
kuantitatif
Pendekatan kualitatif lebih sering
digunakan
• Sulitnya melakukan kuantifikasi terhadap
nilai suatu aset (contoh: informasi)
• Sulitnya mendapatkan data statistik yang
detail mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer
dalam perusahaan (banyak hal [angka]
sebenarnya bisa diambil dari sejarah)
• Kesulitan dan mahalnya melakukan
prediksi masa depan
Kuantitatif vs kualitatif
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
3-Respon terhadap resiko
• Avoidance: pencegahan terjadinya resiko
• Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
• Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan
nilai resiko
• Acceptance: penerimaan resiko beserta
konsekuensi. Contoh: contingency plan
Matriks pengelolaan resiko
Mitigasi
• Pendekatan yang paling umum dilakukan
• Melibatkan:
– Penyusunan kendali untuk mengurangi
dampak resiko
– Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko
The most important element of any
risk management effort is managing
risk to an acceptable level
IT Security Risks Major Areas
• Asset protection: bagaimana kita menjamin
sumber daya organisasi tetap aman, hanya bisa
diakses oleh yang berhak untuk keperluan yang
benar?
• Service continuity: bagaimana kita menjamin
ketersediaan layanan -tanpa penurunan
kualitas- untuk pegawai, partner, dan
pelanggan?
• Compliance: bagaimana kita membuktikan
bahwa semua requirement dari regulasi telah
terpenuhi?