310 likes | 646 Views
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :. Pertemuan #5 21/09/2006 Fazmah Arif Yulianto. Manajemen resiko …. Resiko & sistem keamanan.
E N D
Keamanan Sistem (CS4633)..:: Manajemen Resiko : Pertemuan #5 21/09/2006 Fazmah Arif Yulianto
Manajemen resiko • …
Resiko & sistem keamanan • Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan perusahaan” • Sistem keamanan: “Semua tindakan yang dilakukan maupun aset yang digunakan untuk menjamin keamanan perusahaan”
Klasifikasi resiko • Hazard risk: fire, flood, theft, etc. • Financial risk: price, credit, inflation, etc. • Strategic risk: competition, technological innovation, regulatory changes, brand image damage etc. • Operational risk: IT capability, business operations, security threat, etc. • …
Resiko sebagai ‘fungsi’ = RISK Probability x Frequency x Impact RISK Threats + Vulnerability + Asset value
Klasifikasi ancaman dikaitkan dengan informasi dan data • Loss of confidentiality of information • Informasi diperlihatkan kepada pihak yang tidak berhak untuk melihatnya • Loss of integrity of information • Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi • Loss of availability of information • Informasi tidak tersedia saat dibutuhkan • Loss of authentication of information • Informasi tidak benar atau tidak sesuai fakta atau sumbernya tidak jelas
Metodologi Manajemen Resiko Identifikasi Aset Analisis Resiko Tindak Lanjut
1-Identifikasi Aset • Aset informasi: database, file data, dokumentasi sistem,manual pengguna, materi training, prosedur • Aset perangkat keras: perangkat komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat
Identifikasi Aset (cont’d) • Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu • Aset infrastruktur: power supply, AC, rak • Aset layanan: layanan komputer dan komunikasi • FAZ: manusia aset?
Dasar penilaian terhadap aset • Nilai beli: pembelian awal dan biaya pengembangan aset • Nilai wajar pasar • Nilai buku: nilai pembelian dikurangi penyusutan
Pentingnya nilai aset • Bisa digunakan untuk menentukan analisis biaya-keuntungan • Bisa digunakan untuk keperluan asuransi • Dapat membantu pengambil keputusan dalam memilih tindakan penanggulangan terhadap pelanggaran keamanan
Klasifikasi nilai aset • Rendah: kehilangan fungsi aset tidak mengganggu proses bisnis untuk sementara waktu • Sedang: kehilangan fungsi aset mengganggu proses bisnis • Tinggi: kehilangan fungsi aset menghentikan proses bisnis
Identifikasi Aset Analisis Resiko Tindak Lanjut
2- Analisis resiko “Mencegah lebih baik daripada memperbaiki”
Perlunya analisis resiko • Memberi gambaran biaya perlindungan keamanan • Mendukung proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW • Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan • Menentukan aset tambahan (orang, HW, SW, infrastruktur, layanan)
Perlunya analisis resiko (cont’d) • Memperkirakan aset mana yang rawan terhadap ancaman • Memperkirakan resiko apa yang akan terjadi terhadap aset • Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali
Pendekatan analisis resiko • Kuantitatif: pendekatan nilai finansial • Kualitatif: menggunakan tingkatan kualitatif • Bisa dilakukan secara bersama atau terpisah pertimbangan waktu dan biaya
Analisis resiko kuantitatif • NILAI FINANSIAL • Dapat dijabarkan dlm bentuk neraca, laporan tahunan, analisis pasar dll • Digunakan untuk mengestimasi dampak, frekuensi, dan probabilitas
Annualized Loss Expectation ALE = nilai aset x EF x ARO • ALE: Annualized Loss Expectation (perkiraan kerugian per tahun) • EF: Exposure factor (persentase kehilangan karena ancaman pada aset tertentu) • ARO: Annualized Rate of Occurrence (perkiraan frekuensi terjadinya ancaman per tahun)
Analisis resiko kualitatif • Penilaian terhadap aset, ancaman, kemungkinan dan dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif • Lebih sering digunakan daripada metode kuantitatif
Pendekatan kualitatif lebih sering digunakan • Sulitnya melakukan kuantifikasi terhadap nilai suatu aset (contoh: informasi) • Sulitnya mendapatkan data statistik yang detail mengenai kecelakaan komputer • Buruknya pencatatan insiden komputer dalam perusahaan (banyak hal [angka] sebenarnya bisa diambil dari sejarah) • Kesulitan dan mahalnya melakukan prediksi masa depan
Identifikasi Aset Analisis Resiko Tindak Lanjut
3-Respon terhadap resiko • Avoidance: pencegahan terjadinya resiko • Transfer: pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi • Mitigation: pengurangan probabilitas terjadinya resiko dan/atau pengurangan nilai resiko • Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency plan
Mitigasi • Pendekatan yang paling umum dilakukan • Melibatkan: • Penyusunan kendali untuk mengurangi dampak resiko • Kemampuan pengawasan untuk menjamin analisis yang benar terhadap resiko The most important element of any risk management effort is managing risk to an acceptable level
IT Security Risks Major Areas • Asset protection: bagaimana kita menjamin sumber daya organisasi tetap aman, hanya bisa diakses oleh yang berhak untuk keperluan yang benar? • Service continuity: bagaimana kita menjamin ketersediaan layanan -tanpa penurunan kualitas- untuk pegawai, partner, dan pelanggan? • Compliance: bagaimana kita membuktikan bahwa semua requirement dari regulasi telah terpenuhi?