CONTENT
// COVER STORY // GOVERNANCE
Jeffrey
sukardi 036
Mengembangkan Kebijakan
Keamanan Informasi Yang Baik
Penerapan Disiplin
Security Policy Kebutuhan pokok utama keamanan informasi di
institusi perbankan adalah kerahasiaan data nasabah
yang harus dijaga agar tidak tersebar pada pihak
yang tidak bertanggungjawab. PT. Bank Central Asia
Tbk. (BCA) sebagai salah satu institusi perbankan
terbesar di Indonesia memahami akan hal tersebut.
Oleh karenanya, bank tersebut membentuk Enterprise
Security Division yang bertanggungjawab terhadap
keamanan informasi.
024
STRATEGY TECHNOLOGY
// RISK MANAGEMENT // KNOWLEDGE // INFOSEC NEWS // THE ZERO DAY
041 053 009 015
ANALISIS
RISIKO
DI BERBAGAI INDUSTRI // INFOSEC NEWS
bagian Ii Log Management
// INSIGHT // KNOWLEDGE
049 061
Analisis
Malware // EVENT
Mengungkap 018
Tiga Prioritas
Keamanan untuk Strategi Hacker
wilayah Asia Pasifik (bagian II)
bsigroup.com/en-ID/
Content
in t e r a c t io n
Statistic Interaction
P l aya b l e
VIDEO
Flash
And
animation
experience
the Interface
Get it For Free !
bit.ly/10MA5bO
INFOSEC NEWS
Jumat, 6 Juni 2014
Microsoft Meminta
Pemerintah AS Berhenti
Meretas Servernya
icrosoft, meminta pemerintah Amerika & Corporate Affairs Microsoft, Brad Smith, melalui
Anonymous
Menargetkan
Penyerangan
Sponsor Piala
Dunia 2014
elompok aktivis hacker Anonymous sedang kelompok yang menamakan dirinya Che Commo-
Data 16.000
Tentara AS di
Korsel Hilang
ekitar 16.000 data penting yang berisi kepada para tentara dan pelamar kerja. Permintaan
S informasi sensisif tentara Amerika Se-
rikat yang bertugas di Korea Selatan di-
maaf yang ditandatangani oleh Komandan Ang-
katan Darat Amerika Serikat (USFK) di Korea
kabarkan hilang. Selain data tersebut, data lain Selatan Jenderal Curtis M Scaparrotti, itu dirilis
seperti data pegawai lokal dan lamaran kerja juga dalam bentuk PDF.
ikut menghilang. Data yang berisi nama, nomor Kami sangat menyesal dan memohon maaf
identifikasi dan alamat tersebut hilang setelah untuk segala ketidaknyamanan dan kekhawatiran
diakses oleh orang yang tidak berkepentingan. yang menimpa kalian. USFK menganggapi pe-
Seperti yang diinformasikan oleh The Register nyerangan dengan sangat serius dan sedang
hari ini, penyerangan tersebut terjadi pada 28 Mei meninjau kebijakan dan pelaksanaan dengan pan-
lalu. Karena kejadian ini, pihak pimpinan militer dangan yang menentukan apa langkah yang harus
Amerika Serikat di Korea Selatan meminta maaf diambil sehingga tidak terjadi lagi kejadian serupa
di masa mendatang, Curtis meminta maaf. yang diurus oleh Departemen Angkatan Darat
Sebelumnya Jenderal Curtis M Scaparrotti Amerika Serikat. kata Scaparroti pada surat
memberi pernyataan yang menjelaskan bahwa tersebut.
telah terjadi pencurian terhadap data personal dari Untuk mengatasi kasus ini pihak Angkatan
Sistem Perekrutan Nasional Korea yang berada Darat telah berkonsultasi dengan pejabat senior
di bawah Departemen Angkatan Darat Amerika Amerika Serikat dan Korsel mengenai insiden ini
Serikat. dan telah menarik komputer yang terinfeksi dari
USFK telah menemukan pencurian informasi jaringan dan menggantinya dengan sistem lain
personil dari Sistem Perekrutan Nasional Korea untuk mengatur sistem perekrutan pegawai.
THE ZERO DAY
SAP Sybase ESP esp_parse Connection.getType Remote Code Kaspersky Internet Security prremote.dll Use-After-Free
Execution Vulnerability Remote Code Execution Vulnerability
Celah ini memungkinkan remote attacker (penyerang jarak Celah ini memungkinkan remote attacker (penyerang jarak
jauh) untuk mengeksekusi kode pada instalasi SAP Sybase ESP.. jauh) untuk mengeksekusi kode pada instalasi Kaspersky Internet
Tidak dibutuhkan proses interaksi untuk melakukan eksploitasi Security yang vulnerable. Korban harus melakukan interaksi untuk
celah ini. mengeksekusi sebuah malicious file.
Cacat permasalahan terletak pada Connection.getType Cacat permasalahan terletak pada built-in RPC server yang
function di esp_server_lib.dll. Dengan mengirimkan spesifik terimplementasi pada prremote.dll. RPC Server mendengarkan
argumen pada Connection.getType function via XMLRPC. Penyerang lebih pada PRRemote: RPC endpoint. Melalui RPC Server, penyerang
dapat memicu kondisi eksekusi kode jarak jauh. Penyerang bisa dapat memasukan `call_table_ref` yang didesain secara spesial
mempengaruhi vulnerabilities ini pada konteks sebuah proses. untuk mendapatkan kode eksekusi. Penyerang dapat menyerang
vulnerabilities ini pada konteks sistem atau sebuah proses
This vulnerability is being disclosed publicly without a patch in Solusi vendor : http://support.kaspersky.com/10235#block0
accordance with the ZDI 180-day deadline.
THE ZERO DAY
Advantech WebAccess bwocxrun.ocx CreateProcess Remote Code Symantec Workspace Streaming Agent XMLRPC Request putFile Method
Execution Vulnerability Remote Code Execution Vulnerability
Celah ini memungkinkan remote attacker (penyerang jarak jauh) Celah ini memungkinkan remote attacker (penyerang jarak
untuk mengeksekusi kode pada instalasi Advantech WebAccess yang jauh) untuk mengeksekusi kode pada instalasi Symantec Workspace
vulnerable. Dibutuhkan interaksi user untuk melakukan eksploitasi Streaming yang vulnerable. Tidak dibutuhkan proses otentifikasi
celah ini dan mengeksekusi sebuah malicious file. untuk mengeksploitasi cacat ini.
Cacat permasalahan terletak pada bwocxrun.ocx. Kontrol Cacat permasalahan terletak komponen SWS Agent (as_agent.
mengekspos metode yang dapat di-script yaitu CreateProcess. exe) Dengan mengirimkan permintaan pada kompenen crafted
Penyerang dapat mengeksploitasi cacat pada kode validasi pada XMLRPC, penyerang dapat menulis ulang file konfigurasi pada
metode untuk mengeksekusi perintah dalam konteks browser. Workspace Streaming server. Penyerang dapat mengeksekusi
vulnerabilities ini untuk mengeksekusi kode sebagai SYSTEM.
yang mendapatkan penghargaan se- ini pun sangat meriah. Beberapa booth suasana pameran ICT Expo sehingga
bagai salah satu Best ICT Award. Salah pameran diisi oleh peserta dari China dan semakin berwarna.
satunya adalah Best IT Manager yang Singapura serta Malaysia. Perusahaan Acara ini dimeriahkan pula
menampilkan beberapa perusahaan besar seperti Telkomsel dan Indosat pun oleh seminar-seminar menarik yang
yang juara dalam pengimplementasian tidak ketinggalan untuk menjadi salah diadakan oleh panitia. Salah satunya
TI seperti Semen Gresik dan PT. Jasa satu peserta pameran tersebut. Bahkan adalah Big Data Solution yaitu seminar
Raharja. Selain itu ada pula perhargaan perusahaan ternama seperti Samsung tentang relevansi big data dengan
dalam bidang telekomunikasi seperti pun ikut ambil bagian dalam pameran perkembangan bisnisnya yang disajikan
ICT Best Prepaid yang menampilkan ICT Expo. Peserta pameran tidak hanya oleh presentator dari perusahaan ter-
beberapa perusahaan telekomunikasi berasal dari perusahaan teknologi nama seperti IBM, Oracle, Microsoft
seperti Telkomsel, Indosat dan XL informasi, beberapa perusahaan ani- dan VMWare. Seminar tentang cloud
Axiata. masi pun ikut ambil bagian dalam computing sendiri disajikan dari
Peserta pameran yang menghadiri pameran tersebut. Kehadiran beberapa Telkom Sigma, Indonesian Cloud,
dan ikut berpartisipasi di ICT Expo kali perusahaan animasi tersebut mewarnai Biznet dan juga Cisco. Adapula
EVENT
Workshop Peserta Dari Avaya Scopia Workshop Peserta Dari Spencer Chang Infocus Mondopad
Join now
http://linkd.in/1f2fU5T
COVER STORY
Jeffrey
sukardi
Penerapan
Disiplin
Security Policy
Oleh : Iqbal Ramadhan
A
spek keamanan informasi di
institusi perbankan adalah
unsur yang sangat terpenting.
Ia berkorelasi langsung terhadap
trust masyarakat yang berdampak
pada operasional bisnis perusahaan.
