BAB IV PEMBAHASAN. dokumen, wawancara dengan staf, serta melakukan observasi langsung pada Divisi

(1)

BAB IV

PEMBAHASAN

BAB IV PEMBAHASAN

4.1 Latar Belakang Pembahasan

Dalam melakukan penilaian risiko, data diperoleh dengan cara mengumpulkan dokumen, wawancara dengan staf, serta melakukan observasi langsung pada Divisi IT Security. Berdasarkan NIST SP800-30 ada 9 tahapan yang dilakukan dalam penilaian risiko yaitu :

1. Karakterisasi sistem 2. Identifikasi ancaman 3. Identifikasi kerentanan 4. Analisa kontrol 5. Penentuan kemungkinan 6. Analisa dampak 7. Penentuan risiko 8. Rekomendasi kontrol 9. Dokumentasi hasil

Berdasarkan hasil wawancara dengan staf Divisi IT Security (Lampiran 2) diketahui ancaman terbesar yang terjadi dari tahun 2010 sampai Februari 2012 adalah

Denial of Service (DoS), Virus dan Worm, serta Unauthorized Access. Event yang

terjadi berupa kategori tersebut cukup banyak walaupun sampai saat ini masih dapat diblokir oleh tools-tools IT Security yang dimiliki.

(2)

4.2 Penilaian Risiko

Penilaian risiko merupakan proses pertama dalam manajemen risiko. Sembilan tahapan dalam proses penilaian risiko adalah sebagai berikut.

4.2.1 Karakterisasi Sistem (System Characterization)

Pada penilaian risiko sistem informasi, tahap pertama yang dilakukan yaitu dengan menjelaskan informasi yang berhubungan dengan sistem yang digunakan

un-tuk mengkarakterisasi sistem TI dan perusahaan. Unun-tuk perangkat keras (hardware),

sistem operasi, dan aplikasi yang tertera mengacu pada Dokumen List Aset Divisi IT Security, 2011 (Lampiran 1). Tabel 1 merupakan daftar hardware yang dimiliki oleh Divisi IT Security, Tabel 2 merupakan daftar sistem operasi, dan Tabel 3 merupakan daftar aplikasi yang digunakan untuk kegiatan operasional.

Tabel 1. Daftar Hardware Divisi IT Security

Jenis Tipe

Jumlah (unit)

Server IBM X3650 ₈₁

IBM X3250

Router Cisco VPN 3000 Concentrator ₅

Cisco 2800 Series Juniper M10i

Switch Cisco Catalyst 2960 Series

6 Cisco Catalyst 3560 Series

Switches Extreme 6800 series Radware AppDirector

Firewall Check Point Firewall ₆

Netscreen ISG 2000 Cisco ASA 5500 Series

IPS Proventia IPS 22

IDM Server 10

Proxy Gateway Ironport Web 4

(3)

Tabel 2. Daftar Sistem Operasi Divisi IT Security

Sistem Operasi

Jumlah (unit)

Window server 2003, enterprise (32 bit) 3

Window server 2008, enterprise (64 bit) 1

Windows Server 2008 Standard 2

Windows Server 2008 R2 Standard 7

Windows Server 2003 R2 37

Windows Server 2008 32 bit 8

Windows Server 2003 R2 64 bit 2

ESXi 1

Linux Redhat Enterprise Server 5.5 64BIT 20

Windows Server 2003 10

Solaris 8

Tabel 3. Daftar Aplikasi Divisi IT Security

Aplikasi Jumlah (unit)

Log Processing, IT Security 1

Pooling Log SOC 1

Firewall SmartConsole 1

SEP Server 1

IPS Application (Site Protector IPS) 1

Database IPS 1

Collector IPS 3

Primary DNS External xyz.com 1

Secondary DNS External xyz.com 1

Firewall Perimeter 3 Mail Gateway 2 Web Gateway 2 Router 2 VPN Gateway 2 IPS G1200 2 IPS G400 5 IPS GX4002 10 Firewall Datacenter 2 NTP 1 Radius 1 VPN WLAN 1 C2960G L2 Switch 1

(4)

Aplikasi Jumlah (unit)

C3560G L2 Switch 1

Loadbalancer proxy 2

SEP-Desktop 8 Gambar 8 merupakan gambaran topologi jaringan dari aset yang dimiliki oleh

Divisi IT Security. Semua server yang dimiliki oleh Divisi IT Security berada di dae-rah data center dimana setiap akses yang masuk difilter oleh firewall. Sebelum

melewati firewall, terdapat IPS (Intrusion Prevention System) yang memiliki

kemam-puan untuk melakukan pencegahan secara proaktif dalam jaringan terhadap gangguan yang sering atau pernah terjadi. Fungsi utama dari router adalah sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya. Agar seluruh regional dapat melakukan pertukaran informasi maka router yang ditempatkan di kantor pusat PT. XYZ. Pada wilayah DMZ terdapat switch yang

berfungsi sebagai load balancer, sebagai penghubung IPS dengan IDS (Intrusion

De-tection System), serta untuk mengatur koneksi apabila salah satunya ada yang down.

Selain itu juga terdapat firewall dan IPS yang menfilter Internet sebelum masuk ke lokal jaringan PT. XYZ.

(5)

(6)

User-user yang mendukung penggunaan sistem IT pada Divisi IT Security meliputi:

a. Kepala divisi

b. Manager

c. IT Network Sistem Expert

d. IT Security Officer

e. Application Support Operator

f. Tim Security Operation Center (SOC)

g. Tim Antivirus

h. Tim Identity Management (IDM)

Gambar 9 adalah struktur organisasi dari Divisi IT Security PT. XYZ. Kepala divisi membawahi Manager Security Response dan IT Network System Expert. Man-ager Security Response membawahi Application Support Operator dan IT Security Officer. Tim IDM berada dibawah IT Security Officer. Sementara tim Antivirus dan tim SOC berada dibawah IT Network System Expert.

