BAB 4
PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI 4.1 Latar Belakang Pembahasan
Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka dilakukan wawancara kepada Kepala Bagian Infrastruktur Informatika, Staf Subbidang Keamanan, Staf Subbidang Piranti dan Staf Subbidang Jaringan Kementrian Komunikasi dan Informatika. Seperti yang sebelumnya telah dibahas pada Bab 2, kami menggunakan pendekatan OCTAVE-S untuk melakukan pengukuran risiko teknologi informasi, dimana OCTAVE-S terdiri dari 3 fase, yaitu:
1. Membangun aset berbasis profil ancaman (build asset-based thread profiles)
Yang terdiri dari 2 proses, yaitu mengidentifikasi informasi organisasi (identify organization information—Proses S1) dan menciptakan profil ancaman (create threat profiles—Proses S2).
2. Mengidentifikasi kerentanan infrastruktur (identify infrastructure vulnerabilities)
Dalam tahap ini dimana prosesnya adalah memeriksa perhitungan infrastruktur dalam hubungannya dengan aset yang kritis (examine computing infrastructure in relation to critical assets—Proses S3).
3. Mengembangkan strategi dan rencanakeamanan (develop security strategy and plans)
Dimana dalam tahap ini terdiri dari 2 proses, yaitu mengidentifikasi dan menganalisis risiko (identify and analyze risks—Proses S4) dan mengembangkan strategi perlindungan dan rencana mitigasi (develop protection strategy and mitigation plans—Proses S5).
Kelima proses tersebut memiliki 16 aktifitas yang terdiri dari 30 langkah untuk membantu dalam menilai dan mengukur risiko penggunaan teknologi informasi dimana telah dilampirkan pada lampiran L1.
4.2 Fase 1, Proses S1: Identifikasi Informasi Organisasi
Data-data yang telah dikumpulkan dari Pusat Data dan Sarana Teknik Informatika pada Kementrian Komunikasi dan Informatika diolah sesuai dengan langkah-langkah yang terdapat di dalam OCTAVE-S.pada lampiranL7 dapat dilihat hasil pengisian kuisioner oleh pihak Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika. Adapun hasilnya, yaitu:
4.2.1. S1.1: Kriteria Evaluasi Kualitatif Dampak Risiko (Langkah 1)
Berdasarkan kuisioner dan wawancara, Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika bagi Satuan Kerjalain sudah memiliki reputasi yang cukup baik.Karena belakangan ini pelaporan akses yang bermasalah sudah menurun karena komitmen dan kualitas layanan dalam melayani penanganan masalah, permintaan dan pengembangan aplikasi dan jaringan yang semakin membaik.
Dilihat dari segi keuangan, biaya operasional pusat data meningkat 5%-20% setiap tahunnya.Hal ini disebabkan semakin naiknya harga hardware dan biaya pemeliharaan.Sedangkan biaya lisensi atas berbagai macam aplikasi yang digunakan pada pusat data yaitu Rp10.000.000-Rp50.000.000.
Jam kerja pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatikamengalami peningkatan 10%-30% saat dinas. Kemungkinan ancaman terhadap kehidupan karyawan di pusat data tergolong sedang karena pekerjaan yang dilakukan terbagi 2 golongan yaitu pekerja kantor dan diluar kota atau dinas.
Dimana pegawai yang sedang melakukan dinas memiliki ancaman yang besar dan di dalam pekerjaan kantor risiko yang ada cukup rendah. Dalam hal kesehatan untuk para pegawai diberikan waktu 2-3 hari untuk istirahat jika penyakitnya tergolong ringan, sedangkan untuk penyakit yang tergolong sedang dan perlu perawatan di rumah sakit diberikan batas waktu 2-4 minggu.
Pusat data tidak memberikan denda atas setiap keterlambatan proyek, tetapi pada umumnya akan mengundurkan jadwal penyelesaian proyek.
4.2.2. S1.2: Identifikasi Aset Organisasi (Langkah 2)
Untuk mendukung aktifitas organisasi, Kementrian Komunikasi dan Informatika menggunakan Portal sebagai sistem utama, yang mengolah informasi mengenai pegawai, forum internal, akses VPN.Layanan yang diperlukan adalah koneksi internet dan koneksi LAN. Aset terkait dengan Portal Kementrian Komunikasi dan Informatikaadalah aplikasi E-Office, E-Absensi, Kepegawainkudan E-mail server.Selain itu sistem yang diperlukan adalah WebKementrian Komunikasi dan Informatikayang penting karena informasi yang tertera di dalamnya adalah informasi publik dan harus diketahui oleh masyarakat.Aplikasi dan layanan yang diperlukan adalah Web Server dan koneksi Internet, sedangkan aset yang terkait adalah personal computer.