Pokok utama keamanan informasi di
COVER STORY
institusi perbankan adalah kerahasiaan itu baru memiliki 9 cabang di Jakarta. ment dan sempat memasukan pula
data nasabah yang harus dijaga agar Setelah beberapa tahun berkarir di aspek physical security dengan tang-
tidak tersebar pada pihak yang tidak bidang pengembangan aplikasi, Jeffrey gungjawab pengamanan gedung, CCTV,
bertanggung-jawab. PT. Bank Central pun diangkat menjadi system operation dan petugas pengamanan (SATPAM).
Asia Tbk. (BCA) sebagai salah satu manager. System operation adalah Namun melihat area yang semakin
institusi perbankan terbesar di Indonesia sebuah unit kerja yang menangani berbeda, akhirnya tugas pengamanan
memahami akan hal tersebut. Oleh operasional data center., papar Jeffrey. gedung pun dipisah dari Satuan Kerja
karenanya, bank tersebut membentuk Sejalan dengan perkembangan Enterprise Security.
Enterprise Security Division yang bisnis yang dialami oleh BCA, Jeffrey Menjadi seorang CISO di sebuah
bertanggungjawab terhadap keamanan pun mau tidak mau harus mengikuti institusi perbankan ternama di Indo-
informasi. Enterprise Security Division perkembangan tersebut. Ia pun me- nesia tidak terlepas dari semakin ber-
dikepalai oleh Jeffrey Sukardi sebagai nuturkan bahwa hampir semua bidang kembangnya risiko yang berpotensi
seorang CISO (Chief Information TI sudah pernah ditangani. Karir Jeffrey menjadi ancaman bagi bisnis pe-
Security Officer). Ia adalah individu pun berlanjut menjadi system support rusahaan. Khususnya risiko-risiko TI
yang bertanggungjawab dalam menjaga manager. Hingga akhirnya pada tahun yang semakin menjadi pusat proses
sistem keamanan informasi di institusi 2004, Jeffrey dipercaya oleh institusi bisnis sebuah organisasi. Namun, apakah
perbankan tersebut. untuk menangani keamanan informasi. menjadi seorang CISO harus mempunyai
Selayaknya seseorang yang me- Saat itu, satuan tugas keamanan infor- latar belakang keilmuan teknologi
mutuskan hidupnya untuk berkarir, masi masih di bawah divisi TI. Pada informasi? Jeffrey berpendapat, Se-
Jeffrey pun menapaki karirnya di BCA perkembangannya, tahun 2009 unit baiknya seorang CISO itu berangkat
sebagai seorang staf pada tahun 1986. Titik keamanan informasi dipecah dari dari latar belakang TI. Seorang CISO
awal Jeffrey berkarir di BCA dimulai dari divisi TI. Unit baru tersebut diberi itu perlu mengetahui perkembangan
staf programmer sebagai application nama Satuan Kerja Enterprise Security teknologi secara mendalam. Walaupun
analyst. Di awal karirnya, Jeffrey ikut yang terpisah dari divisi TI dan berdiri bisa jadi seorang CISO itu tidak
terlibat dalam pembentukan online sendiri. Tanggungjawab yang dimiliki perlu berangkat dari background
banking system yang menghubungkan oleh Satuan Kerja Enterprise Security seorang TI. Selama ia memahami betul
transaksi setiap cabang secara real time. semakin luas dengan masuknya aspek perkembangan teknologi dan bagaimana
Jeffrey menuturkan bahwa BCA saat business continuity, crisis manage- mengimplementasikannya. Jeffrey me-
COVER STORY
ngatakan seperti itu karena ia menyadari utama seorang CISO. Walaupun pada
pengamanan informasi tidak hanya praktiknya, cakupan tugas CISO di
Peranan
bersifat teknis teknologi semata. lapangan sangatlah luas. Salah satu tugas
Seorang CISO tidak hanya perlu tahu terpenting seorang CISO di lapangan
tentang pengetahuan teknis semata. Ia adalah mengembangkan kebijakan,
CISO di
harus pandai dalam berkomunikasi, teknologi dan sumber daya manusia
negosiasi dan kalau perlu seorang CISO yang mengelola keamanan informasi.
harus mempunyai skill untuk menjual Bagaimana sebuah strategi tersebut bisa
BCA
ide-ide pada karyawan dan juga top berjalan? Jeffrey menjelaskan bahwa
management. Kemampuan CISO lain- strategi tersebut harus selaras dengan
nya adalah kemampuannya untuk rencana bisnis BCA dan mendapat
mengerti bisnis perusahaan. Seorang persetujuan dari direksi BCA.
CISO di perbankan wajib mengetahui Sebagai seorang CISO, Jeffrey
bisnis perbankan itu seperti apa. Ia pun mengakui bahwa banyak sekali
tidak bergerak di bisnis keamanan. Manajemen keamanan informasi tantangan yang harus dihadapi. CISO
Justru faktor keamanan itu digunakan sudah menjadi perhatian penting memiliki fungsi untuk memasti-
untuk menunjang bisnis perbankan. bagi BCA sejak tahun 2004. Pada saat kan bahwa keamanan informasi pe-
Tentunya seorang CISO pun harus itu, Jeffrey bertanggungjawab atas rusahaan yaitu kerahasiaan, keutuhan
berani mengambil risiko. Karena untuk pengamanan informasi BCA seperti dan ketersediaan informasi dalam
mengembangkan layanan bank sering informasi penting data nasabah yang kelangsungan bisnis dapat terjaga. Pe-
sekali diiringi dengan risiko-risiko yang memang menjadi pokok objektif dari ngamanan informasi ini sangat penting
terkandung. Ia perlu keberanian untuk tiap-tiap institusi perbankan. CISO di karena terkait erat dengan kepercayaan
memutuskan kebijakan pada saat situasi BCA berperan sebagai perumus strategi stakeholders termasuk investor dan
di mana suatu risiko itu perlu diambil. pengamanan informasi bank dan juga nasabah kepada bank tersebut. Pada
Sejumlah keterampilan tersebut se- sebagai orang yang memastikan bahwa praktiknya, ada tiga tantangan yang
tidaknya harus bisa dipenuhi oleh strategi tersebut terlaksana dengan dihadapi Jeffrey sebagai seorang CISO
mereka yang ingin meniti karir sebagai baik., ujar Jeffrey. Dua hal tersebut di BCA. Tantangan tersebut adalah:
seorang CISO. menurut Jeffrey merupakan tugas
COVER STORY
1. Mengantisipasi ancaman terhadap layanan setiap informasi berharga tentang perkembangan bisnis itu sendiri. Ia
bank. nasabah harus dijaga agar institusi pun mencontohkan relevansi antara
2. Membangun proses pengamanan informasi perbankan tersebut dapat terus terjaga perkembangan teknologi dan bisnis.
yang responsive dan andal. kredibilitas dan reputasinya. Teknologi terbaru digunakan karena
3. Membangun kesadaran sekuriti bagi karya- BCA sendiri menurut Jeffrey sudah munculnya ancaman-ancaman baru
wan dan pengguna jasa bank. cukup lama menerapkan information yang berpotensi risiko terhadap bisnis
security policy semacam ini. Ia me- mereka. Hal ini bisa terlihat dari
ngatakan bahwa jauh sebelum ada semakin maraknya gadget, tablet dan
Kebijakan Keamanan Informasi di BCA Enterprise Security Division, BCA smartphone yang muncul belakangan
sudah menerapkan kebijakan keama- ini. Keberadaannya sudah menjadi
Berbicara tentang kebijakan ke- nan tersebut. Walaupun demikian, barang umum yang menyimpan risiko.
amanan informasi, Jeffrey mempunyai kebijakan keamanan itu selalu ber- Information Security policy perlu
definisi tersendiri tentang kebijakan kembang sesuai dengan kebutuhan pe- mengantisipasi hal ini., ujar Jeffrey.
tersebut dalam pandangannya sebagai rusahaan. Pada akhirnya kebijakan Oleh karena itu, kebijakan keamanan
seorang CISO. Information Security keamanan informasi di BCA sendiri informasi tidak hanya mencakup
policy perusahaan adalah kebijakan tidak statis. Semuanya menyesuaikan persoalan TI semata melainkan semua
perusahaan mengenai pengamanan dengan perkembangan zaman. Hal ini aspek harus tercakup.
informasi., papar Jeffrey. Baginya, sendiri sangat relevan dengan sifat Kebijakan keamanan informasi
kebijakan keamanan informasi adalah kebijakan itu sendiri yang dinamis. Infor- yang disusun oleh sebuah organisasi
kebijakan yang paling mendasar untuk mation Security policy sering disebut haruslah relevan dengan visi misi
sebuah perusahaan yang menyatakan dengan living document. Artinya organisasi tersebut. Tidak terkecuali
bahwa informasi merupakan aset adalah dokumen kebijakan perusahaan juga di BCA. Setiap kebijakan keamanan
berharga dan perlu dijaga keamanan- tersebut selalu berkembang. informasi yang disusun harus relevan
nya. Mengapa demikian? Sebagai Jeffrey sendiri mengiyakan bahwa dengan visi misi bisnis perusahaan.
