Keamanan Sistem (CS4633) ..:: Manajemen Resiko :

1
Keamanan Sistem (CS4633).. Manajemen Resiko

• Pertemuan 5
• 21/09/2006
• Fazmah Arif Yulianto

2

• Manajemen resiko

3
Resiko sistem keamanan

• Resiko Sesuatu yang akan terjadi yang
  dipengaruhi oleh faktor kemungkinan (likelihood),
  berupa ancaman terhadap beberapa kelemahan yang
  menghasilkan dampak (impact) yang merugikan
  perusahaan
• Sistem keamanan Semua tindakan yang dilakukan
  maupun aset yang digunakan untuk menjamin
  keamanan perusahaan

4
Klasifikasi resiko

• Hazard risk fire, flood, theft, etc.
• Financial risk price, credit, inflation, etc.
• Strategic risk competition, technological
  innovation, regulatory changes, brand image
  damage etc.
• Operational risk IT capability, business
  operations, security threat, etc.

5
Resiko sebagai fungsi

RISK
Probability
Frequency
Impact
x
x
RISK
Threats
Vulnerability
Asset value


6
Klasifikasi ancaman dikaitkan dengan informasi
dan data

• Loss of confidentiality of information
• Informasi diperlihatkan kepada pihak yang tidak
  berhak untuk melihatnya
• Loss of integrity of information
• Informasi tidak lengkap, tidak sesuai aslinya,
  atau telah dimodifikasi
• Loss of availability of information
• Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
• Informasi tidak benar atau tidak sesuai fakta
  atau sumbernya tidak jelas

7
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
8
1-Identifikasi Aset

• Aset informasi database, file data, dokumentasi
  sistem,manual pengguna, materi training, prosedur
• Aset perangkat keras perangkat komputer (server,
  storage, workstation dll), perangkat jaringan
  (router, switch, hub, modem dll), perangkat
  komunikasi (PABX, telepon, facsimile), termasuk
  komponen di dalam perangkat

9
Identifikasi Aset (contd)

• Aset perangkat lunak sistem operasi, perangkat
  lunak aplikasi, perangkat lunak bantu
• Aset infrastruktur power supply, AC, rak
• Aset layanan layanan komputer dan komunikasi
• FAZ manusia ? aset?

10
Dasar penilaian terhadap aset

• Nilai beli pembelian awal dan biaya pengembangan
  aset
• Nilai wajar pasar
• Nilai buku nilai pembelian dikurangi penyusutan

11
Pentingnya nilai aset

• Bisa digunakan untuk menentukan analisis
  biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi
• Dapat membantu pengambil keputusan dalam memilih
  tindakan penanggulangan terhadap pelanggaran
  keamanan

12
Klasifikasi nilai aset

• Rendah kehilangan fungsi aset tidak mengganggu
  proses bisnis untuk sementara waktu
• Sedang kehilangan fungsi aset mengganggu proses
  bisnis
• Tinggi kehilangan fungsi aset menghentikan
  proses bisnis

13
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
14
2- Analisis resiko

• Mencegah lebih baik daripada memperbaiki

15
Perlunya analisis resiko

• Memberi gambaran biaya perlindungan keamanan
• Mendukung proses pengambilan keputusan yg
  berhubungan dengan konfigurasi HW dan desain
  sistem SW
• Membantu perusahaan untuk fokus pada penyediaan
  sumber daya keamanan
• Menentukan aset tambahan (orang, HW, SW,
  infrastruktur, layanan)

16
Perlunya analisis resiko (contd)

• Memperkirakan aset mana yang rawan terhadap
  ancaman
• Memperkirakan resiko apa yang akan terjadi
  terhadap aset
• Menentukan solusi untuk mengatasi resiko dengan
  penerapan sejumlah kendali

17
Pendekatan analisis resiko

• Kuantitatif pendekatan nilai finansial
• Kualitatif menggunakan tingkatan kualitatif
• Bisa dilakukan secara bersama atau terpisah ?
  pertimbangan waktu dan biaya

18
Analisis resiko kuantitatif

• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca, laporan
  tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak, frekuensi,
  dan probabilitas

19
Annualized Loss Expectation

• ALE nilai aset x EF x ARO
• ALE Annualized Loss Expectation (perkiraan
  kerugian per tahun)
• EF Exposure factor (persentase kehilangan karena
  ancaman pada aset tertentu)
• ARO Annualized Rate of Occurrence (perkiraan
  frekuensi terjadinya ancaman per tahun)

20
Analisis resiko kualitatif

• Penilaian terhadap aset, ancaman, kemungkinan dan
  dampak terjadinya resiko menggunakan ranking atau
  tingkatan kualitatif
• Lebih sering digunakan daripada metode
  kuantitatif

21
Pendekatan kualitatif lebih sering digunakan

• Sulitnya melakukan kuantifikasi terhadap nilai
  suatu aset (contoh informasi)
• Sulitnya mendapatkan data statistik yang detail
  mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer dalam
  perusahaan (banyak hal angka sebenarnya bisa
  diambil dari sejarah)
• Kesulitan dan mahalnya melakukan prediksi masa
  depan

22
Kuantitatif vs kualitatif
23
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
24
3-Respon terhadap resiko

• Avoidance pencegahan terjadinya resiko
• Transfer pengalihan resiko dan responnya ke
  pihak lain. Contoh asuransi
• Mitigation pengurangan probabilitas terjadinya
  resiko dan/atau pengurangan nilai resiko
• Acceptance penerimaan resiko beserta
  konsekuensi. Contoh contingency plan

25
Matriks pengelolaan resiko
26
Mitigasi

• Pendekatan yang paling umum dilakukan
• Melibatkan
• Penyusunan kendali untuk mengurangi dampak resiko
• Kemampuan pengawasan untuk menjamin analisis yang
  benar terhadap resiko

The most important element of any risk management
effort is managing risk to an acceptable level
27
IT Security Risks Major Areas

• Asset protection bagaimana kita menjamin sumber
  daya organisasi tetap aman, hanya bisa diakses
  oleh yang berhak untuk keperluan yang benar?
• Service continuity bagaimana kita menjamin
  ketersediaan layanan -tanpa penurunan kualitas-
  untuk pegawai, partner, dan pelanggan?
• Compliance bagaimana kita membuktikan bahwa
  semua requirement dari regulasi telah terpenuhi?

28
(No Transcript)