belajarbersama:ManajemenRisikodanAudit

Babiniberfokuspadamanajemenrisikosenimenganalisisancamandankerentanan,danmenentukandampak
risikoyangdapatterjadiperusahaanAnda.Manajemenrisikojauhlebihdarisekedarmenentukanberbagairisiko
yangmengarahpadaAnda.Inimerupakaneksplorasidariberbagaipendekatandanteknikuntukmengelolarisiko
ini.
Andamungkinbertanyapadadirisendiri:Mengapamanajemenrisikosangatpenting?Halinikarenasetiap
perangkatkeraskomputeratauimplementasiperangkatlunakmemilikibeberaparesikokeamananyangberkaitan
denganpenggunaannya.AmbilcontohsituasidimanaperusahaanAndainginmenerapkanarsitekturLANnirkabel
untukdisandingkandenganjaringankabel.Adarisikoyangterdokumentasi(dansebagiantidakterdokumentasi)
yangterkaitdenganteknologinirkabel(WLAN)LAN.ApakahAndahanyamengabaikanrisikodanmenanamkan
WLANtanpaadakekhawatiran?Disinilahteknikmanajemenrisikoyangdigunakanuntukmenentukantingkat
risiko,danjikakitabisahidupdengantingkatrisikoitu.
Fokusutamamanajemenrisikoadalahuntukmengurangirisikosampaipadatingkatyangdapatditerima.Tingkat
yangdapatditerimayangsebenarnyaakanbervariasidariperusahaankeperusahaan.Namun,manajemenrisiko
berartibahwakitaperlumengidentifikasi,mengontrol,danmeminimalkankerugianyangberhubungandengan
risikomasingmasing.Kitamulaidenganmemahamiprosesmanajemenrisiko,konsepancamandankerentanan,
danhubungankesemuanyadenganpenilaianrisiko.
AwalProsesManajemenRisiko
Manajemenrisikomelibatkanpemahamantentangbagaimanakeamanandiimplementasikandalamorganisasi
Anda,danbagaimanaancamankeamananmempengaruhioperasibisnisAnda.Sebagaiaturanumum,sebelum
Andadapatmulaimengelolarisiko,AndaperlumemahamioperasibisnisAndadanjenisrisikoyangmungkindapat
dialami.
KebutuhanManajemenRisiko
Mengapamanajemenrisikosangatpentinguntuksebuahorganisasi?Faktanyaadalahadarisikodisekitarkita.
Beberaparisikosifatnyatidakmerusak,meskipunadabeberapayagdapatmenyebabkanbencana.
PertanyaannyaadalahapakahAndatahuaparisikorisikotersebut.Lebihpentinglagi,apayangakanAnda
lakukanjikarisikorisikoitumenjadinyata?
AmbilcontohdariseseorangyangtinggaldisebuahrumahtigajutadolardipantaidiMalibu,California.Setiap
beberapatahunbadaibesarmenghantamPantaiBaratdanmenyebabkanlautmenghasilkanbeberapa
gelombangyangcukupmengagumkanyangmembenturpantai.Setiaptahunbanyakrumahyanghancurakibat
badai.Andamungkinbertanyapadadirisendirimengapaadaorangyangmemilihuntuktinggaldidaerahdimana
rumahmerekakemungkinanbesarakandihancurkanolehbadai.Kemungkinanbesarpemiliktelahmelakukan
beberapabentukpenilaianrisikodanmanajemenrisiko.Artinya,merekatelahmenentukanrisikoyangterkait
dengankepemilikansebuahrumahdipantai(badai),menganalisisdampakdaririsikotersebut(rumahbisa
hancur),danmenentukansuatutindakantentangbagaimanauntukmenanganirisiko(asuransipembelian).
Dalamcontohini,kitatelahmembahaspenyebab,efek,danresponterhadapkondisirisiko.
SepertiyangAndabayangkan,setiapindustrimemilikibagianmerekadalamrisikooperasional.Samahalnya
denganbidangteknologiinformasi.SetiapkomputeratausistemdiInternetataujaringanlainrentanterhadap
serangan.MemilikisistemdiInternetsepertimengambilkelassenibeladiriAndaakanmendapatkanpukulan.
PertanyaanpertanyaanyangperluAndatanyakanpadadiriAndaadalah:SeberapakerasAndaakan
mendapatkanpukulan?Apakerusakanjikasayaterpukul?Apayangbisasayalakukanuntukmeminimalkan
kerusakan?Ingat,dalammanajemenrisikokitafocusterhadappenyebab,efek,dantanggapankitaterhadap
insidenrisiko.
Dalambabini,kitamenyusundefinisidanasumsitentangrisikoseputarkonseptigaserangkaikeamanan

informasi:kerahasiaan,integritas,danketersediaan.Kitaharusmengingatingatkonsepkonsepiniketika
melakukanpenilaianrisikodankeputusanmanajemenrisiko.Dalammanajemenrisiko,kitamencaricarauntuk
meminimalkandampakyangdapatmempengaruhikerahasiaaninformasikita,integritassistemdandata,dan
ketersediaaninfrastruktur.