(7)

Gambar 9. Struktur Organisasi Divisi IT Security

4.2.2 Identifikasi Ancaman (Threat Identification)

Sumber ancaman adalah keadaan atau peristiwa yang memiliki potensi untuk menyebabkan kerusakan pada sistem TI. Untuk sumber ancaman – ancaman

keama-nan informasi, Divisi IT Security melakukan monitoring selama 24 jam sehari 7 hari

dalam seminggu. Data hasil monitoring kemudian dapat diakses melalui portal

inter-nal. Berdasarkan portal tersebut didapat data jumlah event terhadap

perangkat-perangkat yang dimiliki oleh PT.XYZ. Pada Gambar 10 terlihat kategori event

terbe-sar dari tahun 2010 sampai Februari 2012 berupa denial of service (DoS). Pada tahun

(8)

tahun 2011 dan 2012 jenis event kedua terbanyak setelah DoS adalah worm/virus

diikuti dengan kategori protocol signature dan network. Data pada Gambar 10 dan

Gambar 11 terdapat pada Lampiran 2.

Gambar 10. Kategori Event Terdeteksi pada Perangkat

(9)

Gambar 11 merupakan grafik virus yang terdeteksi pada server dan worksta-tion. PT. XYZ menggunakan antivirus Symantec Enterprise. Berdasarkan gambar ter-lihat virus yang terdeteksi pada workstation lebih banyak daripada yang terdeteksi pada server. Hal ini disebabkan karena pertukaran data pada server dibatasi dan juga

akses menuju ke server akan difilter oleh firewall, antivirus, dan tools security

lainnya. Sementara untuk data insiden dapat dilihat pada Lampiran 10dimana terdapat 1348 insiden yang terjadi pada tahun 2010 - Februari 2012.

Tabel 4 merupakan ancaman yang diidentifikasi berdasarkan 3 event terbesar

pada Divisi IT Security.

Tabel 4. Identifikasi Ancaman

Ancaman Sumber Ancaman Aksi Ancaman

Denial of Service Hacker ‐ Menggunakan semua

bandwidth dengan

mengirimkan traffic yang besar ke jaringan

‐ Mengkonsumsi disk space

yang ada dengan menciptakan file yang besar ukurannya

‐ Mengirim permintaan ilegal

untuk sebuah aplikasi sehingga menyebabkan crash

‐ Membuat banyak sesi login ke

dalam server sehingga user lain tidak dapat melakukan login

Virus/Worm Internal perusahaan

(ka-ryawan) ‐ Menyisipi attachment pada email

‐ Menginfeksi file dokumen

perusahaan

‐ Membanjiri dan meningkatkan

peggunaan network

‐ Membuka backdoor pada

komputer

Unauthorized Access Pihak ketiga

(vendor, eks-karyawan), ‐

Defacing pada website

(10)

Ancaman Sumber Ancaman Aksi Ancaman

Industrial espionage perusahaan

‐ Melakukan remote pada server

tanpa authorisasi

‐ Menebak atau mencuri

username dan password

‐ Mengakses workstation tanpa

izin

4.2.3 Identifikasi Kerentanan (Vulnerability Identification)

Analisis ancaman terhadap sistem TI harus mencakup analisis kerentanan yang terkait dengan sistem. Tujuan dari tahap ini adalah untuk mengembangkan daftar kerentanan sistem (cacat atau kelemahan) yang dapat dieksploitasi oleh sumber ancaman potensial. Tabel 5 merupakan hasil identifikasi kerentanan yang terdapat pada Divisi IT Security berdasarkan hasil wawancara.

Tabel 5. Identifikasi Kerentanan

Kerentanan Sumber Ancaman Aksi Ancaman

Instalasi software yang

tidak berhubungan dengan kegiatan operasional.

Virus disisipi pada

software ‐

Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati.

‐ Merusak data-data

perusahaan. Pertukaran data antar

ja-ringan maupun removable

media

Umumnya sumber penyebaran virus terdapat

pada removable media

(flashdisk, external hardisk)

‐ Terjadinya penyebaran

virus sehingga jaringan menjadi lambat atau mati.

‐ Merusak data-data

perusahaan.

Human error Karyawan yang ceroboh ‐ Terjadinya pengubahan

data Perusahaan

‐ Terjadinya perubahan

parameter pada sistem

‐ Data menjadi tidak valid

(11)

Kerentanan Sumber Ancaman Aksi Ancaman

telah berhenti belum dihapus dari sistem

karyawan yang berhenti secara ilegal

‐ Mengakses data milik

perusahaan

Penggunaan account root

oleh vendor pada saat fase development

Unauthorized user oleh

vendor ‐ Menyusup kedalam sistem secara ilegal

‐ Mengakses data milik

perusahaan

Untuk mengetahui kerentanan terhadap sistem maka dilakukan juga

vulnera-bility assessment dengan menggunakan tools berupa Nessus Vulnerability Scanner.

Mulai dari tahun 2010 sampai 2012 terjadi penambahan IP address yang

di-assessment. Dimana setiap IP address merepresentasikan sistem atau aplikasi yang

dimiliki oleh Divisi IT Security. Pada tahun 2010 terdapat 50 IP address, tahun 2011

terdapat 115 IP address, dan tahun 2012 terdapat 133 IP address. Gambar 12

meru-pakan data hasil vulnerability assessment yang dilakukan selama tiga tahun terakhir

sesuai data pada Lampiran 2.