sebuah institusi perbankan terbesar di kebijakan keamanan informasi itu Security policy itu harus dan wajib
Indonesia, kepercayaan nasabah pada pasti selalu evolve (berkembang). Dari disesuaikan dengan visi misi bisnis
mereka adalah sebuah penghargaan. kacamata seorang CISO, kebijakan itu perusahaan., papar Jeffrey. Kebijakan
Untuk memelihara trust masyarakat, berkembang karena didorong oleh tersebut dapat dikatakan sebagai pen-
COVER STORY
dukung dan penunjang visi misi pe- Dua hal di atas bila diterapkan yang berbeda dan cara yang akan
rusahaan. Jeffrey menjelaskan bahwa dengan baik dapat memberikan ke- dicapainya pun berbeda. Tanpa adanya
keberadaan kebijakan keamanan infor- untungan secara tangible dan intangible pemahaman terhadap objektifitas
masi sangat membantu perusahaan pada instansi perbankan. perusahaan, maka akan sangat sulit
dalam mencapai tujuan bisnisnya. kebijakan keamanan informasi itu ber-
Setidaknya ada banyak keuntungan korelasi dengan bisnis yang sedang
Menyusun Kebijakan Keamanan Informasi
yang bisa diperoleh sebuah instansi dijalankannya. Seorang CISO itu tidak
perbankan yang menerapkan kebijakan hanya harus paham soal teknologi, tetapi
Salah satu pertanyaan penting
keamanan informasi. Mereka akan juga harus cerdas dalam memahami
dalam kebijakan keamanan informasi
memperoleh banyak keuntungan bila jalannya bisnis perusahaan.
adalah bagaimana menyusun kebijakan
mampu mengimplementasikannya
Langkah berikutnya yang bisa
tersebut? Perlukah melibatkan semua
dengan baik. Jeffrey menjelaskan dilakukan oleh organisasi adalah pe-
unit kerja di institusi itu? Pada intinya
bahwa setidaknya ada dua alasan yang mahaman tentang pengelolaan TI
seorang CISO dalam menyusun ke-
bisa dijadikan rujukan oleh institusi organisasi. Tiap-tiap industri memiliki
bijakan keamanan informasi harus me-
perbankan terkait implementasi ke- cara yang berbeda dalam pengelolaan
libatkan semua unit kerja. Keamanan
bijakan keamanan informasi. Yaitu: TI untuk mencapai tujuan mereka. Di
informasi pada intinya tidak hanya
institusi perbankan, pengelolaan TI itu
berfokus pada bidang TI semata. Bidang
1. Kebijakan keamanan informasi dimaksudkan sebagai penunjang dalam
keamanan informasi mencakup semua
perusahaan dapat memberikan arahan pelaksanaan transaksi keuangan yang
aspek dalam organisasi tersebut. Sebagai
yang jelas mengenai sikap manajemen berbasis online. Langkah terakhir yang
seorang CISO, Jeffrey memahami betul
atas pengamanan informasi baik kepada patut diperhatikan dalam penyusunan
manfaat dari kebijakan keamanan
pihak internal dan maupun internal bahwa kebijakan keamanan informasi adalah
informasi ini.
informasi adalah aset yang wajib diamankan. pengamanan informasi itu sendiri.
Langkah pertama yang perlu
Pada klausul kebijakan keamanan
dilakukan dalam penyusunan kebijakan
2. Kebijakan keamanan informasi dapat informasi harus memuat tindakan-
itu menurut Jeffrey adalah pemahaman
menjadi dasar peraturan, prosedur dan tindakan pengamanan informasi yang
mendalam tentang sasaran perusahaan.
pedoman kerja perusahaan tersebut. dapat diimplementasikan. Hal lainnya
Setiap organisasi mempunyai sasaran
yang harus ada dalam kebijakan ter-
COVER STORY
sebut adalah business continuity plan Satu hal lainnya yang perlu jika tidak diimplementasikan dan
dan unsur manajemen risiko. Tiga diperhatikan menurut Jeffrey dalam disosialisasikan dengan baik. Hal
langkah tersebut dapat menjadi acuan penyusunan kebijakan informasi ini, ini menjadi sebuah tantangan bagi
bagi seorang CISO untuk menyusun Penyusunan kebijakan keamanan Jeffrey karena mensosialisasikan dan
kebijakan mereka sendiri. informasi perlu mendapatkan ma- mengimplementasikan kebijakan ke-
sukan dari unit kerja terkait. Dalam amanan informasi di BCA dengan jumlah
Adapun aspek yang harus tercover dalam menyusun kebijakan keamanan in- karyawan 25.000 orang sangatlah
sebuah kebijakan keamanan informasi, Jeffrey
formasi ini, seorang CISO harus me- tidak mudah. Hal ini perlu disiasati
membaginya menjadi tiga hal. Yaitu:
nyertakan unit kerja lainnya dalam oleh sebuah kreatifitas untuk membuat
Mengembangkan
Kebijakan Keamanan
Informasi Yang Baik
Oleh : Iqbal Ramadhan
GOVERNANCE
idak ada benar atau salah mengembangkan security policy yang peroleh oleh sebuah intitusi perbankan
dalam menerapkan kebijakan baik harus relevan dan sejalan dengan adalah rasa percaya masyarakat akan
keamanan informasi (security business plan yang telah disepakati tinggi sehingga mereka akan yakin
policy). Yang salah adalah tidak adanya sebelumnya. bahwa mereka dapat menyimpan uang
kebijakan keamanan informasi dalam Ada banyak manfaat yang bisa di- di tempat yang aman. Meningkatnya
sebuah organisasi. Melalui security ambil dari sebuah security policy yang trust masyarakat pada sebuah institusi
policy, sebuah perusahaan ataupun baik. Implementasi dari security policy perbankan akan berdampak pada kre-
organisasi lainnya dapat mengelola itu harus efektif agar dapat berjalan dibilitas perusahaan. Manfaat intangible
ke-amanan informasi mereka dengan sesuai dengan apa yang diharapkan ini memang tidak dapat dirasakan
baik. Mengembangkan security policy pemangku kepentingan. Andang Nu- langsung seperti manfaat tangible
yang baik tidak hanya berfokus pada groho, Security Manager dari Bank (untung-rugi). Namun, manfaat efek
pencegahan tereksposnya sistem ke- Permata mengatakan bahwa dalam intangible ini dapat dirasakan secara
amanan informasi dari pihak eks- industri perbankan, prinsip utama yang bertahap.
ternal, tetapi juga dari internal orga- harus dijunjung adalah kepercayaan.
nisasi itu sendiri. Ed Titel, praktisi Trust dalam anggapan Andang berarti
Mengembangkan
IT veteran yang pernah berkarir di adanya sebuah jaminan dari korporat Security Policy
IBM dan Schlumberger mengatakan bahwa data dan transaksi nasabah akan
bahwa security policy dapat diartikan dilindungi dengan baik oleh bank. Ini
sebagai sebuah aturan tertulis yang hanya dapat terjadi bila perusahaan Mengembangkan security policy
menerangkan bagaimana sebuah orga- atau bank memiliki security policy yang baik pasti terkendala oleh banyak
nisasi dapat melindungi aset bisnis yang baik. Tidak dapat dipungkiri hal. Salah satu yang dipaparkan oleh
dan teknologi informasinya. Dalam bahwa trust adalah aspek penting Andang adalah mencari perimbangan
pandangannya, Ed mengatakan bah- dalam dunia perbankan yang relevan antara kenyamanan dan keamanan,
wa security policy ini adalah living dengan reputasi mereka. Trust bersifat serta kecepatan dan keamanan. User
document. Artinya, aturan tersebut intangible. Artinya menerapkan security harus diyakinkan bahwa, jika mereka
akan selalu berkembang sesuai dengan policy yang baik ini memiliki manfaat mengorbankan kenyamanan atau
perkembangan teknologi. Berdasarkan yang berdampak secara tidak langsung. kecepatan untuk keamanan data, pada
definisi Ed, dapat dikatakan bahwa Manfaat tangible yang bisa di- akhirnya ini adalah sesuatu yang proper
GOVERNANCE
dan berdampak positif pada bank secara sangat beragam. Setiap industri me- organisasi dapat mengevaluasi apa saja
keseluruhan. Tentunya, security policy miliki budaya kerja dan operasional yang perlu diperbaiki di dalam security
itu harus mencakup banyak hal. Andang bisnis yang berbeda. Suatu security policy dan bagian mana saja yang efektif
melanjutkan bahwa mengembangkan policy yang berjalan efektif di untuk digunakan.
security policy perlu berdasarkan best sebuah organisasi belum tentu bisa
practice, seperti COBIT atau ISO 27000 diimplementasikan di organisasi
karena banyak aspek yang bisa tercakup lainnya. The organization shouldnt
dari implementasi kebijakan keamanan. copy and paste about security policy
Hananto Susilo, praktisi dari Network
Dukungan penuh dari seluruh from the net. ,papar Jay. Internet
Management and Security PT. Pertamina
stakeholder manajemen sangat di- memang menyediakan berbagai macam
mengatakan bahwa setidaknya ada empat
perlukan untuk mengembangkan secu- referensi yang bisa dijadikan rujukan.
aspek yang mesti tercakup dalam sebuah
rity policy ini dengan baik. BOD (Board Walaupun demikian, hal tersebut jangan
security policy. Aspek yang harus tercakup
of Director) dan kepala unit bisnis dijadikan sebuah legitimasi untuk me-
tersebut adalah:
merupakan figur penting agar efektifitas ngadopsinya secara langsung.
a. Network
security policy berjalan sesuai dengan It takes a lot of inclusive
b. Server
apa yang diharapkan. Mereka juga measurement., ujar Jay. Untuk
c. Application
harus meyakinkan perusahaan bahwa membuat sebuah security policy yang
d. Client side
keamanan data bukan mengganggu baik, organisasi perlu melakukan riset,
tapi justru membantu revenue gene- mengukur kebutuhan industri mereka
ration. Security policy juga harus di- dan melibatkan berbagai struktur dan
implementasikan oleh mereka yang level pegawai untuk ikut memberikan
berpengalaman dalam standar yang di- input dalam menyusun kebijakan ke- Lalu bagaimana caranya agar
gunakan sebagai referensi, baik inhouse amanan mereka. Sebelum security security policy tersebut dapat di-
ataupun dengan bantuan konsultan. policy tersebut diimplementasikan, implementasikan secara efektif?
