LAMPIRAN 1. List Aset Divisi IT Security. No. IP Address Status Application Function Log Processing, 1 x.x.x.x

(1)

xix

LAMPIRAN 1

List Aset Divisi IT Security

No. IP Address Status Application Function 1 x.x.x.x

Log Processing, IT Security

2 x.x.x.x Pooling Log SOC 3 x.x.x.x Firewall Smart-Console 4 x.x.x.x SEP Server 5 x.x.x.x IPS Appication (Site Protector IPS) Lampiran 1 6 x.x.x.x Database IPS 7 x.x.x.x Collector IPS 01 8 x.x.x.x Collector IPS 02 9 x.x.x.x Collector IPS 03 10 x.x.x.x DEVELOPMENT

APP Server (IdM Reporting) 11 x.x.x.x PRODUCTION APP Server 12 x.x.x.x PRODUCTION APP Server 13 x.x.x.x PRODUCTION DB Server 14 x.x.x.x PRODUCTION APP Server 15 x.x.x.x PRODUCTION

DB Server (db clustering)

16 x.x.x.x PRODUCTION APP & DB Server 17 x.x.x.x PRODUCTION IdM Reporting DB 18 x.x.x.x DEVELOPMENT Staging Server 19 x.x.x.x PRODUCTION Back-Up DB 20 x.x.x.x FTP SERVER EX-TERNAL - Billing dan VPN Client 21 x.x.x.x NAT outgoing Network BoD 22 x.x.x.x Primary DNS Ex-ternal xyz.com DNS Primary / FTP External 23 x.x.x.x Secondary DNS

External xyz.com DNS Secondary 24 x.x.x.x Proxy External - WLAN GUEST

(2)

No. IP Address Status Application Function 32 x.x.x.x Firewall Perime-ter Checkpoint XYZKP-PF01 33 x.x.x.x PRODUCTION Firewall Perime-ter FW-External 34 x.x.x.x ROUTER IT - VPN ASA 5500 35 x.x.x.x Firewall Perime-ter Checkpoint XYZKP-PF02 36 x.x.x.x IPS G400

37 x.x.x.x IPS G400

38 x.x.x.x Mail GW Mail Gateway1 39 x.x.x.x Mail GW Mail Gateway2 40 x.x.x.x Web GW Web Gateway S650 41 x.x.x.x Web GW Web Gateway S670 42 x.x.x.x Router BOD1 router 43 x.x.x.x Router BOD2 router

44 x.x.x.x VPN GW

VPN3000 (Main-tenance oleh IT-LAN)

45 x.x.x.x VPN GW

ASA5500 (Main-tenance oleh IT-LAN) 46 x.x.x.x IPS G1200 47 x.x.x.x IPS G400 48 x.x.x.x IPS G400 49 x.x.x.x IPS GX4002 50 x.x.x.x IPS GX4002 51 x.x.x.x IPS GX4002 52 x.x.x.x IPS GX4002 53 x.x.x.x IPS GX4002 54 x.x.x.x IPS GX4002 55 x.x.x.x IPS GX4002 56 x.x.x.x IPS GX4002 57 x.x.x.x IPS G400 58 x.x.x.x IPS G1200 59 x.x.x.x IPS GX4002 60 x.x.x.x IPS GX4002 61 x.x.x.x Firewall Datacen-ter DC Firewall - Net-Screen

(3)

Net-

No. IP Address Status Application Function ter Screen 63 x.x.x.x NTP 64 x.x.x.x Radius 65 x.x.x.x VPN WLAN 66 x.x.x.x C2960G L2 Switch 67 x.x.x.x C3560G L2 Switch 68 x.x.x.x Loadbalancer proxy AppDirector 69 x.x.x.x Loadbalancer proxy AppDirector_peer 70 x.x.x.x SEP-Desktop Desktop Antivirus 71 x.x.x.x SEP-Desktop Desktop Antivirus 72 x.x.x.x SEP-Desktop Desktop Antivirus 73 x.x.x.x SEP-Desktop Desktop Antivirus 74 x.x.x.x SEP-Desktop Desktop Antivirus 75 x.x.x.x SEP-Desktop Desktop Antivirus 76 x.x.x.x SEP-Desktop Desktop Antivirus 77 x.x.x.x SEP-Desktop Desktop Antivirus 78 x.x.x.x PRODUCTION

79 x.x.x.x PRODUCTION 80 x.x.x.x PRODUCTION 81 x.x.x.x PRODUCTION

(4)

xx

LAMPIRAN 2

Lampiran 2

Data Hasil Monitoring, Virus Terdeteksi, dan Vulnerability Assessment A. Data Hasil Monitoring oleh Security Operation Center Tahun 2010 – Februari 2012 (Gambar 10)

2010 2011 2012 Kategori Jumlah event Kategori Jumlah event Kategori Jumlah event

Denial of Service 614064 Denial of Service 629150049 Denial of Service 179121435

Unauthorized Access

At-tempt 474530 Worm 295854922 Worm 80564932

Network 229131 Unauthorized Access

At-tempt 200218988 Unauthorized Access

At-tempt 78931916

Worm 131972 Protocol Signature 140416192 Protocol Signature 52949658

Protocol Signature 107695 Network 72964011 Pre-attack Probe 31542868

Suspicious Activity 53168 Suspicious Activity 52970703 Suspicious Activity 18966450

Pre-attack Probe 15741 Pre-attack Probe 25916819 Network 10213365

NT Registry 5877 NT Policy Issues 13084057 NT Policy Issues 7984052

Information Gathering 2148 Cross-site Scripting 3029837 Information Gathering 4499690

Web Scan 1868 NT Registry 1785314 Cross-site Scripting 2533340

Cross-site Scripting 1824 Information Gathering 1273661 NT Registry 1719034

Daemons 1583 SQL Injection 581228 Host Sensor 1689084

SQL Injection 782 Daemons 494084 SQL Injection 347923

Backdoors 510 UDP 478841 Web Scan 199010

text-data-file-contents 324 Web Scan 462936 UDP 169285

(5)

2010 2011 2012 Kategori Jumlah event Kategori Jumlah event Kategori Jumlah event

E-mail 208 Backdoors 188367 Daemons 123687

UDP 149 FTP 168748 XPath Injection 117445

Browser 47 E-mail 58156 FTP 60423

NT Patches 40 once-only 51636 NT Patches 25418

NT Policy Issues 31 NT Patches 42445 E-mail 21108

XPath Injection 25 IP Spoofing 41612 once-only 15059

DNS 24 text-data-file-contents 34599 CGI-Bin 12001

IP Spoofing 18 SNMP-Suspicious-Get 29266 Browser 11931

Directory Indexing 16 Browser 20353 NT Services 8152

Shares 13 Host Sensor 18419 Information Leakage 6371

FTP 8 Directory Indexing 14321 IP Spoofing 6298

NT Services 13980 text-data-file-contents 6158

CGI-Bin 12207 SNMP-Suspicious-Get 5973

Information Leakage 7400 Path Traversal 4987

Path Traversal 5371 Directory Indexing 3730

DNS 4351 NT Critical Issues 2680

Shares 3106 Shares 2296

NT Critical Issues 2448 Buffer Overflow 1138

Buffer Overflow 694 DNS 630

(6)

B. DataVirus Terdeteksi Tahun 2010 – Februari 2012 (Gambar 11)

Virus Tahun 2010 2011 2012 (Januari - Februari) Server 555228 316123 551489 Desktop 1827396 4745336 892086

C. Data Hasil Vulnerability Assessment Tahun 2010 – Februari 2012 (Gambar 12) Tahun Jumlah IP Tinggi Sedang Rendah Total

2010 50 5 71 1189 1265

2011 115 319 819 5567 6705

(7)

ada pada sistem dapat diidentifikasi. Untuk masalah virus, worm, dan malware lainnya dilakukan scanning serta update antivirus minimal 3 kali sehari.

5. Apa yang menentukan suatu serangan sehingga dapat dikategorikan seba-gai High, Medium, atau Low ?

Berdasarkan pertimbangan dampak kerugian berupa materi dan non materi dari masing-masing serangan, contohnya data hilang atau rusak, data dicu-ri, tidak dapat diakses nya suatu aplikasi, atau rusaknya device.

6. Dari serangan-serangan yang ada pada nomer 1, bagaimana bapak mengkategorikan tingkat risiko sebagai High, Medium, atau Low ? Mohon penjelasannya.