(12)

Untuk tingkat kerentanan dari hasil identifikasi kerentanan diatas dapat dide-finisikan pada Tabel 6, sebagai berikut :

Tabel 6. Tingkat Kerentanan Sistem

Tingkat Kerentanan

Karakteristik Contoh

Tinggi ‐ Memungkinkan penyerang dapat

menjalankan perintah sebagai user lain

‐ Memungkinkan penyerang dapat

mengakses data diluar akses yang diperbolehkan

‐ Memungkinkan penyerang untuk

berperan sebagai user/entitas lain

‐ Memungkinkan penyerang

melakukan aksi DoS

menguasai/mengendalikan sistem sepenuhnya

‐ Root account, admin

account, sys account menggunakan password yang lemah

‐ Versi dari software

belum terupdate dengan versi yang terbaru

Sedang ‐ Memungkinkan penyerang

mengumpulkan data

menyembunyikan event/aktifitasnya

‐ Sebagai titik awal penyerang

mendapatkan akses ke suatu sistem/data

‐ Menggunakan

Sertifi-kat SSL yang tidak terdaftar

‐ Adanya kelemahan

pada pengaturan

proto-kol remote desktop

yang memungkinkan terjadinya penyalahgunaan akses ‐ Konfigurasi dari software yang menyebabkan terbukanya informasi sensitif

Rendah ‐ Informasi awal yang didapat oleh

penyerang sebelum mendapatkan informasi yang menyeluruh.

‐ Port yang terbuka

‐ Deteksi service

‐ Identifikasi sistem

ope-rasi

(13)

4.2.4 Analisis Pengendalian (Control Analysis)

Untuk mengetahui kontrol yang digunakan dalam penanganan insiden terkait dengan tiga insiden teratas pada Divisi IT Security maka dilakukan pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4). Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 7, Tabel 8, Tabel 9, dan Tabel 10 merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner.

Tabel 7. Kontrol untuk Pencegahan Insiden

Tahap Kontrol

Pencegahan ‐ Dilakukan update antivirus minimal 3 kali sehari

‐ Dilakukan vulnerability assessment terhadap

semua sistem yang dimiliki secara periodik

‐ Konfigurasi pada jaringan dengan memfilter trafik

yang masuk

‐ Dilakukan monitoring selama 24 jam, 7 hari

seminggu terhadap ancaman yang terjadi pada sistem

Tabel 8. Kontrol untuk Penanganan Insiden Secara Umum

Deteksi dan analisa ‐ Mengetahui insiden telah terjadi

‐ Menganalisa sesuatu yang akan datang

berdasar-kan indikasi yang ada

‐ Melakukan pengkajian

‐ Mendokumentasikan semua proses investigasi dan

hasil pengumpulan bukti yang ada.

‐ Mengklasifikasi insiden menggunakan beberapa

kate-gori yang ada

Tabel 9. Kontrol untuk Penanganan Insiden Denial of Service

Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang

di-tunjuk dan juga kepada organisasi yang diluar.

(14)

san, dan Pemulihan dan mendokumentasi bukti yang ada.

‐ Mengidentifikasi dan mengurangi semua

kerenta-nan yang digunakan.

‐ Mengkonfirmasi sistem yang terkena dapat

ber-fungsi secara normal.

‐ Apabila diperlukan, jalankan monitoring

tamba-han untuk melihat kemungkinan terjadinya aktiti-tas yang sama yang akan terjadi dimasa depan

Kegiatan Pasca Insiden ‐ Membuat laporan lanjutan

Tabel 10. Kontrol untuk Penanganan Unauthorized access

Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang

di-tunjuk dan juga kepada organisasi yang diluar. Penahanan,

Penghapu-san, dan Pemulihan ‐ Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada.

‐ Mengkonfirmasi penahanan kejadian

‐ Melakukan analisa lebih lanjut terhadap insiden

tersebut dan menentukan apakah penahanan sudah cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi)

‐ Melaksanakan tindakan penahanan tambahan jika

perlu

‐ Mengidentifikasi dan mitigasi semua kerentanan

yang telah dieksploitasi.

‐ Menkonfirmasikan bahwa sistem yang terkena

te-lah berfungsi normal

(15)

Deteksi dan analisa ‐ Melakukan estimasi terhadap pengaruh secara

tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut.

‐ Melaporkan insiden kepada internal staf yang

Penghapu-san, dan Pemulihan ‐‐ Mengidentifikasi sistem yang terinfeksi Apabila diperlukan, halangi mekanisme transmisi untuk malicious code

‐ Disinfeksi, mengkarantina, menghapus, dan

mengganti file yang terinfeksi

‐ Mengurangi kerentanan dieksploitasi untuk host

lain dalam organisasi

‐ Mengkonfirmasikan bahwa sistem yang terkena

telah berfungsi normal

tamba-han untuk melihat kemungkinan terjadinya aktiti-tas yang sama yang akan terjadi dimasa depan.

Kegiatan Pasca Insiden -

4.2.5 Penentuan Kemungkinan (Likelihood Determination)

Penentuan potensi kerentanan dapat mendatangkan ancaman dapat dikategori-kan ke dalam tingkat tinggi, sedang, dan rendah. Faktor yang menjadi bahan pertim-bangan antara lain :

a. Motivasi dan kapabilitas sumber ancaman

b. Sifat kerentanan

c. Keberadaan dan efektifitas kontrol saat ini

Tabel 12. Kategori Kemungkinan Terjadi

(16)

mungkinan Keja-dian

3 Tinggi

Kemungkinan ter-jadi ≥1 kali dalam satu kuartal

Sumber ancaman mempunyai moti-vasi tinggi yang dapat merugikan perusahaan, hal ini terjadi karena pengendalian untuk mencegah ke-rentanan yang dilakukan tidak efek-tif atau masih kurang.

2 Sedang

Kemungkinan ter-jadi < 4 kali dalam setahun

Sumber ancaman mempunyai moti-vasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan ma-sih bisa melakukan kontrol yang mungkin dapat menghambat keber-hasilan dari kerentanan.

1 Rendah

Kemungkinan ter-jadi < 1 kali seta-hun

Sumber ancaman mempunyai moti-vasi rendah, kontrol digunakan da-pat mencegah atau secara signifikan mengurangi suatu kerentanan yang akan terjadi.

