FORESEC ACADEMY

FORESEC
FORESEC ACADEMY

Risk Management and Auditing

Bab ini berfokus pada manajemen risiko - seni menganalisis ancaman dan kerentanan, dan
menentukan dampak risiko ini terhadap perusahaan Anda. Manajemen risiko jauh lebih dari
sekadar menentukan berbagai risiko yang Anda hadapi. Ini adalah eksplorasi berbagai
pendekatan dan teknik untuk mengelola risiko ini.

Anda mungkin bertanya pada diri sendiri: Mengapa manajemen risiko begitu penting? Itu
karena setiap implementasi perangkat keras atau perangkat lunak komputer memiliki
beberapa risiko keamanan yang terkait dengan penggunaannya. Ambil contoh situasi di
mana perusahaan Anda ingin menerapkan arsitektur LAN nirkabel agar bisa hidup
berdampingan dengan jaringan kabel. Ada didokumentasikan (dan beberapa
didokumentasikan) risiko yang terkait dengan nirkabel LAN (WLAN) teknologi. Apakah Anda
mengabaikan risiko ini dan menerapkan WLAN tanpa ada kekhawatiran? Di sinilah teknik
manajemen risiko digunakan untuk menentukan tingkat risiko, dan jika kita dapat hidup
dengan tingkat risiko tersebut.

Fokus utama manajemen risiko adalah mengurangi risiko sampai pada tingkat yang dapat
diterima. Tingkat yang dapat diterima sebenarnya bervariasi dari satu perusahaan ke
perusahaan lainnya. Namun, manajemen risiko berarti kita perlu mengidentifikasi,
mengendalikan, dan meminimalkan kerugian yang terkait dengan setiap risiko. Kita mulai
dengan memahami proses manajemen risiko, konsep ancaman dan kerentanan, dan
hubungannya dengan penilaian risiko.

Beginning the Risk Management Process

Manajemen risiko melibatkan pemahaman tentang bagaimana keamanan diterapkan

di organisasi Anda, dan bagaimana ancaman keamanan mempengaruhi operasi
bisnis Anda. Sebagai aturan umum, sebelum Anda dapat mulai mengelola risiko,
Anda perlu memahami operasi bisnis Anda dan jenis risiko yang mungkin mereka
hadapi.

FORESEC
FORESEC ACADEMY

The Need for Risk Management

Mengapa manajemen risiko begitu penting bagi sebuah organisasi? Faktanya ada resiko di
sekitar kita. Beberapa risiko tidak begitu merusak, meski beberapa bisa menyebabkan
bencana. Pertanyaannya adalah apakah Anda tahu risiko itu? Lebih penting lagi, apa yang
akan Anda lakukan jika mereka menjadi nyata?

Ambil contoh seseorang yang tinggal di rumah tiga juta dolar di pantai Malibu, California.
Setiap beberapa tahun badai besar melanda Pantai Barat dan menyebabkan lautan
menghasilkan gelombang yang cukup mengagumkan yang melanda pantai. Setiap tahun
banyak rumah hancur oleh badai. Anda mungkin bertanya pada diri sendiri mengapa ada
orang yang memilih tinggal di daerah di mana rumah mereka kemungkinan besar akan
hancur oleh badai. Kemungkinan besar pemilik telah melakukan beberapa bentuk penilaian
risiko dan manajemen risiko. Artinya, mereka telah menentukan risiko yang terkait dengan
memiliki rumah di pantai (badai), menganalisis dampak dari risiko ini (rumah dapat
dihancurkan), dan menentukan tindakan tindakan bagaimana menangani risiko ini (asuransi
pembelian) . Dalam contoh ini, kita telah membahas penyebab, efek, dan respons terhadap
kondisi risiko.