High

Tingkat risiko dianggap sebagai high apabila serangan berhasil masuk dan mendapatkan full control terhadap suatu sistem atau aplikasi. Kemudian serangan dapat menguasai user account management (create, delete, modify, dan disable). Dapat menghabiskan resource sistem sampai melumpuhkan operasional perusahaan.

Risiko tinggi dianggap memiliki dampak ancaman yang tinggi karena melibatkan high level management, kerugian finansial yang besar, image perusahaan yang berdampak pada kepercayaan customer, jumlah karyawan yang besar terkena imbasnya (minimal 1 divisi), menyebabkan sistem atau aplikasi tidak dapat digunakanlebih dari 1x24 jam dan merupakan aplikasi yang berhubungan dengan revenue generator.

Medium

Tingkat risiko dianggap sebagai medium apabila menghabiskan bandwidth/performa jaringan atau resource dari sistem. Penyerang melakukan serangan tetapi tidak berhasil. Risiko yang dianggap medium apabila karyawan yang terkena imbasnya kira-kira 1 departemen, mengganggu ketersediaan data atau informasi. Sistem tidak dapat digunakan 5-8 jam.

Low

Tingkat risiko dianggap sebagai low apabila tidak mengancam confidentiality, integrity, dan availability dari data. Risiko yang rendah hanya mempengaruhi kegiatan operasional dari beberapa karyawan, nyaris tidak berpengaruh pada sistem, biasanya disebabkan oleh kesalahan yang tidak disengaja oleh user atau admin yang berdampak minor. Sistem atau aplikasi tidak dapat digunakan hanya 30 menit - 1 jam saja. Aplikasinya hanya berupa aplikasi yang men-support kegiatan operasional.

(8)

7. Berasal dari mana serangan tersebut terjadi?

Dari beberapa kasus dilihat serangan berasal dari eksternal maupun inter-nal perusahaan. Interinter-nal misalnya dari karyawan, eks-karyawan, atau ven-dor.

8. Cara apa saja yang digunakan untuk mendeteksi vulnerability yang ada pada sistem IT Security ?

Selama ini vulnerability dideteksi dengan menggunakan beberapa tools, seperti Nessus dan Acunetix. Scanning ini dilakukan seminggu sekali un-tuk IP public dan enam bulan sekali unun-tuk IP private. Selain itu juga dila-kukan penetration test secara berkala.

9. Bagaimana menanggulangi apabila ditemukan vulnerability ?

Melakukan hardening seperti menutup port, melakukan patching, update versi software.

10. Vulnerability apa saja yang ditemukan dalam 2 tahun belakangan ini ? ` Biasanya berupa perbedaan versi software seperti Apache atau PHP mengakibatkan penyerang dapat masuk dengan bypass autentikasi, adanya password yang masih default untuk root account, port yang terbuka. 11. Selain vulnerability yang berasal dari sistem, apakah ada vulnerability lain

yang berasal dari internal perusahaan ? Sebutkan.

Ada beberapa case yang terjadi disebabkan oleh karyawan PT. XYZ yang berstatus terminated tapi masih memiliki akses dibeberapa aplikasi penting IT Security. Hal ini menyebabkan penyalahgunaan hak akses dan me-mungkinkan terjadinya pencurian data.

Kemudian ada case lain berupa penyalahgunaan root account oleh vendor yang juga memungkinkan terjadinya pencurian data.

(9)

Nama : Dimas Febriawan

Jabatan : Tim Security Operation Center

Dalam kegiatan monitoring setiap harinya terdapat serangan-serangan yang ditu-jukan ke jaringan Perusahaan. Ada beberapa hal yang ingin saya diketahui :

1. – Siapa yang melakukan serangan?

Dari internal maupun eksternal. Biasanya internal kalaupun ada dari ven-dor atau dari pihak ketiga yang memang mengetahui ada kelemahan di sis-tem tertentu. Kalau dari eksternal biasanya hacker.

2. – Kenapa serangan dapat terjadi?

serangan yang terjadi pada umumnya terkait dengan pencurian data, se-rangan dilakukan atas dasar coba-coba untuk melihat seberapa kuat perta-hanan keamanan yang ada, ingin merubah informasi pada web atau aplika-si.

3. – Kapan serangan biasanya terjadi?

Hampir setiap hari terjadi serangan tetapi sebagian besar sudah diblock oleh firewall sehingga tidak menimbulkan dampak yang signifikan. 4. – Bagaimana cara mereka melakukan serangan?

Biasanya pertama dengan melakukan scanning, kemudian mulai melaku-kan attempt. lalu dengan penanaman script oleh internal (eks-karyawan) 5. – Bagaimana insiden dapat menyebar luas?

Dalam suatu insiden pasti menargetkan aset-aset Perusahaan yang dapat diakses oleh publik.

Selain itu kalau berupa virus penyebarannya terjadi meliputi jaringan pe-rusahaan sehingga akhirnya melumpuhkan perangkat-perangkat yang ada.

6. – Apakah hal ini terjadi karena sistem keamanan Perusahaan masih kurang baik?

Seberapa besar pun pertahanan keamanan sistem informasi pasti masih te-tap terjadi serangan baik dari dalam maupun luar perusahaan. Karena bi-asanya teknologi maupun kemampuan hacker itu terus berkembang, se-hingga walau prosedur-prosedur keamanan telah diimplementasi tetap akan selalu ada kelemahan.

7. – Langkah-langkah apa yang diambil untuk menentukan apa yang terjadi dan untuk mencegah terjadi insiden di masa depan?

Dengan melakukan monitoring terhadap serangan dengan menggunakan tools security yang ada serta melakukan pentest untuk melihat kemungki-nan adanya vulnerability

(10)

Dampaknya bermacam-macam tergantung dari serangan. Sebagai contoh salah satu website perusahaan pernah terdeface, kinerja jaringan melambat termasuk aplikasi, server, email, semua perangkat operasional juga ter-ganggu. Pernah juga terjadi pencurian pulsa. Pengubahan billing. 9. – Berapa perkiraan biaya kerugian bila terjadi insiden?

Untuk estimasi cost nya tidak tahu pasti karena informasi tersebut dipe-gang oleh pemiliki masing-masing aplikasi dan manajemen perusahaan. Tapi sebagai gambaran, pernah terjadi kasus aplikasi berjalan lambat se-lama 2 hari dikarenakan adanya virus sehingga perhitungan poin reward customer tidak akurat. Insiden ini menyebabkan kerugian dengan estimasi 1,5 - 2 milyar.

(11)

xxii

LAMPIRAN 4

Lampiran 4

Kuesioner Pengukuran Kontrol Sebelum dan Sesudah Penerapan Manajemen Risiko

Nama :

Jabatan : Tim Security Operation Center Petunjuk Pengisian:

1. Beri tanda V untuk tindakan yang telah dilakukan dalam kegiatan operasional sehari-hari dan tanda X untuk tidakan yang tidak pernah dilakukan.

Penanganan Insiden Secara Umum

Tindakan Ya / Tidak

Deteksi dan Analisa

1 _{Menentukan apakah insiden telah terjadi}

1.1 _{Menganalisa sesuatu yang akan datang berdasarkan} in-dikasi yang ada

1.2 _{Mencari informasi yang saling berhubungan}

1.3 _{Melakukan pengkajian (Contoh: Mesin pencari,} Sumb-er pengetahuan)

1.4 _{Segera setelah tim yang menangani yakin bahwa insiden} telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. 2 _{Mengklasifikasi insiden menggunakan beberapa}

katego-ri yang ada (Contoh: Dos, Malicious Code, Penyalahgu-naan Hak Akses)

3 _{Mengikuti sesuai daftar kategori insiden yang ada:} Apa-bila insiden tidak termasuk dalam kategori manapun, dapat mengikuti daftar yang umum.

(12)

Penanganan Insiden Denial of Service

Tindakan Ya / Tidak

1 _{Memprioritaskan penanganan insiden berdasarkan} pen-garuh bisnis.

1.1 _{Mengidentifikasi sistem/resource mana yang terkena} dan memprediksikan sistem/resource mana yang akan terkena selanjutnya.

1.2 _{Melakukan estimasi terhadap pengaruh secara tehnis} saat ini dan yang akan berpotensi terkena dari insiden tersebut.

1.3 Mencari kolom yang sesuai didalam prioriti acuan, ber-dasarkan pengaruh secara tehnis dan sistem/resource yang terkena.

2 _{Melaporkan insiden kepada internal staf yang ditunjuk} dan juga kepada organisasi yang diluar.

Membendung, Penghapusan, dan Pemulihan

3 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada.