Di Pusat Data dan Sarana Informatika terdapat 6 bagian yang memiliki keahlian dan kemampuan vital bagi Pusat Data dan Sarana Informatika dan sulit untuk digantikan. Mereka adalah Bpk. Yan Rianto selaku Kepala Pusat Data dan Sarana Informatika yang bertanggung jawab atas kerja seluruh pegawai di divisi pusat data; Bpk Ismail selaku kepala bidang Infrastruktur yang mengawasi seluruh infrastruktur di pusat data; Bpk
Raden Tjokro Partono selaku PLT Subbidang Jaringan yang bertanggung jawab dalam mengelola infrastruktur jaringan; dan Ibu Rini selaku kepala Subbidang Pengembangan aplikasi yang bertanggung jawab dalam mengolah dan mengembangkan aplikasi; Bpk. Ciefi Sandriyarka selaku PLT Subbidang Keamanan yang bertanggung jawab dalam hal keamanan dan menjaga seluruh sistem dari ancaman dari dalam maupun luar Kementrian Komunikasi dan Informatika.Dalam beraktifitas mereka menggunakan Web Server dan Portal, koneksi LAN, Koneksi Internet; Bpk Rukmana selaku kepala subbidang Pengumpulan dan Pengolahan data yang bertanggung jawab atas pengolahan data yang diperlukan untuk membuat suatu aplikasi;
4.2.3. S1.3: Evaluasi Praktik Keamanan Organisasi (Langkah 3-4)
Hasil evaluasi dari praktik keamanan di Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika, yaitu:
1. Kesadaran Keamanan dan Pelatihan
Tingkat keamanan Pusat Data dan Sarana Teknik Informatika pada Kementrian Komunikasi dan Informatika cukup baik karena Satuan Kerja sudah memahami peran keamanan dan tanggung jawabnya, Satuan Kerja telah memiliki keahlian internal yang cukup untuk semua layanan, mekanisme, teknologi termasuk keamanan operasional serta Satuan Kerja mengikut praktik-praktik keamanan dengan baik misalnya menggunakan password dengan baik dan tidak membocorkan informasi sensitif kepihak lain. Namun hanya sedikit kesadaran akan keamanan, pelatihan dan pengingat periodik yang tersedia untuk semua personil dan hal ini jarang didokumentasikan.
Subbidangkeamanan selalu mempertimbangkan unsur-unsur keamanan informasi untuk strategi bisnis dan tujuan organisasi yang baik.Salah satu unsur yang menjadi pertimbangan yaitu strategi keamanan dan kebijakan. Sehingga strategi, tujuan dan sasaran keamanan akan didokumentasikan dan ditinjau secara rutin, diperbaharui dan dikomunikasikan ke seluruh Satuan KerjaKementrian Komunikasi dan Informatika. 3. Manajemen Keamanan
Peran keamanan selalu dijelaskan kepada seluruh Satuan Kerja namun dalam penerapan keamanan tugas dan tanggung jawab hanya sedikit Satuan Kerja yang dapat melaksanakan dengan baik. Namun jika dalam Satuan Kerja terlibat dalam permasalahan keamanan informasi akan dilakukan pemecatan dan penghentian praktik. Dalam mengalokasikan dana dan sudah banyak sehingga risiko yang dialami akan sulit diminimalisasikan dan dapat mengelola risiko. Selain itu, subbidang keamanan melakukan dokumentasi dan pengawasan bagi karyawan yang bekerja dalam penyediaan informasi. Ditiap tingkatan untuk melaksanakan tugas dan wewenang akan mengerti dan menjaga keamanan informasi organisasi.
4. Peraturan dan Kebijakan Keamanan
Subbidang keamanan memiliki dokumentasi dari kebijakan keamanan secara menyeluruh dan dokumentasi dari evaluasi untuk memastikan pemenuhan kebijakan keamanan informasi serta melakukan peninjauan dan memperbaharui secara berkala. 5. Manajemen Keamanan dan Kolaborasi
Dalam kolaborasi manajemen keamanan dengan Satuan kerja lain, subbidang keamanan sangat menjaga hubungan baik dengan Satuan kerja lain. Dan untuk menjaga hubungan baik tersebut, maka subbidang keamanan memiliki kebijakan dan
prosedur perlindungan informasi secara formal serta memiliki dokumentasi informasi secara formal untuk melindungi kebutuhan-kebutuhan dan dengan tegas memberitahukan ke semua aspek.
6. Perencanaan Contigency
Walaupun Pusat Data dan Sarana Teknik Informatika pada tahap Contigency sudah melakukan analisa dari operasional, aplikasi-aplikasi dan data penting namun belum banyak melakukan dokumentasi, peninjauan kembali dan pengujian sehingga sedikit kemungkinan pemulihan bencana dan kontinuitas bisnis mempertimbangkan rencana fisik dan persyaratan elektronik dan kontrol akses. Tetapi seluruh Satuan Kerja sudah memahami dan mampu untuk melaksanakan tanggung jawab mereka. 7. Pengendalian Akses Fisik
Pusat Data dan Sarana Teknik Informatika sudah mempunyai prosedur dan kegiatan dalam menjaga bangunan kantor, mengendalikan akses fisik di tempat kerja, serta menjaga informasi yang sensitif agar tidak di akses oleh pihak yang tidak berwenang. Adanya pembatasan pemakaian terhadap pengguna yang dapat mengakses ruang server.Pusat Data dan Sarana Teknik Informatika juga sudah melakukan dokumentasi dan pengujian atas kontrol akses fisik yang dilakukan dan diterapkannya dokumentasi dan prosedur untuk mengelola hardware dan software organisasi.