Manajemenrisikomembantumenejemensisteminformasi(IS)mencapaikeseimbanganantaradampakrisikodan
perhitunganbiayalangkahlangkahperlindungan.Tujuandarimanajemenrisikoadalahuntukmengidentifikasi,
mengukur,mengendalikan,danmeminimalkanataumenghilangkankemungkinanserangan.
catatan:
Apakahasetyangkitalindungi?DariperspektifIS,asetkitadapatmencakup:hardware(PC,server,diskdrive,dan
router),perangkatlunak(program,utilitas,dansistemoperasi),datadaninformasi(diproses,disimpan,backup,
logaudit,dandatabase),orang,dokumentasi(program,perangkatkeras,sistem,danproseduradministratif
lokal),danpersediaan(kertas,bentuk,pita,danmediamagnetik).
ProsesManajemenRisiko
Tujuandarimanajemenrisikoadalahuntukmengidentifikasidiareaareamanaperlindungan(atau
penanggulangan)diperlukanuntukmencegahpengungkapanlangsungyangkuranghatihatidantidaksahatau
informasiyangdimodifikasi.
Langkahlangkahdalamprosesmanajemenrisikoyangefektifadalah:
1.MelakukanpenilaiancepatterhadaprisikosehinggaAndatahuapakebijakankeamananyangperluAnda
cakup.InimembentukdasarbagikebijakankeamananAnda,disertaimasukandariberbagaidepartemenbisnis.
2.Sepenuhnyamenganalisisrisiko,ataumengidentifikasipraktikindustrisebagaiperhatian,menganalisis
kerentanan.
3.Mengaturinfrastrukturkeamanan.
4.KntrolDesain,menulisstandaruntuksetiapteknologi.
5.Menentukansumberdayaapayangtersedia,memprioritaskanpenanggulangan,danmelaksanakan
penanggulanganprioritasyangutamayangdapatandalakukan.
6.Melakukanreviewperiodikdantestesyangmemungkinkan.
7.Melaksanakandeteksiintrusidanresponinsiden.
Kitaperlumulaidengankebijakankarenainiakanmenentukansikapkeamananyangdiinginkanperusahaanutnuk
melindungidenganhormatsumberdayaperusahaan.JikaAndamemilikikebijakankeamananyangsangat
terbuka(misalnya,AndamembiarkansegalahalkeluarmasukjaringanperusahaanAnda),danAnda
memperhatikanrisikopadajaringanAnda,makakebijakanyangAndainginkantidaksesuaiimplementasiAnda.
KebijakankeamananakanmengarahkanAndakeareaoperasibisnisAndayangmembutuhkanperlindungan.
Tidaklahmungkinuntukmenerapkanperlindungan100%untukperusahaanAnda.Pendekatanyangterbaik
adalahdenganberkonsentrasiterlebihdahuluuntukmelindungidaerahdaerahorganisasiAndayangjika
terganggu,bisamendatangkankerusakanpalingbesar.Pengembangankebijakankeamanandicakuplebihrinci
dalamBab8.
Langkahkeduadalammanajemenrisikoadalahuntukmenganalisisrisikodanmenentukandampaknyaterhadap
organisasiAnda.Inijugamelibatkanpenlikanpraktekindustriterbaikuntukmenjagakeamanan.Sebagaicontoh,
kitatahubahwasistemoperasiWindowsmemilikikerentananyangluasdanbahwakonfigurasidefaultWindows
2000tidakaman.JikaorganisasitelahmemutuskanbahwamerekaakanmenggunakanWindows2000sebagai
pilihansistemoperasimereka,makalangkahselanjutnyaadalahmenentukanapayangdapatdilakukanuntuk
lebihmengamankansistem.Adabanyaksumberdaya,sepertiPanduanStepbystepPengamananWindows2000
yangdikembangkanolehInstitutSANS.DokumeninididasarkanpadamasukandaripakarkeamananWindows
dariberbagailatarbelakang.Padaakhirnya,dokumenyangdihasilkanadalahmengenaiistilahapadalampraktek
industriterbaik..untukmengamankansistemWindows2000.Tapipekerjaantersebuttidakberhentidisitu.
Kerentananditemukansetiaphari,sehinggaAndaperluuntukmenganalisiskelemahandanmenentukanapakah

danbagaimanamerekamempengaruhijaringanAnda.
Perludiketahuibahwaparadigmamengenaipenerapanpraktikindustriterbaikiniberlakuuntukversiversilaindari
sistemoperasiWindowsdanlainsebagainya,sepertibeberapavariansistemoperasimiripUnix.
GunakanInternetuntukmenelitirisikospesifikyangbiasanyaterlihatdalamindustriAnda.Banyakorganisasi
sepertiGartner(http://www.gartner.com)danComputerEconomics(http://www.computereconomics.com)terlibat
dalampenelitiandanmenghasilkanlaporanyangmenyebutmengenaikerentanandanrisikoberbasisindustri.