4 Menahan insiden – memberhentikan serangan DoS apa-bila serangan belum berhenti.

4.1 Mengidentifikasi dan mengurangi semua kerentanan yang digunakan.

4.2 Apabila belum tertahankan, jalankan filter berdasarkan sifat dari serangan jika memungkinkan.

4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan dengan memfilter serangan.

4.4 Apabila belum tertahankan relokasi target.

5 Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi dan kurangi semua kerentanan yang diguna-kan.

6 Pemulihan dari Insiden

6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan sediakala.

6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal.

6.3 Apabila diperlukan, jalankan monitoring tambahan un-tuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan.

Kegiatan Pasca Insiden

7 _{Membuat laporan lanjutan}

(13)

Penanganan Insiden Unauthorized access

Tindakan Ya / Tidak

1.2 _{Melakukan estimasi terhadap pengaruh secara tehnis} saat ini dan yang akan berpotensi terkena dari insiden tersebut.

1.3 _{Mencari kolom yang sesuai didalam prioriti acuan,} ber-dasarkan pengaruh secara tehnis dan sistem/resource yang terkena.

3 Melakukan penahanan pada awal kejadian

4 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada.

5 Mengkonfirmasi penahanan kejadian

5.1 Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (Ter-masuk memeriksa sistem lain untuk tanda-tanda intrusi) 5.2 _{Melaksanakan tindakan penahanan tambahan jika perlu} 6 Menanggulangi insiden

6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi.

6.2 _{Menghapus semua komponen insiden dari sistem} 7 Pemulihan dari insiden

7.1 _{Mengembalikan sistem yang terkena ke keadaan} opera-sional semula

7.2 _{Menkonfirmasikan bahwa sistem yang terkena telah} ber-fungsi normal

7.3 _{Apabila diperlukan, jalankan monitoring tambahan} un-tuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan.

(14)

9 _{Mengadakan meeting yang membahas insiden tersebut}

Penanganan Insiden Malicious Code

Tindakan Ya / Tidak

1.2 _{Melakukan estimasi terhadap pengaruh secara teknis} saat ini dan yang berpotensi terkena dampak dari insiden tersebut.

1.3 _{Mencari kolom yang sesuai didalam prioriti acuan,} ber-dasarkan pengaruh secara tehnis and sistem/resource yang terkena.

3 Menahan insiden

3.1 Mengidentifikasi sistem yang terinfeksi

3.2 Disconnect semua sistem yang terinfeksi dari jaringan 3.3 Mitigasi kerentanan yang dimanfaatkan oleh malicious

code

3.4 Apabila diperlukan, halangi mekanisme transmisi untuk malicious code

4 Menanggulangi insiden

4.1 Disinfeksi, mengkarantina, menghapus, dan menggan-ti file yang terinfeksi

4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi

5 Pemulihan dari insiden

5.1 Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal

5.2 Apabila diperlukan, jalankan monitoring tambahan un-tuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan.

6 _{Membuat laporan lanjutan}

(15)

xxiii

LAMPIRAN 5

Lampiran 5

Hasil Kuesioner

Kuesioner dibagikan kepada 7 orang dari tim Security Operation Center dimana selama ini mereka yang berperan dalam kegiatan operasional dalam penanganan insiden. Untuk kuesioner penanganan insiden malicious code ditujukan kepada 1 orang dari tim Antivirus. Kuesioner dibagian 2 kali yaitu untuk pengukuran sebe-lum dan sesudah mitigasi risiko.

Pre Implementasi

Deteksi dan Analisa Ya Tidak

1 _{Menentukan apakah insiden telah terjadi} 7 0 1.1 Menganalisa sesuatu yang akan datang berdasarkan

indi-kasi yang ada

7 0 1.2 Mencari informasi yang saling berhubungan 2 5 1.3 Melakukan pengkajian (Contoh: Mesin pencari, Sumber

pengetahuan)

7 0 1.4 Segera setelah tim yang menangani yakin bahwa insiden

telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada.

7 0

2 _{Mengklasifikasi insiden menggunakan beberapa kategori} yang ada (Contoh: Dos, Malicious Code, Penyalahgu-naan Hak Akses)

7 0

3 Mengikuti sesuai daftar kategori insiden yang ada: Apa-bila insiden tidak termasuk dalam kategori manapun, da-pat mengikuti daftar yang umum.

(16)

1 _{Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis.} 0 7 1.1 _{Mengidentifikasi sistem/resource mana yang terkena dan}

mempre-diksikan sistem/resource mana yang akan terkena selanjutnya.

0 7 1.2 _{Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan}

yang akan berpotensi terkena dari insiden tersebut.

1 6 1.3 _{Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan}

pengaruh secara tehnis dan sistem/resource yang terkena.

0 7 2 _{Melaporkan insiden kepada internal staf yang ditunjuk dan juga}

ke-pada organisasi yang diluar.

7 0

Membendung, Penghapusan, dan Pemulihan Ya Tidak

3 Memperoleh, mempertahankan, mengamankan, dan

mendokumen-tasi bukti yang ada. 7 0

4 Menahan insiden – memberhentikan serangan DoS apabila serangan belum berhenti.

0 7 4.1 Mengidentifikasi dan mengurangi semua kerentanan yang

diguna-kan. 7 0

4.2 Apabila belum tertahankan, jalankan filter berdasarkan sifat dari serangan jika memungkinkan.

0 7 4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan

dengan memfilter serangan.

0 7 4.4 Apabila belum tertahankan relokasi target. 0 7

5 Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi

dan kurangi semua kerentanan yang digunakan. - -

6 Pemulihan dari Insiden

6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat

dio-perasikan sediakala. 0 7

6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. 7 0 6.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat

kemungkinan terjadinya aktititas yang sama yang akan terjadi dima-sa depan.

6 1

Kegiatan Pasca Insiden Ya Tidak

7 _{Membuat laporan lanjutan} 7 0

8 Mengadakan meeting yang membahas insiden tersebut 0 7

(17)

7 0

3 Melakukan penahanan pada awal kejadian 0 7

5 Mengkonfirmasi penahanan kejadian 7 0

5.1 Melakukan analisa lebih lanjut terhadap insiden tersebut dan me-nentukan apakah penahanan sudah cukup (Termasuk memeriksa sistem lain untuk tanda-tanda intrusi)

7 0

5.2 _{Melaksanakan tindakan penahanan tambahan jika perlu} 7 0 6 Menanggulangi insiden

6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah

di-eksploitasi. 7 0

6.2 _{Menghapus semua komponen insiden dari sistem} 0 7 7 Pemulihan dari insiden

7.1 _{Mengembalikan sistem yang terkena ke keadaan operasional semula} 0 7 7.2 _{Menkonfirmasikan bahwa sistem yang terkena telah berfungsi}

nor-mal

7 0 7.3 _{Apabila diperlukan, jalankan monitoring tambahan untuk melihat}

7 0

8 _{Mengadakan meeting yang membahas insiden tersebut} 0 7

(18)

1 _{Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis.} 1 1.1 _{Mengidentifikasi sistem/resource mana yang terkena dan}

1 1.2 _{Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan}

1 1.3 _{Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan}

1 2 _{Melaporkan insiden kepada internal staf yang ditunjuk dan juga}

1

3 Menahan insiden 1

3.1 Mengidentifikasi sistem yang terinfeksi 1

3.2 Disconnect semua sistem yang terinfeksi dari jaringan 1 3.3 Mitigasi kerentanan yang dimanfaatkan oleh malicious code 1 3.4 Apabila diperlukan, halangi mekanisme transmisi untuk malicious

code

1 4 Menanggulangi insiden

4.1 Disinfeksi, mengkarantina, menghapus, dan mengganti file yang

terinfeksi 1

4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam

organi-sasi 1

1 5.2 Apabila diperlukan, jalankan monitoring tambahan untuk melihat

1

7 _{Membuat laporan lanjutan} 1

(19)

Post Implementasi

1 _{Menentukan apakah insiden telah terjadi} 7 0 1.1 Menganalisa sesuatu yang akan datang berdasarkan

indi-kasi yang ada

7 0 1.2 Mencari informasi yang saling berhubungan 7 0 1.3 Melakukan pengkajian (Contoh: Mesin pencari, Sumber

pengetahuan)

7 0 1.4 Segera setelah tim yang menangani yakin bahwa insiden

telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada.

7 0

2 _{Mengklasifikasi insiden menggunakan beberapa kategori} yang ada (Contoh: Dos, Malicious Code, Penyalahgu-naan Hak Akses)

7 0

3 _{Mengikuti sesuai daftar kategori insiden yang ada:} Apa-bila insiden tidak termasuk dalam kategori manapun, da-pat mengikuti daftar yang umum.

