You are on page 1of 28

Keamanan Sistem (CS4633)

..:: Manajemen Resiko :


Pertemuan #5
21/09/2006
Fazmah Arif Yulianto

Manajemen
resiko

Resiko & sistem keamanan


Resiko: Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan
dampak (impact) yang merugikan
perusahaan
Sistem keamanan: Semua tindakan yang
dilakukan maupun aset yang digunakan
untuk menjamin keamanan perusahaan

Klasifikasi resiko
Hazard risk: fire, flood, theft, etc.
Financial risk: price, credit, inflation, etc.
Strategic risk: competition, technological
innovation, regulatory changes, brand
image damage etc.
Operational risk: IT capability, business
operations, security threat, etc.

Resiko sebagai fungsi


=
Probability
Probability

Threats
Threats

x Frequency
Frequency x

Impact
Impact

+ Vulnerability
Vulnerability + Asset
Asset value
value

Klasifikasi ancaman dikaitkan


dengan informasi dan data
Loss of confidentiality of information
Informasi diperlihatkan kepada pihak yang tidak
berhak untuk melihatnya

Loss of integrity of information


Informasi tidak lengkap, tidak sesuai aslinya, atau
telah dimodifikasi

Loss of availability of information


Informasi tidak tersedia saat dibutuhkan

Loss of authentication of information


Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas

Metodologi Manajemen Resiko


Identifikasi Aset

Analisis Resiko

Tindak Lanjut

1-Identifikasi Aset
Aset informasi: database, file data,
dokumentasi sistem,manual pengguna,
materi training, prosedur
Aset perangkat keras: perangkat
komputer (server, storage, workstation dll),
perangkat jaringan (router, switch, hub,
modem dll), perangkat komunikasi (PABX,
telepon, facsimile), termasuk komponen di
dalam perangkat

Identifikasi Aset (contd)


Aset perangkat lunak: sistem operasi,
perangkat lunak aplikasi, perangkat lunak
bantu
Aset infrastruktur: power supply, AC, rak
Aset layanan: layanan komputer dan
komunikasi
FAZ: manusia aset?

Dasar penilaian terhadap aset


Nilai beli: pembelian awal dan biaya
pengembangan aset
Nilai wajar pasar
Nilai buku: nilai pembelian dikurangi
penyusutan

Pentingnya nilai aset


Bisa digunakan untuk menentukan
analisis biaya-keuntungan
Bisa digunakan untuk keperluan asuransi
Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan
terhadap pelanggaran keamanan

Klasifikasi nilai aset


Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk
sementara waktu
Sedang: kehilangan fungsi aset
mengganggu proses bisnis
Tinggi: kehilangan fungsi aset
menghentikan proses bisnis

Identifikasi Aset

Analisis Resiko

Tindak Lanjut

2- Analisis resiko

Mencegah lebih baik


daripada memperbaiki

Perlunya analisis resiko


Memberi gambaran biaya perlindungan
keamanan
Mendukung proses pengambilan
keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW
Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
Menentukan aset tambahan (orang, HW,
SW, infrastruktur, layanan)

Perlunya analisis resiko (contd)


Memperkirakan aset mana yang rawan
terhadap ancaman
Memperkirakan resiko apa yang akan
terjadi terhadap aset
Menentukan solusi untuk mengatasi
resiko dengan penerapan sejumlah
kendali

Pendekatan analisis resiko


Kuantitatif: pendekatan nilai finansial
Kualitatif: menggunakan tingkatan
kualitatif
Bisa dilakukan secara bersama atau
terpisah pertimbangan waktu dan biaya

Analisis resiko kuantitatif


NILAI FINANSIAL
Dapat dijabarkan dlm bentuk neraca,
laporan tahunan, analisis pasar dll
Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas

Annualized Loss Expectation


ALE = nilai aset x EF x ARO
ALE: Annualized Loss Expectation (perkiraan
kerugian per tahun)
EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
ARO: Annualized Rate of Occurrence (perkiraan
frekuensi terjadinya ancaman per tahun)

Analisis resiko kualitatif


Penilaian terhadap aset, ancaman,
kemungkinan dan dampak terjadinya
resiko menggunakan ranking atau
tingkatan kualitatif
Lebih sering digunakan daripada metode
kuantitatif

Pendekatan kualitatif lebih sering


digunakan
Sulitnya melakukan kuantifikasi terhadap
nilai suatu aset (contoh: informasi)
Sulitnya mendapatkan data statistik yang
detail mengenai kecelakaan komputer
Buruknya pencatatan insiden komputer
dalam perusahaan (banyak hal [angka]
sebenarnya bisa diambil dari sejarah)
Kesulitan dan mahalnya melakukan
prediksi masa depan

Kuantitatif vs kualitatif

Identifikasi Aset

Analisis Resiko

Tindak Lanjut

3-Respon terhadap resiko


Avoidance: pencegahan terjadinya resiko
Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi
Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan
nilai resiko
Acceptance: penerimaan resiko beserta
konsekuensi. Contoh: contingency plan

Matriks pengelolaan resiko

Mitigasi
Pendekatan yang paling umum dilakukan
Melibatkan:
Penyusunan kendali untuk mengurangi
dampak resiko
Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko
The most important element of any
risk management effort is managing
risk to an acceptable level

IT Security Risks Major Areas


Asset protection: bagaimana kita menjamin
sumber daya organisasi tetap aman, hanya bisa
diakses oleh yang berhak untuk keperluan yang
benar?
Service continuity: bagaimana kita menjamin
ketersediaan layanan -tanpa penurunan kualitasuntuk pegawai, partner, dan pelanggan?
Compliance: bagaimana kita membuktikan
bahwa semua requirement dari regulasi telah
terpenuhi?

You might also like