LECTURE NOTES
7183TITRiskManagementandDisasterRecovery
LEARNING OUTCOMES
OUTLINE MATERI :
-
CIA triad
Identifikasi,
otentikasi,
otorisasi
Penilaian risiko
Keamanan prinsip
Informasi perang
7183TITRiskManagementandDisasterRecovery
ISI
CIA Triad dalam konteks Keamanan informasi memiliki tiga tujuan utama:
- Menjaga kerahasiaan,
- Integritas, dan
- Ketersediaan sumber daya informasi.
KERAHASIAAN
mekanisme kerahasiaan menegakkan kerahasiaan data Anda.
-
Kriptografi: Dapat digunakan untuk mengenkripsi isi file sensitif dan melindungi
mereka dari mata-mata, bahkan ketika kontrol akses dan mekanisme sistem
keamanan file gagal.
Unclassified: Informasi ini mungkin akan bebas berbagi dengan publik tanpa risiko
kerusakan pada keamanan nasional. Informasi ini tunduk pada pengungkapan publik di
bawah Freedom of Information Act (FOIA). Contoh jenis informasi ini adalah sebagian
dari Code of Federal Regulations.
7183TITRiskManagementandDisasterRecovery
Sensitif Tapi Unclassified (SBU): Level ini juga dikenal sebagai Hanya Untuk
Penggunaan Resmi (FOUO); informasinya mungkin tidak mempengaruhi keamanan
nasional, tapi dilindungi dari rilis FOIA oleh salah satu dari sembilan pengecualian
hukum.
Rahasia: Informasi ini akan menyebabkan kerusakan pada keamanan nasional jika dirilis
ke pihak yang tidak berhak. Ini adalah tingkat terendah dimana informasi dianggap
"rahasia" oleh pemerintah dan memerlukan semua penerima memiliki izin keamanan
formal.
INTEGRITAS
Mekanisme kontrol akses: Mencegah individu yang tidak sah mengakses sistem dan
memodifikasi data.
File system kontrol keamanan: Kontrol hak para pengguna data. Mereka mungkin
memberikan sejumlah besar izin pengguna untuk membaca data tetapi hanya beberapa
yang dapat memodifikasi data.
KETERSEDIAAN
Jika kerahasiaan dan integritas mekanisme dilakukan secara ekstrim, mereka mungkin
mencegah pengguna resmi dari mengakses data dan menggunakannya secara sah.
Selain itu, hacker bisa melakukan serangan yang dirancang khusus untuk mencegah
orang yang berwenang dari mengakses sumber daya komputasi.
Jenis serangan, yang dikenal sebagai denial-of-service attack (DoS), adalah sangat
umum. Bahkan, serangkaian dipublikasikan dengan baik dari serangan DoS. Pada bulan
Februari 2000, hampir menutup beberapa situs Web e-commerce, termasuk Yahoo!,
Amazon.com, dan eBay.
7183TITRiskManagementandDisasterRecovery
Layanan keamanan yang diperlukan untuk mendukung system tiga kaki dari CIA yaitu:
- Memungkinkan pengguna untuk mengidentifikasi diri dengan sumber daya yang
dilindungi.
- Menyediakan sarana untuk sumber daya agar secara objektif mengkonfirmasi identitas
pengguna.
- Menyediakan administrator sumber daya dengan mekanisme untuk menentukan user
mana yang dapat mengakses sumber daya.
Idetifikasi
-
Mekanisme identifikasi yang paling umum sekarang digunakan adalah username (atau ID
login), sering terdiri dari kombinasi huruf dari nama pengguna pertama dan terakhir.
Sistem harus memiliki cara untuk mengidentifikasi pengguna individu untuk mencapai
akuntabilitas.
Otentikasi
Mekanisme Otentikasi:
Seorang pengguna mengetahui: Ini bagian dari informasi pribadi hanya diketahui
pengguna. Ia paling umum mengambil bentuk sebuah password yang diberikan ke sistem
dalam kombinasi dengan username. Dengan menyediakan username, pengguna
mengidentifikasi dirinya ke sistem. Namun, banyak orang mungkin tahu (atau menjadi
bisa menebak) nama pengguna.
