Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
-
Upload
hector-hoffman -
Category
Documents
-
view
91 -
download
2
description
Transcript of Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
![Page 1: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/1.jpg)
Keamanan Sistem (CS4633)
..:: Manajemen Resiko :
Pertemuan #521/09/2006
Fazmah Arif Yulianto
![Page 2: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/2.jpg)
• Manajemen resiko• …
![Page 3: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/3.jpg)
Resiko & sistem keamanan
• Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan perusahaan”
• Sistem keamanan: “Semua tindakan yang dilakukan maupun aset yang digunakan untuk menjamin keamanan perusahaan”
![Page 4: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/4.jpg)
Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.• Financial risk: price, credit, inflation, etc.• Strategic risk: competition, technological
innovation, regulatory changes, brand image damage etc.
• Operational risk: IT capability, business operations, security threat, etc.
• …
![Page 5: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/5.jpg)
Resiko sebagai ‘fungsi’
Probability Frequency Impact
=
x x
Threats Vulnerability Asset value+ +
![Page 6: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/6.jpg)
Klasifikasi ancaman dikaitkan dengan informasi dan data
• Loss of confidentiality of information– Informasi diperlihatkan kepada pihak yang tidak
berhak untuk melihatnya• Loss of integrity of information
– Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi
• Loss of availability of information– Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information– Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
![Page 7: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/7.jpg)
Metodologi Manajemen Resiko
Identifikasi Aset
Analisis Resiko
Tindak Lanjut
![Page 8: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/8.jpg)
1-Identifikasi Aset
• Aset informasi: database, file data, dokumentasi sistem,manual pengguna, materi training, prosedur
• Aset perangkat keras: perangkat komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat
![Page 9: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/9.jpg)
Identifikasi Aset (cont’d)
• Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu
• Aset infrastruktur: power supply, AC, rak • Aset layanan: layanan komputer dan
komunikasi
• FAZ: manusia aset?
![Page 10: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/10.jpg)
Dasar penilaian terhadap aset
• Nilai beli: pembelian awal dan biaya pengembangan aset
• Nilai wajar pasar• Nilai buku: nilai pembelian dikurangi
penyusutan
![Page 11: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/11.jpg)
Pentingnya nilai aset
• Bisa digunakan untuk menentukan analisis biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi• Dapat membantu pengambil keputusan
dalam memilih tindakan penanggulangan terhadap pelanggaran keamanan
![Page 12: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/12.jpg)
Klasifikasi nilai aset
• Rendah: kehilangan fungsi aset tidak mengganggu proses bisnis untuk sementara waktu
• Sedang: kehilangan fungsi aset mengganggu proses bisnis
• Tinggi: kehilangan fungsi aset menghentikan proses bisnis
![Page 13: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/13.jpg)
Analisis Resiko
Identifikasi Aset
Tindak Lanjut
![Page 14: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/14.jpg)
2- Analisis resiko
“Mencegah lebih baik daripada memperbaiki”
![Page 15: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/15.jpg)
Perlunya analisis resiko
• Memberi gambaran biaya perlindungan keamanan
• Mendukung proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW
• Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW, SW, infrastruktur, layanan)
![Page 16: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/16.jpg)
Perlunya analisis resiko (cont’d)
• Memperkirakan aset mana yang rawan terhadap ancaman
• Memperkirakan resiko apa yang akan terjadi terhadap aset
• Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali
![Page 17: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/17.jpg)
Pendekatan analisis resiko
• Kuantitatif: pendekatan nilai finansial• Kualitatif: menggunakan tingkatan
kualitatif
• Bisa dilakukan secara bersama atau terpisah pertimbangan waktu dan biaya
![Page 18: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/18.jpg)
Analisis resiko kuantitatif
• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca, laporan tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak, frekuensi, dan probabilitas
![Page 19: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/19.jpg)
Annualized Loss Expectation
ALE = nilai aset x EF x ARO
• ALE: Annualized Loss Expectation (perkiraan kerugian per tahun)
• EF: Exposure factor (persentase kehilangan karena ancaman pada aset tertentu)
• ARO: Annualized Rate of Occurrence (perkiraan frekuensi terjadinya ancaman per tahun)
![Page 20: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/20.jpg)
Analisis resiko kualitatif
• Penilaian terhadap aset, ancaman, kemungkinan dan dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif
• Lebih sering digunakan daripada metode kuantitatif
![Page 21: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/21.jpg)
Pendekatan kualitatif lebih sering digunakan
• Sulitnya melakukan kuantifikasi terhadap nilai suatu aset (contoh: informasi)
• Sulitnya mendapatkan data statistik yang detail mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer dalam perusahaan (banyak hal [angka] sebenarnya bisa diambil dari sejarah)
• Kesulitan dan mahalnya melakukan prediksi masa depan
![Page 22: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/22.jpg)
Kuantitatif vs kualitatif
![Page 23: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/23.jpg)
Tindak Lanjut
Identifikasi Aset
Analisis Resiko
![Page 24: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/24.jpg)
3-Respon terhadap resiko
• Avoidance: pencegahan terjadinya resiko• Transfer: pengalihan resiko dan
responnya ke pihak lain. Contoh: asuransi• Mitigation: pengurangan probabilitas
terjadinya resiko dan/atau pengurangan nilai resiko
• Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency plan
![Page 25: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/25.jpg)
Matriks pengelolaan resiko
![Page 26: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/26.jpg)
Mitigasi
• Pendekatan yang paling umum dilakukan• Melibatkan:
– Penyusunan kendali untuk mengurangi dampak resiko
– Kemampuan pengawasan untuk menjamin analisis yang benar terhadap resiko
The most important element of any risk management effort is managing
risk to an acceptable level
![Page 27: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/27.jpg)
IT Security Risks Major Areas• Asset protection: bagaimana kita menjamin
sumber daya organisasi tetap aman, hanya bisa diakses oleh yang berhak untuk keperluan yang benar?
• Service continuity: bagaimana kita menjamin ketersediaan layanan -tanpa penurunan kualitas- untuk pegawai, partner, dan pelanggan?
• Compliance: bagaimana kita membuktikan bahwa semua requirement dari regulasi telah terpenuhi?
![Page 28: Keamanan Sistem (CS4633) ..:: Manajemen Resiko :](https://reader035.fdokumen.com/reader035/viewer/2022062400/5681381a550346895d9fcb46/html5/thumbnails/28.jpg)