Jay Bavisi, President EC Council organisasi terlebih dahulu melakukan Langkah pertama menurut Hananto
yang kami wawancara pada sebuah trial (percobaan) untuk melihat se- adalah menerapkan kebijakan segre-
kesempatan mengatakan bahwa me- berapa efektifnya kebijakan tersebut gation of duty (pemisahan tugas)
nerapkan security policy yang baik bisa berjalan. Melalui proses free trial ini, antara penentu kebijakan dengan
GOVERNANCE
pemilik layanan (service owner) agar terhadap kepatuhan kebijakan. mahami sebuah standar operasional
tidak ada konflik kepentingan. Secara Adapun cara organisasi agar bila bahasa yang disajikan sukar
aspek logging (pencatatan), organisasi security policy mereka memenuhi untuk dipahami. Tentunya arahan dan
dapat menerapkan logging yang standar kepatuhan seperti ISO 27001 guidance dari top management tetap
lengkap terhadap akses user ke semua dapat dilakukan dengan cara melakukan sama pentingnya. Salah satu contohnya
layanan. Pemberlakuan sanksi yang audit internal secara berkala terhadap adalah adanya kepedulian dari top
jelas & tegas harus diterapkan bagi kesesuaian standar ISO 27001. Hananto management dengan pembuatan surat
pelanggar kebijakan keamanan dengan pun menambahkan bahwa organisasi keputusan implementasi security policy.
mereferensi hasil audit terhadap harus menuangkan standar-standar Termasuk di dalamnya juga role model
history akses tersebut. Puncak dari pelaksanaan pengelolaan layanan ke untuk konsistensi kepatuhan terhadap
semua strategi implementasi tersebut dalam standar tata kerja yang lebih kebijakan; tidak ada lagi pengecualian
tetap bermuara pada role model dari mudah dipahami oleh tim operasional. terhadap kebijakan.
manajemen puncak (top management) Mereka akan kesulitan dalam me-
GOVERNANCE
Andang menyimpulkan satu hal tidak akan efektif karena proses dan harus dipenuhi oleh siapapun tanpa
agar security policy ini dapat mem- teknologi tidak dilibatkan. Begitu pula terkecuali. Mereka yang melanggar
budaya. Perusahaan ataupun institusi jika teknologi terlalu diunggulkan policy tersebut harus mendapatkan
lainnya perlu untuk melakukan sebuah dalam security policy tanpa meng- sanksi sesuai dengan apa yang telah
usaha yang berkelanjutan. Upaya upgrade man behind the system akan dilanggarnya. Bagaimanapun juga,
berkelanjutan tersebut diperlukan sulit untuk membudayakan security keamanan informasi adalah sesuatu
agar aspek penting seperti people, policy tersebut. yang sangat berharga dan dapat
technology and process dapat berjalan Di akhir diskusinya, Hananto berdampak pada operasional bisnis.
secara berkesinambungan. Penjelasan menyimpulkan bahwa untuk mem- Penerapan sanksi yang tegas tanpa
dari Andang itu menyebutkan bahwa budayakan security policy tersebut pandang bulu dapat menjadi titik awal
security policy itu harus melingkupi dapat dilakukan dengan cara metode agar security policy tersebut dapat
tiga aspek di atas. Security policy yang penerapan sanksi. Policy yang me- membudaya. IR
hanya melingkupi aspek people saja nyangkut tentang keamanan informasi
RISK MANAGEMENT
ANALISIS
RISIKO
DI BERBAGAI INDUSTRI
bagian Ii
ada edisi sebelumnya, CISO digunakan. Pada paparan sebelumnya determination, control recommendation
Magazine telah mengangkat telah disebutkan bahwa walaupun ada dan results documentation. Agar ana-
topik tentang analisis risiko banyak varian analisis risiko, namun lisis risiko sesuai dengan kebutuhan,
di berbagai industri. Topik tersebut tujuannya sama yaitu mengantisipasi cara analisis risiko tersebut dapat
dibahas sebagai studi banding untuk ketidakpastian. Analisis risiko dapat mengadopsi dari analisis yang sudah ada
menentukan analisis risiko seperti disesuaikan dengan kebutuhan yang ataupun melakukan pengembangan dari
apakah yang paling tepat dilakukan relevan dengan manajemen keamanan analisis sebelumnya. Kebijakan analisis
pada bidang manajemen keamanan informasi. Setiap instansi di Indonesia risiko tersebut dapat mengadopsi dari
informasi. Analisis risiko seperti apa memiliki analisis risiko yang berbeda- analisis risiko yang digunakan di industri
yang cocok untuk digunakan dalam beda. Walaupun NIST di AS telah lain ataupun menggunakan analisis
mengelola keamanan informasi? Ber- memberlakukan standardisasi sendiri NIST yang relevan dengan keamanan
bagai macam metode analisis risiko yang terkait analisis risiko yang berkaitan sistem informasi. Semua kebijakan
telah dimuat di edisi sebelumnya dapat dengan sistem informasi. tersebut dikembalikan lagi kepada PIC
dijadikan rujukan bagi person in charge Pada panduannya tersebut, NIST yang mengelola keamanan informasi.
yang mengelola keamanan informasi. mencantumkan langkah-langkah ana- Satu simpulan yang dapat ditarik adalah
Ada satu poin penting yang dapat lisis risiko dalam sistem informasi analisis risiko itu sangat berguna
diterapkan dalam analisis risiko yang yaitu system characterization, threat dalam pengelolaan informasi. Karena
relevan dengan manajemen keamanan identification, vulnerability identifi- manajemen keamanan informasi adalah
informasi. Poin tersebut adalah memilih ca-tion, control analysis, likelihood aktivitas yang penuh dengan risiko.
metode atau cara analisis risiko yang determination, impact analysis, risk
RISK MANAGEMENT
Pertanyaan yang paling mendasar kualitatif adalah tidak mampu untuk Akibatnya, metode ini kurang efektif
dalam analisis keamanan informasi memberikan ukuran numerik yang bila harus menganalisis dampak yang
adalah metode apakah yang paling jelas terkait dampak yang dihasilkan. terjadi secara cost and benefit.
cocok untuk diterapkan? Seperti yang
dijelaskan oleh NIST bahwa baik
metode kualitatif ataupun kuantitatif
mempunyai kelebihan dan kekurangan. Metode kuantitatif sendiri memiliki keuntungan dibandingkan kualitatif. Metode ini
Hingga saat ini, masih sering menjadi memiliki keuntungan untuk menjelaskan secara kuantitatif dampak yang terjadi dari adanya
perdebatan terkait metode apakah risiko disertai dengan perhitungan cost and benefit yang dapat digunakan dalam risk control.
yang paling cocok dalam menganalisis Seperti halnya kualitatif, metode kuantitatif ini memiliki kelemahan. Kuantitatif sangat
risiko di manajemen keamanan bergantung pada angka sehingga sering kali ditemui adanya kesulitan untuk mendeskripsikan
informasi. Kelebihan utama yang seperti apa dampak risiko itu bila terjadi. Untuk mendeskripsikannya perlu bantuan dari
dimiliki oleh metode kualitatif adalah metode kualitatif. Ada tiga hal yang perlu diperhatikan bila ingin menggunakan metode
metode tersebut dapat langsung kuantitatif dalam manajemen keamanan informasi. Yaitu:
mengidentifikasi dan menggambarkan 1. Harus menyertakan estimasi sumber ancaman pada
berbagai macam bentuk risiko vulnerability sistem dalam jangka waktu tertentu.
khususnya yang berhubungan dengan 2. Mencantumkan estimasi cost bila sebuah risiko terjadi.
analisis dampak. Metode kualitatif pun 3. Menyertakan pertimbangan faktor-faktor yang muncul
mampu memberikan analisis area dari analisis subjektif terkait suatu ancaman pada
mana saja yang perlu untuk diperbaiki vulnerability sistem tertentu.
serta menetapkan prioritas risiko.