(20)

1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. 5 2 1.1 _{Mengidentifikasi sistem/resource mana yang terkena dan}

7 0

4 Menahan insiden – memberhentikan serangan DoS apabila serangan

belum berhenti. 7 0

4.1 Mengidentifikasi dan mengurangi semua kerentanan yang diguna-kan.

7 0 4.2 Apabila belum tertahankan, jalankan filter berdasarkan sifat dari

serangan jika memungkinkan. 7 0

4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan

dengan memfilter serangan. 0 7

4.4 Apabila belum tertahankan relokasi target. 7 0 5 Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi

dan kurangi semua kerentanan yang digunakan.

- - 6 Pemulihan dari Insiden

6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat dio-perasikan sediakala.

7 0 6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. 7 0

6.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dima-sa depan.

6 1

(21)

7 0

3 Melakukan penahanan pada awal kejadian 7 0

5 Mengkonfirmasi penahanan kejadian 7 0

5.1 Melakukan analisa lebih lanjut terhadap insiden tersebut dan me-nentukan apakah penahanan sudah cukup (Termasuk memeriksa sistem lain untuk tanda-tanda intrusi)

7 0

5.2 _{Melaksanakan tindakan penahanan tambahan jika perlu} 7 0 6 Menanggulangi insiden

6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah

di-eksploitasi. 7 0

6.2 _{Menghapus semua komponen insiden dari sistem} 7 0 7 Pemulihan dari insiden

7.1 _{Mengembalikan sistem yang terkena ke keadaan operasional semula} 7 0 7.2 _{Menkonfirmasikan bahwa sistem yang terkena telah berfungsi}

nor-mal

7 0 7.3 _{Apabila diperlukan, jalankan monitoring tambahan untuk melihat}

7 0

(22)

1 _{Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis.} 1 1.1 _{Mengidentifikasi sistem/resource mana yang terkena dan}

1 1.2 _{Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan}

1 1.3 _{Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan}

1 2 _{Melaporkan insiden kepada internal staf yang ditunjuk dan juga}

1

3 Menahan insiden 1

3.1 Mengidentifikasi sistem yang terinfeksi 1 3.2 Disconnect semua sistem yang terinfeksi dari jaringan 1 3.3 Mitigasi kerentanan yang dimanfaatkan oleh malicious code 1 3.4 Apabila diperlukan, halangi mekanisme transmisi untuk malicious

code

1 4 Menanggulangi insiden

4.1 Disinfeksi, mengkarantina, menghapus, dan mengganti file yang

terinfeksi 1

4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam

organi-sasi 1

1 5.2 Apabila diperlukan, jalankan monitoring tambahan untuk melihat

1

7 _{Membuat laporan lanjutan} 1

(23)

xxi

LAMPIRAN 3

Lampiran 3

Hasil Wawancara

2 April 2012

Nama : Dimas Febriawan

Jabatan : Tim Security Operation Center

1. Serangan apa saja yang terdeteksi selama 2 tahun belakangan ini dan di-anggap paling berbahaya ?

Virus/worm, denial of service, hacking attempt, unauthorized access, net-work anomaly, pre attack probe. Ada juga email-email spam tetapi sudah ada anti-spam pada email server. Terkadang terdeteksi aktifitas scanning terhadap IP address public perusahaan. Pernah juga ada bug pada sistem yang mengakibatkan aplikasi sampai tidak jalan. Lalu pernah ditemukan script yang ditanam pada sistem yang biasanya dilakukan oleh admin atau eks-admin.

2. Dari serangan-serangan diatas, mana yang dianggap paling kritikal? Kenapa?

Pertama virus/worm, unauthorized access, dan denial of service. Virus/worm dikategorikan kritikal karena salah satunya dapat mengganggu kinerja karyawan yang diakibatkan oleh jaringan yang terganggu, selain itu juga dapat merusak data, merusak hardisk, dan lain-lain. Kemudian unauthorized access karena bisa mencuri data-data confidential perusahaan, dan denial of service karena mengganggu layanan perusahaan misalnya pengisian pulsa atau registrasi simcard.

3. Bagaimana cara mendeteksi serangan dan penanggulangan serangan terse-but ?

Melakukan monitoring 24 jam dari security device log dari IDS, IPS, fire-wall dan IT security tools.

Penanggulangan apabila terjadi serangan dilakukan dengan berkoordinasi dengan tim terkait misalnya PIC dari aplikasi atau vendor.

4. Tindakan apa yang dilakukan untuk pencegahan insiden ?

Konfigurasi firewall sebagai pengamanan dilakukan pada jaringan dengan memfilter semua trafik yang masuk. Monitoring juga dilakukan tim SOC setiap waktu 24 jam sehari 7 hari dalam seminggu. Setiap periode tertentu juga dilakukan vulnerability assessment dimana semua kerentanan yang

(24)

xxv

LAMPIRAN 6

Lampiran 6

KEBIJAKAN KEAMANAN INFORMASI

PT. XYZ

Kebijakan 1. Penggunaan Email dan Internet Mail Address Kebijakan 2. Pemilihan dan Perlindungan Password

Kebijakan 3. Penggunaan Jaringan dan Internet Kebijakan 4. Pengendalian Virus

Kebijakan 5. Pengelolaan Akses User

Kebijakan 6. Jumlah Optimum Administrator Kebijakan 7. Infrastruktur Jaringan

Kebijakan 8. Pemantauan Keamanan Infrastruktur Jaringan Kebijakan 10. Akses Pihak Ketiga

(25)

PT. XYZ

Kode

Doku-men Nomor Revisi Tanggal Revisi Halaman

1 PENGGUNAAN EMAIL DAN INTERNET MAIL ADDRESS

TUJUAN

Memberikan panduan dalam pengelolaan dan penggunaan sistem email Perusahaan.

RUANG LINGKUP

Kebijakan ini berlaku terhadap semua penggunaan sistem email dan internet mail ad-dress Perusahaan termasuk semua pihak yang bekerja untuk dan atas nama Perusa-haan yang diserahi fasilitas email dan Internet mail address PerusaPerusa-haan. Baik pesan email yang tersimpan dalam komputer pengguna maupun di server.

DEFINISI

Sistem email Fasilitas untuk dapat mengirim pesan email, dimana umumnya terdiri dari komponen sbb: client email browser, mail server, mailbox, distribution list, dan lain-lain.

Internet Mail Address Fasilitas email untuk dapat mengirim dan menerima email ke dan dari sistem email lain di luar sistem email Perusahaan. Distribution List (DL) Sekumpulan pengguna yang

dikelompok-kan menjadi satu grup dan memiliki nama grup yang unik atau berbeda satu dengan lainnya.

Informasi Sensitif Informasi dianggap sensitif jika dapat merusak reputasi atau posisi pasar

(26)

Peru-

sahaan atau pengguna.

Perusahaan PT. XYZ

PERATURAN TERKAIT

1. Penyediaan Sistem Email dan Internet Mail Address

1.1. Direktorat Information Technology adalah satu-satunya organisasi di dalam Perusahaan yang berwenang dalam ketersediaan layanan, memasang, men-goperasikan, memelihara, dan mengatur fasilitas sistem email dengan atau tanpa internet mail address dalam rangka kepentingan Perusahaan.

1.2. Direktorat Information Technology harus menetapkan, mendokumentasikan, dan menginformasikannya kepada pengguna standar sistem email dan inter-net mail address yang disediakan untuk pengguna dan disertai dengan infor-masi prosedur bisnis untuk menjamin keamanan dan pemeliharaan sistem email dan internet mail address.

1.3. Direktorat Information Technology harus memberlakukan dan mendokumen-tasikan kriteria dan prosedur bisnis yang mengatur penyediaan dan pencabu-tan fasilitas email dan internet mail address Pengguna.

1.4. Direktorat Information Technology harus menetapkan, menginformasikan kepada pengguna, dan mendokumentasikan tentang kriteria dan penggunaan Distribution List serta mengatur penyediaan dan pencabutan Distribution List.

2. Penggunaan Email dan Internet Mail Address

2.1. Sistem email Perusahaan tidak boleh dengan sengaja dipergunakan untuk: 2.2.1 Melakukan pekerjaan yang tidak mendukung kepentingan bisnis

Perusahaan.