Sesuatu pengguna adalah: Karakteristik fisik adalah unik kepada pengguna. Pengguna
mungkin akan diminta untuk menyerahkan pembacaan sidik jari, retina scan, atau iris
scan atau mungkin diminta untuk berbicara frase menjadi perangkat voiceprint. Ini jenis
pengukuran, berdasarkan fitur biologis tubuh pengguna, yang dikenal sebagai
pengukuran biometrik.
7183TITRiskManagementandDisasterRecovery
Sesuatu pengguna memiliki: elemen ini bergantung pada kepemilikan fisik perangkat,
seperti beberapa bentuk kunci, kartu akses, atau perangkat fisik lainnya yang entah
bagaimana berinteraksi dengan sistem keamanan untuk membuktikan identitas pengguna.
Kata sandi dan pengukuran biometrik (seorang pengguna mengetahui dan sesuatu
pengguna)
Kunci fisik dan password (contoh lain dari sesuatu pengguna memiliki sesuatu dan
pengguna mengetahui)
Kartu akses dan pengukuran biometrik (sesuatu pengguna memiliki sesuatu dan
pengguna)
Otorisasi
Setelah pengguna telah mengidentifikasi dirinya sendiri dan telah puas kepada mekanisme
otentikasi yang berlaku, sistem harus memiliki beberapa cara untuk memutuskan apa tingkat
akses yang akan diberikan. Proses ini dikenal sebagai otorisasi, yang mengontrol hak istimewa
yang tepat diberikan kepada pengguna sistem.
Ancaman
Institut SANS merekomendasikan bahwa Anda melihat tugas prioritas ancaman dari tiga
perspektif yang berbeda:
7183TITRiskManagementandDisasterRecovery
Gol Bisnis: Anda harus menganalisis tujuan dan tujuan organisasi Anda dan
mengevaluasi ancaman berdasarkan analisis tersebut. Misalnya, jika Anda memproduksi
widget di sebuah pabrik tunggal yang berisi bernilai tinggi, peralatan unik, Anda akan
memprioritaskan ancaman yang membahayakan pabrik itu karena itu adalah baik tak
tergantikan dan kritis bagi bisnis.
Data divalidasi: Ide di balik data yang divalidasi adalah belajar dari kesalahan Anda.
Hal ini menuntut menyimpan catatan dari setiap kompromi keamanan yang terjadi di
jaringan Anda.
Industri praktek terbaik: Perluas pada penggunaan data divalidasi dan belajar dari
kesalahan orang lain juga. Semua sistem harus dilindungi terhadap nomor terkenal
ancaman keamanan komputer.
Kerentanan
-
Ada ketika kelemahan dalam postur keamanan Anda membuka sedemikian sampai
ancaman potensial.
Misalnya, jika Anda memiliki atap yang bocor, ini adalah kerentanan yang membuat
Anda dalam bahaya kerusakan bila hujan lebat.
7183TITRiskManagementandDisasterRecovery
SIMPULAN
Risiko keamanan dari Information Technology dapat dinyatakan sebagai berikut:
1. Risk merupakan kondisi yang dipengaruhi oleh Treat dan Vulnerability.
2. Risk diklasifikasikan sebagai high, low moderate.
3. Pengklasifikasian dari risk adalah sbb
7183TITRiskManagementandDisasterRecovery
DAFTAR PUSTAKA
1. Slay, Jill and Andy Koronios, Security and Risk Management, 2006, John Wiley & Sons,
Inc.
2. Jordan, Ernie & Luke Silcock, Beating IT Risks, 2005, PA Consulting Group. John Wiley &
Sons, Ltd.
3. Alberts, Christopher and Audrey Dorofee. Managing Information Security Risks, The
OCTAVESM Approach, 2003, Addison Wesley.
4. Peltier, Thomas R., Information Security Risk Analysis, 2001, Auerbach.
5.
Whitman, M.E., Mattoro, H.J. (2007). Principles of Incident Response and Disaster Recovery.