8. Pemantauan dan Audit Keamanan Fisik
Pemantauan dan audit untuk keamanan fisik baru sedikit dilakukan Pusat Data dan Sarana Teknik Informatika. Pusat Data dan Sarana Teknik Informatika sudah memiliki catatan pemeliharaan guna dokumentasi perbaikan dan modifikasi dari
komponen fisik fasilitas, maka tindakan individu atau grup yang terkait semua media dikendalikan secara fisik dan dapat dipertanggungjawabkan. Setiap orang yang hendak mendekati ruang serverakan dipantau apakah ada akses yang tidak sah didalamnya, karena sudah adanya verifikasi oleh Pusat Data dan Sarana Teknik Informatika atas pemantauan keamanan fisik.
9. Manajemen Jaringan dan Sistem
Pusat Data dan Sarana Teknik Informatika kurang memiliki rencana keamanan untuk menjaga sistem dan jaringan tanpa dokumentasi yang lengkap.Back-up atas informasi sensitif hanya sedikit yang disimpan secara off-site.Subbidang pengembangan aplikasi telah melakukan revisisoftware terhadap sistem informasi sesuai rekomendasi dalam saran keamanan dan hanya layanan yang diperlukan saja yang dijalankan pada sistem.
Satuan Kerja sudah cukup baik dalam mengikuti prosedur penerbitan, pengubahan serta pengakhiran penggunaan password dan hak istimewa.Pusat Data Kementrian Komunikasi dan Informatika sudah mensyaratkan manajemen sistem dan jaringan untuk didokumentasikan.
10. Pemantauan dan Audit Keamanan TI
Pada praktik keamanan ini Pusat Data dan Sarana Teknik Informatika sudah memiliki alat untuk memantau serta mengaudit sistem dan jaringan yang secara rutin digunakan.Penggunaan firewall dan komponen keamanan di Pusat Data dan Sarana Teknik Informatika sudah diaudit dengan cukup baik untuk mematuhi kebijakan.Tetapi keamanan TI hanya sedikit dikomunikasikan kepada semua pihak
pemantau sistem dan jaringan, dan belum diverifikasi oleh Pusat Data dan Sarana Teknik Informatika.
11. Pengesahan dan Otorisasi
Pusat Data dan Sarana Teknik Informatika kurang melakukan pengendalian atas akses dan otentikasi pengguna yang tepat (misalnya: Perizinan file, konfigurasi jaringan) dan hanya sedikit metode dan mekanisme untuk memastikan bahwa informasi sensitif belum pernah diakses dan diubah secara tidak sah. Namun sedikitnya terdapat kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi dalam hal persyaratan otentikasi dan otorisasi secara resmi, Pusat Data dan Sarana Teknik Informatika belum melakukan komunikasi dan verifikasi.
12. Manajemen Kerentanan
Pusat Data dan Sarana Teknik Informatika sudah melakukan tindakan terhadap manajemen kerentanan dan sudah melakukan dokumentasi. Kerentanan akan diatasi ketika ditemukan, dan penilaian kerentanan teknologi dilakukan secara berkala. Pusat Data dan Sarana Teknik Informatika sudah memiliki hubungan kerjasama dengan pihak ketiga dan dikomunikasikan secara resmi.
13. Enkripsi
Pusat Data dan Sarana Teknik Informatika kurang lebih sudah melakukan tindakan keamanan dengan menerapkan kendali atas sistem yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi.
14. Perancangan dan Arsitektur Keamanan
Pusat Data dan Sarana Teknik Informatika tidak secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi syarat untuk merancang arsitektur keamanan dan tidak mengkomunikasikannya.Namun Pusat Data dan Sarana Teknik Informatika dalam merancang dan arsitektur keamanan telah memliki bidang infrastuktur dan subbidang jaringan dalam mempertimbangkan strategi, kebijakan dan prosedur keamanan dan mempunyai diagram up-to-date yang menunjukkan arsitektur keamanan dan topologi jaringan dari organisasi.
15. Manajemen Insiden
Pusat Data dan Sarana Teknik Informatika tidak secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk mengelola insiden sehingga insiden tidak akan dikomunikasikan kepada kontraktor dan penyedia layanan. Selain itu, Pusat Data dan Sarana Teknik Informatika tidak memiliki prosedur dan kebijakan yang didokumentasikan untuk bekerja dengan lembaga penegak hukum. Maka dengan itu, Subbidang Keamanan bertanggung jawab atas prosedur yang didokumentasikan disediakan untuk mengidentifikasi, melaporkan dan menanggapi dugaan insiden dan pelanggaran keamanan dan prosedur tersebut akan diuji secara berkala, diverifikasi dan diperbaharui.
