Keamanan Sistem (CS4633) ..:: Manajemen Resiko : - PowerPoint PPT Presentation

About This Presentation
Title:

Keamanan Sistem (CS4633) ..:: Manajemen Resiko :

Description:

Title: Teori Keamanan Informasi Author: TOSHIBA Last modified by: Valued Acer Customer Created Date: 9/5/2006 11:18:11 PM Document presentation format – PowerPoint PPT presentation

Number of Views:127
Avg rating:3.0/5.0
Slides: 29
Provided by: TOSHI349
Category:

less

Transcript and Presenter's Notes

Title: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :


1
Keamanan Sistem (CS4633).. Manajemen Resiko
  • Pertemuan 5
  • 21/09/2006
  • Fazmah Arif Yulianto

2
  • Manajemen resiko

3
Resiko sistem keamanan
  • Resiko Sesuatu yang akan terjadi yang
    dipengaruhi oleh faktor kemungkinan (likelihood),
    berupa ancaman terhadap beberapa kelemahan yang
    menghasilkan dampak (impact) yang merugikan
    perusahaan
  • Sistem keamanan Semua tindakan yang dilakukan
    maupun aset yang digunakan untuk menjamin
    keamanan perusahaan

4
Klasifikasi resiko
  • Hazard risk fire, flood, theft, etc.
  • Financial risk price, credit, inflation, etc.
  • Strategic risk competition, technological
    innovation, regulatory changes, brand image
    damage etc.
  • Operational risk IT capability, business
    operations, security threat, etc.

5
Resiko sebagai fungsi

RISK
Probability
Frequency
Impact
x
x
RISK
Threats
Vulnerability
Asset value


6
Klasifikasi ancaman dikaitkan dengan informasi
dan data
  • Loss of confidentiality of information
  • Informasi diperlihatkan kepada pihak yang tidak
    berhak untuk melihatnya
  • Loss of integrity of information
  • Informasi tidak lengkap, tidak sesuai aslinya,
    atau telah dimodifikasi
  • Loss of availability of information
  • Informasi tidak tersedia saat dibutuhkan
  • Loss of authentication of information
  • Informasi tidak benar atau tidak sesuai fakta
    atau sumbernya tidak jelas

7
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
8
1-Identifikasi Aset
  • Aset informasi database, file data, dokumentasi
    sistem,manual pengguna, materi training, prosedur
  • Aset perangkat keras perangkat komputer (server,
    storage, workstation dll), perangkat jaringan
    (router, switch, hub, modem dll), perangkat
    komunikasi (PABX, telepon, facsimile), termasuk
    komponen di dalam perangkat

9
Identifikasi Aset (contd)
  • Aset perangkat lunak sistem operasi, perangkat
    lunak aplikasi, perangkat lunak bantu
  • Aset infrastruktur power supply, AC, rak
  • Aset layanan layanan komputer dan komunikasi
  • FAZ manusia ? aset?

10
Dasar penilaian terhadap aset
  • Nilai beli pembelian awal dan biaya pengembangan
    aset
  • Nilai wajar pasar
  • Nilai buku nilai pembelian dikurangi penyusutan

11
Pentingnya nilai aset
  • Bisa digunakan untuk menentukan analisis
    biaya-keuntungan
  • Bisa digunakan untuk keperluan asuransi
  • Dapat membantu pengambil keputusan dalam memilih
    tindakan penanggulangan terhadap pelanggaran
    keamanan

12
Klasifikasi nilai aset
  • Rendah kehilangan fungsi aset tidak mengganggu
    proses bisnis untuk sementara waktu
  • Sedang kehilangan fungsi aset mengganggu proses
    bisnis
  • Tinggi kehilangan fungsi aset menghentikan
    proses bisnis

13
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
14
2- Analisis resiko
  • Mencegah lebih baik daripada memperbaiki

15
Perlunya analisis resiko
  • Memberi gambaran biaya perlindungan keamanan
  • Mendukung proses pengambilan keputusan yg
    berhubungan dengan konfigurasi HW dan desain
    sistem SW
  • Membantu perusahaan untuk fokus pada penyediaan
    sumber daya keamanan
  • Menentukan aset tambahan (orang, HW, SW,
    infrastruktur, layanan)

16
Perlunya analisis resiko (contd)
  • Memperkirakan aset mana yang rawan terhadap
    ancaman
  • Memperkirakan resiko apa yang akan terjadi
    terhadap aset
  • Menentukan solusi untuk mengatasi resiko dengan
    penerapan sejumlah kendali

17
Pendekatan analisis resiko
  • Kuantitatif pendekatan nilai finansial
  • Kualitatif menggunakan tingkatan kualitatif
  • Bisa dilakukan secara bersama atau terpisah ?
    pertimbangan waktu dan biaya

18
Analisis resiko kuantitatif
  • NILAI FINANSIAL
  • Dapat dijabarkan dlm bentuk neraca, laporan
    tahunan, analisis pasar dll
  • Digunakan untuk mengestimasi dampak, frekuensi,
    dan probabilitas

19
Annualized Loss Expectation
  • ALE nilai aset x EF x ARO
  • ALE Annualized Loss Expectation (perkiraan
    kerugian per tahun)
  • EF Exposure factor (persentase kehilangan karena
    ancaman pada aset tertentu)
  • ARO Annualized Rate of Occurrence (perkiraan
    frekuensi terjadinya ancaman per tahun)

20
Analisis resiko kualitatif
  • Penilaian terhadap aset, ancaman, kemungkinan dan
    dampak terjadinya resiko menggunakan ranking atau
    tingkatan kualitatif
  • Lebih sering digunakan daripada metode
    kuantitatif

21
Pendekatan kualitatif lebih sering digunakan
  • Sulitnya melakukan kuantifikasi terhadap nilai
    suatu aset (contoh informasi)
  • Sulitnya mendapatkan data statistik yang detail
    mengenai kecelakaan komputer
  • Buruknya pencatatan insiden komputer dalam
    perusahaan (banyak hal angka sebenarnya bisa
    diambil dari sejarah)
  • Kesulitan dan mahalnya melakukan prediksi masa
    depan

22
Kuantitatif vs kualitatif
23
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
24
3-Respon terhadap resiko
  • Avoidance pencegahan terjadinya resiko
  • Transfer pengalihan resiko dan responnya ke
    pihak lain. Contoh asuransi
  • Mitigation pengurangan probabilitas terjadinya
    resiko dan/atau pengurangan nilai resiko
  • Acceptance penerimaan resiko beserta
    konsekuensi. Contoh contingency plan

25
Matriks pengelolaan resiko
26
Mitigasi
  • Pendekatan yang paling umum dilakukan
  • Melibatkan
  • Penyusunan kendali untuk mengurangi dampak resiko
  • Kemampuan pengawasan untuk menjamin analisis yang
    benar terhadap resiko

The most important element of any risk management
effort is managing risk to an acceptable level
27
IT Security Risks Major Areas
  • Asset protection bagaimana kita menjamin sumber
    daya organisasi tetap aman, hanya bisa diakses
    oleh yang berhak untuk keperluan yang benar?
  • Service continuity bagaimana kita menjamin
    ketersediaan layanan -tanpa penurunan kualitas-
    untuk pegawai, partner, dan pelanggan?
  • Compliance bagaimana kita membuktikan bahwa
    semua requirement dari regulasi telah terpenuhi?

28
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com