Sepertiyangkitanyatakansebelumnya,analisisrisikomelibatkanmenentukanrisikodanmenentukandampaknya
terhadapinfrastruktur.Gambardiatasadalahmatriksanalisisresiko.SumbuXadalahkekerasankonsekuensi,
dinilaidarirendahketinggi.Artinya,karenarisikoatautingkatkeparahanmeningkat,makademikianjuga
kerusakanyangdiakibatkannya.SumbuYadalahbesarankemungkinanbahwarisikotersebutbenarbenarbisa
terjadi,jugadinilaidarirendahketinggi.Tujuannyaadalahuntukberkonsentrasipadabidangbidangtersebutyang
menghasilkankekerasankonsekuensimenengahketinggidansebuahkemungkinanmenengahketinggiyang
mungkinbenarbenarterjadi.Sebagaicontoh,tingkatkeparahankonsekuensidarisebuahmeteorbesarmemukul
bumitinggi,tetapibesarankemungkinannyarendah.Skenarioinitidakakanmenjadibidangperhatian.Namun,
menempatkanecommercekitadiInternetdantidakmelindunginyadenganfirewalldapatmengakibatkan
probabilitastinggibahwasistemakandibahayakandankeparahankonsekuensi.Yangtinggi
SetelahkebijakankeamananAndaterdefinisi,langkahselanjutnyaadalahmenyiapkaninfrastrukturkeamanan.Ini
bisamenjadikombinasidarikontrolkeamananadministratif,teknis,ataufisikuntukmengatasirisikoyang
teridentifikasi.Kontroladministrasitermasukkebijakandanprosedurdanpelatihankesadarankeamananbagi
penggunaakhir.Kontrolteknisadalahsolusiberbasisteknologi.Firewall,sistemdeteksiintrusi,perlindungan
softwareantivirus,danpenggunaanenkripsiadalahcontohdarikontrolteknis.
SetelahAndamemilihkontrol,dansebelumAndamenggunakannya,Andaharusmenulisstandar(ataupedoman)
untuksetiapjeniskontrolyangdigunakan.Standarstandariniakanmenentukanbagaimanakontrolakan
digunakanuntukperlindungankeamanan.Misalnya,jikaAndamemutuskanuntukmenerapkansistem
perlindunganantivirussebagaitindakanpencegahanterhadapvirusdankodeberbahaya,makaAndajuga
dimungkinkanuntukmengembangkanstandarpelaksanaandapatditerimauntukitujuga,sepertifrekuensi
pemindaianharddisk.KadangkadangAndamungkinharusmemodifikasistandarstandarini.Misalnya,jikaanti
virussignatureupdateandadijadwalkanbulanan,tetapiAndamenemukanbahwahalinitidakcukupseringkarena
perkembangbiakanvirusbaru,Andaakanmengubahfrekuensiupdatemenjadimingguan,harian,ataubahkanper
jam.
KemungkinanbesarAndaakanperlumenentukanapasumberdayayangtersedia(dalamhalpersonildan
teknologi),danmemprioritaskanpenanggulanganuntuksetiaprisikoyangdiidentifikasi.Karenabisajadisulituntuk
mengelolasemuarisikopadasaatyangsama,Andaperlumenentukantindakanpencegahanmanayang
merupakanprioritasutama,danmenerapkannyaterlebihdahulu.
UlasandanpengujianberkalainfrastrukturkeamananAndasangatlahpenting,karenatanpahalhaltersebut,Anda
tidakakanmemilikigambaranyangakurattentangseberapabaiksistemAndadijamin.Metodeyangkhasuntuk
mencapaiinitermasukmenampilkanteskerentanan,meninjaukebijakankeamanandanprosedur,sertapengujian
berbagaikontroladministratifdanteknis.
Danakhirnya,ituadalahpraktekterbaikyangditerimauntukmelaksanakanbeberapabentukdeteksiintrusidan
untukmengembangkanrencanaresponinsidendidalamacaradimanasistemAndadikompromikan.Kitaakan
mencakupmanfaatdarideteksiintrusidanpenangananinsidenkemudiandalambabini.
Penekananpadamanajemenrisikoadalahpadaproses,bukanhanyaserangkaiantindakan.Prosesini
memungkinkankamimengidentifikasiinformasidandatayangterancam,terutamaolehkelemahandalamsistem
informasikami,mengukurunsurrisikodenganmisikami,mengidentifikasidimanakitadapatmenerapkankontrol
ataupenanggulangan,danmenyediakandasaruntukmemutuskanbagaimanaancamanyangditimbulkanoleh
masingmasingrisikoakanberkurang.Kitadapatmelakukanupayauntukmenghilangkansemuarisiko,tapiini

hampirtidakmungkin.Olehkarenaitu,kitaharusmenghubungkanmasalahkeamanankitadengannilaidari
informasidandatayangberadapadaISkita,danmemusatkansumberdayadanupayauntukmengurangirisiko
yangterkaitdenganisuisukeamananyangpalingmungkinmengancamasetkita.
mendefinisikanRisiko
Sekarangkitatelahmembahassecararinciprosesmanajemenrisiko,kitaharusmendefinisikankonsepancaman
dankerentanan,danbagaimanahaltersebutberhubungandenganrisikoanalisis.Identifikasirisikomelibatkan
pemahamanancamandankerentananterkaityangmungkinandaalami.Apadefinisirisiko?Definisiklasikrisiko
adalah:
Risiko=AncamanXKerentanan
Kerentanandidefinisikansebagaisuatukelemahandalamsebuahsistemyangbisadimanfaatkan.Andatelah
mendengarhalinisebelumnya.SebuahkerentananditemukandalamlayananklienFTPXYZyangjika
dieksploitasi,bisamengakibatkankualahandalampelindungan,atausemacamnya.Kerentananadalahkenyataan
bahwaklienFTPmemilikicacat,kelemahanyangdapatmenyebabkankompromisistem.Bahayanyaterletakpada
kenyataanbahwakerentanantersembunyiiniditemukandankemudiantereksploitasi.
Ancamanadalahsetiapperistiwayangdapatmenyebabkanhasilyangtidakdiinginkan.Ancamanbisamenjadi
eksploitasikerentanan.Ancamannyaadalahbahwaseseorangbenarbenarbisamemanfaatkankelemahaninidan
melemahkansistemAnda.
