Pertemuan 5 ( Risk management )

   Risk management 

Risk management adalah proses mengidentifikasi dan mengontrol resiko yang dihadapi oleh sebuah organisasi.

Terdapat 3 hal yang penting dalam Manajemen Resiko, yaitu :

1. Know yourself ==> Memahami teknologi dan system dalam organisasi yang di kelola.
2. Know the enemy ==> Mengidentifikasi, memeriksa dan memahami threat / ancaman yang mungkin timbul.
3. Role of communicaties of interest (peran komunitas / pihak terkait) ==> Terdapat 3 komunitas yaitu : Keamanan Informasi, manajemen dan user, dan teknologi user.

Adapun Komponen Risk Management dibagi menjadi 3 tahapan :

• Risk identification 
• Risk Assesment (Penilaian Resiko) 
• Risk Control (Pengontrolan Resiko) 

1. Risk Identification ( Mengidentifikasi Resiko) 

    Adalah proses pemeriksaan situasi dan kondisi aset yang berhubungan dengan keamanan informasi pada sebuah organisasi. Sedangkan Assets adalah sesuatu sumber daya yang dimiliki oleh organisasi. Assets inilah yang akan menjadi target dari berbagai ancaman dan banyak agen dari ancaman.

Risk identification terdapat 2 kegiatan yang dilakukan, yaitu :

• Organization assets
• Threats / vulnerability

Step - Step Risk Identification :

• Rencanakan dan atur prosesnya.
• Mengidentifikasi, inventaris , dan mengkategorikan aset.
• Mengklasifikasikan, menghargai dan memprioritaskan aset.
• Mengidentifikasi dan memprioritaskan ancaman.
• Tentukan kerentanan (Vulnerability) aset.

People, Procedure, And Data Identification

    Mengidentifikasi aset untuk sumber daya manusia (Human Resource), dokumentasi, dan data informasi yang lebih sulit daripada mengidentifikasi aset perangkat keras dan perangkat lunak. Aset ini harus dicatat menggunakan proses penanganan data yang baik.

Saat memutuskan aset informasi, ada beberapa atribut aset :

1. Atribut aset untuk People : nama posisi, nomor atau ID, supervisor, tingkat izin keamanan, keterampilan khusus.
2. Atribut aset untuk Procedures : tujuan yang dimaksudkan, hubungan dengan perangkat lunak, perangkat keras, dan elemen jaringan, lokasi penyimpanan untuk referensi, lokasi penyimpanan untuk pembaruan.
3. Atribut aset untuk Data : klasifikasi, pemilik, pencipta, dan manajer, ukuran struktur data, struktur data yang digunakan, online atau offline, lokasi, prosedur pencadangan yang digunakan

Hardware, Software, And Network Assets Identification

Kriteria Atribut yang harus dilacak :

• Tergantung pada kebutuhan organisasi,
• Upaya manajemen resikonya
• Preferensi dan kebutuhan komunitas keamanan informasi dan teknologi informasi.

Atribut aset yang harus dipertimbangkan adalah :

• Name
• IP Address
• Media access control (MAC) address
• Element type - server, dekstop, dll
• Serial number

Information Asset Classification

    Banyak organisasi memiliki skema klasifikasi data (confidential, internal, public data), klasifikasi harus cukup spesifik untuk memungkinkan penentuan prioritas. Adapun contoh klasifikasinya seperti :

• Komprehensif, Semua info cocok dalam daftar di suatu tempat.
• Mutually eksklusif, cocok di satu tempat.

Data Classification And Management

Klasifikasi informasi adalah sebagai berikut :

1. Confidential : Digunakan untuk informasi perusahaan yang paling sensitif yang harus dikontrol dengan ketat, bahkan di dalam perusahaan.
2. Internal : Digunakan untuk semua informasi internal yang tidak memenuhi kriteria kategori rahasia. Informasi internal hanya boleh dilihat oleh karyawan perusahaan, kontraktor resmi, dan pihak ketiga lainnya.
3. Eksternal : Semua informasi yang telah disetujui oleh manajemen untuk dipublikasikan.

Security Clearences

    Security Clearences (Izin Keamanan) adalah struktur keamanan personel di mana setiap pengguna aset informasi diberi tingkat otorisasi yang mengidentifikasi tingkat informasi rahasia yang "didelete" untuk diakses. Sebelum mengakses kumpulan data, karyawan harus memenuhi persyaratan yang perlu diketahui. Tingkat perlindungan ekstra memastikan kerahasiaan informasi terjaga.

Management Of Classified Data

    Manajemen dari klasifikasi data adalah storage (penyimpana), distribution (distribusi), transportatiion, dan descruction (pemusnahan). Informasi yang tidak dirahasiakan atau publik harus ditandai dengan jelas.