Kesulitan yang dihadapi oleh metode
RISK MANAGEMENT
Ganjar Imansantosa, Information jumlah cost dari data-data yang hilang. hasil analisis yang maksimal, sebuah
Security Senior Manager Specialty Retail Metode ini sangat umum, walaupun perusahaan baiknya menggabungkan
Company di California, AS mengatakan kemungkinan error sangat tinggi dua metode (hybrid method) kualitatif
bahwa dalam industri mereka kehila- untuk beberapa industri spesifik. Oleh dan kuantitatif. Alasannya adalah kedua
ngan data atau hilangnya informasi karena itu, metode ini digunakan hanya metode tersebut dapat melengkapi
sensitif adalah risiko yang paling sering untuk menganalisis untuk kasus-kasus kelemahan masing-masing.
terjadi. Metode yang umumnya sering analisis risiko yang spesifik. Pendapat dari Yusri di atas sangat
digunakan oleh Ganjar adalah metode Lain halnya dengan pendapat Yusri relevan dengan panduan dari ISO
yang bersifat kualitatif. Penilaian risiko Amsal. Selaku Vice President Security 27001 yang menyatakan bahwa sangat
yang berbasis kualitatif masih dominan & Fraud Risk Head di PT Bank Ekonomi sulit menentukan metode apa yang
dan sering digunakan., ujar pria yang Raharja Tbk, Member HSBC Group, cocok dalam menganalisis risiko dalam
pernah menjabat sebagai Manager Yusri mengatakan bahwa tidak ada manajemen keamanan informasi.
Technology Risk and Services, Ernst metode yang benar-benar tepat untuk Kesulitan tersebut dilatarbelakangi
and Young Indonesia. Pola kualitatif menganalisis risiko dalam keamanan perbedaan bisnis dan operasional
digunakan untuk mengidentifikasi informasi. Sebagai seorang VP di sebuah organisasi. Perbedaan tersebut
skenario risiko berdasarkan peringkat institusi perbankan, Yusri menjelaskan menimbulkan kebingungan terkait
tertentu yang menyatakan tentang bahwa karakteristik setiap perusahaan metode apa yang paling cocok untuk
dampak dan kemungkinan risiko itu atau industri berbeda satu sama lain. menganalisis risiko. Hal lainnya yang
terjadi. Walaupun demikian, metode ini Walaupun bidang kajiannya sama yaitu mengakibatkan perbedaan analisis
sangat penuh dengan subjektifitas yang keamanan informasi, business core yang risiko dilandasi pula oleh tingkat
tinggi dan penilaian dari para ahli. dimiliki sebuah perusahaan berbeda kedewasaan sebuah organisasi dalam
Ganjar pun mengatakan bahwa antara satu dengan yang lainnya. Per- mengimplementasikan manajemen ke-
dalam industri retail seperti ini terkadang bedaan inilah yang menyebabkan amanan informasi. Semakin dewasa
menggunakan metode kuantitatif untuk sulitnya dicari metode standar untuk sebuah organisasi menerapkan sistem
menganalisis risiko dalam manajemen menganalisis risiko. Karena perbedaan manajemen keamanan informasi yang
keamanan informasi. Salah satunya karakteristik industri itulah, definisi baik, maka akan baik pula analisis
adalah menggunakan studi yang dapat metode analisis risiko yang cocok dirasa risikonya.
digunakan untuk mengkuantifikasi lebih tepat. Adapun untuk mendapatkan
RISK MANAGEMENT
Ada berbagai cara yang dilakukan eksekutif. Lalu, analis risiko akan bisa
oleh tiap-tiap industri dalam me- menerjemahkan tujuan bisnis mereka
nganalisis risiko di keamanan informasi. yang relevan dengan skenario risiko
Ganjar menuturkan bahwa analisis dalam bidang keamanan informasi.
risiko adalah sesuatu yang sangat
Ganjar pun menekankan bahwa
dinamik. Setiap praktisi memiliki analisis risiko adalah fondasi utama
cara dan metodenya sendiri dalam dalam kegiatan keamanan informasi.
menganalisis risiko di keamanan infor- Baik itu berupa aktifitas monitoring
masi. Adapun cara yang selalu digunakan day to day periodic ataupun proyek
Ganjar dalam menganalisis risiko pada keamanan informasi yang berskala
keamanan informasi dilakukan dengan besar. Tanpa adanya analisis risiko
cara memahami betul tujuan strategi yang terencana dengan baik, program
bisnis. Ini dilakukan dengan cara yang dikelola akan kacau dan kita
menggunakan analisis yang berbasis akan mendapatkan proyek keamanan
risk based approach. Cara seperti ini informasi yang bersifat sporadik. Pada
hanya bisa dicapai dengan menerapkan akhirnya, ini akan berdampak pada
komunikasi yang berkelanjutan dengan Return Of Investment perusahaan.
semua unit bisnis dan manajemen
RISK MANAGEMENT
Di sisi lain, Yusri menjelaskan juga teknik-teknik analisis risiko Yusri pun menegaskan bahwa
yang lazim digunakan dalam manajemen keamanan informasi. melalui analisis risiko setiap organisasi
Teknik analisis manajemen risiko pada keamanan informasi secara dapat menentukan kontrol yang tepat
garis besar sama dengan analisis manajemen risiko yg lain., ujar dalam meminimalkan suatu risiko
Yusri. Langkah-langkahnya antara lain: sampai ketitik yang dapat diterima oleh
suatu organisasi/perusahaan baik itu
kontrol teknis, administratif maupun
prosedur.
Identifikasi (identifikasi masalah/risiko, ancaman yang muncul,
Sebagai bahan perbandingan,
kelemahan yang ada, impact yang ditimbulkan, kontrol yang
Oxford University di Inggris merilis
telah diterapkan, dll).
cara-cara teknik analisis yang bisa
dijadikan rujukan. Oxford University
Prioritas (setelah tahap identifikasi, dilakukan penentuan
lebih mengedepankan analisis kuan-
prioritas dan pemilihan kontrol untuk menutup kelemahan/
titatif ketimbang kualitatif. Mereka
risiko yang paling besar hingga yang terkecil).
menyatakan bahwa untuk menganalisis
risiko yang berpotensi menjadi ancaman
pada aset informasi, risiko tersebut
Implementasi kontrol (baik secara teknis, administratif dan
harus diidentifikasi, dikuantifikasi dan
prosedur).
diprioritaskan. Pada tahapan analisis
ini ada beberapa hal penting yang harus
dipersiapkan. Yaitu:
Melakukan review, kembali ke langkah pertama. Ini menjadi
semacam siklus yang harus dievaluasi secara periodik.
RISK MANAGEMENT
Setelah ketiga poin di atas dipetakan, sebuah unit analis risiko. Sama seperti cukup mendapat perhatian karena
organisasi harus mulai menentukan pemaparan praktisi di atas, Oxford dalam pandangan mereka metode ini
metode apa yang akan digunakan. Oxford pun memberikan dua cara yang sama dapat mengukur secara akurat dampak
University menekankan bahwa untuk yaitu kualitatif dan kuantitatif. Metode risiko yang bisa terjadi. Keuntungan
menentukan tingkatan risiko melalui kualitatif dalam pandangan Oxford menggunakan metode ini adalah hasil
analisis, semuanya sangat bergantung University sangat bersifat subjektif yang didapat bisa sangat akurat selama
pada nilai sebuah aset, informasi yang karena sangat bergantung pada expert data ataupun informasi yang diperoleh
diberikan dan sumber daya yang dimiliki judgment. Di sisi lain, metode kuantitatif reliable.
RISK MANAGEMENT
Ada beberapa teknik analisis risiko yang dapat dicoba berdasarkan Setelah menganalisis risiko, analis
beberapa referensi yang dihimpun. Di antaranya adalah: dapat mulai menentukan tingkatan
risiko dan mendeskripsikannya. Sama
seperti teknik analisis di atas, penentuan
Calabreses Razor
tingkatan risiko ini berbeda. Tergantung
Sebuah metode yang dikembangkan oleh Chris Calabrese. Metode ini pada jenis industri dan kebutuhan
digunakan agar Pusat Keamanan Informasi untuk mengevaluasi cost and organisasi itu sendiri. IR
benefit dari sebuah control risk.
ISO 31000
Panduan analisis risiko dari standar manajemen risiko ISO 31000 ini dapat
digunakan pula di bidang manajemen keamanan informasi.
NIST SP 800-30
NIST SP 800-30 tentang Risk Management Guide for Information Technology
Systems dapat dijadikan acuan bagi para analis risiko.
Risk IT
Salah satu metode analisis risiko yang dikembangkan oleh ISACA.
Do-it-yourself
Pengembangan analisis risiko yang disesuaikan dengan kebutuhan organisasi.
Teknik analisis ini dapat dikembangkan dari berbagai macam varian teknik
analisis yang ada.