Identifikasipotensirisikobisamenjadipekerjaanyangmenakutkan.Kebanyakansetiapprodukteknologidari
sistemoperasiuntukaplikasiperangkatmemilikikerentananterekam(dantidakterekam)merekasendiri.
Misalnya,AndamungkinmenyadarikerentananterekamyangterkaitdenganpenggunaanMicrosoftInternet
InformationServer(IIS).Namun,sudahkahsemuakerentanandiidentifikasi?Kitabisamelindungidiridaririsiko
yangkitaketahuitapibagaimanadenganrisikoyangtidakkitaketahuikeberadaannya?Andasudahberadadalam
risikohanyadenganmengetahuifaktabahwasistemAndaterhubungkeInternet.
Variabellainyangharusdipertimbangkandalammanajemenrisikoadalahnilaidariaset.Asetbisaberupasumber
daya,produk,proses,atauapapunyangtelahdianggapmemilikinilaiolehperusahaan.Saatmenghitungefekdari
ancamanterhadapaset,bisajadidalamhalkerugiankeuangan,ataudalamhalhilangnyakerahasiaan,integritas,
atauketersediaanterhadapasettersebut.Nilaiasetbisaberwujudatautidakberwujud,danterdiridariberbagai
elemenyangterkaitdenganaset.Unsurunsurdapatmencakupbiayapengembangan,nilaipenggantian,nilai
kepemilikan,dannilaipublikyangdirasakan.
catatan
KadangkadangAndamungkinmelihatresikodidefinisikansebagai:
Risiko=AncamanxKerentananxnilaiAktiva
Dalamskenarioini,kitamemasukkannilaiasetsebagaivariabeldalampersamaankita.Iniberartibahwaada
faktorrisikoyanglebihtinggiketikanilaiasetjugalebihtinggi.Disisilain,saatnilaiasetmendekatinol,tingkat
risikokitajugaakanmendekatinol.Nilaiasettidakselalumengenainilaimoneter,tetapibisamenjadinilaisubyektif
sebagaigantinya.
ManajemenRisikoPilihan
SekarangAndaSetelahmengidentifikasiberbagairisiko,langkahberikutnyaadalahuntukmemutuskanapayang
akanAndalakukanmengenaihalitu.PilihanAndaadalah
Menerimaresikoapaadanya.
Mengurangiataumengurangirisiko.
Transferrisiko.
MenerimarisikoberartibahwaAndamemahamirisikotetapiAndabersediauntukhidupdengankonsekuensi
tereksploitasinyaresikoresikotersebut.PenerimaanRisikoadalahpilihanyangbenarakantetapidisertaidengan
konsekuensi.Idealnya,Andainginmeredakanatauminimal,mengurangirisikoketingkatyangdapatditerima.
Tingkatrisikoyangdapatditerimaadalahsubyektifapayangditerimaolehseseorangmungkintidakdapat

diterimayanglain.
Apakahmungkinuntukmenghilangkanrisikosepenuhnya?Halinidimungkinkan,tapisekalilagi,berapabiayanya?
Misalnya,jikasitusinternetecommerceAndaberesikoterhack,yangbisaAndalakukanadalahmenghubungkan
serverdariInternet,sehinggamenghilangkanrisikosepenuhnya.TapijikaAndamelakukanitu,bagaimana
mungkinAndamelakukanbisnis?Jaditujuannyaadalahuntukmengurangirisikoketingkatyangdapatditerima
danmasihdapatmenggunakansistemsepertiyangAndamau.Adagaristipisantaramenggabungkankontrol
keamananyangcukupuntukmengurangi(ataumenghilangkan)risiko,versuskegunaandarisistem.
Pilihanlainadalahuntukmentransferrisiko.Halinijugadikenalsebagaipilihanmodelasuransi.Dalamskenarioini,
AndamenyerahkanrisikokepadapihakketigayangmenjaminAndaterhadapancamanhinggabatasantertentu.
Contohmanajemenrisikodidunianyata
Marikitalihatapakahkitadapatmenerapkansituasikehidupannyatalainuntukmanajemenrisiko.Banyakorang
mengendaraimobiluntukpergibekerja,pergikesekolah,ataumengajakkeluargauntukberkendaradihari
Mingguyangcerah.Adabeberaparisikoyangterlibatdenganmengemudimobil.Terutama,kitaberpikirtentang
kecelakaanmobildanfaktabahwaadarisikobahwakitaakanmengalamisalahsatunya.Jikakitahanya
menerapkanapayangkitadilputisehubungandenganmanajemenrisiko,kitadapatmengasumsikanbahwa
kerentanan(kelemahan)adalahkenyataanbahwamobilkitabisaditotaljikaditabrakmobillain.Ancamannya
adalahkenyataanbahwaseseorangmenabrakmobilkita.Olehkarenaitu,risikoadalahkelemahankaliancaman
seseorangbenarbenarmenabrakmobilkita.Jadiapapilihankita?Nah,kebanyakandarikitamenerima
kenyataanbahwakitabisamengalamikecelakaandanmembeliasuransiuntukmentransferrisikokepadaorang
lain.