4.2.6 Analisa Dampak (Impact Analysis)

Tahap selanjutnya dari penilaian risiko adalah menentukan dampak yang terjadi ketika ancaman terhadap kerentanan yang ada berhasil dieksploitasi. Penilaian dampak didasarkan pada pertimbangan kepekaan dan kekritisan aset informasi yang ada. Dampak akibat suatu insiden merupakan hal yang merugikan dari salah satu atau beberapa 3 prinsip dasar keamanan yaitu integritas, ketersediaan, dan kerahasiaan.

Berdasarkan wawancara dan dokumen IT Helpdesk Incident Management Policy and Procedure (Lampiran 9), dampak terjadinya insiden dapat dikategorikan menjadi tiga, yaitu besar, sedang, dan kecil. Tingkat dampak terjadinya insiden beserta indikatornya dapat dilihat pada Tabel 12.

(17)

Tabel 13. Kategori Dampak

Skor Tingkat Dampak

Indikator Keterangan

3 Tinggi

• Insiden melibatkan manajemen

tingkat atas PT. XYZ, seperti Kepala Grup/Kepala Divisi

• Pengguna yang terkena

gang-guan ≥ satu divisi

• Resolution time paling lambat

24 jam

• Merupakan aplikasi yang

berhu-bungan dengan revenue

genera-tor

• Kehilangan kepercayaan

publik mengenai produk dan layanan perusahaan

• Ketidaknyamanan terhadap

pelanggan ≥ 24 jam

• Direct loss > Rp.

100.000.000

2 Sedang

• Insiden menyebabkan informasi

atau data yang mendukung ke-giatan operasional tidak tersedia

gang-guan 1 departemen

• Potensi dan mungkin menjadi

sorotan publik

• Mempengaruhi kegiatan

operasional dan berkaitan dengan servis/layanan

• Resolution time 48 jam

• Reputasi terkena dampak

buruk dan dibutuhkan usaha dan biaya untuk perbaikan

pelanggan ≥ 6 jam

• Direct loss antara Rp.

1.000.000 – Rp. 100.000.000

1 Rendah

• Insiden menyebabkan

ketidak-nyamanan, gangguan, atau keru-sakan yang tidak disengaja oleh pengguna atau tingkat adminis-trator dan berdampak minor pa-da sistem

gang-guan ≤ 5 orang

• Mempengaruhi kegiatan

supporting operasional

• Tidak urgent

• Reputasi sedikit

terpenga-ruh, dapat diabaikan.

pelanggan ≤ 2 jam

• Direct loss ≤ Rp. 1.000.000

Kerugian biaya sebagai bagian dari dampak risiko akibat terjadinya insiden,

(18)

dengan dampak terjadinya insiden yaitu biaya perbaikan waktu kerja karyawan, dan jumlah karyawan yang terkena dampak insiden.

Salah satu contoh estimasi kerugian yang dapat disajikan, berupa direct loss adalah: Aplikasi i-SEV merupakan aplikasi elektronik voucher PT. XYZ untuk melakukan top up pulsa yang ditembakkan langsung ke nomer pelanggan. Aplikasi

ini merupakan salah satu aplikasi perting sebagai aplikasi revenue generator bagi PT.

XYZ. Rata-rata transaksi yang berlangsung per hari nya mencapai ±3000 untuk seluruh Indonesia. Apabila terjadi serangan DoS atau Virus yang dapat menyebabkan

terjadi nya system down dalam kurun waktu 24 jam, dengan asumsi rata-rata pulsa

yang diisi Rp. 50.000 per transaksi. Jumlah transaksi perhari dikali rata-rata pengisian pulsa. Maka estimasi total kerugian yang dialami PT. XYZ sebesar Rp. 150 juta.

4.2.7 Penentuan Risiko (Risk Determination)

Berdasarkan tingkat risiko ini dapat ditentukan jenis perlakuan atau tindakan yang harus dilakukan. Mengacu pada wawancara pada Lampiran 3, kategori tingkat risiko dapat dilihat pada Tabel 14.

Tabel 14. Tingkat Risiko

Skor Tingkat Risiko

Deskripsi Tindakan yang diperlukan

7 - 9 Tinggi

‐ Penyerang telah berhasil

mengeksploitasi

kerentanan keamanan jaringan.

untuk mendapatkan akses remote ke jaringan atau sistem.

‐ Risiko harus mendapat

per-lakuan berupa perbaikan dan tindakan korektif terha-dap kontrol sesegera mung-kin.

‐ Sistem yang ada mungkin

dapat beroperasi, namun tindakan korektif sangat krusial dibutuhkan.

(19)

Skor Tingkat Risiko

Deskripsi Tindakan yang diperlukan

dapat memperoleh akses administratif untuk sistem tersebut.

4 - 6 Sedang

‐ Penyerang meluncurkan

serangan baik secara manual atau menggunakan alat otomatis, tetapi serangan itu tidak berhasil.

‐ Serangan dilakukan

dengan menggunakan program atau teknik eksploitasi terhadap aplikasi rentan atau jasa di

jaringan.

‐ Risiko harus mendapat

per-lakuan untuk perbaikan, mencegah, dan menguran-ginya.

‐ Dapat diberikan tambahan

kontrol yang sesuai dalam jangka waktu yang wajar.

1 - 3 Rendah

‐ Tidak ada ancaman

tunggal dengan kerahasiaan, integritas dan

ketersediaan aset informasi.

‐ Risiko dapat diterima

‐ Untuk kedepannya akan

di-lakukan eskalasi lebih lanjut terhadap kontrol.

Tabel 15 menggambarkan risiko-risiko yang mungkin terjadi akibat adanya ancaman pada tahap Identifikasi Ancaman, besarnya risiko, dan kontrol yang ada pada saat ini.