Berdasarkan pengisian kuisioner yang dapat dilihat pada lampiran L21, maka hasil pengolahan sebagai berikut:
4.3.1. S2.1: Memilih Aset Kritis (Langkah 5-9)
Adapun aset-aset kritis yang terdapat di Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika, yaitu:
1. Portal
Aset ini berisi Aplikasi-aplikasi yang sangat vital untuk Pusat Data dan Sarana Informatika karena didalamnya ada E-mail server, E-Office, Forum-forum diskusi pegawai, data pegawai. Dan diakses oleh semua pihak internalKementrian Komunikasi dan Informatika untuk memudahkan kinerja pegawai dan memudahkan komunikasi antar pegawai.
2. Web
Sistem komunikasi dengan masyarakat luar, memuat berita tentang Kementrian Komunikasi dan Informatika itu sendiri dan perkembangan kebijakan teknologi di Indonesia yang penting untuk pengetahuan masyarakat.
Menurut pendekatan OCTAVE-S, kami diharuskan memilih lima aset terpenting dari semua aset. Namun karena sistem informasi terintegrasi, maka Portal adalah aset yang paling penting. Karena mencakup seluruh kegiatan pegawai seperti: E-Office, E-Mail Server, Forum-forum diskusi pegawai,data pegawai,E-Absensi.
Portal dipilih sebagai aset paling kritis karena tanpa portal maka seluruh aktifitas Pusat Data dan Sarana Informatika tidak akan berjalan. Dan jika ada
gangguan pada Portal maka akan mempengaruhi seluruh sistem yang berhubungan dengan Portal
Portal digunakan oleh semua pihak yang ada di Pusat Data dan Sarana Informatika maupun seluruh Kementrian Komunikasi dan Informatika. Aset yang terkait dengan Portal adalah: Email Server, Personal Computer, koneksi LAN, Data Pegawai, E-Office, Forum Diskusi Karyawan.
4.3.2. S2.2: Kebutuhan Keamanan pada Aset Kritis (Langkah 10-11)
Kebutuhan keamanan informasi untuk Portal adalah kerahasiaan, integritas data, dan ketersediaan informasi saat dibutuhkan. Bagi Pusat Data keamanan terpenting adalah ketersediaan informasi, karena jika tidak ada informasi yang tersedia Pusat Data dan Sarana Informatika tidak bisa menyelesaikan pekerjaan mereka dan aktifitas tidak berjalan dengan lancar. 4.3.3. S2.3: Identifikasi Ancaman terhadap Aset kritis (Langkah 12-16)
4.3.3.1. Jalur Akses, Aktor, Motif dan Jenis Ancaman (Langkah 12)
Langkah ini menampilkan aset kritis yang aksesnya dilakukan melalui jaringan dan secara fisik. Dan identifikasi ancaman pada aset kritis ini, aktor dibagi menjadi 2, yaitu aktor dari dalam pusat data dan sarana informatika dan dari luar. Motifnya juga dibagi menjadi 2,yaitu yang disengaja dan tidak disengaja. Motif pelaku mengakibatkan masing-masing kemungkinan terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi. Pusat Data dan Sarana Informatika memiliki 2 aset kritis seperti yang disebutkan di langkah 5 yaitu : Portal dan Web.
4.3.3.2. Penjelasan Pelaku Ancaman (Langkah 13)
Langkah ini menjabarkan pelaku ancaman untuk setiap metode ancaman yang telah disebutkan berdasarkan motif pelaku dan jenis aktor. Berikut penjelasannya untuk masing-masing aset kritis:
1. Portal
Pada akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah staff dan pejabat yang mengentri, meng-update dan memodifikasi data. Sedangkan pelaku yang sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal pelaku ancaman yang tidak disengaja adalah serangan virus, sedangkan yang disengaja adalah hacker.
Pada akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah pegawai yang menggunakan atau tidak sengaja merusakkan server portal. Sedangkan yang disengaja adalah pegawai yang ingin melakukan tindak kriminal. Secara eksternal ancaman yang tidak disengaja berasal dari bencana alam seperti kebakaran dan gempa bumi. Sedangkan yang disengaja adalah mata-mata atau pihak luar yang bertindak kriminal.
2. Web
Pada akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah Staff dan pejabat yang tidak sengaja mengentri, meng-update, dan memodifikasi. Sedangkan yang sengaja adalah pegawai yang paham dengan pembuatan web yang ingin bertindak kriminal. Tapi di Pusat data dan sarana
informatika belum pernah ditemukan pihak internal melakukan ancaman. Secara ekternal, pelaku yang tidak disengaja adalah virus dan yang disengaja adalah hacker.
Pada akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah subbidang yang tidak sengaja merusak web server .Sedangkan yang disengaja adalah Staff yang berniat bertindak kriminal merusak web server. Secara ekternal pelaku yang tidak disengaja adalah bencana alam. Dan yang disengaja adalah mata-mata.
4.3.3.3. Penjelasan Tingkat Motif dan Keyakinan (langkah 14)
Langkah ini menjelaskan seberapa kuat motif pelaku ancaman dan seberapa yakin kami dengan prediksi yang diajukan. Pada langkah ini tidak disebutkan tingkat motif dan keyakinan kami untuk pelaku ancaman secara tidak sengaja karena memiliki motif. Berikut penjelasannya untuk setiap aset kritis: 1. Portal
Melalui akses jaringan dan fisik, motif yang dilakukan pihak internal adalah rendah. Sedangkan melalui jaringan, keyakinan kami atas terjadinya penyingkapan dan modifikasi yang dilakukan internal adalah sedikit karena pernah terjadi modifikasi data secara tidak sengaja.
