Slide SIF324 W13 Keamanan Informasi
Pengantar
Keamanan
Informasi
Resiko & sistem keamanan
• Resiko: “Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan
perusahaan”
• Sistem keamanan: “Semua tindakan yang
dilakukan maupun aset yang digunakan
untuk menjamin keamanan perusahaan”
Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.
• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological
innovation, regulatory changes, brand
image damage etc.
• Operational risk: IT capability, business
operations, security threat, etc.
•…
Resiko sebagai ‘fungsi’
=
Probability
Probability x Frequency
Frequency x
Threats
Threats
Impact
Impact
+ Vulnerability
Vulnerability + Asset
Asset value
value
Klasifikasi ancaman dikaitkan
dengan informasi dan data
• Loss of confidentiality of information
▫ Informasi diperlihatkan kepada pihak yang
tidak berhak untuk melihatnya
• Loss of integrity of information
▫ Informasi tidak lengkap, tidak sesuai aslinya,
atau telah dimodifikasi
• Loss of availability of information
▫ Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
▫ Informasi tidak benar atau tidak sesuai fakta
atau sumbernya tidak jelas
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
1-Identifikasi Aset
• Aset informasi: database, file data,
dokumentasi sistem,manual pengguna,
materi training, prosedur
• Aset perangkat keras: perangkat
komputer (server, storage, workstation
dll), perangkat jaringan (router, switch,
hub, modem dll), perangkat komunikasi
(PABX, telepon, facsimile), termasuk
komponen di dalam perangkat
Identifikasi Aset (cont’d)
• Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak
bantu
• Aset infrastruktur: power supply, AC, rak
• Aset layanan: layanan komputer dan
komunikasi
• FAZ: manusia aset?
Dasar penilaian terhadap aset
• Nilai beli: pembelian awal dan biaya
pengembangan aset
• Nilai wajar pasar
• Nilai buku: nilai pembelian dikurangi
penyusutan
Pentingnya nilai aset
• Bisa digunakan untuk menentukan
analisis biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi
• Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan
terhadap pelanggaran keamanan
Klasifikasi nilai aset
• Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk
sementara waktu
• Sedang: kehilangan fungsi aset
mengganggu proses bisnis
• Tinggi: kehilangan fungsi aset
menghentikan proses bisnis
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
2- Analisis resiko
“Mencegah lebih baik
daripada memperbaiki”
Perlunya analisis resiko
• Memberi gambaran biaya perlindungan
keamanan
• Mendukung proses pengambilan
keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW
• Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW,
SW, infrastruktur, layanan)
Perlunya analisis resiko
(cont’d)
• Memperkirakan aset mana yang rawan
terhadap ancaman
• Memperkirakan resiko apa yang akan
terjadi terhadap aset
• Menentukan solusi untuk mengatasi
resiko dengan penerapan sejumlah
kendali
Pendekatan analisis resiko
• Kuantitatif: pendekatan nilai finansial
• Kualitatif: menggunakan tingkatan
kualitatif
• Bisa dilakukan secara bersama atau
terpisah pertimbangan waktu dan biaya
Analisis resiko kuantitatif
• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca,
laporan tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas
Annualized Loss Expectation
ALE = nilai aset x EF x ARO
• ALE: Annualized Loss Expectation
(perkiraan kerugian per tahun)
• EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
• ARO: Annualized Rate of Occurrence
(perkiraan frekuensi terjadinya ancaman
per tahun)
Analisis resiko kualitatif
• Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya
resiko menggunakan ranking atau
tingkatan kualitatif
• Lebih sering digunakan daripada metode
kuantitatif
Pendekatan kualitatif lebih
sering digunakan
• Sulitnya melakukan kuantifikasi terhadap
nilai suatu aset (contoh: informasi)
• Sulitnya mendapatkan data statistik yang
detail mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer
dalam perusahaan (banyak hal [angka]
sebenarnya bisa diambil dari sejarah)
• Kesulitan dan mahalnya melakukan
prediksi masa depan
Kuantitatif vs kualitatif
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
3-Respon terhadap resiko
• Avoidance: pencegahan terjadinya resiko
• Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
• Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan
nilai resiko
• Acceptance: penerimaan resiko beserta
konsekuensi. Contoh: contingency plan
Matriks pengelolaan resiko
Mitigasi
• Pendekatan yang paling umum dilakukan
• Melibatkan:
▫ Penyusunan kendali untuk mengurangi
dampak resiko
▫ Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko
The most important element of any
risk management effort is managing
risk to an acceptable level
IT Security Risks Major Areas
• Asset protection: bagaimana kita
menjamin sumber daya organisasi tetap
aman, hanya bisa diakses oleh yang berhak
untuk keperluan yang benar?
• Service continuity: bagaimana kita
menjamin ketersediaan layanan -tanpa
penurunan kualitas- untuk pegawai,
partner, dan pelanggan?
• Compliance: bagaimana kita
membuktikan bahwa semua requirement
dari regulasi telah terpenuhi?