INSIGHT
Tiga Prioritas
Keamanan untuk
wilayah Asia Pasifik
Oleh :
Yudi Arijanto
INSIGHT
K
eamanan dunia maya bukanlah Negara Indonesia sedang dalam
semata-mata bagian dari Tek- tahapan untuk membentuk kemampuan
nologi Informasi (TI) lagi keamanan di dunia maya dan hal
dan profesional yang berkecimpung tersebut memberikan kesempatan Kolaborasi Pemerintah Dan
di dunia keamanan jaringan; Ketika yang unik untuk kerja sama yang Dunia Industri Menjadi Kunci
kejadian serang-serangan di dunia maya erat dengan negara sahabat mereka Utama
belakangan ini baik di Indonesia dan termasuk negara Amerika Serikat. Sejak
wilayah Asia Pasifik telah memeberikan tahun 2011, pemerintah Indonesia dan Pada tahun 2013, pencurian dan
pembelajaran akan banyak hal, tapi kaum analis dari non-pemerintah telah pembobolan data menjadi berita utama
yang paling utama adalah keamanan menyerukan untuk mempercepat dan di seluruh dunia. Mulai dari skandal
dunia maya telah menjadi topik hangat memperkuat keamanan dunia maya dan Edward Snowden dan serangan
yang memberikan implikasi ke berbagai jaringan pertahanan Indonesia. Dengan Tentara Syria secara electronik sampai
lini bisnis dan pangsa pasar. Serangan kelompok analis dari IDC memprediksi pembobolan data kartu JP Morgan
di dunia maya dalam rentang 12 bulan bahwa pengeluaran biaya TI di Indonesia Chase, kami terus melihat serangan
terakhir telah menunjukkan penjahat akan tumbuh sebesar 12,5 persen pada yang lebih kompleks pada skala global,
dunia maya semakin modern dengan tahun 2014 di tengah perekonomian menargetkan pemerintah, perusahaan
dengan teknik-teknik mereka, dan yang sulit didorong oleh investasi dari dan individu. Menurut sebuah penelitian
menggunakan metode jahat apapun sektor perbankan dan telekomunikasi terbaru dari IDC dan National University
untuk mencapai tujuan mereka. Apakah khususnya terhadap solusi keamanan of Singapore (NUS), Asia Pasifik akan
dibelakangnya hacker dengan agenda TI, kita berharap untuk melihat lebih mencatat kerugian perusahaan tertinggi
politik yang ingin menanamkan rasa banyak upaya yang terkonsentrasi baik di dunia sebesar US $ 138 miliar dari
takut dan pemberontakan melawan di sektor publik dan swasta menuju pembobolan data di dunia maya yang
pemerintah atau penjahat dunia maya keamanan dunia maya. Berikut adalah dilakukan oleh penjahat dunia maya
yang mencuri data berharga dan tiga strategi yang dapat dilakukan yang terorganisir.
penting untuk keuntungan finansial, oleh pemerintah dan perusahaan-pe- Dengan semakin tergantungnya
baik pemerintah dan perusahaan rusahaan untuk meningkatkan upaya kita dengan infrastruktur penting
harus mengamankan jaringan untuk menuju memerangi kejahatan dunia pada setiap hari, termasuk jaringan
melindungi kepentingan mereka. maya. listrik, pusat transaksi keuangan,
INSIGHT
dan bendungan, yang sekarang telah
terhubung ke jaringan, adalah penting
bagi pemerintah, organisasi dan pe-
rusahaan bersama-sama untuk me-
miliki baik perangkat lunak dan keras
keamanan dunia maya yang akan Berinovasi Untuk Menjadi Yang
memberikan perlindungan mumpuni Terdepan Dalam Memerangi
ke jaringan, komputasi awan dan Kejahatan Dunia Maya
perangkat akhir pengguna, sementara
juga menyediakan visibilitas penuh
terhadap lalu lintas jaringan. Inovasi terus menjadi tema yang perlu mengevaluasi celah keamanan
Kolaborasi antara industri dan selalu berulang di semua aspek bisnis dan mengembangkan sistem respon
pemerintah adalah sangat penting TI, dan terutama juga untuk keamanan. untuk mengelola kejadian-kejadian
dalam rangka secara aktif melindungi Ini seperti permainan kucing dan tikus, ketika pembobolan sistem terjadi. Hal
infrastruktur dan sistem informasi yang dengan penjahat dunia maya tetap ini dimulai dengan memiliki teknologi
menopang perekonomian kita. Kita bekerja keras untuk mencari celah- yang tepat di jaringan untuk mendeteksi
sudah melihat kolaborasi di wilayah celah dan mengeksploitasi kerentanan serangan yang sedang berlangsung dan
tersebut, seperti Asia Pacific Computer dalam sistem. mencegah munculnya ancaman baru.
Emergency Response Team (APCERT), Dalam lingkungan multi perangkat Selain itu, perusahaan harus membuat
yang menyediakan bantuan teknis, yang kita gunakan sehari-hari, dan keamanan dunia maya sebagai bagian
berbagi best-practice dan pelatihan, dengan Internet of Things (IOT) men- penting dari praktek bisnis untuk
kepada 30 kelompok dari 21 negara, jadi kenyataan, celah keamanan hampir menggerakan inisiatif-inisiatif bisnis
termasuk dua dari Indonesia. Kami ada di mana-mana. Untuk mengatasi ataupun perkenalan produk baru.
berharap untuk melihat lebih banyak hal ini, perusahaan dan pemerintah
inisiatif yang diluncurkan dalam be-
berapa bulan dan tahun mendatang,
yang dipimpin oleh pemerintah masing-
masing di wilayah tersebut.
INSIGHT
Log
Management
Oleh :
Iqbal Ramadhan
KNOWLEDGE
og adalah sebuah catatan. masing-masing. Secara harfiah, log harus mengalami banyak kendala dalam
Baik itu catatan di buku management dapat diartikan sebagai masalah pengelolaan log ini. Selain
maupun yang bersifat digital. sebuah cara untuk mengelola data yang harus menghadapi kendala terbatasnya
Yaitu sebuah rekaman aktivitas yang terekam dalam log secara efektif untuk jumlah sumber daya dalam pengelolaan
telah terjadi sebelumnya. Hal ini juga menganalisis setiap aktivitas yang te- log ini, organisasi pun harus menghadapi
berlaku pada setiap perangkat TI. rekam dalam sistem informasi. permasalahan berupa penyimpanan dan
Masing-masing perangkat TI memiliki Tantangan terberat dalam me- log generations yang bisa sangat rumit
sistem logging (pencatatan) yang ngelola log adalah menyeimbangkan yang dapat diakibatkan oleh banyak
berfungsi untuk melakukan audit secara efektif jumlah kuantitas sumber faktor. Salah satunya adalah banyaknya
trail terhadap apa yang telah terjadi daya dalam mengelola data yang sumber log yang harus dianalisis,
sebelumnya pada perangkat. Juga terekam dengan jumlah data yang konten log yang tidak konsisten serta
berfungsi untuk melakukan debugging dimiliki. Terkadang sebuah organisasi semakin membengkaknya jumlah data
dalam pengembangan sistem.
Dalam keamanan informasi, log
sangatlah penting. Karena log me-
rupakan salah satu informasi yang
cukup sensitif pada sistem. Log me-
mungkinkan seorang untuk melihat
konfigurasi yang telah diterapkan se-
hingga akan memperkaya informasi
penyerang terhadap sebuah sistem.
Oleh karena itu log perlu disimpan dan
dikelola dengan baik.
Perkembangan sistem TI yang besar
akan menyulitkan seorang pengelola
TI dalam melakukan log management
(manajemen log) dikarenakan setiap
perangkat akan menghasilkan log
KNOWLEDGE
yang ada dalam log. Kendala lainnya yang memiliki sistem informasi yang melalui log management tingkat ke-
yang sering ditemui adalah organisasi sangat besar akan menghadapi banyak amanan dapat dideteksi dan juga tin-
harus memastikan jaringan, sistem dan kesulitan dalam mencari sebuah dakan preventif dapat dilakukan lebih
keamanan komputer mereka tetap aman informasi spesifik pada ratusan gigabyte dini. Akademisi yang pernah menjadi
ketika proses analisis log berlangsung. data. Perbedaan teknologi yang dipakai IT Manager di sebuah perusahaan
SANS Institute pada tahun 2010 dalam mengelola data dapat menjadi ini mengatakan, Memang jika kita
pernah merilis sebuah survey tentang salah satu pemicu pada permasalahan perhatikan lebih seksama, banyak
tantangan dan permasalahan apa saja utama ini. Tantangan kedua diikuti log record yang bermuara kepada
yang dihadapi sebuah organisasi da- oleh aspek analisis dan pelaporan. keamanan itu sendiri, sehingga dari sisi
lam mengelola data yang terekam da- Permasalahan analisis ini bisa dipicu compliance akan menjadi terpenuhi
lam log. Data tersebut menunjukkan oleh kesulitan dalam mengintepretasi jika peran log management tersebut
bahwa mayoritas perusahaan ataupun data yang terekam dalam log. Sekitar 31 dimaksimalkan. Bila dijelaskan, com-
organisasi mengalami kendalah yang persen responden mengaku kesulitan pliance tersebut harus sesuai standar
sama dalam mengelola sebuah log. ini dapat berdampak pada hasil laporan baik government regulation maupun
Walaupun memiliki permasalahan yang yang tidak objektif. Permasalahan ter- organization business. Adapun log
sama, jenis-jenis kendala yang dihadapi besar ketiga adalah mengambil data record yang dimaksud Sevenpri adalah
berbeda satu sama lain. historis yang tersimpan dalam log. log dari antivirus, software application,
Berdasarkan data di atas, ada Kapasitas log yang banyak, memiliki sisi operating system, firewall, workstation
beberapa permasalahan yang sering yang kurang menguntungkan. Semakin and network equipment.
dihadapi oleh sebuah organisasi da- banyaknya data yang tersimpan dalam Sevenpri menambahkan bahwa
lam pengelolaan log. Tantangan ter- log, maka akan semakin lama pula me- ancaman yang bisa terdeteksi dari
besar yang sering ditemui oleh orga- recover data historis yang tersimpan di log management ini dapat dijabarkan
nisasi adalah searching through the dalamnya. antara lain dari sisi security software :
data. Sekitar 38 persen responden ancaman malware, malicious activity,
menyatakan bahwa permasalahan dan
Faktor Keamanan vulnerability, network traffic. Sedang-
tantangan terbesar yang sering dihadapi Sevenpri Chandra, Head of kan dari bagian operating system :
adalah mencari informasi melalui Management Dual Degree Program privileges access dan audit record serta
historis data yang banyak. Organisasi Universitas Binus, mengatakan bahwa system event.