Sedangkan tingkat motif yang dilakukan oleh pihak eksternal termasuk tinggi. Sedangkan keyakinan kami atas terjadinya penyingkapan dan modifikasi adalah banyak, karena sering terjadi ancaman yang menyerang
portal walaupun tidak menimbulkan risiko. Dan kebanyakan ancaman dari luar negeri.
2. Web
Melalui akses jaringan dan fisik, motif yang dilakukan pihak internal adalah rendah. Sedangkan melalui jaringan, keyakinan kami atas terjadinya penyingkapan dan modifikasi yang dilakukan internal adalah sedikit karena belum pernah terjadi modifikasi data yang tidak disengaja.
Sedangkan tingkat motif yang dilakukan oleh pihak eksternal termasuk tinggi. Sedangkan keyakinan kami atas terjadinya penyingkapan dan modifikasi adalah banyak, karena dalam banyak terdapat ancaman yang menyerang web walaupun serangannya juga tergolong lemah dan tidak menimbulkan risiko. Dan seperti portal, serangan pada web banyak dilakukan dari pihak luar negeri.
4.3.3.4. Data Frekuensi Kejadian Ancaman di Masa Lalu (Langkah 15)
Langkah ini menyebutkan seberapa sering ancaman yang teridentifikasi telah terjadi di masa lalu. Data disajikan dengan cara menyebut frekuensi per satuan tahun, selain itu disebutkan tingkat akurasi data yang diasajikan. Berikut penjelasan mengenai masing-masing aset kritis :
1. Portal
Melalui akses jaringan pernah terjadi ancaman dari pihak internal secara tidak sengaja dalam hal modifikasi. Sedangkan pihak eksternal secara sengaja
mengalami banyak serangan terjadi tapi tidak berdampak terhadap portal dan tidak jelas hal ini termasuk penyingkapan, modifikasi, penghancuran atau interupsi. Keakuratan datanya adalah sedikit akurat. Hanya sekedar mengetahui adanya serangan tapi tidak mengetahui jenis dampaknya.
Melalui akses fisik, ancaman dari pihak internal hampir tidak ada dan tergolong rendah dan dari pihak eksternal pun juga hampir tidak pernah. Bencana alam yang besar pun belum pernah terjadi.
2. Web
Melalui akses jaringan pernah terjadi ancaman dari internal secara tidak sengaja dalam halmodifikasi. Sedangkan pihak eksternal secara sengaja sangat banyak serangan tapi tidak berdampak terhadap web dan tidak jelas hal ini termasuk penyingkapan, modifikasi, penghancuran atau interupsi. Keakuratan datanya adalah sedikit akurat. Hanya sekedar mengetahui adanya serangan tapi tidak mengetahui jenis dampaknya.
Melalui akses fisik, ancaman dari pihak internal hampir tidak ada dan tergolong rendah dan dari pihak eksternal pun juga hampir tidak pernah. Bencana alam yang besar pun belum pernah terjadi.
4.3.3.5. Identifikasi Potensi Ancaman (Langkah 16)
Langkah ini menyajikan contoh-contoh konkrit dari ancaman berdasarkan jenis aktor yang dibagi lagi berdasarkan motif pelaku ancaman, untuk setiap jenis
akses dan aset kritis yang sering dibahas. Berikut penjelasannya untuk setiap aset kritis:
1. Portal
Melalui akses jaringan ancaman dari pihak internal secara tidak sengaja karyawan meninggalkan komputer/laptop dalam keadaan portaltidak dalam statusoffline dan karyawan lain tidak sengaja memakai ID tersebut. Secara sengaja karyawan yang sengaja memakai ID karyawanlain dan bertindak semena-mena terhadap ID nya.
Dari pihak eksternal, pasokan listrik yang kurang stabil dapat menghentikan server sehingga mengganggu kegiatan bisnis Pusat Data dan Sarana Informatika Kementrian Komunikasi dan Informatika dan diperlukan juga pengecekan kestabilan pemakaian listrik agar tidak terjadi konsleting dan menyebabkan listrik padam. Secara sengaja adanya pihak eksternal yang meng-hacksistem portal pada Pusat Data dan Sarana Informatika Kementrian Komunikasi dan Informatika.
Melalui aset fisik ancaman dari pihak internal secara tidak sengaja adalah Staff yang tidak sengaja merusak server portal. Secara sengaja adalah Staff yang bertindak kriminal dan merusak server portal.
Dari pihak eksternal secara tidak sengaja adalah Server terserang malware seperti virus, spyware dan worm. Secara disengaja Adanya pihak luar yang mengirim threat yang berbahaya dan dapat menggangu aset kritis.