2.2.2 Menyebabkan terganggunya sumber daya bagi pihak lain yang memiliki kepentingan bisnis yang sama atau lebih tinggi.

2.2.3 Melakukan penerobosan keamanan atau tindakan melanggar hu-kum lainnya

(27)

2.2. Direktorat Information Technology harus menetapkan, menginformasikan kepada pengguna, dan mendokumentasikan tentang kriteria dan prosedur penggunaan sistem email dan internet mail address.

3. Pengawasan dan Perlindungan Pesan Email

3.1. Pesan-pesan yang disimpan, dikirim, atau diterima menggunakan sumber daya dan sistem email Perusahaan dianggap sebagai dokumen milik perusa-haan.

3.2. Sistem email Perusahaan tidak dimaksudkan sebagai sarana pengiriman, pe-nyimpanan dan komunikasi yang terjamin kerahasiaannya.

3.3. Direktorat Information Technology harus memberlakukan dan mendokumen-tasikan prosedur pengawasan dan pengamanan sistem email dan internet mail address untuk mencegah pesan tidak sampai di alamat tujuan atau hilangnya informasi penting dalam email.

3.4. Direktorat Information Technology harus melindungi pesan dari akses yang tidak sah, modifikasi, atau denial of service.

3.5. Sistem email harus menggunakan digital signature untuk memastikan validi-tas dan integrivalidi-tas kepada penerima dan juga sebagai pertimbangan hukum.

STANDAR TERKAIT

• ISO 27002:2005 Pasal 10.8.4 Electronic messaging • RUSecure Policy 030302

KEBIJAKAN TERKAIT

• Email mengenai Peraturan Penggunaan Email dan Internet Mail Address, tanggal 7 Desember 2005

(28)

PT. XYZ

Kode

2 PEMILIHAN DAN PERLINDUNGAN PASSWORD

TUJUAN

Kebijakan ini dimaksudkan untuk mengatur kriteria pemilihan account dan password yang harus dipatuhi pemilik account dan password Perusahaan.

RUANG LINGKUP

Kebijakan ini berlaku untuk semua account dan password yang digunakan untuk mengakses sistem ataupun sumberdaya infomasi Perusahaan dan mencakup pembua-tan, pendistribusian, pengamanan, penghentian, dan reklamasi.

DEFINISI

Perusahaan PT. XYZ

1. Kriteria dan Pemilihan Account

1.1. Fungsi di perusahaan yang ditunjuk sebagai fasilitator sistem ataupun sum-berdaya informasi perusahaan harus menetapkan, mendokumentasikan, dan mempublikasikan standar penamaan Account sistem informasi Perusahaan sedemikian rupa hingga dapat mencegah seorang pengguna memiliki account redundan untuk suatu sistem.

1.2. Fungsi di perusahaan yang ditunjuk sebagai fasilitator sistem ataupun sum-berdaya informasi perusahaan harus memberlakukan dan

(29)

mendokumentasi-

kan prosedur pemberian, pemeliharaan keakuratan, dan pencabutan account sistem Perusahaan.

2. Kriteria Password yang Diharuskan

2.1. Terdiri dari paling tidak 8 (delapan) karakter dengan menggabungkan semua hal berikut:

2.1.1. Kombinasi huruf besar dan huruf kecil

2.1.2. Alfabet dan angka yang paling tidak terdiri dari satu angka 2.1.3. Karakter khusus, misalnya !@#$, dan seterusnya

2.2. Bersifat cukup sulit untuk ditebak namun cukup mudah untuk diingat oleh pemilik

2.3. Bukan merupakan kata atau akronim dari nama diri atau kerabat, tanggal la-hir, alamat rumah, kata-kata dalam kamus, jabatan kerja, lokasi kerja, dan lain sebagainya.

2.4. Tidak sama baik seutuhnya atau parsial dengan account pengguna.

2.5. Tidak sama dengan 8 (delapan) password yang telah diganti sebelum peng-gantian terakhir.

3. Pemeliharaan Password

3.1 Pengguna wajib menjaga kerahasiaan password. Tidak berbagi atau memberi-tahukan password kepada siapapun juga tanpa pengecualian. Pelanggaran akan hal ini menjadi resiko dan tanggung jawab sepenuhnya dari pemilik ac-count.

3.2 Sistem komputer harus mendukung dan memiliki fasilitas untuk memaksa pengguna mengubah password pada saat logon pertama kali, atau pertama kali sejak dilakukan reset terhadap passwordnya.

3.3 Pengguna harus mengganti harus password secara berkala paling lambat satu kali setiap dua bulan.

3.4 Sistem administrator harus memastikan dalam menyimpan dan mengirimkan password harus terlindungi melalui enskripsi atau hash.

3.5 Administrator Sistem harus mengganti password secara berkala paling lambat satu kali setiap bulan.

(30)

3.6 Password tidak boleh ditulis secara utuh, atau ditulis di tempat yang mudah dikenali misalnya pada meja kerja, monitor komputer, file dengan diberi na-ma yang tendensius, dinding ruang kerja, kalender, dan lain sebagainya 3.7 Tidak menggunakan password yang digunakan di sistem perusahaan untuk

menjadi password bagi sistem yang bukan milik Perusahaan

3.8 Tidak diperbolehkan mengakses sistem perusahaan dari tempat publik, seperti warung internet, tempat training umum, pusat bisnis di perhotelan, dan seje-nisnya.

3.9 Password yang dimasukkan atau disimpan di dalam sistem komputer perusa-haan harus dilindungi sedemikian rupa sehingga jika dapat diterobos dan di-akses oleh yang tidak berhak, maka password tidak dapat digunakan oleh pe-nerobos.

3.10 Password sangat penting seperti password account Root tidak boleh diguna-kan dalam operasi normal, melaindiguna-kan agar diciptadiguna-kan account kunci lain yang memiliki kewenangan setara atau hampir setara dengan Root yang me-rupakan turunan dari account Root untuk kegiatan operasi normal.

3.11 Password default harus segera mungkin diganti. STANDAR TERKAIT

ISO 27002:2005 Pasal 11.2.3 User password management, 11.3.1 Password use, 11.5.3 Password management sistem

KEBIJAKAN TERKAIT -

(31)

PT. XYZ

Kode Doku-men

Nomor Revisi Tanggal Revisi Halaman

3 PENGGUNAAN JARINGAN DAN INTERNET

TUJUAN

Kebijakan ini dimaksudkan untuk mengatur penyediaan dan penggunaan sistem akses jaringan informasi dan internet yang dikelola Direktorat Information Technology (IT).

RUANG LINGKUP

Kebijakan ini berlaku terhadap semua penyediaan, penggunaan dan pengelolaan ja-ringan informasi dan internet perusahaan yang berada dalam pengendalian Direktorat IT.

DEFINISI

Perusahaan PT. XYZ

1. Penyediaan Fasilitas Sistem Jaringan dan Internet

1.1 Perusahaan menyediakan sistem akses jaringan informasi dan internet untuk kepentingan bisnis Perusahaan.

1.2 Direktorat IT adalah satu-satunya organisasi di dalam Perusahaan yang ber-wenang menyediakan, memasang, memelihara, dan mengatur sistem akses ja-ringan informasi dan internet perusahaan.

1.3 Direktorat IT harus memberlakukan dan mendokumentasikan standar sistem akses jaringan informasi dan internet perusahaan.

1.4 Direktorat IT harus memberlakukan dan mendokumentasikan prosedur bisnis untuk mengatur penyediaan, pengawasan, perlindungan keamanan, dan pen-cabutan sistem akses jaringan informasi dan internet perusahaan.

1.5 Direktorat IT melakukan proses otorisasi untuk menentukan siapa saja yang diperbolehkan mengakses jaringan.

(32)

1.6 Direktorat IT harus memastikan penggunaan akses jaringan informasi dan in-ternet perusahaan tidak mengganggu ketersediaan sistem yang memiliki ke-pentingan bisnis yang lebih tinggi.

2. Penggunaan Sistem Akses Jaringan dan Internet

2.1 Sistem jaringan informasi dan internet perusahaan tidak boleh dengan sengaja digunakan untuk:

2.1.1 Melakukan pekerjaan yang tidak mendukung kepentingan bisnis Peru-sahaan.

2.1.2 Menyebabkan terganggunya sumber daya bagi pihak lain yang memi-liki kepentingan bisnis yang sama atau lebih tinggi.

