1 / 28

Keamanan Sistem (CS4633) ..:: Manajemen Resiko :

Keamanan Sistem (CS4633) ..:: Manajemen Resiko :. Pertemuan #5 21/09/2006 Fazmah Arif Yulianto. Manajemen resiko …. Resiko & sistem keamanan.

hector-hoffman
Download Presentation

Keamanan Sistem (CS4633) ..:: Manajemen Resiko :

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Keamanan Sistem (CS4633)..:: Manajemen Resiko : Pertemuan #5 21/09/2006 Fazmah Arif Yulianto

  2. Manajemen resiko • …

  3. Resiko & sistem keamanan • Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan perusahaan” • Sistem keamanan: “Semua tindakan yang dilakukan maupun aset yang digunakan untuk menjamin keamanan perusahaan”

  4. Klasifikasi resiko • Hazard risk: fire, flood, theft, etc. • Financial risk: price, credit, inflation, etc. • Strategic risk: competition, technological innovation, regulatory changes, brand image damage etc. • Operational risk: IT capability, business operations, security threat, etc. • …

  5. Resiko sebagai ‘fungsi’ = RISK Probability x Frequency x Impact RISK Threats + Vulnerability + Asset value

  6. Klasifikasi ancaman dikaitkan dengan informasi dan data • Loss of confidentiality of information • Informasi diperlihatkan kepada pihak yang tidak berhak untuk melihatnya • Loss of integrity of information • Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi • Loss of availability of information • Informasi tidak tersedia saat dibutuhkan • Loss of authentication of information • Informasi tidak benar atau tidak sesuai fakta atau sumbernya tidak jelas

  7. Metodologi Manajemen Resiko Identifikasi Aset Analisis Resiko Tindak Lanjut

  8. 1-Identifikasi Aset • Aset informasi: database, file data, dokumentasi sistem,manual pengguna, materi training, prosedur • Aset perangkat keras: perangkat komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat

  9. Identifikasi Aset (cont’d) • Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu • Aset infrastruktur: power supply, AC, rak • Aset layanan: layanan komputer dan komunikasi • FAZ: manusia  aset?

  10. Dasar penilaian terhadap aset • Nilai beli: pembelian awal dan biaya pengembangan aset • Nilai wajar pasar • Nilai buku: nilai pembelian dikurangi penyusutan

  11. Pentingnya nilai aset • Bisa digunakan untuk menentukan analisis biaya-keuntungan • Bisa digunakan untuk keperluan asuransi • Dapat membantu pengambil keputusan dalam memilih tindakan penanggulangan terhadap pelanggaran keamanan

  12. Klasifikasi nilai aset • Rendah: kehilangan fungsi aset tidak mengganggu proses bisnis untuk sementara waktu • Sedang: kehilangan fungsi aset mengganggu proses bisnis • Tinggi: kehilangan fungsi aset menghentikan proses bisnis

  13. Identifikasi Aset Analisis Resiko Tindak Lanjut

  14. 2- Analisis resiko “Mencegah lebih baik daripada memperbaiki”

  15. Perlunya analisis resiko • Memberi gambaran biaya perlindungan keamanan • Mendukung proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW • Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan • Menentukan aset tambahan (orang, HW, SW, infrastruktur, layanan)

  16. Perlunya analisis resiko (cont’d) • Memperkirakan aset mana yang rawan terhadap ancaman • Memperkirakan resiko apa yang akan terjadi terhadap aset • Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali

  17. Pendekatan analisis resiko • Kuantitatif: pendekatan nilai finansial • Kualitatif: menggunakan tingkatan kualitatif • Bisa dilakukan secara bersama atau terpisah  pertimbangan waktu dan biaya

  18. Analisis resiko kuantitatif • NILAI FINANSIAL • Dapat dijabarkan dlm bentuk neraca, laporan tahunan, analisis pasar dll • Digunakan untuk mengestimasi dampak, frekuensi, dan probabilitas

  19. Annualized Loss Expectation ALE = nilai aset x EF x ARO • ALE: Annualized Loss Expectation (perkiraan kerugian per tahun) • EF: Exposure factor (persentase kehilangan karena ancaman pada aset tertentu) • ARO: Annualized Rate of Occurrence (perkiraan frekuensi terjadinya ancaman per tahun)

  20. Analisis resiko kualitatif • Penilaian terhadap aset, ancaman, kemungkinan dan dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif • Lebih sering digunakan daripada metode kuantitatif

  21. Pendekatan kualitatif lebih sering digunakan • Sulitnya melakukan kuantifikasi terhadap nilai suatu aset (contoh: informasi) • Sulitnya mendapatkan data statistik yang detail mengenai kecelakaan komputer • Buruknya pencatatan insiden komputer dalam perusahaan (banyak hal [angka] sebenarnya bisa diambil dari sejarah) • Kesulitan dan mahalnya melakukan prediksi masa depan

  22. Kuantitatif vs kualitatif

  23. Identifikasi Aset Analisis Resiko Tindak Lanjut

  24. 3-Respon terhadap resiko • Avoidance: pencegahan terjadinya resiko • Transfer: pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi • Mitigation: pengurangan probabilitas terjadinya resiko dan/atau pengurangan nilai resiko • Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency plan

  25. Matriks pengelolaan resiko

  26. Mitigasi • Pendekatan yang paling umum dilakukan • Melibatkan: • Penyusunan kendali untuk mengurangi dampak resiko • Kemampuan pengawasan untuk menjamin analisis yang benar terhadap resiko The most important element of any risk management effort is managing risk to an acceptable level

  27. IT Security Risks Major Areas • Asset protection: bagaimana kita menjamin sumber daya organisasi tetap aman, hanya bisa diakses oleh yang berhak untuk keperluan yang benar? • Service continuity: bagaimana kita menjamin ketersediaan layanan -tanpa penurunan kualitas- untuk pegawai, partner, dan pelanggan? • Compliance: bagaimana kita membuktikan bahwa semua requirement dari regulasi telah terpenuhi?

More Related