Pengantar
Keamanan
Resiko & sistem keamanan
•Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan perusahaan”
•Sistem keamanan: “Semua tindakan yang
Klasifikasi resiko
•Hazard risk: fire, flood, theft, etc.
•Financial risk: price, credit, inflation, etc.
•Strategic risk: competition, technological innovation, regulatory changes, brand
image damage etc.
•Operational risk: IT capability, business operations, security threat, etc.
Resiko sebagai ‘fungsi’
Probability
Probability FrequencyFrequency ImpactImpact
=
x
x
Threats
Klasifikasi ancaman dikaitkan
dengan informasi dan data
•Loss of confidentiality of information ▫ Informasi diperlihatkan kepada pihak yang
tidak berhak untuk melihatnya
•Loss of integrity of information
▫ Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi
•Loss of availability of information
▫ Informasi tidak tersedia saat dibutuhkan •Loss of authentication of information
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
1-Identifikasi Aset
•Aset informasi: database, file data,
dokumentasi sistem,manual pengguna, materi training, prosedur
•Aset perangkat keras: perangkat
komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk
Identifikasi Aset (cont’d)
•Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak bantu
•Aset infrastruktur: power supply, AC, rak
•Aset layanan: layanan komputer dan komunikasi
Dasar penilaian terhadap aset
•Nilai beli: pembelian awal dan biaya pengembangan aset
•Nilai wajar pasar
•Nilai buku: nilai pembelian dikurangi
Pentingnya nilai aset
•Bisa digunakan untuk menentukan analisis biaya-keuntungan
•Bisa digunakan untuk keperluan asuransi •Dapat membantu pengambil keputusan
Klasifikasi nilai aset
•Rendah: kehilangan fungsi aset tidak mengganggu proses bisnis untuk
sementara waktu
•Sedang: kehilangan fungsi aset mengganggu proses bisnis
•Tinggi: kehilangan fungsi aset
Analisis Resiko
Identifikasi Aset
2- Analisis resiko
Perlunya analisis resiko
•Memberi gambaran biaya perlindungan keamanan
•Mendukung proses pengambilan
keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW
•Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan
•Menentukan aset tambahan (orang, HW,
Perlunya analisis resiko
(cont’d)
•Memperkirakan aset mana yang rawan terhadap ancaman
•Memperkirakan resiko apa yang akan
terjadi terhadap aset
Pendekatan analisis resiko
•Kuantitatif: pendekatan nilai finansial
•Kualitatif: menggunakan tingkatan kualitatif
•Bisa dilakukan secara bersama atau
Analisis resiko kuantitatif
•NILAI FINANSIAL
•Dapat dijabarkan dlm bentuk neraca, laporan tahunan, analisis pasar dll
•Digunakan untuk mengestimasi dampak,
Annualized Loss Expectation
ALE = nilai aset x EF x ARO
•ALE: Annualized Loss Expectation (perkiraan kerugian per tahun)
•EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
•ARO: Annualized Rate of Occurrence
Analisis resiko kualitatif
•Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya resiko menggunakan ranking atau
tingkatan kualitatif
•Lebih sering digunakan daripada metode
Pendekatan kualitatif lebih
sering digunakan
•Sulitnya melakukan kuantifikasi terhadap nilai suatu aset (contoh: informasi)
•Sulitnya mendapatkan data statistik yang detail mengenai kecelakaan komputer
•Buruknya pencatatan insiden komputer dalam perusahaan (banyak hal [angka] sebenarnya bisa diambil dari sejarah)
•Kesulitan dan mahalnya melakukan
Tindak Lanjut
Identifikasi Aset
3-Respon terhadap resiko
•Avoidance: pencegahan terjadinya resiko
•Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
•Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan nilai resiko
•Acceptance: penerimaan resiko beserta
Mitigasi
•Pendekatan yang paling umum dilakukan
•Melibatkan:
▫Penyusunan kendali untuk mengurangi dampak resiko
▫Kemampuan pengawasan untuk menjamin analisis yang benar terhadap resiko
The most important element of any risk management effort is managing
IT Security Risks Major Areas
• Asset protection: bagaimana kita
menjamin sumber daya organisasi tetap
aman, hanya bisa diakses oleh yang berhak untuk keperluan yang benar?
• Service continuity: bagaimana kita
menjamin ketersediaan layanan -tanpa penurunan kualitas- untuk pegawai,
partner, dan pelanggan?
• Compliance: bagaimana kita