(20)

Tabel 15. Analisa Risiko

Risiko Tingkat Dampak

(1-3)

Ancaman Dampak Kemungkinan Kejadian

(1-3)

Tingkat Risiko

(1-3)

Kontrol Saat Ini

Bandwidth habis

2 Virus/worm • Kinerja jaringan

lam-bat • Pertukaran informasi terganggu • Produktivitas karya-wan berkurang 3 6 • Update antivirus untuk semua server dan workstation • Scanning virus secara berkala • Monitoring anomali yang terjadi Serangan virus pada workstation

1 Virus/worm • Kinerja perangkat

lambat • Produktivitas karya-wan berkurang 3 3 • Update antivirus untuk semua server dan workstation • Scanning virus secara berkala Defacing Website 3 Unathorized

Access • Buruknya reputasi perusahaan

3 9 • Monitoring anomali yang terjadi • Patching terha-dap vulnerability Website tidak dapat diakses 3 Denial of Service Unauthorized Access •Buruknya reputasi perusahaan 3 9 • Monitoring anomali yang terjadi • Patching terha-dap vulnerability

(21)

Risiko Tingkat Dampak

(1-3)

Ancaman Dampak Kemungkinan Kejadian

(1-3)

Tingkat Risiko

(1-3)

Kontrol Saat Ini

Data pelang-gan berubah atau hilang 3 Unathorized Access Virus/Worm

•Data tidak

terse-dia/tidak valid •Hilangnya keper-cayaan pelanggan 3 9 • Membatasi jum-lah admin • Penggunaan password yang kompleks System down, hang, crash 3 Denial of

Ser-vice •Data tidak dapat di-akses

•Produktivitas

karya-wan berkurang

2 6 • Melakukan

backup secara berkala

• Filter pada

fire-wall

Aset (server) rusak

3 Denial of

Ser-vice •Data tidak tersedia

1 3 • Melakukan

back-up secara berkala

• Filter pada

fire-wall Tidak dapat Login ke sis-tem 2 Denial of Ser-vice Unathorized Access •Produktivitas karya-wan berkurang

1 2 • Filter pada

fire-wall

• Penggunaan

password yang kompleks

(22)

4.2.8 Rekomendasi Kontrol

Rekomendasi kontrol didapat dari hasil penilaian risiko dengan tujuan untuk mengurangi tingkat risiko pada sistem TI. Beberapa hal yang dapat direkomendasikan adalah :

a. Menetapkan kebijakan terkait ancaman yang ada, termasuk yang

berhubungan dengan information sharing. Saat ini PT. XYZ telah

memiliki kebijakan keamanan, tetapi sebaiknya kebijakan tersebut lebih ditingkatkan.

b. Mengembangkan prosedur untuk penanganan insiden. Prosedur

penanga-nan insiden tersebut menyediakan langkah-langkah rinci untuk mepenanga-nang- menang-gapi insiden. Prosedur harus mencakup semua tahapan proses respon insi-den. Prosedur harus didasarkan pada kebijakan penanganan insiden dan rencana.

Selanjutnya rekomendasi ini akan dilanjutkan pada proses mitigasi risiko, dimana prosedur dan teknis keamanan sebagai kontrol yang direkomendasikan akan dievaluasi, diprioritaskan, dan diimplementasikan.

4.2.9 Dokumentasi Hasil

Setelah penilaian risiko selesai, hasilnya harus didokumentasikan dalam ben-tuk laporan. Dokumentasi menggambarkan keseluruhan proses penilaian risiko, mulai dari ancaman dan kerentanan, pengukuran risiko, dan rekomendasi kontrol untuk di-impelementasikan. Dari hasil laporan dapat membantu manajemen untuk membuat

(23)

keputusan tentang perubahan kebijakan, prosedural, anggaran, maupun sistem opera-sional. Dokumentasi terdapat pada Lampiran 8.

4.3 Mitigasi Risiko

Mitigasi risiko merupakan proses kedua dari manajemen risiko dengan pe-nambahan kontrol yang direkomendasikan pada proses penilaian risiko.

4.3.1 Kebijakan Keamanan

Kebijakan berisi beberapa poin seperti maksud dan tujuan, ruang lingkup, peran dan tanggung jawab dari pihak yang bersangkutan. Penyusunan kebijakan kea-manan mengambil referensi dari ISO/IEC 27002. ISO/IEC 27002 terdiri 15 domain yang mencakup 3 aspek yaitu aspek organisasi, aspek fisik, dan aspek teknis. Dalam pembuatan kebijakan diambil domain yang menyangkut aspek teknis saja karena do-main yang lain dinilai kurang relevan dalam keseluruhan pembahasan tesis ini. Kebijakan 1. Penggunaan Email dan Internet Mail Address

Kebijakan 2. Pemilihan dan Perlindungan Password Kebijakan 3. Penggunaan Jaringan dan Internet Kebijakan 4. Pengendalian Virus

Kebijakan 5. Pengelolaan Akses User

Kebijakan 6. Jumlah Optimum Administrator Kebijakan 7 Infrastruktur Jaringan

Kebijakan 8 Pemantauan Keamanan Informasi

(24)

Kebijakan 10 Akses Pihak Ketiga

4.3.2 Prosedur Operasi Standar (SOP)

Prosedur didasarkan pada kebijakan yang merupakan gambaran dari proses teknis yang dilakukan untuk penanganan insiden. SOP dapat digunakan sebagai alat instruksional dan didistribusikan kepada seluruh anggota Divisi IT Security. SOP per-lu diperbarui dari waktu ke waktu dan dapat berubah sesuai dengan ancaman baru atau tren dalam keamanan informasi. Dokumen SOP (Lampiran 7) berisikan :

1. Pendahuluan yang berisikan tujuan dokumen, siapa saja yang terlibat, ruang

lingkup, dan referensi.

2. Manajemen insiden yang berisikan proses penanganan bila terjadi insiden,

cara melakukan penilaian (assessment), klasifikasi serangan, cara penahanan

dan pemulihan insiden.