Seperti yang bisa Anda bayangkan, setiap industri memiliki bagian risiko operasional.
Bidang teknologi informasi adalah sama. Setiap komputer atau sistem di Internet atau
jaringan lain rentan terhadap serangan. Memiliki sistem di Internet ibarat mengambil kelas
bela diri - Anda akan terkena pukulan. Pertanyaan yang perlu Anda tanyakan pada diri Anda
adalah: Seberapa keras Anda akan terkena pukulan? Apa kerusakan jika saya terkena
serangan? Apa yang bisa saya lakukan untuk meminimalkan kerusakan? Ingat, dalam
manajemen risiko kita memperhatikan penyebab, dampak, dan tanggapan kita terhadap
insiden risiko.

Dalam bab ini, kami menyusun definisi dan asumsi kami tentang risiko seputar konsep triad
keamanan informasi: kerahasiaan, integritas, dan ketersediaan. Kita harus mengingat
konsep ini saat melakukan penilaian risiko dan keputusan manajemen risiko selanjutnya.
Dalam manajemen risiko, kami mencari cara untuk meminimalkan dampak yang dapat
mempengaruhi kerahasiaan informasi kami, integritas sistem dan data kami, dan
ketersediaan infrastruktur kami.

Note
Aset apa yang kita lindungi? Dari perspektif IS, aset kami meliputi: perangkat keras (PC,
server, disk drive, dan router), perangkat lunak (program, utilitas, dan sistem operasi), data
dan informasi (diproses, disimpan, backup, log audit, dan database) , Orang, dokumentasi
(program, perangkat keras, sistem, dan prosedur administrasi lokal), dan persediaan (kertas,
formulir, pita, dan media magnetik).

FORESEC
FORESEC ACADEMY

The Risk Management Process

Tujuan pengelolaan risiko adalah untuk mengidentifikasi area spesifik dimana tindakan
pengamanan (atau penanggulangan) diperlukan untuk mencegah pengungkapan atau
modifikasi informasi yang tidak disengaja atau tidak disengaja.

Langkah-langkah untuk proses manajemen risiko yang efektif adalah:

1. Lakukan penilaian risiko yang cepat sehingga Anda tahu apa yang perlu ditutupi oleh
kebijakan keamanan Anda. Ini menjadi dasar kebijakan keamanan Anda, dengan masukan
dari berbagai departemen bisnis.

2. Sepenuhnya menganalisis risiko, atau mengidentifikasi praktik industri untuk perawatan;

Menganalisis kerentanan

3. Buat infrastruktur keamanan.

4. Kontrol desain; Tulis standar untuk setiap teknologi.

5. Tentukan sumber daya mana yang tersedia, prioritaskan tindakan pencegahan, dan
terapkan tindakan pencegahan prioritas utama yang Anda mampu.

6. Lakukan review berkala dan kemungkinan tes.

7. Terapkan deteksi intrusi dan respon kejadian.

Kita perlu memulai dengan kebijakan karena akan mendikte posisi keamanan yang ingin
diambil perusahaan sehubungan dengan melindungi sumber dayanya. Jika Anda memiliki
kebijakan keamanan yang sangat terbuka (misalnya, Anda mengizinkan sesuatu dan apa
pun di luar jaringan perusahaan Anda), dan Anda khawatir dengan risiko terhadap jaringan
Anda, maka kebijakan yang Anda inginkan tidak sesuai dengan penerapan Anda. Kebijakan
keamanan akan mengarahkan Anda ke area operasi bisnis Anda yang memerlukan

FORESEC
FORESEC ACADEMY

perlindungan. Tidak mungkin menerapkan perlindungan 100% untuk perusahaan Anda.

Pendekatan terbaik adalah berkonsentrasi pertama pada melindungi wilayah-wilayah
organisasi Anda sehingga jika dikompromikan, dapat menimbulkan kerusakan paling
banyak. Pengembangan kebijakan keamanan dibahas lebih rinci pada Bab 8.