2. Web
Melalui akses jaringan ancaman dari pihak internal secara tidak sengaja yaitu: Satuan Kerja memiliki kemungkinan untuk lalai melakukan akses data sehingga ada salah dalam input data, dan juga subbidang pengembangan aplikasi dalam melakukan maintenance dan update server. Secara disengaja karyawan yang berniat bertindak kriminal (ex: sabotase).
Dari pihak eksternal, secara tidak sengajaseranganmalware seperti virus, spyware dan worm yang merupakan ancaman.Sehinggaakan berakibat dengan reputasi Kementrian Komunikasi dan Informatika. Secara sengaja ada Hackeryang merusak/mencoba menembuskeamanan aset.
Dari aset fisik, secara tidak sengaja adalah Staff dan pejabat yang tidak sengaja melakukan sesuatu terhadap web server. Secara sengaja adalah Staff yang berniat bertindak kriminal merusak web server.
Dari pihak eksternal, secara tidak sengaja adalah Bencana alam yang menyerang web server yang dapat merusak peralatan/ perlengkapan. Dan secara sengaja adalah Pihak luar yang mencoba merusak web server. 4.4 Fase 2, Proses S3: Memeriksa Infrastuktur Komputer Terkait Aset Kritis
Berdasarkan pengisian kuisioner yang dapat dilihat pada lampiran L35, maka hasil pengolahan dapat diterangkan sebagai berikut:
Sistem yang berkaitan paling dekat dengan aset kritis pada pusat data Kementrian Komunikasi dan Informatika adalah portal.
Portal terdiri dari kelas-kelas komponen yaitu: Servers, Internal Networks, External Networksdan On-Site Workstations. Sistem informasi portal menggunakan kelas-kelas komponen tersebut untuk mengirim informasi dan aplikasi kepada orang-orang (people).Orang-orang dapat mengakses portal dari kelas komponen On-Site Workstations.Kelas komponen Storage Devices digunakan untuk menyimpan informasi dari portal untuk tujuan back-up.Ada sistem dan komponen lain yang mengakses informasi atau aplikasi dari portal yaitu laptop, PDA dan Home External Workstations. 4.4.2. S3.2: Menganalisa Proses Terkait Teknologi (Langkah 19-21)
Kelas komponen Server terdiri dari Server Lantai 6 yang berkaitan dengan sistem informasi portal dan web.Orang yang bertanggung jawab merawat dan menjaga setiap kelas komponen adalah subbidang jaringan.Proteksi yang diterapkan pada server berada ditingkat paling banyak.Data ini diperoleh secara resmi dari wawancara dengan staf subbidang keamanan.
Koneksi LAN merupakan kelas komponen Internal Networks yang memiliki kaitan dengan portal dan web.Dalam kelas komponen Internal Networks tidak ada proteksi yang istimewa.
Sedangkan untuk kelas komponen On-Site Workstations, terdapat beberapa item yaitu PC Piranti, PC Jaringan, PC Keamanan, PC Pengembangan Aplikasi, PC Portal dan Konten serta PC Pengumpulan dan Pengolahan Data. Semua item ini terkait dengan aset portal dan semua pengguna item menjadi orang yang bertanggung jawab atas item kelas komponennya masing-masing.
Laptop yang digunakan di Pusat Data Kementrian Komunikasi dan Informatika terhubung dengan e-mail server untuk keperluan komunikasi resmi yang melibatkan data-data sensitif.Proteksi yang digunakan ditetapkan oleh masing-masing pengguna itu sendiri dalam menjaga keamanan data.
Kelas komponen Storage Devices terdiri dari Local Back-Up yang berkaitan dengan semua aset kritis, untuk keperluan back-up dan dirawat oleh subbidang jaringan. Local Back-Up mendapatkan proteksi yang tergolong istimewa.Data ini diperoleh secara resmi dari wawancara kepada subbidang keamanan.
4.5 Fase 3, Proses S4: Mengidentifikasi dan Menganalisa Risiko
Berdasarkan pengisian kuisioner yang dapat dilihat pada lampiran L23 hingga L34. Maka hasil pengolahan sebagai berikut:
4.5.1. S4.1: Mengevaluasi Dampak Ancaman (Langkah 22)
Langkah ini menyajikan data mengenai penilaian tim analis akan dampak yang ditimbulkan dari setiap ancaman yang dijelaskan pada Langkah 12 berdasarkan kriteria-kriteria yang telah dijelaskan pada Langkah 1. Penjelasan dari pengisian kuisioner pada Langkah 22 untuk setiap aset kritis adalah sebagai berikut:
Penyingkapan terhadap data-data sensitif yang dapat mengancamkeamanan portal memberi dampak high pada produktivitas karena penyingkapan terhadap sistem portal dapat menghambat kinerja pusat data Kementrian Komunikasi dan Informatika,medium bagi reputasipusat data Kementrian Komunikasi dan Informatika. Dampak low pada keuangan, denda dan keamanan.
Modifikasi memberi dampak high pada produktivitas,mediumbagi reputasipusat data Kementrian Komunikasi dan Informatika. Dampak low pada keuangan, denda dan keamanan.
Penghancuran memberi dampak high pada produktivitas, medium bagi reputasi, serta low pada keuangan, denda dan keamanan.