3. Alur proses penanganan insiden secara umum dan insiden terkait tren yang

terjadi selama 3 tahun terakhir.

Gambar 13, merupakan proses alur penanganan insiden secara umum, Gambar 14 adalah alur penanganan untuk insiden dengan kategori DoS, Gambar 15 adalah alur penanganan untuk insiden dengan kategori virus/worm, dan Gambar 16 adalah

(25)

Tim Security Operation Center IT Network System Expert Menemukan insiden Membuat laporan Awal Analisis awal Insiden potensial ? Eskalasi lebih dalam Klasifikasi Top 3 Insiden (A, B, C) Lain-lain Log events Membuat laporan Akhir Ya Tidak

Gambar 13. Alur Proses Penanganan Insiden Secara Umum

Keterangan gambar diatas ;

1. Tim SOC melakukan monitoring secara terus menerus setiap harinya. Ketika me-nemukan suatu event yang dianggap sebagai insiden tim SOC akan melaporkan ke-pada IT Network Sistem Expert. Selain itu tim SOC juga melakukan analisis awal dengan mencari informasi dan data-data yang saling terkait dengan insiden.

(26)

2. Berdasarkan hasil analisis kemudian ditentukan apakah insiden tersebut dikatakan potensial atau tidak. Jika tidak tim SOC akan membuat laporan akhir. Namun apabila insiden tersebut potensial, akan dilakukan serta melakukan eskalasi lebih dalam dan pengkajian misalnya dengan membaca informasi ataupun berdiskusi mengenai insi-den tersebut.

3. Kemudian dilakukan klasifikasi kategori insiden, apakah insiden merupakan top 3 insiden yang terjadi pada PT. XYZ atau bukan. Jika ya, maka dilakukan penanganan sesuai jenis insiden dan jika bukan maka tim SOC akan memberikan log dari event tersebut. Terakhir tim SOC membuat laporan akhir kepada IT Network Sistem Ex-pert.

Selanjutnya dibahas secara rinci untuk penanganan masing-masing insiden terkait 3 serangan terbesar yang terdeteksi pada Divisi IT Security:

(27)

(28)

Keterangan gambar diatas :

1. Tim SOC menemukan insiden DoS kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut.

2. Kemudian dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan tersebut. Apabila serangan belum berhenti, dilakukan filtering berdasarkan karakteristik serangan. Bila serangan masih juga belum berhenti dapat dilakukan re-lokasi target.

3. Ketika serangan telah berhenti, sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat serangan maka proses diulangi dengan melakukan identifikasi serta mitigasi terhadap kerentanan yang berhasil dieksploitasi. Namun apabila sudah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan

(29)

Tim Antivirus IT Network System Expert Insiden berupa virus/worm Membuat laporan Awal Melakukan prioritas berdasarkan dampak bisnis

Estimasi teknis & Eskalasi lebih dalam

Identifikasi sistem yang terinfeksi Memutuskan sistem dari jaringan Mitigasi kerentanan yang di eksploitasi Quarantined/ delete file User Konfirmasi sistem telah normal ? Sudah Belum Pembahasan insiden dalam meeting Membuat laporan akhir, update portal

Membuat tiket pada portal

Gambar 15. Alur Penanganan Virus/Worm

(30)

1. Tim antivirus menemukan insiden berupa virus atau worm kemudian membuat ti-ket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan eskalasi lebih mendalam mengenai insiden tersebut.

2. Kemudian dilakukan identifikasi terhadap sistem yang terinfeksi. Apabila dianggap berbahaya maka dilakukan pemutusan sistem dari jaringan. Tim antivirus juga harus melakukan mitigasi terhadap kerentanan yang dieksploitasi oleh malware.

3. Tim antivirus melakukan aksi untuk membersihkan, mengkarantina atau mendelete file yang terinfeksi. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat virus/worm maka proses diulangi dengan melakukan identifikasi sistem yang terinfeksi. Namun apabila sudah bersih dari virus/worm maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera..

(31)

Insiden berupa

unauthorized access Laporan Awal

Melakukan prioritas berdasarkan dampak

bisnis

Initial containment

Tim Security Operation Center IT Network System Expert User

Mengumpulkan data-data Penanganan sudah cukup ? Tindakan tambahan Hapus komponen insiden dari sistem Mitigasi kerentanan yang di eksploitasi Konfirmasi sistem telah normal ? Sudah Mengembalikan sistem seperti semula

Melakukan monitoring tambahan

Sudah

Belum

Estimasi teknis & Eskalasi lebih dalam

Membuat laporan akhir, update portal Pembahasan insiden

dalam meeting

Membuat tiket pada portal

(32)

1. Tim SOC menemukan insiden unauthorized access kemudian membuat tiket insi-den pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selan-jutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpoten-si terkena dampak dari inberpoten-siden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut.

2. Kemudian dilakukan penanganan awal misalnya dengan men-disable user account

yang digunakan pada waktu serangan terjadi. Apabila serangan telah teratasi dapat dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan ter-sebut. Namun bila serangan belum juga teratasi maka IT Network Security Expert dapat memberikan saran mengenai tindakan tambahan.

3. Setelah itu, komponen-komponen yang terkait dengan insiden dapat dihapus dari sistem dan sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat se-rangan maka proses diulangi dengan melakukan identifikasi awal. Namun apabila su-dah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera..

4.3.3 Rekomendasi Penanggulangan Insiden

(33)

‐ Blokir suspicious files

Konfigurasi email server dan client untuk memblokir attachment dengan

ekstensi file yang berkaitan dengan malicious code (misalnya .pif, .vbs, bisa juga .rar atau .zip agar lebih ketat) dan kombinasi ekstensi file yang mencurigakan (misalnya .txt.vbs., .Htm.exe.). Namun cara ini mungkin juga memblokir aktifitas yang sah. Beberapa perusahaan mengubah ekstensi file

terlebih dahulu sebelum dikirim kemudian penerima harus men-save dan

me-rename file terlebih dahulu sebelum dijalankan.