KNOWLEDGE
baga eksternal atau menghindari risiko response yang baru. Salah contoh komputer tersebut. Selanjutnya tinggal
sama sekali. langkah incident response tersebut mencari motif utama apakah penye-
Mitigasi risiko dan incident res- menurut Surya adalah investigasi motif. baran itu sengaja atau tidak disengaja.
pons yang dilakukan di perusahaan Ketika ada anomali yang terdeteksi, Namun itu semua kembali ke security
multinasional menurut Surya sudah hal yang pertama dilakukan adalah policy masing-masing perusahaan.
berstandar global. Artinya, perusahaan melakukan investigasi. Contoh kasus- Secara spesifik, langkah mitigasi risiko
multinasional yang berkantor di Indo- nya adalah jika sistem terserang virus yang ada di Conoco Phillips sudah me-
nesia cukup mengikuti aturan baku yang dari komputer user, PIC (person in lingkupi aspek disaster recovery plan,
sudah ada dan tidak perlu membuat charge) harus menganalisis bagaimana respond center dan support dari mitra
langkah mitigasi risiko ataupun incident virus itu tersebar dan me-lock down bisnis. IR
KNOWLEDGE
D
alam artikel Analisis Malware
bagian pertama (CISO edisi Mei
2014), kita sudah membahas
perilaku kode bineryang sedang dianalisa
termasuk interaksi dengan file system
dan network. Contoh kode biner yang
dianalisa dalam artikel yang lalu juga
menunjukkan adanya interaksi dengan
file system and registry dari Windows,
seperti terlihat pada gambar 1 dibawah.
Dalam gambar 1 terlihat jelas bahwa kode
biner tersebut mencoba mengkakses
registry key dengan nama cacaoweb
dan pada saat yang bersamaan program
berusaha mencari keberadaan program
bernama cacaoweb.exe dank arena
file tersebut tidak ada maka dilanjutkan
dengan pembuatan file dengan bernama
cacaoweb.exe.
Pada gambar 2, kita bisa melihat
adanya proses baru yang dibuat untuk
menjalankan program cacaoweb.exe
tersebut, bahkan terlihat juga command
line parameter yang digunakan oleh kode
biner tersebut yaitu : C:\Program Files\
cacaoweb\cacaoweb.exe restart.exe.
KNOWLEDGE
2014-04-26 05:18:14,224 RegCloseKey Handle: 0x00000098 success 0x00000000 Dengan demikian jelas bahwa
perilaku kode biner terhadap sistem
MaduleHandle: 0x7o9o0000
2014-04-26 05:18:14,224 LdrGetDllHandle success 0x00000000
FileName: SHELL32 yang berkaitan dengan proses, registry,
Handle: 0x00000000 network, file system dan lainnya dapat
2014-04-26 05:18:14,224 RegOpenKeyExA Registry: 0x80000001 failed 0x00000002 digunakan untuk menjadi fitur yang
SubKey: SOFTWARE\cacaoweb
dapat dipakai untuk menjadi penentu
FileName: C:\DOCUME~1\User\
2014-04-26 05:18:14,224 FindFirstFileExW
LOCALS~1\Temp\cacaoweb.exe
success 0x00059238 apakah kode biner tersebut bersifat
ShareAccess: 3
berbahaya (malicious) atau tidak.
FileName: C:\DOCUME~1\User\ Selain itu setiap kode biner (yang
LOCALS~1\Temp\cacaoweb.exe
2014-04-26 05:18:14,224 NtCreateFile
DesiredAccess: 0x90100090
success 0x00000000 sangat mungkin adalah malware) yang
CreateDisposition: 1 berhasil ditangkap lewat honeypot
FileHandle: 0x00000098
diindentifikasikan lewat nilai fungsi
Gambar 1 Interaksi kode biner dengan file system dan Registry hash misalnya menggunakan MD5 atau
SHA-1. Dengan menggunakan nilai
hash maka setiap perbedaan bahkan
ApplicationName: C: \Program
Files\cacaoweb\cacaoweb.exe 1 bit pada kode biner maka nilai hash
Processid: 1956 berubah siknifikan. Sifat ini menjadi
CommandLine: "C: \Program
Files\cacaoweb\cacaoweb. penting untuk mengindentifikasikan
2014-04-26 05:18:14,294 CreateProcessInternalW success 0x00000001
exe" -restart kalau ada perubahan pada kode biner
ThreadHandle : 0x000000ac
ProcessHandle : 0x000000a9 yang akan dianalisa. Karena malware
ThreadId : 1964
CreationFlags : 0x00000010
dapat berubah dengan mudah dari
waktu ke waktu sesuai dengan keinginan
MaduleHandle: 0x00000000
2014-04-26 05:18:14,294 LdrGetDllHandle
FileName: macoret.dll
failed 0x00000135 pembuatnya maka penamaan malware
yang baku menjadi sulit, itu sebabnya
2014-04-26 05:18:14,294 ExitProcess ExitCode: 0 success 0x00000000 analis malware menggunakan nilai
hash untuk menentukan adanya
Gambar 2 Interaksi program yang berhubungan dengan process kemungkinan malware jenis baru.
KNOWLEDGE
Namun nilai hash yang berbeda dengan pembuatan file (Create File) // Kode biner hanya menggunakan beberapa
tidak menjamin bahwa adanya indikasi yang dilanjutkan akses ke device driver kode yang sama dan sisanya memang
kode biner yang berbeda seperti yang bersangkutan dan kemudian dilanjutkan berbeda sama sekali
kita lihat pada gambar 3 dibawah. dengan pembukaan file (Open File).
Gambar 3 merupakan visualisasi dari Dengan alat bantu visualisasi ini maka Sehingga terlihat dengan jelas
perilaku kode biner yang dianalisa analis malware lebih jelas melihat bahwa analisis behavior yang mencoba
lewat analisis behavior lewat sandbox. perilaku malware dan menentukan menggali perilaku kode biner terhadap
Terlihat perbandingan 2 kode biner apakah malware tersebut berperilaku sistem dapat dijadikan sebuah indikasi
dengan 2 nilai hash berbeda namum berbeda sehingga dapat menentukan apakah kode biner tersebut adalah
memiliki perilaku yang sama, bahkan kemungkinan sebagai berikut: malware atau bukan dan menentukan
tidak ada perbedaan sama sekali. apakah kode biner tersebut mempunyai
Visualisasi tersebut gambar 3 dapat // Kode biner yang dibandingkan sama persis kesamaan dengan kode biner lainnya
diperjelas dengan melihat pada gambar atau mendekati 100% (hanya berbeda pada (untuk menentukan kelompok dari kode
4, dimana terlihat bahwa kode biner bagian yang tidak penting sebagai penentu biner tersebut).
melakukan berbagai aktifitas dimulai perbedaan malware)
KNOWLEDGE
FileName: Kernel32
2014-04-24 18:07:43,109 LdrGetDllHandle
ModuleHandle: 0x7c800000
0x00000000 true ASCII Strings
Sleep
SectionHandle: 0x000000dc
ProcessHandle: 0xffffffff QueryPerformanceCounter
2014-04-24 18:07:43,109 ZwMapViewOfSection 0x00000000 true
BaseAddress: 0x00a20000
SectionOffset: 0x00000000 SetLastErrorv
KNOWLEDGE
Contoh String yang berhasil di- PE Sections
ekstrak dari kode biner adalah seperti
contoh gambar 5. Sebuah file PE
Relative Virtual
biasanya memiliki beberapa header Name Size (Bytes) Characteristics
Address
dan section, yang bertujuan untuk CNT_CODE
menginformasikan linker dinamis .text 0x1000 15 KB (15492) MEM_EXECUTE
bagaimana memetakan file tersebut MEM_READ
GetACP 0x10005034
VirtualAlloc 0x10005038
VirtualProtect 0x1000503c
VirtualQuery 0x10005040
DosDateTimeToFileTime 0x10005044
KNOWLEDGE
Gambar 8 adalah contoh API call yang
digunakan selama analisis behavior
dilakukan.
RANGKUMAN
April 2014, tingkat keamanan internet nasional Indonesia
berdasarkan pada kenaikan dan penurunan Aktivitas insiden
keamanan internet berada dalam kondisi Sedang.
serangan
traffic
// APRIL 2014
Pemantauan aktivitas malware pada periode April 2014, Total tercatat sebanyak 1.501.710 aktivitas malware,
menunjukkan bahwa telah terjadi sebesar 1.501.710 aktivitas. untuk EXPLOIT mendominasi sebesar 84,48% dari
Pemantauan malware tersebut berkaitan juga dengan lalu lintas seluruh aktivitas malware yang terpantau. Semen-
data pada tipe IDS-1 setiap bulannya. Aktivitas terbesar pada tara itu, aktivitas malware lainnya seperti DOS se-
jenis malware seperti terlihat pada tabel 2 yaitu EXPLOIT, sebesar besar 13,81%, DDOS sebesar 0,49%, BOTNET-CNC
1.268.605 aktivitas. sebesar 0,48%, BAD-TRAFFIC sebesar 0,39%, dan
SPYWARE-PUT sebesar 0.35% dari seluruh aktivitas
malware yang ada.