2.1.3 Melakukan penerobosan keamanan atau tindakan melanggar hukum lainnya.

2.1.4 Melanggar norma yang berlaku 2.1.5 Merugikan pihak lain

STANDAR TERKAIT

ISO 27002:2005 Pasal 11.4.1 Policy on use of network services, 11.4.6 Network con-nection control

KEBIJAKAN TERKAIT

• Dokumen Internet Access Classification Standards Tanggal 9 Februari 2010 • Email mengenai Kebijakan Internet Access PT. XYZ Tanggal 16 Februari

(33)

PT. XYZ

Kode

4 PENGENDALIAN VIRUS

TUJUAN

Kebijakan ini dimaksudkan untuk mengatur langkah-langkah pencegahan, pendetek-sian, dan penanggulangan serangan virus.

RUANG LINGKUP

Kebijakan ini berlaku untuk semua sistem komputer yang terhubung ke dalam sistem jaringan informasi perusahaan ataupun sistem jaringan yang digunakan di dalam lingkungan perusahaan. DEFINISI Istilah Definisi Perusahaan PT. XYZ PERATURAN TERKAIT 1. Umum

1.1. Perusahaan harus menetapkan kebijakan formal melarang penggunaan perangkat lunak tanpa izin.

1.2. Perusahaan harus memberlakukan dan menginformasikan kepada Pengguna langkah-langkah pencegahan, pendeteksian, dan pembersihannya virus menggunakan anti-virus Perusahaan.

2. Pencegahan

2.1. Perusahaan harus memberlakukan penggunaan piranti anti virus untuk setiap pengguna atau perangkat yang terhubung ke infrastrukutur jaringan.

2.2. Pengguna sistem jaringan perusahaan harus memastikan bahwa anti virus da-lam sistem komputer yang digunakannya berfungsi efektif.

(34)

2.3. Pengguna yang bekerjasama dengan mitra dari kalangan luar Perusahaan yang datang membawa komputer dan akan bekerja dalam sistem jaringan pe-rusahaan, harus memastikan bahwa mitra kerjanya mengefektifkan piranti an-ti virus yang memadai dalam komputernya.

2.4. Tidak dibenarkan berbagi folder dengan akses WRITE kecuali ada kebutuhan bisnis yang sangat penting atau untuk kalangan yang sangat terbatas.

2.5. Pengguna sistem jaringan prusahaan harus memastikan bahwa dokumen elek-tronik yang akan dikirimkan melalui jaringan bersih dari virus.

3. Pendeteksian

3.1. Melakukan instalasi dan update anti-virus secara berkala serta melakukan scanning secara rutin terhadap semua server dan desktop; scanning dilakukan harus mencakup:

a. Memeriksa lampiran surat elektronik terhadap virus sebelum digunakan pada mail server.

b. Memeriksa setiap file yang diterima melalui jaringan terhadap virus sebelum digunakan.

3.2. Melakukan tinjauan rutin terhadap konten software dan data dari sistem pen-dukung business process yang kritis.

4. Pembersihan

4.1. Pihak yang menemukan atau mencurigai adanya serangan virus dalam sistem jaringan perusahaan yang digunakannya harus segera memutuskan hubungan untuk sementara waktu dari sistem jaringan perusahaan dan segera melapor-kannya kepada IT Helpdesk.

4.2. Setiap virus yang tidak dapat dibersihkan oleh anti-virus dikatakan sebagai insiden dan harus dilaporkan kepada IT Helpdesk.

STANDAR TERKAIT

ISO 27002:2005 Pasal 10.4.1 Control against malicious code.

(35)

- PT. XYZ Kode Doku-men

5 PENGELOLAAN AKSES USER

TUJUAN

Kebijakan ini dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memi-liki otorisasi dan tidak memimemi-liki kepentingan bisnis.

RUANG LINGKUP

Kebijakan ini berlaku terhadap unit ataupun fungsi yang diberikan kewenangan untuk mengelola sistem atau sumberdaya informasi perusahaan serta unit ataupun fungsi yang ditunjuk oleh perusahaan berdasarkan penugasan sebagai pemilik sistem atau sumberdaya informasi perusahaan.

DEFINISI

Perusahaan PT. XYZ

Sistem Aplikasi, Sistem Operasi, Basis Data, Sistem

Jaringan, dan lain-lain PERATURAN TERKAIT

1. Setiap permintaan user-id akses terhadap sistem atau sumberdaya informasi peru-sahaan harus disetujui oleh manajemen minimal setingkat Division Head dari unit pemohon.

2. Pemilik sistem atau sumberdaya informasi perusahaan diharuskan menyampai-kan pemberitahuan sesegera mungkin ke unit pengelola sistem atau sumberdaya informasi perusahaan terkait dengan adanya perubahan kebijakan terhadap sistem

(36)

atau sumberdaya informasi perusahaan seperti adanya pemblokiran, penonaktifan serta perubahan kewenangan terhadap suatu akses user,

3. Setiap user-id akses yang terdaftar dalam sistem atau sumberdaya informasi pe-rusahaan akan diberlakukan kebijakan seperti di bawah ini;

a. Pemblokiran akses terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya informasi peru-sahaan dalam kurun waktu 1 bulan. Dan akan diaktifkan kembali jika ada pemberitahuan secara tertulis dari pemilik user-id akses dengan di-ketahui oleh Manajer atau Division Head atasannya.

b. Penghapusan secara permanen terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya in-formasi perusahaan dalam kurun waktu 3 bulan.

4. Penggunaan user-id harus unik dan tidak boleh redundant untuk memungkinkan pengguna dihubungkan ke tanggung jawabnya. Penggunaan grup-id hanya dapat diijinkan untuk alasan operasional atau bisnis perusahaan.

5. Pemilik user-id harus menandatangani pernyataan tertulis yang menyatakan bahwa mereka memahami kondisi akses tersebut.

STANDAR TERKAIT

ISO 27002:2005 Pasal 11.2.1 User registration, 11.2.2 Privilage management, 11.2.4 Review of user access rights

(37)

PT. XYZ

Kode

6 JUMLAH OPTIMUM ADMINISTRATOR

TUJUAN

Kebijakan ini dimaksudkan agar supaya jumlah administrator yang secara optimum memenuhi kebutuhan administrasi sistem dan memenuhi standar pengendalian dan pemantauan penggunaan account berkemampuan tinggi.

RUANG LINGKUP

Seluruh sistem yang digunakan dalam rangka kepentingan bisnis perusahaan. DEFINISI

Perusahaan PT. XYZ

Administrator Semua yang menggunakan account Root atau account berkemampuan tinggi setara atau hampir. Contoh Sistem Administra-tor, Database AdministraAdministra-tor, Network Administrator, Application Administrator

1. Jumlah Administrator untuk sistem harus memenuhi secara memadai kebututuhan administrasi sistem bersangkutan dan mematuhi standar keamanan informasi yang dianut oleh perusahaan.

2. Jumlah Administrator untuk sebuah sistem tidak boleh satu orang dan tidak mele-bihi tiga orang.

(38)

3. Nama-nama Administrator dan Sistem harus dilaporkan secara berkala setidaknya sekali setiap 6 bulan atau adanya perubahan administrator dengan ditandatangani oleh Division Head terkait ke fungsi yang ditunjuk atau ditetapkan oleh perusa-haan untuk

mengelola keamanan informasi perusahaan. STANDAR TERKAIT

-

KEBIJAKAN -

(39)

PT. XYZ

Kode

7 INFRASTRUKTUR JARINGAN

TUJUAN

Kebijakan ini dimaksudkan untuk menetapkan aturan dalam penggunaan, perluasan dan pemeliharaan infrastruktur jaringan perusahaan. Kebijakan ini diperlukan untuk dapat mempertahankan integritas, ketersedian dan kerahasiaan informasi perusahaan. RUANG LINGKUP

Kebijakan ini meliputi seluruh infrastruktur jaringan perusahaan tidak terbatas hanya kepada perangkat-rangkat jaringan seperti komputer, printer, server, router, hub, firewall serta pengkabelan yang terhubung ke dalam jaringan LAN dan WAN serta Sistem Transmisi ( Radio, Fiber Optic, Satelit dll) yang dimiliki perusahaan.

DEFINISI

Perusahaan PT. XYZ

LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelom-pok

komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut.

WAN (Wide Area Network) Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah se-cara

(40)

geografis PERATURAN TERKAIT

1. Setiap fungsi di perusahaan yang memiliki dan bertanggungjawab terhadap infra-struktur jaringan perusahaan secara berkesinambungan melakukan pengembangan dan peningkatan infrastruktur jaringan perusahaan lebih lanjut.