Terima Kasih
Keamanan
Informasi
Resiko & sistem keamanan
• Resiko: “Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan
perusahaan”
• Sistem keamanan: “Semua tindakan yang
dilakukan maupun aset yang digunakan
untuk menjamin keamanan perusahaan”
Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.
• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological
innovation, regulatory changes, brand
image damage etc.
• Operational risk: IT capability, business
operations, security threat, etc.
•…
Resiko sebagai ‘fungsi’
=
Probability
Probability x Frequency
Frequency x
Threats
Threats
Impact
Impact
+ Vulnerability
Vulnerability + Asset
Asset value
value
Klasifikasi ancaman dikaitkan
dengan informasi dan data
• Loss of confidentiality of information
▫ Informasi diperlihatkan kepada pihak yang
tidak berhak untuk melihatnya
• Loss of integrity of information
▫ Informasi tidak lengkap, tidak sesuai aslinya,
atau telah dimodifikasi
• Loss of availability of information
▫ Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
▫ Informasi tidak benar atau tidak sesuai fakta
atau sumbernya tidak jelas
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
1-Identifikasi Aset
• Aset informasi: database, file data,
dokumentasi sistem,manual pengguna,
materi training, prosedur
• Aset perangkat keras: perangkat
komputer (server, storage, workstation
dll), perangkat jaringan (router, switch,
hub, modem dll), perangkat komunikasi
(PABX, telepon, facsimile), termasuk
komponen di dalam perangkat
Identifikasi Aset (cont’d)
• Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak
bantu
• Aset infrastruktur: power supply, AC, rak
• Aset layanan: layanan komputer dan
komunikasi
• FAZ: manusia aset?
Dasar penilaian terhadap aset
• Nilai beli: pembelian awal dan biaya
pengembangan aset
• Nilai wajar pasar
• Nilai buku: nilai pembelian dikurangi
penyusutan
Pentingnya nilai aset
• Bisa digunakan untuk menentukan
analisis biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi
• Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan
terhadap pelanggaran keamanan
Klasifikasi nilai aset
• Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk
sementara waktu
• Sedang: kehilangan fungsi aset
mengganggu proses bisnis
• Tinggi: kehilangan fungsi aset
menghentikan proses bisnis
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
2- Analisis resiko
“Mencegah lebih baik
daripada memperbaiki”
Perlunya analisis resiko
• Memberi gambaran biaya perlindungan
keamanan
• Mendukung proses pengambilan
keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW
• Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW,
SW, infrastruktur, layanan)
Perlunya analisis resiko
(cont’d)
• Memperkirakan aset mana yang rawan
terhadap ancaman
• Memperkirakan resiko apa yang akan
terjadi terhadap aset
• Menentukan solusi untuk mengatasi
resiko dengan penerapan sejumlah
kendali
Pendekatan analisis resiko
• Kuantitatif: pendekatan nilai finansial
• Kualitatif: menggunakan tingkatan
kualitatif
• Bisa dilakukan secara bersama atau
terpisah pertimbangan waktu dan biaya
Analisis resiko kuantitatif
• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca,
laporan tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas
Annualized Loss Expectation
ALE = nilai aset x EF x ARO
• ALE: Annualized Loss Expectation
(perkiraan kerugian per tahun)
• EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
• ARO: Annualized Rate of Occurrence
(perkiraan frekuensi terjadinya ancaman
per tahun)
Analisis resiko kualitatif
• Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya
resiko menggunakan ranking atau
tingkatan kualitatif
• Lebih sering digunakan daripada metode
kuantitatif
Pendekatan kualitatif lebih
sering digunakan
• Sulitnya melakukan kuantifikasi terhadap
nilai suatu aset (contoh: informasi)
• Sulitnya mendapatkan data statistik yang
detail mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer
dalam perusahaan (banyak hal [angka]
sebenarnya bisa diambil dari sejarah)
• Kesulitan dan mahalnya melakukan
prediksi masa depan
Kuantitatif vs kualitatif
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
3-Respon terhadap resiko
• Avoidance: pencegahan terjadinya resiko
• Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
• Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan
nilai resiko
• Acceptance: penerimaan resiko beserta
konsekuensi. Contoh: contingency plan
Matriks pengelolaan resiko
Mitigasi
• Pendekatan yang paling umum dilakukan
• Melibatkan:
▫ Penyusunan kendali untuk mengurangi
dampak resiko
▫ Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko
The most important element of any
risk management effort is managing
risk to an acceptable level
IT Security Risks Major Areas
• Asset protection: bagaimana kita
menjamin sumber daya organisasi tetap
aman, hanya bisa diakses oleh yang berhak
untuk keperluan yang benar?
• Service continuity: bagaimana kita
menjamin ketersediaan layanan -tanpa
penurunan kualitas- untuk pegawai,
partner, dan pelanggan?
• Compliance: bagaimana kita
membuktikan bahwa semua requirement
dari regulasi telah terpenuhi?
Terima Kasih