// APRIL 2014
Aktivitas terjadinya phising pada bulan April 2014 Berdasarkan pemantauan Id-SIRTII/CC terdapat kebocoran
menunjukkan terdapat sejumlah situs yang dipalsukan, dibuat data di 12 site domain dengan 524 record. Site domain
mirip dengan aslinya ataupun menyamarkan informasi yang yang sering terjadi kebocoran data yakni .ac.id, .go.id, .or.id,
ditujukan untuk mengelabui pengunjung situs tersebut. serta .co.id. Namun dari domain tersebut yang paling sering
Berdasarkan dari hasil pemantauan terdapat 190 website yang terjadi kebocoran data yakni .ac.id, .go.id, dan .co.id. Pada
terkena atau dibuat untuk melakukan phishing. Pada domain bulan April 2014 jumlah data leakage site domain .ac.id, .or.
.com aktivitas ini ditemukan sebanyak 157 buah, domain ac.id id, .go.id, dan .co.id lebih sedikit; akan tetapi jumlah record
sebanyak 9 buah, domain .co.id dan .go.id masing-masing 5 nya lebih besar.
buah, domain .or.id 3 buah, domain .edu 4 buah, sementara
domain .tl dan .net masing masing 2 buah, serta domain .tk,
.es, dan .org.ng masing-masing 1 buah.
// APRIL 2014
K
ejahatan cyber meningkat sejak 2003, Kepolisian Republik
Indonesia (Polri) mencatat 71 kasus kejahatan cyber. Kejahatannya
pun beragam, seperti credit card fraud, ATM/EDC skimming,
hacking, cracking, phishing, internet banking fraud, malware, internet
pornografi, dan banyak kejahatan cyber lainnya.
Apps Books
Hacking: The Art of Exploitation
Buku berjudul Hacking: The Art of Exploitation ini berbicara
mengenai keamanan komputer dan keamanan jaringan. Buku ini ditulis
oleh ahli sekuriti kom-puter,Jon Smibbs Erickson, dan diterbitkan oleh
No Starch Press pada 2013.
Pada pembahasan mengenai pemrograman lewat buku ini
Erickson menjelaskan mengenai pengembangan, disain, konstruksi
dan pengetasan mengenai peng-eksploitasian kode. Pada pem-bahasan
mengenai jaringan, buku ini menjelaskan dasar dari Model OSI dan
konsep dasar jaringan seperti packet sniffing, connection hijacking,
denial of service dan port scanning. Dan pembahasan terakhir adalah
mengenai informasi dasar mengenai kriptografi hingga mengenai
enkripsi simetris dan asimetris.
Buku ini memberi pemahaman mengenai peretasan komputer.
Buku ini dilengkapi dengan gambar kode dan contoh-contoh bagaimana
melaksanakan teknik yang diajarkan pada buku ini. Isi pada buku ini
adalah berkisar pada tiga aspek yaitu mengenai pemograman, jaringan
dan kriptografi.
Website
www.torproject.org
Film
The Fifth Estate
The Fifth Estate adalah film bergenre thriller yang dirilis pada tahun
2013. Film yang disutradarai oleh Bill Condon ini bercerita mengenai situs
pembocor rahasia Wikileaks. Film ini dibintangi oleh Benedict Cumberbatch
yang memerankan sebagai pendiri Wikileaks Julian Assange. Film ini diangkat
berdasarkan buku karangan jurnalis Daniel Domscheit Berg yang berjudul
Inside Wikileaks: My Time wit Julian Assange and The Worlds Most Dangerous
Website yang diterbitkan pada tahun 2011.
Judul film ini terinspirasi oleh istilah yang mendeskripsikan mengenai
orang-orang yang melakukan kegiatan jurnalisme di luar batasan normal
yang sering dilakukan oleh media mainstream. Film ini sendiri berkisah
mengenai pertemuan pertama kali Daniel Domscheit Berg dengan hacker
asal Australia Julian Assange pada acara Computer Chaos di Berlin, Jerman.
Pertemuan Daniel dan Julian ini membuat keduanya bekerjasama pada situs
pembocor rahasia Wikileaks. Tokoh Daniel Domscheit Berg pada film ini
sendiri diperankan oleh actor asal Jerman Daniel Bruhl.
Film ini pertama kali dirilis pada acara 2013 Toronto International
Film Festival dan dirilis oleh Touchstone Pictures di Amerika Serikat pada
18 Oktober 2013. Pemeran Julian Assange, Benedict Cumberbatch, diganjar
sebagai pemenang dalam nominasi British Artist of the Year pada ajang
penghargaan Britannia Awards tahun 2013.
Reconnaisance, Vulnerability Scanning, Arta, Tbk Requirements Jika Anda memenuhi semua
Exploitation Framework, Incident IT Manager // S1 in IT or Engineering persyaratan di atas, silakan kirim
Handling, and Digital Forensic). // Male/Female max 30 years of age lamaran lengkap dan foto terbaru
// Hands-on experience with PERL, // Certification in Microsoft Windows melalui email :
PYTHON, and BASH is preferable. Server, System Center, Exchange jobs@itsecasia.com
// Having good writing, Requirements Server, or SQL Server is an advantage
communication, and presentation // Certification in PMP is an
// Male / Female
skill. advantage
// S1 Degree in Information System
//Passionate to learn, hardworking, // One year or more experience as
// Preferable having 5 year working
good team player and willing to travel
experience in same field project manager Bumitama Gunajaya
all over Indonesia. // Excellent communication and
// Memahami Networking (Cisco)
presentation skills
Agro (BGA Group)
// Lebih disukai memiliki Sertifikasi Quality Assurance &
Job Description
CCNP
// The process of implementation // Memahami Information Security If you are interested to apply Compliance Officer
and configuration of IT equipment Mgt System (ISO 27000) and meet the qualification
timeline. still a team player.
specifications are useful.
// To obtain technical certification for // Territory Qualification preferred
// Familiar to positioning technology
Requirements correctly while providing prospects/
products that company distributes. but not mandatory
// S1-Segala Jurusan // To help customers in matching // Knowledge / Experience in Firewall,
customers with a framework
// Pria / Wanita requirement into product/solutions. Proxy, Anti-spam, VMware, Load
and methodology for evaluating
// 25-35 Tahun // To provide workable (or alternative) Balancer would be an advantage.
technology and an assessment
// Minimal 2 (dua) tahun di bidang solution based on customers // Product certification like Cisco
of product fit to the customers
yang sama requirement. CCNA/CCNP, Check Point CCSE,
enterprise/applications architectural
// Memahami UU ITE, ITIL, ICT Policy, // To conduct Product Hands-on Bluecoat BCCPP, Brocade BCNP/BCLP
needs.
dan Technical Writer Training to customers and partners would be advantage.
// Familiar to prove assistance to
// To be able to carry out installation
prospects with choosing the right
Send your Cv to: set of Products and designing the
and configuration by reading manual Requirements
Jl. Melawai Raya No. 10 Jakarta when given a new product when // Salary will commensurate with
Application-integration right.
Selatan 12160 there is no prior training given. qualifications and experiences
// Hands-on assistance with
Phone: (021) 727 98418 // Able to work in a fast-paced
Integration (code-reviews, code-
environment. Working after office If you are interested to apply
samples etc.) and Tuning of the
hours, Sat/Sun/Public Holidays, from and meet the qualification
customer Application with companys
time to time, would be expected. stated, please submit your
technology.
PT Techno International // Managing relations with software
// To support Sales personnel complete resume and your recent
Mandira in sales process, e.g. product photograph to :
architects, developers, operational
features/functionalities clarification,
Solution Architect Security personnel and technology leadership
implementation consideration, PT. INDOPOLEON TECHNOLOGY
within prospect organizations.
(Code: Sas) tender compliance, etc.
// To work closely with Sales Gd. Setiabudi 2 LT. 5 Suite 504-B
For quick response, please kindly
personnel to help manage a few Jl. HR. Rasuna Said Kav. 62, Karet,
send email to :
strategic accounts Setiabudi
hrd@tim-corp.net
Requirements // To conduct POC to secure sales. Jakarta Selatan, 12920
// Minimum 5+ years experience organization and methodically plan Indonesia
Human Resource Department
// Expertise with architecting, and anticipate changes to achieve
PT Techno International Mandira
designing, developing and deploying smooth implementation, in budget
JL Radio Dalam 191/17
IBM security Product and timely
Kebayoran Baru JAKARTA 12140
// Extensive experience in enterprise
application deployment architectures, Requirements
environments and concerns PT Indopoleon // Positive and professional working
(scalability, performance, availability, attitude, ability to work under
reliability, security etc.) Technology minimum supervision.
// Knowledge of Solaris and/or Linux Network / Security // Hands-on experience on LAN/WAN
Administration and knowledge of the Engineer and security solutions would be an
Networking tier is also a strong plus. advantage. (Those without can be
// Basic scripting skills and considered for a junior position)
knowledge of benchmarks, standards // Familiar with functionalities of IP
Responsibilities
// Workin g knowledge of Database networks & routing protocol, BGP,
architectures, SQL and ability to // To provide implementation service OSPF, DNS, AD, Proxy, etc.
interpret ERDs and other relational including managing customers and // Ability to work independently but