‐ Mengurangi sharing file pada Windows karena banyak worm yang menyebar

melalui sharing file pada host yang menjalankan windows. Sebuah infeksi

tunggal dapat dengan cepat menyebar ke ratusan atau ribuan host melalui

unsecuredshare.

‐ Menetapkan prosedur kepada semua user dari sistem, aplikasi, domain,

sampai workstation untuk mengubah password mereka secara periodik. Hal

ini merupakan cara pencegahan unauthorized access.

‐ Meningkatkan Pengetahuan Keamanan Informasi (Security Awareness)

Divisi IT Security telah mengadakan pelatihan security awareness yang

dila-kukan satu kali dalam setahun yang diikuti oleh seluruh karyawan PT. XYZ. Hal ini dimaksudkan agar setiap karyawan menyadari aturan perilaku dan tanggung jawab mereka dalam melindungi misi Perusahaan.

Untuk meningkatkan security awareness sebaiknya tidak hanya melalui pelatihan saja satu kali setahun saja, tetapi dapat dilakukan dalam sesi-sesi kecil per-divisi atau grup dengan materi yang menyeluruh mengenai

(34)

keamanan informasi. Misalnya masalah attachment pada email, pergantian password, serta sharing file. Selain itu juga dapat dilakukan workshop, melalui situs Web, dan stiker.

2. Deteksi

‐ Manajemen Patch

Secara rutin Divisi IT Security melakukan vulnerability assessment secara

pe-riodik. Hal ini dilakukan untuk mengurangi potensi terjadinya insiden keama-nan. Dari hasil penilaian kerentanan yang telah diinformasikan kepada pe-nanggung jawab masing-masing perangkat seharusnya dilakukan eskalasi

ter-hadap kerentanan yang ada. Manajemen patch sangat penting untuk

mengurangi kerentanan yang ada pada aplikasi. Divisi IT Security juga

ber-tanggung jawab untuk melakukan manajemen patch, misalnya dengan

mem-peroleh, menguji, dan mendistribusikan patch untuk para administrator yang

sesuai dan pengguna diseluruh Perusahaan. Terkadang manajemen patch

ser-ing dibutuhkan saat mencoba untuk melakukan pemulihan dari insiden dengan skala besar.

‐ Penggunaan SIEM (Security Incident Event Management) lebih ditingkatkan.

Terkadang sulit untuk mengidentifikasi suatu event sebagai insiden yang potensial. Semua yang mengeluarkan log harus dimonitor dengan baik. Mulai dari log aplikasi, perangkat (firewall, IPS, appliance), sistem operasi, maupun database. SIEM bekerja untuk meningkatkan keamanan informasi pada infrastruktur jaringan perusahaan dengan efisien dan dapat mendeteksi

(35)

kejadian yang mencurigakan. SIEM bertugas untuk memberikan deteksi awal dan peringatan terhadap event keamanan..

4.4 Pengukuran Akhir

Pengukuran akhir dilakukan setelah 3 bulan implementasi proses mitigasi risiko, yaitu Maret – May 2012. Pada tahap ini dilakukan kembali pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4) untuk mengetahui peningkatan keamanan informasi setelah melalui tahap mitigasi risiko . Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 16, Tabel 17, Tabel 18, dan Tabel 19 merupakan merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner.

Tabel 16. Kontrol untuk Penanganan Insiden Secara Umum

Deteksi dan analisa ‐ Mengetahui insiden telah terjadi

‐ Menganalisa sesuatu yang akan datang

berdasar-kan indikasi yang ada

‐ Mencari informasi yang saling berhubungan

‐ Melakukan pengkajian

‐ Mendokumentasikan semua proses investigasi dan

hasil pengumpulan bukti yang ada.

‐ Mengklasifikasi insiden menggunakan beberapa

kate-gori yang ada

Tabel 17. Kontrol untuk Penanganan Insiden Denial of Service

Deteksi dan analisa ‐ Memprioritaskan penanganan insiden berdasarkan

pengaruh bisnis.

‐ Mengidentifikasi sistem/resource mana yang

ter-kena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya.

‐ Melakukan estimasi terhadap pengaruh secara

(36)

Penghapu-san, dan Pemulihan ‐ Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada.

‐ Menahan insiden – memberhentikan serangan

DoS apabila serangan belum berhenti.

‐ Mengidentifikasi dan mengurangi semua

kerenta-nan yang digunakan.

‐ Apabila belum tertahankan, jalankan filter

berda-sarkan sifat dari serangan jika memungkinkan.

‐ Apabila belum tertahankan relokasi target.

‐ Mengembalikan sistem yang terkena seperti

sis-tem yang dapat dioperasikan sediakala.

‐ Mengkonfirmasi sistem yang terkena dapat

ber-fungsi secara normal.

‐ Mengadakan meeting yang membahas insiden

ter-sebut

Tabel 18. Kontrol untuk Penanganan Unauthorized access

pengaruh bisnis.

Penghapu-san, dan Pemulihan ‐‐ Melakukan penahanan pada awal kejadian Memperoleh, mempertahankan, mengamankan,

dan mendokumentasi bukti yang ada.

‐ Mengkonfirmasi penahanan kejadian

‐ Melakukan analisa lebih lanjut terhadap insiden

(37)

cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi)

‐ Melaksanakan tindakan penahanan tambahan jika

perlu

‐ Mengidentifikasi dan mitigasi semua kerentanan

yang telah dieksploitasi.

‐ Menghapus semua komponen insiden dari system

‐ Mengembalikan sistem yang terkena ke keadaan

operasional semula

‐ Menkonfirmasikan bahwa sistem yang terkena

te-lah berfungsi normal

ter-sebut

Tabel 19. Kontrol untuk Penanganan Virus/worm

pengaruh bisnis.

