Keamanan Sistem (CS4633)

..:: Manajemen Resiko :

Pertemuan #5
21/09/2006

Fazmah Arif Yulianto
Manajemen
resiko

Resiko & sistem keamanan
Resiko: Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan
perusahaan
Sistem keamanan: Semua tindakan yang
dilakukan maupun aset yang digunakan
untuk menjamin keamanan perusahaan
Klasifikasi resiko
Hazard risk: fire, flood, theft, etc.
Financial risk: price, credit, inflation, etc.
Strategic risk: competition, technological
innovation, regulatory changes, brand
image damage etc.
Operational risk: IT capability, business
operations, security threat, etc.

Resiko sebagai fungsi
Probability Frequency Impact
=
x x
Threats Vulnerability Asset value
+ +
Klasifikasi ancaman dikaitkan
dengan informasi dan data
Loss of confidentiality of information
Informasi diperlihatkan kepada pihak yang tidak
berhak untuk melihatnya
Loss of integrity of information
Informasi tidak lengkap, tidak sesuai aslinya, atau
telah dimodifikasi
Loss of availability of information
Informasi tidak tersedia saat dibutuhkan
Loss of authentication of information
Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
1-Identifikasi Aset
Aset informasi: database, file data,
dokumentasi sistem,manual pengguna,
materi training, prosedur
Aset perangkat keras: perangkat komputer
(server, storage, workstation dll),
perangkat jaringan (router, switch, hub,
modem dll), perangkat komunikasi (PABX,
telepon, facsimile), termasuk komponen di
dalam perangkat
Identifikasi Aset (contd)
Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak
bantu
Aset infrastruktur: power supply, AC, rak
Aset layanan: layanan komputer dan
komunikasi

FAZ: manusia aset?
Dasar penilaian terhadap aset
Nilai beli: pembelian awal dan biaya
pengembangan aset
Nilai wajar pasar
Nilai buku: nilai pembelian dikurangi
penyusutan
Pentingnya nilai aset
Bisa digunakan untuk menentukan analisis
biaya-keuntungan
Bisa digunakan untuk keperluan asuransi
Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan
terhadap pelanggaran keamanan
Klasifikasi nilai aset
Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk
sementara waktu
Sedang: kehilangan fungsi aset
mengganggu proses bisnis
Tinggi: kehilangan fungsi aset
menghentikan proses bisnis
Analisis Resiko
Identifikasi Aset
Tindak Lanjut
2- Analisis resiko

Mencegah lebih baik
daripada memperbaiki
Perlunya analisis resiko
Memberi gambaran biaya perlindungan
keamanan
Mendukung proses pengambilan
keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW
Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
Menentukan aset tambahan (orang, HW,
SW, infrastruktur, layanan)
Perlunya analisis resiko (contd)
Memperkirakan aset mana yang rawan
terhadap ancaman
Memperkirakan resiko apa yang akan
terjadi terhadap aset
Menentukan solusi untuk mengatasi resiko
dengan penerapan sejumlah kendali
Pendekatan analisis resiko
Kuantitatif: pendekatan nilai finansial
Kualitatif: menggunakan tingkatan
kualitatif

Bisa dilakukan secara bersama atau
terpisah pertimbangan waktu dan biaya

Analisis resiko kuantitatif
NILAI FINANSIAL

Dapat dijabarkan dlm bentuk neraca,
laporan tahunan, analisis pasar dll
Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas

Annualized Loss Expectation
ALE = nilai aset x EF x ARO

ALE: Annualized Loss Expectation (perkiraan
kerugian per tahun)
EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
ARO: Annualized Rate of Occurrence (perkiraan
frekuensi terjadinya ancaman per tahun)
Analisis resiko kualitatif
Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya
resiko menggunakan ranking atau
tingkatan kualitatif

Lebih sering digunakan daripada metode
kuantitatif

Pendekatan kualitatif lebih sering
digunakan
Sulitnya melakukan kuantifikasi terhadap
nilai suatu aset (contoh: informasi)
Sulitnya mendapatkan data statistik yang
detail mengenai kecelakaan komputer
Buruknya pencatatan insiden komputer
dalam perusahaan (banyak hal [angka]
sebenarnya bisa diambil dari sejarah)
Kesulitan dan mahalnya melakukan
prediksi masa depan
Kuantitatif vs kualitatif
Tindak Lanjut
Identifikasi Aset
Analisis Resiko
3-Respon terhadap resiko
Avoidance: pencegahan terjadinya resiko
Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan
nilai resiko
Acceptance: penerimaan resiko beserta
konsekuensi. Contoh: contingency plan
Matriks pengelolaan resiko
Mitigasi
Pendekatan yang paling umum dilakukan
Melibatkan:
Penyusunan kendali untuk mengurangi
dampak resiko
Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko


The most important element of any
risk management effort is managing
risk to an acceptable level
IT Security Risks Major Areas
Asset protection: bagaimana kita menjamin
sumber daya organisasi tetap aman, hanya bisa
diakses oleh yang berhak untuk keperluan yang
benar?
Service continuity: bagaimana kita menjamin
ketersediaan layanan -tanpa penurunan
kualitas- untuk pegawai, partner, dan
pelanggan?
Compliance: bagaimana kita membuktikan
bahwa semua requirement dari regulasi telah
terpenuhi?