Langkah kedua dalam manajemen risiko adalah menganalisis risiko dan menentukan
dampaknya terhadap organisasi Anda. Ini juga melibatkan praktik terbaik industri untuk
menjaga keamanan. Sebagai contoh, kita tahu bahwa keluarga sistem operasi Windows
memiliki kerentanan yang luas dan bahwa konfigurasi Windows 2000 default tidak aman.
Jika organisasi telah memutuskan bahwa mereka akan menggunakan Windows 2000
sebagai pilihan sistem operasi mereka, maka langkah selanjutnya adalah menentukan apa
yang bisa dilakukan untuk lebih mengamankan sistem. Ada banyak sumber daya, seperti
Panduan Langkah-demi-Langkah Keamanan Windows 2000 yang dikembangkan oleh
SANS Institute. Dokumen ini didasarkan pada masukan banyak pakar keamanan Windows
dari berbagai latar belakang. Pada akhirnya, dokumen yang dihasilkan adalah apa istilah
industri praktik terbaik. Untuk mengamankan sistem Windows 2000. Tapi pekerjaan itu tidak
berhenti sampai di situ saja. Kerentanan sedang ditemukan setiap hari, jadi Anda perlu
menganalisis kelemahan ini dan menentukan apakah dan bagaimana pengaruhnya
terhadap jaringan Anda.

Perhatikan bahwa paradigma penerapan praktik terbaik industri ini berlaku untuk versi
sistem operasi Windows lainnya dan juga yang lainnya, seperti banyak varian sistem operasi
mirip-Unix.

Figure 18.1: Risk analysis matrix highlighting the major areas of concern.

FORESEC
FORESEC ACADEMY

Seperti yang telah kami nyatakan sebelumnya, analisis risiko melibatkan penentuan
risiko dan menentukan dampaknya terhadap infrastruktur. Angka sebelumnya adalah
matriks analisis risiko. Sumbu X adalah keparahan konsekuensi, dinilai dari rendah
ke tinggi. Artinya, karena risiko atau tingkat keparahannya meningkat, demikian juga
kerusakannya. Sumbu Y adalah probabilitas kemungkinan bahwa risiko benar-benar
dapat terjadi, juga dinilai dari rendah ke tinggi. Tujuannya adalah untuk
berkonsentrasi pada bidang-bidang yang menghasilkan tingkat konsekuensi
menengah sampai tinggi dan kemungkinan menengah sampai tinggi yang
sebenarnya akan terjadi. Misalnya, beratnya konsekuensi dari sebuah meteor besar
yang menabrak bumi tinggi, namun probabilitas kemungkinannya rendah. Skenario
ini tidak akan menjadi daerah perhatian. Namun, menempatkan e-commerce di
Internet dan tidak melindunginya dengan firewall dapat mengakibatkan probabilitas
tinggi bahwa sistem akan terganggu dan tingkat keparahan konsekuensi yang tinggi.

Setelah kebijakan keamanan Anda ditetapkan, langkah selanjutnya adalah menyiapkan

infrastruktur keamanan. Ini bisa menjadi kombinasi antara kontrol administratif, teknis, atau
keamanan fisik untuk menangani risiko yang teridentifikasi. Kontrol administratif mencakup
kebijakan dan prosedur dan pelatihan kesadaran keamanan pengguna akhir. Kontrol teknis
adalah solusi berbasis teknologi. Firewall, sistem deteksi intrusi, perlindungan perangkat
lunak anti-virus, dan penggunaan enkripsi adalah contoh kontrol teknis.

Setelah Anda memilih kontrol, dan sebelum menggunakannya, Anda harus menulis standar
(atau pedoman) untuk setiap jenis kontrol yang digunakan. Standar ini akan menentukan
bagaimana kontrol ini akan digunakan untuk perlindungan keamanan. Misalnya, jika Anda
memutuskan untuk menerapkan sistem perlindungan anti-virus sebagai tindakan
pencegahan terhadap virus dan kode berbahaya, Anda mungkin juga mengembangkan
standar penerapan yang dapat diterima untuk itu, seperti frekuensi pemindaian hard disk.
Terkadang Anda mungkin harus memodifikasi standar ini. Misalnya, jika Anda pembaruan

FORESEC
FORESEC ACADEMY

tanda tangan anti-virus dijadwalkan setiap bulan, namun Anda mendapati bahwa ini tidak
cukup sering karena berkembangnya virus baru; Anda akan mengubah frekuensi update
menjadi mingguan, harian, atau bahkan per jam.