Pilihanlainadalahmencobauntukmengurangirisikoketingkatyangdapatditerima.Disisiyanglebihdrastis,kita
bisamemutuskanuntuktidakmengemudilagi,sehinggamenghilangkanrisikomengalamikecelakaan.Apakahini
layak?Sayakirademikian,tapiadabanyakpengorbananpribadijikakitamengambilpendekatanini.Kitabisa
mengurangirisikodenganmengemudidisisijalanyangjarangdilaluiataumengemudidijamjamsepi.Namun,
bersamasetiapkeputusanyangkitabuatmengenaimengurangirisikodatangpulapergeserandalamcaranormal
kitamelakukanberbagaihal.
ManajemenRisikoPertanyaan
Untukmemutuskanantaramenerima,mengurangi,ataumentransferresiko,kitaperlulebihmemahamirisikodan
bagaimanahalitumempengaruhikita.Ketikamengevaluasirisiko,akansangatmembantuuntukbertanyapada
dirisendiribeberapapertanyaankunci:
Apayangbisaterjadi?
Jikahalituterjadi,bisamenjadiseburukapakahhalitu?
Seberapaseringhalitubisaterjadi?
Seberapabisadiandalkannyajawabanataspertanyaanpertanyaandiatas?
Jawabanataspertanyaanpertanyaaninimembantukitafokuspadaancamanyangsebenarnyadanmendapatkan
pemahamanyanglebihbaikmengenaidampaknyajikaancamantersebutbenarbenarterjadi.Pertanyaan
pertamaadalahbertanyakepadadirisendiri:apasebenarnyayangkitatakutkan?Apakahancamanyang
sebenarnya?Apakahancamantersebutsesuatuyangnyata?Dapatkahkitamendefinisikanancamanstersebut
secaraakurat?
Danjikakitadapatmendefinisikanancaman,kerusakanapayangbisadisebabkan?Seberapabesar
kemungkinankerusakan?Misalnya,kerusakanbisaberupaapasajamulaidarifilerusaksampaiterhapusnya
semuafilepenting.Dengankatalain,apadampakdariancamantersebut?
Variabellainyangperludipertimbangkanadalahfrekuensiancaman.Seberapaseringancamaninibisaterjadi?
Apakahhanyasekaliataubisaterjadilebihsering?
Pertanyaanterakhirberhubungandenganpengenalanketidakpastian.Artinya,seberapayakinAndaatasjawaban
untukketigapertanyaandiatas?DapatkahAndamemvalidasidanmembuktikanjawabanAnda?Inimungkin

pertanyaanyangsulitdijawab,karenamungkinakansulituntukmelakukanperhitungansecaraakuratmengenai
risikokitapadasistemoperasiatauprogrambarusaatkerentananbaruterusmenerusditemukan.
Risikomelibatkanketidakpastian.AmbilcontohkasuspengoperasianserverWeb.Andatahubahwadidalam
sebuahjaringan,serverWebyangtidakmemilikipatchdantidakterlindungiakanterancam.Inimungkintidak
terjadihariiniataumungkintidakterjadibesok,tapiiniakanterjadi.
Kehadiran,ketahanan,dankekuatandariancaman,sertaefektivitaspengamanan,harusdipertimbangkanketika
menilaikemungkinanterjadnyaancaman.
MenghitungRisiko.
Ekspektasikerugiantunggaldanekspektasikerugiantahunan
Ketikasemuasudahdiutarakandenganjelas,padaakhirnya,itusemuabermuarapadauang.Apayangakan
dipertimbangkanolehmanajemenadalah,"Berapabanyakkerugianfinansialyangkitabisatenerimadalamsatu
ancaman?"Jikadatabaseperusahaanterganggusedangkandatabasetersebutberisikanformularahasiamilik
anda(yangsangatberharga)untukobatrevolusionerAndaberikutnya,makaAndatidakakanmembiarkansatu
resikopunmasukkedalamsystemandayangmanaresikotersebutmungkinmengarahpadatercurinyaformula
ini.Ingatlahbahwasanyakitamenyatakanbahwarisikomelibatkanketidakpastian.Ketidakpastiandisiniadalah
bahwakitatidakbisasecaraakuratmenentukannilaipastidariformulatersebut(mungkinhalinimenghasilkan
jutaandolar,ataumungkintidakmenghasilkanuangsamasekalikarenaformulatersebutmungkintidakbekerja).
InisemuamengarahpadaperhitunganSingleLossExpectancyatauSLE(EkspektasiRugiTunggal).SLEadalah
nilaidolaryangditetapkanuntuksatueven.Artinya,ituadalahkerugianorganisasidarisebuahperistiwatunggal.
Rumusnyaadalah:
SLE=NilaiAset($)XFaktorEksposur(EF)
FaktorEksposur(paparan)(EF)adalahpersentasekerugianyangdapatdicapaiolehsebuahancamanterhadap
asset.EFinidinyatakandalam0sampai100%kerugianterhadapaset.Sebagaicontoh,jikasebuahbomnuklir
yangmeledakdisebuahkotakecil,dankotatersebutmemilikinilai90jutadolar,ekspektasirugitunggal(SLE)
akanmenjadi90jutadolar,karenakitadapatmengasumsikanbahwasebuahbomnuklirakanmenghasilkan
kerugian100%.
Apayangterjadiketikaperistiwaituterjadilebihdarisekali?KitakemudianmenghitungAnnualizedLoss
Expectancy(EkspektasiKerugianTahunan)atauALE.ALEadalahkerugiankeuangantahunanyangdiperkirakan
dariancamantersebut.