Hasil dari interupsi data-data yang sensitif memberi dampak high pada produktivitas, medium bagi reputasi, serta low pada keuangan, denda dan keamanan. Penilaian ini berlaku untuk akses jaringan maupun fisik, internal maupun eksternal, sengaja maupun tidak sengaja.
2. Web
Pada aset kritis ini ancaman penyingkapan memberikan dampak high bagi reputasi, low pada kriteria lainnya.
Modifikasi memberikan dampak high pada reputasi, medium pada keuangan, dan low pada produktivitas, denda dan keamanan.
Penghancuran memiliki dampak high pada reputasi, medium pada keuangan, dan low pada produktivitas, denda dan keamanan.
Interupsi memiliki dampak high pada reputasi, medium pada keuangan, dan low pada produktivitas, denda dan keamanan.
Penilaian ini berlaku untuk askes jaringan maupun fisik, internal maupun eksternal, sengaja maupun tidak sengaja.
4.5.2. S4.2: Mendirikan Kriteria Evaluasi Probabilitas (Langkah 23)
Pada Pusat Data Kementrian Komunikasi dan Informatika, tim analis menentukan waktu peristiwa terjadinya ancaman, yaitu tertinggi secara bulanan, dan terendah adalah satu kali dalam lima tahun.
Pengukuran ini berlaku untuk semua ancaman pada aset kritis, baik yang disengaja maupun tidak disengaja, baik ancaman dari luar negeri maupun dalam negeri.
4.5.3. S4.3: Mengevaluasi Probabilitas Ancaman (Langkah 24)
Penjelasan untuk setiap aset kritis pusat data Kementrian Komunikasi dan Informatika adalah sebagai berikut:
1. Portal
Melalui akses jaringan, probabilitas yang memiliki nilai mediumoleh pihak internal dan eksternal adalah penyingkapan dana modifikasi secara sengaja dan tidak sengaja.
Melalui akses fisik, ancaman penyingkapan dan modifikasi oleh pihak internal secara sengaja dan tidak sengaja memiliki nilai probabilitas medium.Sedangkan untuk ancaman pada motif dan actor lainnya kami memberi nilai low.
Melalui akses jaringan, probabilitas yang memiliki nilai medium oleh pihak internal pada penyingkapan dan modifikasi secara tidak sengaja, oleh pihak eksternal, motif sengaja memiliki probabilitas medium untuk semua jenis ancaman.
Melalui akses fisik, ancaman penyingkapan oleh pihak internal secara tidak sengaja memiliki nilai probabilitas medium.Sedangkan untuk ancaman pada motif dan aktor lainnya kami memberi nilai low.
4.6 Fase 3, Proses S5: Mengembangkan Strategi Perlindungan dan Rencana Mitigasi Berdasarkan pengisian kuisioner yang dapat dilihat pada lampiran L37. Maka hasil pengolahan sebagai berikut:
4.6.1. S5.1: Menjelaskan Strategi Perlindungan Saat Ini (Langkah 25)
Langkah ini menjelaskan sudah seberapa jauh strategi perlindungan informasi diterapkan oleh pusat data Kementrian Komunikasi dan Informatika, untuk setiap bidang praktik keamanan yang memiliki stoplight statusRed. Pada pusat data Kementrian Komunikasi dan Informatika terdapat satu praktik keamanan yang memiliki stoplight status Red, yaitu:
1. Praktik Keamanan Nomor 15: Manajemen Insiden
Tanggung jawab untuk manajemen insiden dalam hal mendokumentasikan dan merevisi prosedur untuk mengidentifikasi, melaporkan dan menanggapi dugaan
insiden dan pelanggaran keamanan; mendokumentasikan dan merevisi kebijakan dan prosedur untuk bekerja dengan lembaga penegak hukum; menguji prosedur manajemen insiden secara berkala dilakukan semuanya oleh pihak internal.
Pusat data Kementrian Komunikasi dan Informatika sudah memiliki prosedur terhadap manajemen insiden tetapi tidak resmi dan tidak terdokumentasi untuk pihak ketiga.
4.6.2. S5.2: Memilih Pendeketan Mitigasi (Langkah 26-27)
Berdasarkan kertas kerja profil risiko yang terdapat pada kuisioner, maka diketahui bahwa stoplight pada area praktik keamanan Manajemen Insiden adalah bewarna merah.Area bewarna merah ini dimaksudkan bahwa praktik keamanan yang diterapkan dalam Manajemen Insiden buruk karena organisasi belum memiliki prosedur dan kebijakan keamanan serta belum memastikan pemenuhan dari kebijakan keamanan informasi, penerapan hukum dan peraturannya.Untuk itu organisasi memutuskan untuk segera melakukan mitigasi pada area ini.
4.6.3. S5.3: Mengembangkan Rencana Mitigasi Risiko (Langkah 28)
Berdasarkan hasil pengisian dari kuisioner, telah diketahui area yang perlu dimitigasi oleh organisasi, rencana mitigasi risiko yang harus dibuat untuk setiap bidang praktik keamanan adalah:
1. Praktik Keamanan Nomor 15: Manajemen Insiden
Membuat beberapa kebijakan dan prosedur manajemen insiden secara resmi dan diverifikasi.