2. Infrastruktur jaringan perusahaan harus dirancang untuk dapat memenuhi kebutu-han bisnis perusahaan saat ini serta fleksibel dalam pengembangan lebih lanjut. Pengaturan infrastruktur jaringan perusahaan dilakukan dengan memperhatikan dan menerapkan aspek-aspek keamanan baik dalam kontrol akses ataupun pemba-tasan-pembatasan melalui pemberian privilege.

3. Infrastruktur jaringan perusahaan harus disegmentasi secara fisik ataupun logik berdasarkan fungsi dan sumber yang mengakses. Setiap segmentasi infrastruktur jaringan perusahaan tersebut harus menerapkan kontrol akses dan pembatasan-pembatasan autorisasi serta hak akses yang jelas yang dimaksudkan untuk melin-dungi kerahasiaan dan integritas data.

4. Penyambungan kabel jaringan dan atau pemasangan perangkat ke infrastruktur jaringan perusahaan harus dilakukan melalui persetujuan dari fungsi terkait yang bertanggung jawab pada pengelolaan infrastruktur jaringan perusahaan tersebut. 5. Teknologi keamanan jaringan seperti otentikasi, enkripsi, dan control koneksi

ja-ringan harus diterapkan untukkeamanan jaja-ringan.

6. Perangkat-perangkat keamanan infrastruktur jaringan perusahaan harus dipasang dan dikonfigurasi dengan mengikuti kaidah-kaidah keamanan yang telah dite-tapkan.

7. Perubahan terhadap konfigurasi perangkat yang telah terhubung ke infrastruktur jaringan perusahaan harus melalui pemberitahuan dan persetujuan dari fungsi ter-kait.

8. Seluruh koneksi dari infrastruktur jaringan perusahaan ke jaringan lain pihak ke-tiga atau kebalikannya harus melalui persetujuan fungsi yang bertanggungjawab terhadap insfrasturktur jaringan perusahaan tersebut.

(41)

9. Seluruh akses ke dan dari infrastruktur jaringan pihak ketiga harus dikontrol me-lalui perangkat-perangkat keamanan infrastruktur jaringan informasi.

10. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memperluas atau mentransmisikan kembali layanan-layanan yang ada pada jaringan perusahaan da-lam bentuk apapun. Pemasangan perangkat-perangkat infrastruktur jaringan se-perti router, hub, switch ataupun Wireless Access Point harus dengan persetujuan fungsi terkait.

11. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memasang perangkat keras ataupun perangkat lunak yang menyediakan network services tanpa persetu-juan dari fungsi terkait.

12. Setiap perangkat yang terpasang pada infrastruktur jaringan perusahaan hanya membuka port aplikasi yang bersesuaian dengan layanan yang diberikan. Sedang-kan port-port lainya harus ditutup atau tidak diaktifSedang-kan.

13. Pengkabelan infrastruktur jaringan perusahaan dipasang dengan memenuhi kai-dah-kaidah instalasi yang ada. Kabel listrik harus dipisahkan dari kabel komuni-kasi untuk mencegah interferensi.

14. Dokumentasi infrastruktur jaringan perusahaan harus terus diperbaharui dan sela-lu tersedia bagi unit yang bertanggung jawab dalam memberikan dukungan teknis dan pemeliharaan infrastruktur jaringan dan harus tersedia pada level yang semi-nimum mungkin.

STANDAR TERKAIT

ISO 27002:2005 Pasal 9.2.3 Cabling security, Pasal 10.6.1 Network control, Pasal 10.6.2 Security of network service

KEBIJAKAN

(42)

- PT. XYZ

Kode Doku-men

8 PEMANTAUAN KEAMANAN INFORMASI

TUJUAN

Kebijakan ini dimaksudkan untuk mempertahankan lingkungan komputasi yang aman. Aktifitas yang terkait terhadap penggunaan sumberdaya informasi korporat harus dipantau untuk menjamin integritas, kerahasiaan dan ketersedian informasi ataupun data perusahaan dapat dipelihara. Pemantauan keamanan adalah suatu meto-da yang digunakan untuk mengkonfirmasikan bahwa kebijakan-kebijakan yang telah dibuat sesuai dan efektif dalam implementasinya. Selain itu memastikan jika ada anomali yang terjadi dan dapat menekan potensi dampak-dampak negatif yang mungkin muncul akibat adanya pelanggaran tersebut.

RUANG LINGKUP

Kebijakan ini meliputi semua fungsi yang bertanggungjawab atas instalasi, konfigu-rasi dan atau pengopekonfigu-rasian dari infrastruktur jaringan perusahaan serta fungsi yang terkait dengan penyediaan dan pengelolaan infrastruktur keamanan informasi perusa-haan.

DEFINISI

Perusahaan PT. XYZ

LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelom-pok

komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang

(43)

sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut.

WAN (Wide Area Network) Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah se-cara

geografis PERATURAN TERKAIT

1. Pemantauan keamanan harus dilakukan terhadap infrastruktur jaringan perusa-haan untuk mendapatkan notifikasi sedini mungkin terhadap gangguan yang di-akibatkan oleh ekploitasi dari teknologi yang digunakan ataupun aktifitas intrusi dari pihak-pihak yang tidak bertanggungjawab. Pemantauan tersebut meliputi ; 1.1 lalulintas trafik Internet, interkoneksi dengan pihak ketiga dari dan ke

infra-struktur perusahaan 1.2 lalulintas trafik email

1.3 lalulintas trafik LAN dan WAN

1.4 parameter-parameter keamanan sistem operasi, platform aplikasi dan database serta perangkat jaringan

2. Seluruh sumberdaya informasi perusahaan yang meliputi platform sistem operasi, aplikasi dan database serta perangkat jaringan ataupun sistem lain harus menye-diakan kapabilitas pencatatan atau logging. Adapun jenis informasi yang harus disimpan dalam log tersebut adalah :

2.1 Seluruh perubahan terhadap parameter keamanan dan konfigurasi sistem, user profile dan password.

2.2 Seluruh perubahan yang dilakukan oleh user-id yang memiliki kewenangan khusus seperti sistem administrator, proses ataupun program.

(44)

2.4 Seluruh pelanggaran keamanan, termasuk di dalamnya aktifitas untuk menco-ba akses ke sistem dengan melakukan beberapa kali login dengan menemenco-bak kemungkinan passwordnya.

2.5 Melakukan pencatatan terhadap user-id dari pengguna yang melakukan aktifi-tas dalam suatu sistem, waktu aktifiaktifi-tas dilakukan (log on – log off), sumber-daya yang diakses, aktifitas yang dilakukan, serta network address dan proto-kol dari pengguna yang mengakses.

3. Proses audit log yang terdapat pada sistem operasi dan perangkat lunak aplikasi harus diaktifkan pada seluruh sistem produksi.

4. Fungsi-fungsi peringatan dini (alarm & alert) dan audit log pada perangkat-perangkat perimeter jaringan dan perangkat-perangkatperangkat-perangkat keamanan jaringan harus diaktifkan.

5. Seluruh log harus dilindungi dari segala kemungkinan modifikasi ataupun usaha penghapusan dan hanya bisa diakses oleh individu yang mempunyai autorisasi terhadap log tersebut.

6. Seluruh log harus disimpan dalam periode waktu tertentu untuk diperlukan dalam review ataupun keperluan investigasi lebih lanjut.

7. Seluruh log dan atau data yang dihasilkan dari pemantauan keamanan harus dire-view secara berkala oleh sistem administrator dan atau fungsi yang ditunjuk. Be-rikut ini adalah log atau data yang harus direview secara berkala, yaitu :

7.1 Log dari sistem instrusi 7.2 Log dari perangkat jaringan

7.3 Log dari perangkat keamanan jaringan 7.4 Log user account

7.5 Log sistem error 7.6 Log aplikasi

7.7 Log backup dan restorasi

8. Pemeriksaan secara berkala perlu dilakukan terhadap beberapa hal di bawah ini ; 8.1 Efektifitas password yang digunakan

(45)

8.2 Perangkat-perangkat infrastruktur jaringan yang terhubung ke infrastruktur ja-ringan perusahaan yang tidak memiliki autorisasi

8.3 Perangkat-perangkat yang digunakan secara bersama (file sharing, printer sharing) yang tidak memenuhi kriteria keamanan.

8.4 Pemasangan personal modem

8.5 Lisensi Sistem Operasi dan Perangkat lunak yang digunakan STANDAR TERKAIT

ISO 27002:2005 Pasal 10.10.1 Audit logging, Pasal 10.10.2 Monitoring system use, 10.10.3 Protection of log information, Pasal 13.1.1 Reporting information security events, Pasal 13.1.2 Reporting security weaknesses

KEBIJAKAN -

(46)

PT. XYZ

Kode Doku-men

9 REMOTE ACCESS

TUJUAN

Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote.