Kemungkinan besar Anda perlu menentukan sumber daya apa yang tersedia (dalam hal
personil dan teknologi), dan memprioritaskan tindakan pencegahan untuk setiap risiko yang
diidentifikasi. Karena sulit mengelola semua risiko sekaligus, Anda perlu menentukan
tindakan pencegahan mana yang menjadi prioritas utama, dan menerapkannya terlebih
dahulu.

Tinjauan dan pengujian berkala terhadap infrastruktur keamanan Anda sangat penting,
karena tanpanya, Anda tidak akan memiliki gambaran yang akurat tentang seberapa baik
sistem Anda terjamin. Metode yang umum untuk mencapai hal ini termasuk melakukan tes
kerentanan, meninjau kebijakan dan prosedur keamanan, serta menguji berbagai kontrol
administratif dan teknis.

Dan akhirnya, ini adalah praktik terbaik yang diterima untuk menerapkan beberapa bentuk
deteksi intrusi dan untuk mengembangkan rencana respons insiden jika sistem Anda
terganggu. Kami akan membahas manfaat deteksi intrusi/gangguan dan penanganan
kejadian nanti di bab ini.

Penekanan pada manajemen risiko sedang dalam proses, bukan hanya serangkaian
tindakan. Proses ini memungkinkan kami mengidentifikasi informasi dan data yang
terancam, terutama karena kelemahan dalam sistem informasi kami, mengukur unsur-unsur
risiko misi kami, mengidentifikasi di mana kami dapat menerapkan kontrol atau
penanggulangan dengan tepat, dan memberikan dasar untuk memutuskan bagaimana
ancaman yang ditimbulkan oleh masing-masing Resiko akan berkurang Kita bisa melakukan
upaya bersama untuk menghilangkan semua risiko, tapi ini hampir tidak mungkin. Oleh
karena itu, kami harus menghubungkan masalah keamanan dengan nilai informasi dan data
yang berada di IS kami, dan memusatkan sumber daya dan upaya mengurangi risiko yang
terkait dengan masalah keamanan yang kemungkinan besar mengancam aset kami.

FORESEC
FORESEC ACADEMY

Defining Risk

Sekarang setelah kita membahas secara rinci proses manajemen risiko, kita harus
mendefinisikan konsep ancaman dan kerentanan, dan bagaimana kaitannya dengan analisis
risiko. Identifikasi risiko melibatkan pemahaman terhadap ancaman dan kerentanan terkait
yang mungkin Anda hadapi. Apa definisi risikonya? Definisi klasik dari risiko adalah:

Risiko = Ancaman X Kerentanan

Risk = Threat X Vulnerability

Kerentanan didefinisikan sebagai kelemahan dalam suatu sistem yang bisa dimanfaatkan.
Anda pernah mendengar yang ini sebelumnya. Kerentanan telah ditemukan di layanan klien
FTP XYZ yang jika dieksploitasi, bisa mengakibatkan buffer overflow. atau semacam itu.
Kerentanannya adalah kenyataan bahwa klien FTP memiliki kekurangan, kelemahan yang
bisa mengakibatkan kompromi sistem. Bahayanya terletak pada kenyataan bahwa
kerentanan tersembunyi ini ditemukan dan kemudian dieksploitasi.

Ancaman adalah suatu peristiwa yang dapat menyebabkan hasil yang tidak diinginkan.
Ancaman bisa menjadi eksploitasi kerentanan. Ancamannya adalah seseorang bisa benar-
benar memanfaatkan kelemahan ini dan kompromi sistem anda.

Note
Identifikasi potensi risiko bisa menjadi usaha yang menakutkan. Sebagian besar
setiap produk teknologi - mulai dari sistem operasi hingga perangkat lunak aplikasi -
memiliki kerentanan terdokumentasi (dan tidak terdokumentasi). Misalnya, Anda
mungkin menyadari kerentanan terdokumentasi yang terkait dengan penggunaan
Microsoft Internet Information Server (IIS). Namun, apakah semua kerentanan telah
diidentifikasi? Kita bisa melindungi diri dari risiko yang kita tahu tapi bagaimana
dengan risiko yang tidak kita ketahui ada? Anda sudah memiliki beberapa risiko
hanya dengan fakta bahwa sistem Anda terhubung ke Internet.