Penghapu-san, dan Pemulihan ‐

Mengidentifikasi sistem yang terinfeksi

‐ Disconnect semua sistem yang terinfeksi dari

ja-ringan

‐ Mitigasi kerentanan yang dimanfaatkan oleh

(38)

‐ Apabila diperlukan, halangi mekanisme transmisi

untuk malicious code

‐ Disinfeksi, mengkarantina, menghapus, dan

mengganti file yang terinfeksi

‐ Mengurangi kerentanan dieksploitasi untuk host

lain dalam organisasi

‐ Mengkonfirmasikan bahwa sistem yang terkena

telah berfungsi normal

tamba-han untuk melihat kemungkinan terjadinya aktiti-tas yang sama yang akan terjadi dimasa depan.

ter-sebut

Dari hasil kuesioner terlihat setelah mitigasi risiko, kontrol untuk mengendalikan insiden bertambah. Kemudian pada Lampiran 10 dapat dilihat jumlah insiden yang terjadi setelah proses mitigasi risiko yaitu bulan Maret – May 2012 adalah 115 insiden. Seiring dengan meningkatnya kontrol dan berkurangnya jumlah insiden, berarti keamanan informasi Perusahaan juga semakin meningkat.

4.5 Pembahasan

Berdasarkan NIST SP800-30 terdapat 9 tahapan dalam penilaian risiko. Tahap pertama adalah karakterisasi sistem yang bertujuan untuk menjelaskan informasi yang berhubungan dengan sistem yang digunakan untuk mengkarakterisasi sistem TI dan perusahaan. Pada tahap ini terdapat list aset yang dimiliki Divisi IT Security berupa hardware, software, dan aplikasi. Perangkat yang dimiliki berupa server, router, switch, dan perangkat-perangkat keamanan jaringan. Terdapat 48 aplikasi yang

(39)

dimi-liki oleh Divisi IT Security. Pada karakterisasi sistem juga ditampilkan user-user yang mendukung penggunaan sistem termasuk kepala divisi, manager, dan staff.

Tahap kedua merupakan identifikasi ancaman yang terjadi selama tahun 2010 – Februari 2012. Dimana serangan yang mendominasi selama kurun waktu tersebut adalah Denial of Service, Virus/worm, dan Unauthorized access. Data tersebut dida-pat melalui akses portal internal yang dimiliki oleh Divisi IT Security. Sedangkan

sumber ancamannya berasal dari hacker, industrial espionage (misalnya kompetitor),

internal perusahaan, maupun pihak ketiga seperti vendor atau mantan karyawan. Tahap ketiga merupakan identifikasi kerentanan. Berdasarkan wawancara ter-dapat beberapa kerentanan yang ter-dapat diidentifikasi sebagai akibat kurangnya kebija-kan yang mengatur keamanan informasi. Selain itu untuk mengetahui kerentanan pa-da sistem dilakukan vulnerability assessment secara periodik.

Tahap keempat merupakan analisis pengendalian. Pada tahap ini dilakukan penyebaran kuesioner kepada tim Security Operation Center dan tim Antivirus. Kue-sioner digunakan untuk mengetahui kontrol penanganan insiden yang ada pada saat ini. untuk tahap deteksi, penanganan, dan pasca insiden. Sedangkan untuk tahap pen-cegahan dilakukan dengan metode wawancara.

Tahap kelima adalah penentuan kemungkinan yaitu dengan menentukan sebe-rapa besar potensi kerentanan dapat mendatangan ancaman. Kategori ini dibagi men-jadi 3 yaitu tinggi, sedang, dan kecil berdasarkan pertimbangan motivasi dan kapabi-litas sumber ancaman, sifat dari kerentanan, dan efektifitas kontrol saat ini.

(40)

Tahap keenam adalah analisa dampak yang terjadi ketika ancaman terhadap kerentanan berhasil dieksploitasi. Tahap ini juga dibagi menjadi 3 kategori berdasar-kan pertimbangan jumlah karyawan yang terkena dampak, waktu, dan biaya.

Tahap ketujuh adalah penentuan risiko. Tingkat risiko dibagi menjadi 3 kate-gori yaitu tinggi, sedang, dan rendah. Pada tahap ini juga ditentukan masing-masing tingkat risiko terhadap ancaman-ancaman yang ada pada 4.2.2.

Tahap kedelapan adalah rekomendasi kontrol tambahan dari hasil penilaian ri-siko. Kontrol yang disarankan berupa tambahan kebijakan keamanan, prosedur opera-si standar (SOP), serta beberapa tambahan untuk penanganan inopera-siden baik untuk pencegahan maupun deteksi.

Tahap terakhir adalah dokumentasi dari hasil penilaian risiko. Dokumentasi disajikan pada Lampiran 8.

Selanjutnya dilakukan proses mitigasi untuk mengurangi risiko yang telah di-identifikasi saat penilaian dan merupakan kelanjutan dari tahap delapan pada penilaian risiko sebelumnya. Pertama, melalui peningkatan kebijakan keamanan be-rupa kebijakan yang menyangkut masalah teknis. Diantaranya kebijakan pemilihan dan perlindungan password, penggunaan jaringan dan Internet, pengendalian virus, pengelolaan akses user, dan remote akses. Kebijakan ini mengacu pada ISO/IEC 27002. Kedua, dengan pembuatan SOP untuk penanganan insiden. Dan yang ketiga dengan beberapa rekomendasi tambahan.

(41)

Untuk hasil akhir manajemen risiko dilakukan pengukuran kembali terhadap kontrol yang telah ditingkatkan pada tahap mitigasi risiko. Dari hasil pengukuran ter-lihat kontrol telah bertambah. Diharapkan seiring dengan bertambahnya kontrol maka keamanan informasi Divisi IT Security juga meningkat.