RUANG LINGKUP

Kebijakan ini berlaku bagi seluruh karyawan perusahaan ataupun pihak ketiga yang memiliki kewenangan dan fasilitas untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote.

DEFINISI

Perusahaan PT. XYZ

Enkripsi Suatu mekanisme yang gunakan untuk mengkonversi data ke dalam suatu bentuk form atau yang disebut chipertext sehing-ga

tidak dengan mudah dapat dimengerti oleh

pihak yang tidak berwenang

VPN Jaringan yang dibangun berdasarkan in-frastruktur jaringan publik dengan mene-rapkan mekanisme enkripsi di kedua sisi untuk dapat terhubung ke jaringan inter-nal perusahaan dengan tetap

(47)

memperta-

hankan keamanan data yang dilewatkan pada infrastruktur jaringan publik terse-but.

1. Merupakan tanggungjawab dari karyawan perusahaan ataupun pihak ketiga yang diberi kewenangan untuk dapat mengakses sistem ataupun sumberdaya informasi perusahaan secara remote untuk memastikan bahwa fasilitas tersebut diberikan dengan pertimbangan seperti karyawan ataupun pihak ketiga bekerja dengan ter-hubung langsung dengan fasilitas jaringan perusahaan di lokasi kantor.

2. Seluruh pengguna yang akan melakukan akses sistem atau sumber daya informasi perusahaan secara remote harus telah memiliki izin akses dengan menandatangani serta melengkapi formulir perjanjian akses secara remote.

3. Akses secara remote ke sistem atau sumberdaya informasi perusahaan hanya di-izinkan melalui fasilitas yang telah disediakan oleh perusahaan melalui persetu-juan dari fungsi di Direktorat di perusahaan yang memiliki kewenangan terhadap sistem atau sumberdaya informasi yang diakses.

4. Fasilitas remote access untuk informasi bisnis hanya dapat berlangsung setelah berhasil melakukan identifikasi dan otentikasi.

5. Untuk mengamankan remote access dibutuhkan pengaturan yang mencakup pe-nyediaan peralatan komunikasi yang sesuai.

6. Seluruh pengaksesan secara remote terhadap sistem atau sumberdaya informasi perusahaan melalui jaringan publik Internet diharuskan untuk menggunakan me-tode enkripsi untuk melindungi kerahasiaan data dalam sesi komunikasi

7. Seluruh akses secara remote ke sistem atau sumberdaya informasi internal peru-sahaan dibedakan atas tiga tipe klasifikasi akses yang harus mengikuti kriteria persyaratan minimal berikut ini ;

7.1 Akses Administratif – yang termasuk ke dalam tipe akses administratif adalah pengguna sistem secara remote yang mempunyai kewenangan untuk

(48)

melaku-

kan aktifitas-aktifitas fungsi administratif kesistiman. Seluruh sesi komunikasi data antara pengguna dengan sistem yang diakses harus menerapkan enkripsi (end-to-end).

7.2 Akses End-user – yang termasuk ke dalam tipe akses end-user adalah aktifi-tas-aktifitas bagi pengguna yang dapat mengakses, mendownload serta meng-upload data ke system informasi perusahaan. Seluruh pengguna aplikasi bisnis perusahaan termasuk dalam tipe akses ini dan sangat direkomendasikan untuk menerapkan enkripsi dalam sesi komunikasi data yang dilakukan antara peng-guna dan perimeter jaringan internal perusahaan.

7.3 Akses General User – yang termasuk ke dalam kategori tipe akses ini adalah seluruh pengguna yang hanya dapat mengakses informasi-informasi perusa-haan yang disediakan melalui portal intranet perusaperusa-haan serta aktifitas dalam mengirim dan menerima e-mail. Tipe akses ini membutuhkan standar minimal kontrol keamanan dan pengguna dapat menggunakan komputer ataupun pera-latan mobile yang lainnya seperti mobile phone.

8. Penerapan perangkat keamanan jaringan seperti firewall harus digunakan untuk koneksi VPN melalui Internet dan melakukan enkripsi terhadap trafik VPN serta membuat filtering dengan membatasi layanan yang diperlukan saja.

9. Penggunaan modem yang dihubungkan ke komputer kerja yang terhubung ke in-frastruktur jaringan perusahaan untuk keperluan akses ke sistem atau sumberdaya informasi perusahaan tidak dibenarkan.

STANDAR TERKAIT

ISO 27002:2005 Pasal 11.7.1 Mobile computing and communications, Pasal 11.7.2 Teleworking

(49)

PT. XYZ

Kode Doku-men

Nomor Revisi Tanggal Revisi Halaman 10

AKSES PIHAK KETIGA

TUJUAN

Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi oleh pihak ketiga untuk dapat mengakses sistem atau sumberdaya in-formasi perusahaan dan ataupun menghubungkan sistem atau perangkat pihak ketiga ke infrastruktur jaringan perusahaan baik secara lokal ataupun remote.

RUANG LINGKUP

Kebijakan ini berlaku bagi seluruh pihak ketiga yang memiliki fasilitas untuk dapat mengakses sumberdaya informasi perusahaan dan atau menghubungkan perangkat dan sistem pihak ketiga ke infrastruktur jaringan perusahaan. Yang termasuk ke da-lam cakupan kebijakan pihak ketiga ini tidak hanya akses secara lokal tetapi berlaku juga untuk pengaksesan secara remote.

DEFINISI

Perusahaan PT. XYZ

Pihak ketiga Individu, kelompok, vendor, agent, atau pihak lain yang tidak terdaftar sebagai internal Perusahaan

1. Pemberian fasilitas akses dan ataupun menghubungkan perangkat pihak ketiga ke infrastruktur jaringan perusahaan merupakan bagian dari kebutuhan bisnis peru-sahaan.

2. Permintaan untuk pihak ketiga agar dapat terhubung dan atau mengakses sistem atau sumberdaya informasi perusahaaan diharuskan memenuhi kriteria-kriteria di bawah ini ;

(50)

2.1 Permintaan akses pihak ketiga harus disetujui secara tertulis oleh fungsi yang bertanggungjawab dalam pengelolaan hak akses ke sistem atau sumberdaya informasi perusahaan.

2.2 Fungsi kerja perusahaan yang mengajukan pihak ketiga sebagai mitra bisnis perusahaan harus menyetujui untuk bertindak sebagai sponsor dari pihak keti-ga dan bertanggungjawab terhadap seluruh aktifitas pihak ketiketi-ga dalam rangka akses ke sistem atau sumberdaya informasi perusahaan.

2.3 Kontrol-kontrol keamanan informasi perusahaan yang diterapkan harus dis-etujui dan didefinisikan di dalam kontrak kerjasama dengan pihak ketiga. 2.4 Akses pihak ketiga ke sistem atau sumberdaya informasi perusahaan belum

akan disediakan sampai dengan kontrol keamanan informasi perusahaan di-implementasikan dan kontrak kerjasama yang ditandatangani mendefinisikan kebijakan akses pihak ketiga.

2.5 Cakupan fasilitas, layanan dan aplikasi serta data yang dapat diakses pihak ke-tiga terbatas kepada fasilitas yang dibutuhkan pihak keke-tiga dalam aktifitas yang sesuai dengan yang diajukan oleh fungsi yang menjadi sponsor pihak ke-tiga dan didasarkan kepada kontrak kerjasama antara perusahaan dan pihak ketiga.

3. Kontrol-kontrol keamanan informasi perusahaan yang didefinisikan dalam kon-trak kerjasama perusahaan dengan pihak ketiga, meliputi ;

3.1 Deskripsi dari setiap fasilitas, layanan yang diberikan atau aplikasi yang dibu-tuhkan dan tipe data yang disediakan oleh perusahaan untuk pihak ketiga. 3.2 Penggunaan user-id dan password yang bersifat unik sebagai metode dan

kon-trol akses.

3.3 Mempersyaratkan pihak ketiga untuk memiliki daftar individu ataupun ka-ryawan yang bersangkutan yang dapat menggunakan fasilitas yang diberi-kan.

3.4 Meminta komitmen pihak ketiga yang diberi akses agar menginformasikan ke perusahaan dalam bentuk tertulis jika terjadi pergantian pegawai yang menggunakan fasilitas akses tersebut karena alasan rotasi ataupun