Variabel lain yang harus dipertimbangkan dalam manajemen risiko adalah nilai aset.
Aset bisa berupa sumber daya, produk, proses, atau apapun yang perusahaan
anggap memiliki nilai. Ketika menghitung dampak ancaman terhadap aset, hal itu
bisa dalam hal kerugian moneter, atau dalam hal hilangnya kerahasiaan, integritas,
atau ketersediaan aset tersebut. Nilai aset bisa berwujud atau tidak berwujud, dan
terdiri dari berbagai elemen yang terkait dengan aset. Unsur-unsur tersebut dapat
mencakup biaya pengembangan, nilai penggantian, nilai kepemilikan, dan nilai
publik yang dirasakan.

Note
Terkadang Anda mungkin melihat risiko didefinisikan sebagai:

Risiko = Ancaman X Kerentanan X Nilai Aset

Risk = Threat X Vulnerability X Asset Value

Dalam skenario ini, kita memasukkan nilai aset sebagai variabel dalam persamaan kita. Apa
artinya ini adalah bahwa ada faktor risiko yang lebih tinggi bila nilai aset lebih tinggi. Di sisi
lain, karena nilai aset mendekati nol, tingkat risiko kita juga akan mendekati nol. Nilai aset
tidak harus dalam hal nilai moneter, tapi bisa juga nilai subjektif.

FORESEC
FORESEC ACADEMY

Risk Management Choices

Sekarang setelah Anda mengidentifikasi berbagai risiko, langkah selanjutnya adalah

memutuskan apa yang akan Anda lakukan mengenai hal itu. Pilihan anda

Menerima risiko sebagaimana adanya.

Mengurangi atau mengurangi risikonya.

Transfer risiko.

Menerima risiko berarti Anda memahami risikonya tapi Anda rela hidup dengan
konsekuensi jika risiko dieksploitasi. Penerimaan risiko adalah pilihan yang valid - namun
dengan konsekuensi. Idealnya, Anda ingin mengurangi atau minimal, mengurangi risiko ke
tingkat yang dapat diterima. Tingkat risiko yang dapat diterima ini subjektif - apa yang dapat
diterima oleh satu orang mungkin tidak dapat diterima orang lain.

Mungkinkah menghilangkan risiko sepenuhnya? Itu mungkin, tapi sekali lagi, berapa
biayanya? Misalnya, jika Anda berisiko mengalami situs internet e-commerce Anda yang
diretas, Anda bisa menghubungkan server dari Internet, sehingga menghilangkan risiko
sepenuhnya. Tapi jika Anda melakukan itu, bagaimana Anda bisa berbisnis? Jadi tujuannya
adalah mengurangi risiko ke tingkat yang dapat diterima dan tetap bisa menggunakan

FORESEC
FORESEC ACADEMY

sistem sesuai keinginan. Ada garis tipis antara menggabungkan cukup kontrol keamanan
untuk mengurangi (atau menghilangkan) risiko, versus kegunaan sistem.

Pilihan lainnya adalah mentransfer risiko. Ini juga dikenal sebagai pilihan model
asuransi. Dalam skenario ini, Anda memberikan risiko kepada pihak ketiga yang menjamin
Anda untuk mencapai batas tertentu terhadap ancaman tersebut.