Rumusnyaadalah:
EkspektasiKerugianTahunan=EkspektasikerugiantunggalXRataratakejadiantahunan(AnnualizedRateof
Occurrence(ARO)
AnnualizedRateofOccurrence(ARO)ataurataratakejadiantahunanadalahfrekuensidimanaperkiraan
ancamandiperkirakanterjadi.Nilainyadapatberkisardarinolsampaidenganjumlahbesar.Kadangkadangnilai
AROmudahuntukdihitung.Kadangsangatsulituntukdihitung,padakenyataannya,seringkalijumlahinimenjadi
faktorketidakpastiandalamperhitunganmanajemenrisiko.
Sebagaiskenariokasusnyata,bayangkanAndaperlumenghitungjumlahkerugianpendapatankarenakaryawan
Anda.Surfingwebselamajamkerja(tidakterkaitdenganpekerjaan,tentusaja).Kitamulaidenganmenghitung
SLEtersebut.Untukinikitaperlunilaiasetdanfaktoreksposur.Jika25persendari1.000karyawanAnda
membuangsatujamdariwaktumerekasetiapmingguuntuksurfingwebdanbiayaperjamadalah$50,maka
rumusnyamenjadi:
SLE=$50/jamx250atau$12.500perminggu
Biayayangsignifikan.Jikakitainginmenghitungbiayatahunan,rumusmenjadi:
ALE=$12.500x50minggu(denganasumsiliburan2minggu)atau$650.000pertahun
PenilaianRisikoKualitatifvsKuantitatif
Adaduapendekatanpenilaianrisiko:kualitatifdankuantitatif.Dalampenilaianrisikokuantitatif,kitamencobauntuk

menetapkannilainumerikobyektif,biasanyanilaiinimenggambarkannilaikerugianmoneter.Penilaianrisiko
kualitatif,disisilain,lebihberkaitandengannilainilaiintangible,danberfokuspadavariabeldanbukanhanyapada
kerugianmoneter.
Penilaianrisikokualitatifjauhlebihmudahuntukdilakukandandapatmengidentifikasidaerahberisikotinggi.
Misalnya,AndaperlumelakukanpenilaianrisikountukmenentukandampakdarimenginstaljaluraksesLAN
nirkabeldalamorganisasiAnda.Halyangpertamaadalahuntukmenentukankerentanan,ancaman,danjuga
risikomenggunakanLANnirkabel.KemudianAndamenentukanapakahrisikotersebutberlakuuntukorganisasi
AndadanmenentukankemungkinanbahwaAndaberesiko.SalahsaturisikomenggunakanLANnirkabeladalah
kemungkinanseseorangmengenduslalulintasjaringannirkabel,danjaluraksesyangsalahkonfigurasidapat
memungkinkankoneksikliennakal.Iniadalahresikoyangnyatayangperluditangani.DapatkahAnda
menempatkannilaimoneterterhadaprisikorisikoini?JikaseseorangterhubungkejaringanAndamelaluijalur
aksesterbuka,berapabanyakperusahaanandaakankehilanganbiayadalampendapatannya?
SepertiyangdapatAndalihatdaricontohini,analisisrisikokuantitatifdalamsituasiinitidakcukupbekerja.
Pendekatankualitatifjauhlebihbaik,karenakitabisasampaipadahasilyanglebihsubjektif.Dalampenilaianrisiko
kualitatif,hasilnyabiasanyadikategorikansebagairendah,sedang,ataurisikotinggikejadian.Seseorang
mengoperasikanjaluraksesLANnirkabeldirumahdipedesaan,dimanatetanggaterdekatberjarak5mil,maka
risikoakanadanyaseseorangyangmencobauntukmasukkejaringannyasangatrendah.Sebuahperusahaandi
tengahtengahtamanberteknologitinggi,denganjaluraksesyangmemungkinkankoneksinakal,memilikirisiko
tinggi.
Penilaianrisikokuantitatifadalahalatbisnisyangjauhlebihberharga,karenaiabekerjadalamsystemmetrik
biasanyadalamdolar.Danbiayatotaldalamdolaradalahyangdicariolehmanajemenketikamanajemen
mencobauntukmemahamiimplikasitentangbagaimanasebuahrisikodapatmempengaruhiorganisasi.
PraktekPenilaianRisikoTerbaik
Salahsatumasalahyangdihadapiolehorganisasiadalahbahwasistemadministrasiadalahpekerjaanfinancial
yangtinggi,terutamadalamorganisasibesar.Selainitu,kebanyakansystemadministratorbanyakmemfokuskan
padakeretadatangtepatwaktu(berhubungandengandedline).Iniberartibahwamerekaberkonsentrasipada
sistemoperasidenganbenar,danmenghadapisituasidaruratyangmuncul.Sayangnya,iniberartibahwamereka
tidakdapatmelihatgambaranyanglebihbesar.Merekamungkintidakdapatmenerapkanperbaikanatau
penambalanyangdiperlukankarenainiakanmemungkinkanuntukdiberhentikannyasystemuntukjangkawaktu
tertentu,danhalinimungkindianggaptidakdapatditerima.Selainitu,konfigurasikeamananyangefektifmungkin
tidakdapatdipahami.Artinya,seorangadministratorsistemmungkinmenginstaldanmengelolaserverMicrosoft
IIStetapitidaksepenuhnyamemahamisemuamasalahkeamanankonfigurasi.Adajugamasalahbahwa
kerentananbarusedangterekspossetiaphari.Bertahandengankerentananberakhirmenjadipekerjaanpenuh
waktu.BayangkanmemilikijaringanyangterdiridaribeberapaserveryangmenjalankanWindows2000Advanced
ServerdanSunSolaris.Selanjutnya,tambahkanWindows2000workstationdanbeberapasystemLinuxRedHat.