4.6.4. S5.4: Mengidentifikasi Organisasi Strategi Perlindungan (Langkah 29)
Langkah ini menjelaskan mengenai aktivitas mitigasi yang direkomendasikan penulis untuk setiap bidang praktik keamanan yang telah dibahas pada Langkah 25, yaitu: 1. Praktik Keamanan Nomor 15: Manajemen Insiden
Tim analis memberikan rekomendasi mitigasi untuk menguji prosedur manajemen insiden secara berkala dengan mengkolaborasikannya bersama pihak eksternal agar jika ada masalah yang tidak dapat ditangani oleh pihak internal maka akan diberikan atau dibantu oleh pihak eksternal. Organisasi diharapkan memiliki prosedur manajemen insiden yang terdokumentasi secara resmi.
4.6.5. S5.5: Mengidentifikasi Langkah Selanjutnya (Langkah 30)
Untuk mendukung peningkatan keamanan, membuat keamanan informasi adalah keharusan dari Pusat Data dan Sarana Teknologi Informatika sebagai prioritas pada tingkat strategis dan mampu mengalokasikan dana untuk pelaksanaan implementasi
rencana mitigasi. Lalu semua kepala bagian harus memastikan bahwa semua stafnya memiliki waktu yang cukup untuk berpatisipasi dalam segala aktivitas terkait keamanan.
Untuk memantau implementasi dapat dilakukan dengan cara memberikan tanggung jawab kepada pelaksana implementasi untuk membuat penjadwalan oleh Kepala Pusat Data, dan mewajibkan pembuatan laporan status bulanan kepada Kepala pusat oleh subbidang keamanan.
Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika tidak akan melakukan perluasan untuk menambahkan aset kritis, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh.
Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika dianjurkan oleh tim analis untuk melakukan pengukuran risiko keamanan selanjutnya dengan metode OCTAVE-S setiap satu tahun sekali.
4.7 Manajemen Risiko Pusat Data dan Sarana Informatika Kementrian Komunikasi dan Informatika
Di Pusat data dan sarana informatika ada dua ancaman yang terjadi yaitu: ancaman dari luar dan ancaman pada keamanan fisik
Untuk ancaman dari luar pengendalian jangka pendeknya adalah mengaktifkan anti virus dan jika menemukan threat yang mencurigakan akan di report as spamperencanaannya adalahdirencanakan setiap adanya serangan dari pihak luar berupa link ataupun games yang mencurigakan dan menyerang aset kritis dari Pusat Data dan Sarana Informatika Kementrian Komunikasi dan Informatika. Implementasi akan dilaksanakan disetiap elemen Pusat Data dan Sarana Informatika Kementrian
Komunikasi dan Informatika dan dievaluasi setiap hari. Akan tetapi Risiko yang disebabkan masih tergolong kecil. Penindak lanjutan masalah ini dengan cara mengirim pesan ke firewall untuk mem-block IP address yang mencurigakan.
Pengendalian jangka panjangnya adalah membangun IDS-IPS.IPS dan IDS direncanakan untuk mendeteksi adanya serangan yang mengancam ataupun menggangu dari aset kritis. Pengimplementasiannya IPS dan IDS akan terus dipantau secara terus menerus oleh subbidang keamanan dan akan dievaluasi setiap hari oleh subbidang keamanan. Penindak lanjutan masalah ini dengan cara Serangan yang datang akan dideteksi oleh IDS dan akan dicegah oleh IPS.
Untuk Ancaman pada keamanan fisik pengendaliannya dengan diadakannya zone minder sehingga dapat mengetahui segala aktivitas yang dilakukan oleh semua user. Perencanaannya dilakukan oleh subbidang keamanan.CCTV akan ditempatkan disetiap sudut bangunan organisasi. Pengimplementasiannya dilaksanakan setiap saat dan akan dievaluasi 1 minggu sekali dan penyimpanan video minimal 6 bulan sekali dipindahkan ke media penyimpanan permanen. Risiko yang timbul tidak menggangu aktivitas selama tidak adanya tindakan kriminal. Penindak lanjutannya masalah ini akan diselesaikan secara internal jika masalah yang ditimbulkan tidak merugikan aset (seperti: sabotase). Namun jika adanya tindak kriminal maka pihak yang terkait akan dipidanakan.
4.8 Manajemen Risiko Praktik Keamanan
Kegiatan mitigasi di Pusat data dan sarana informatika adalah membuat kebijakan dan prosedur manajemen insiden secara resmi dan diverifikasi. Karena belum adanya
prosedur dan kebijakan yang terkait dengan manajemen insiden sehingga jika pihak internal menemukan kesulitan dalam menangani masalah hanya dikerjakan oleh pihak internal tanpa bantuan dari pihak eksternal. Penanggung jawabnya adalah Kepala pusat data dan sarana informatika dan subbidang keamanan dengan para pendukungnya seperti User dan Pusat Data juga bekerja sama dengan pihak ketiga (vendor).