Risk management example in the real world

Mari kita lihat apakah kita bisa menerapkan situasi kehidupan nyata lainnya ke manajemen
risiko. Banyak orang mengendarai mobil untuk pergi bekerja, pergi ke sekolah, atau
membawa keluarga keluar untuk perjalanan minggu yang menyenangkan. Ada beberapa
risiko yang terlibat dengan mengendarai mobil. Terutama, kita memikirkan kecelakaan mobil
dan kenyataan bahwa ada risiko bahwa kita akan masuk ke satu. Jika kita menerapkan apa
yang baru saja kita hadapi sehubungan dengan manajemen risiko, kita dapat
mengasumsikan bahwa kerentanan (kelemahannya) adalah kenyataan bahwa mobil kita
dapat dihitung jika dipukul oleh mobil lain. Ancamannya adalah kejadian sebenarnya
seseorang memukul mobil kita. Karena itu, risikonya adalah kelemahan mobil kali ancaman
seseorang benar-benar memukul kita. Jadi apa pilihan kita? Nah, kebanyakan dari kita
menerima kenyataan bahwa kita bisa mengalami kecelakaan dan membeli asuransi untuk
mengalihkan risiko kepada orang lain. Pilihan lain adalah mencoba mengurangi risiko ke
tingkat yang dapat diterima. Di sisi yang lebih drastis, kita bisa memutuskan untuk tidak
menyetir lagi, sehingga menghilangkan risiko kecelakaan. Apakah ini layak? Saya kira itu,
tapi ada banyak pengorbanan pribadi jika kita mengambil pendekatan ini. Kita bisa
mengurangi risiko dengan berkendara di jalan samping yang kurang berpendaraan atau
berkendara pada jam-jam di luar jam sibuk. Namun, dengan setiap keputusan yang kita buat
untuk mengurangi risiko, muncullah perubahan dalam cara kita melakukan sesuatu dengan
normal

FORESEC
FORESEC ACADEMY

Risk Management Questions

Untuk memutuskan antara menerima, mengurangi, atau mentransfer risiko, kita perlu lebih
memahami risikonya dan bagaimana hal itu mempengaruhi kita. Saat mengevaluasi risiko,
sangat membantu untuk mengajukan beberapa pertanyaan kunci kepada diri sendiri:

Apa yang bisa terjadi?

Jika itu terjadi, seberapa buruknya?

Seberapa sering hal itu bisa terjadi?

Seberapa handal jawaban atas pertanyaan sebelumnya?

Jawaban atas pertanyaan-pertanyaan ini membantu kita memusatkan perhatian pada

ancaman aktual dan mendapatkan pemahaman yang lebih baik mengenai dampaknya jika
benar-benar terjadi. Pertanyaan pertama adalah bertanya pada diri sendiri: apa sebenarnya
yang kita takutkan? Apa ancaman sebenarnya? Apakah ancaman itu nyata? Bisakah kita
menentukan ancamannya secara akurat?

Dan jika kita bisa menentukan ancamannya, kerusakan apa yang bisa terjadi? Berapakah
tingkat kemungkinan kerusakan? Misalnya, kerusakan bisa berupa apa saja dari beberapa
file rusak sampai penghapusan semua file penting secara lengkap. Dengan kata lain, apa
dampak dari ancaman tersebut?

Variabel lain yang perlu dipertimbangkan adalah frekuensi ancaman. Seberapa sering
ancaman ini bisa terjadi? Apakah hanya sekali atau bisa lebih sering terjadi?

FORESEC
FORESEC ACADEMY

Pertanyaan terakhir berkaitan dengan pengakuan ketidakpastian. Artinya, seberapa yakin

jawaban Anda terhadap ketiga pertanyaan itu? Dapatkah Anda memvalidasi dan
membuktikan jawaban Anda? Ini mungkin pertanyaan sulit untuk dijawab, karena mungkin
sulit untuk secara akurat melakukan perhitungan risiko pada sistem operasi atau program
baru bila kerentanan baru terus-menerus ditemukan.

Risiko melibatkan ketidakpastian. Ambil contoh kasus mengoperasikan server Web. Anda
tahu bahwa server Web yang tidak dipasangkan dan tidak dilindungi pada jaringan akan
disusupi. Itu mungkin tidak terjadi hari ini atau mungkin tidak akan terjadi besok, tapi itu akan
terjadi.

Kehadiran, keuletan, dan kekuatan ancaman, serta efektivitas pengamanan, harus

dipertimbangkan saat menilai kemungkinan ancaman yang terjadi.

FORESEC