Sekarangbayangkanmemastikanbahwasisteminidikonfigurasidenganbenaruntukkeamananyangoptimal,dan
Andajugaharusmengujisetiapsistemuntukmemastikanbahwaitubenarbenarterjamin.Sekarangtambahkan
faktabahwakerentananbaruditemukanhampirsetiaphari.BagaimanaAndatetapbertahan?BagaimanaAnda
mempertahankankonfigurasikeamanantingkattinggi?Pengujianmanualuntukkelemahansistemadalahproses
yangpanjangdansulit.
Sebuahpraktikpenilaianrisikoyangterbaikdapatmembantusebuahorganisasiyangtidakmemilikikemampuan
sendiriuntukmelakukanpenilaianrisikoyanglebihformal.Jenispenilaianrisikodidasarkanpadachecklist,
dibangunolehkonsensusdariberbagaikeamananprofesional.Alatotomatisyangbarumembuatpenilaianrisiko
menjadisederhanadanmudahuntukdilakukanolehkebnyakanadministratorsistem.
SumberdayaapakahyangdapatmembantuAndamenentukankonfigurasiamanterbaikuntukberbagaisistem
Anda?Tidakadaorganisasitunggalatauorangyangkemungkinanakanmenghasilkanrekomendasipraktik

terbaik.Artinya,mungkinseseorangmemilikiideyangcukupbagustentangbagaimanamengamankansistem
Windows2000tetapioranginiahlidefinitifpadasubjek?Apakahrekomendasimerekasolusiterbaikuntuk
lingkunganspesifikAnda?Bahkanrekomendasidarisebuahperusahaanharusdiperhatikandenganseksama.
Sebuahperusahaantunggalmungkintidakmelihatmasalah(dansolusi)dariperspektifyangberbeda.Pendekatan
yanglebihbaikadalahmemilikibanyakorganisasiberpartisipasidalampengembanganrekomendasiini.Dengan
caraini,rekomendasitermasukmasukandariberbagaiindustridandariorangorangdenganpengalamanyang
beragam.Adabanyaksampelberbasiskonsensusrekomendasipraktikterbaik.
TheCenterforInternetSecurity
PusatInternetSecurity(CIS),www.cisecurity.org,mengembangkanalatuntukmelakukanpenilaianterhadap
sistemWindows2000.AlatCIS,ditampilkandalamslide,dapatdigunakanuntukmemindaiWindows2000sistem
danmembandingkanpengaturankonfigurasidengankonfigurasitemplateberbasiskonsensus.AlatCISakan
memberikanskorpadaseberapabaiksistemdikonfigurasi.Misalnya,alatakanmembiarkanAndatahujikaAnda
tidakmemilikipaketlayananterbarudiinstalataujikaAndakehilanganperbaikanterbaru.Sistemadministrator
kemudiandapatmendownloadpatchyangsesuai,danscanulangsistemuntukmenentukanapakahskor
keseluruhantelahmembaik.Beberapaperbaikanuntukkonfigurasidefaultmungkinmengambilbeberapa
pekerjaan.MungkinAndaakanperluuntukmembuatmodifikasipadaKebijakanKeamananLokalataubahkan
membuatperubahanlangsungkeRegistry.CISalatyangtersediauntukWindowsNT,Solaris,Linux,danHPUX.
WindowsXPdanWindows2003tidakdidukungpadasaatpenulisanini.
LangkahdemiLangkahFORESECGuides
ProyeklainpraktikkonfigurasiterbaikadalahLangkahdemiLangkahFORESECpanduan.Panduaninimerupakan
kompilasimasukandaribanyakahlidalamorganisasiyangberbeda.Misalnya,WindowsMengamankan2000
panduanmemilikimasukandarikomersial,pemerintah,danlembagapendidikan.
Daftarpembandingcaralainuntukmemastikanpekerjaandilakukandenganbenar.Pendekatanchecklistini
dirancanguntukduaorang.Satuorangmelakukancekdanoranglaindoublememeriksapekerjaan.Teknik
pemeriksaandandoublecheckadalahpentinguntukpengetahuanberbasispenilaianrisiko.Satuorangyangtahu
keamanandanrisikopadaumumnya,danlainyangtahuteknologiyangspesifik,membuattimyangidealdengan
pemiliksistem.
KasusBisnisuntukManajemenRisiko
Itusemuapadaakhirnyabermuarauntukmembuatpresentasikepadamanajemendankebutuhanuntuk
menyampaikangambaranbesar.Halinitidakcukupuntukmemahamiteknologiintikitagunakanuntukkita
penanggulangankontrolhostdanjaringanberbasissistemdeteksiintrusi,scannerkerentanan,honeypots,dan
firewall.Pertanyaannyaadalah,bisaAndamenunjukkankepadamerekabagaimanateknologibekerjasamauntuk
menghasilkanhasilyangdibutuhkan?