    Clean desk policy yaitu kebijakan organisasi yang menetapkan karyawan harus memeriksa area kerja mereka dan memastikan bahwa semua informasi, dokumen, dan bahan rahasia diamankan pada akhir setiap hari kerja.

    Dumpster diving merupakan serangan informasi yang melibatkan pencarian melalui tempat sampah dan daur ulang organisasi target untuk informasi sensitif.

Listing Asset In Order Of Importance

    Weighted factor analysis : menghitung kepentingan relatif dari setiap aset. Setiap aset info diberi skor untuk setiap critical factor (0,1 hingga 2,0)

• Impact to revenue (pendapatan)
• Impact to profitability
• Impact to public

Setiap faktor kritis diberi bobot (1-100), kemudian dikalikan dan ditambahkan.

2. Risk assesment (Penilaian Resiko)

    Adalah suatu metode yang secara sistematis digunakan untuk menentukan dan meminimalisir risiko yang akan terjadi pada sebuah organisasi. Penilaian risiko mengevaluasi risiko relatif untuk setiap kerentanan, memberikan peringkat risiko atau skor untuk setiap aset informasi.

Documenting The Results Of Risk Assessment

    Setelah mendapatkan skor selanjutnya masukkan ke dalam dokumen result dari risk assessment. 

• Aset : Buat daftar setiap aset yang rentan.
• Nilai relatif aset : Menampilkan hasil untuk aset dari weighted factor analysis di lembar kerja.
• Vulnerability : Buat daftar setiap kerentanan yang tidak terkendali. Beberapa aset mungkin dicantumkan lebih dari sekali.

3. Risk Control (Control Resiko)

    Adalah penerapan mekanisme control untuk mengurangi resiko pada data dan system informasi yang dimiliki oleh sebuah organisasi. Risk control dilakukan setelah melakukan risk assessment, Risk control melibatkan tiga langkah dasar :

• Pemilihan strategi pengendalian,
• Pembenaran strategi ini kepada manajemen tingkat atas, dan
• Implementasi, pemantauan (monitoring), dan penilaian berkelanjutan atas pengendalian yang diadopsi.

Adapun strategi risk control sebagai berikut :

- Transference

    Transference risk control strategy adalah strategi pengendalian risiko yang mencoba mengalihkan risiko ke aset lain, proses lain, atau organisasi lain.

- Mitigation

    Mitigation risk control strategy adalah strategi pengendalian risiko yang berupaya mengurangi dampak kerugian yang disebabkan oleh insiden, bencana, atau serangan yang disadari melalui perencanaan dan persiapan kontinjensi yang efektif.

Rencana mitigasi yang paling umum adalah contigency plans :

1. Incident response (IR) plan : Tindakan yang dapat dan harus dilakukan organisasi saat insiden sedang berlangsung.
2. Disaster recovery (DR) plan : Rencana DR mencakup semua persiapan untuk proses pemulihan, strategi untuk membatasi kerugian selama bencana, dan langkah-langkah terperinci yang harus diikuti setelahnya.
3. Business continuty (BC) plan : Rencana BC mencakup langkah-langkah yang diperlukan untuk memastikan kelangsungan organisasi ketika cakupan atau skala bencana melebihi kemampuan rencana DR untuk memulihkan operasi, biasanya melalui relokasi fungsi bisnis penting ke lokasi alternatif.

- Acceptance

    Strategi pengendalian risiko yang menunjukkan organisasi bersedia menerima tingkat risiko saat ini. Akibatnya, organisasi membuat keputusan dengan sadar untuk tidak melakukan apapun untuk melindungi aset informasi dari risiko dan menerima hasil dari hasil apapun eksploitasi, contohnya terjadi bencana alam yang tidak bisa diperkirakan.

Memilih Strategi pengendalian Risiko

    Pengendalian Risiko melibatkan pemilihan salah satu dari lima strategi pengendalian resiko untuk setiap kerentanan. Beberapa aturan praktis untuk memilih strategi pengendalian resiko :

1. Ketika ada kerentanan, terapkan kontrol keamanan untuk mengurangi kemungkinan kerentanan  dieksploitasi.
2. Ketka kerentanan dapat dieksploitasi, terapkan perlindungan berlapis, desain arsitektur, dan kontrol  administratif untuk meminimalkan risiko atau mencegah terjadinya.
3. Ketika biaya penyerang lebih kecil dari potensi keuntungannya, terapkan perlindungan untuk meningkatkan biaya penyerang.
4. Ketika biaya penyerang lebih kecil dari potensi keuntungannya, terapkan perlindungan untuk meningkatkan biaya penyerang.
5. Ketika potensi kerugian cukup besar, terapkan prinsip-prinsip desain, arsitektur, dan perlindungan lain untuk membatasi tingkat serangan. Perlindungan ini mengurangi kerugian.