Setiapperusahaanakanmemilikikebutuhanyangberbedadanharapanyangberagam.Sebuahlembaga
keuanganmemilikiprioritasyangberbedadarisebuahorganisasimiliter.AsetberhargaSebuahperusahaan
farmasibisamenjadiformulauntukobatbaru.Sebuahasetlembagakeuanganyangbisamenjadikliendaftardan
nomorrekening.Setiaporangmemilikisesuatuyangberbedauntukmelindungidantoleransiyangberbeda
terhadaprisiko.Sangatmenarikuntukdicatatbahwabankkehilanganuangdalamjumlahbesarsetiaptahundan
tidakdapatmenjelaskanbagaimanamenghilang.Tapiuntukbank,kehilangan$1jutapertahuntidakmungkin
menjadimasalahbesar.Bagimereka,inimerupakantingkatrisikoyangdapatditerimadanditoleransibiaya
melakukanbisnis.
BisnisKasusuntukPenilaianRisiko
Sekarangkitatelahmemperkenalkanprosespenilaianrisikodasar,marikitamenerapkanprosesiniuntukkasus
bisnisuntuksistemdeteksiintrusi.Pertama,marikitamempertimbangkanskenarioyangberbedakitamungkin
akanbekerjasamadengan:
Organisasitidakmemilikideteksiintrusi,danAndasedangmelakukanpresentasikasusuntukmenambahkan

kemampuanini.
Organisasimemilikisistemdeteksiintrusidasar,danAndamungkinmerekomendasikanupgradesistem.
Organisasimemilikisistemdeteksiintrusipemantauanpusat,danAndasedangmelakukanpresentasikasus
untukkemampuandepartemen.
SalahsatumasalahyangmungkinAndahadapiadalahbahwabanyakmanajeryangtidaknyamansaat
berhadapandengandataaktualmengenaiserangandankerentanan.Merekajelasakanmelihatinisebagaisuatu
kelemahanpadabagianmerekauntukmelakukanpekerjaanmereka.BahkansebagaikonsultanluarAnda
mungkinmenghadapihambatanyangsama.Bahkan,sebagaikonsultan,Andamungkinmerasabanyakresistensi,
bahkandariadministratorsistem.HalinikarenamerekamungkinmerasabahwaAndaakanmenunjukkan
manajemenbahwamerekabelummelakukanpekerjaanmerekasecaramemadai.
Halinijugabisaterjadibahwamanajerhanyatidakmemahamikeparahansituasi.Merekamungkintidakbenar
benarpercayabahwaadamasalah.JikaAndatidakdapatmemberikanbuktibahwasistemmerekaberesiko,maka
akansulituntukmeyakinkanmerekauntukmenghabiskandanatambahanuntukpenanggulanganAndaakan
merekomendasikan.Andaseringdapatmenggunakansumberyangadadata,sepertilogfirewalldansistem,untuk
pembiayaanmeningkatkandeteksiintrusitambahandenganmenunjukkanmereka"pistolmerokok."
ParaVektorAncaman
Denganmenggunakandaftarancamanvektorkitadapatmengidentifikasipeluangyangmemungkinkanserangan
dankarenaitumemahamibagaimanauntukmembelamelawanmereka.Sepertiyangkitamempertimbangkan
sumberdayainformasiyangdapatterancamolehvektorini,kitasekarangdapatfokuspadamasalah.Setelahkita
memahamimasalah,kitadapatlebihfokuspadapenanggulanganyangefektif.
Daftarvektorancamandidefinisikansebagai:
Outsiderserangandarijaringan
Outsiderserangandaritelepon
Insiderserangandarijaringanlokal
Insiderserangandarisistemlokal
Serangandarikodeberbahaya
Marikitamenggalilebihdalamkedalamvektoruntuklebihmemahamiapayangkitahadapi.
SeranganOutsiderInternet
SeranganyangdatangdariluarkejaringaninternalAndadariInternettelahdidokumentasikandenganbaik.
BeberapasumberterbaikuntukinformasimengenaieksploitasidariInternetadalahsitussitusseperti
www.antionline.com.PadasitusiniAndadapatmempelajarilebihlanjuttentangkemungkinanancamankejaringan
Anda.
KitaharapAndatelahmenerapkanfirewalldansistemdeteksiintrusi.JikaAndamemiliki,sumberterbaikinformasi
tentangapayangakandatangkedalamsistemAndaadalahlogfirewall.JikaAndatidakmemilikisistemdeteksi
intrusi,Andamungkininginmencobasatuuntuksatubulanataulebih.TempatkanIDSdiDMZAndaselama
beberapaharidansemuanyalog.LoginiakanmemberitahuAndatentangancamanyangsebenarnyaditujukan
terhadapsitusAnda.
catatan
Akuingatsituasipertamadimanasayamenginstalfirewallpribadidilaptopsaya.Suatuharisayatinggaldisebuah
hoteldiFloridayangmemilikiaksesinternet.Akumenyalakanfiturlogpadafirewallsayakarenasayapenasaran
untukmelihatapakahadaorangakanberusahauntukmasukkedalamsistemsayasetelahterhubungkejaringan
hotel.Sayatidakonlineselamalebihdari5menitketikafirewallsayamulaiberbunyipadasaya.Melihatlogsaya
menemukanbahwakomputerlainsedangberusahauntukmelakukanscanjaringan!Sayangnya,sayatidak
menempatkanfirewallpadasettingtertinggimodesiluman.Jadimerekabisamelihatsayadijaringan.Saya
segeradikonfigurasisehinggaakubenarbenartersembunyidaripandanganjaringan,danmenambahkanmesin
mencobauntukmemindaisayakedaftaralamatIPyangdiblokir."