TEMPLATE

CONTENT
// COVER STORY // GOVERNANCE

Jeffrey
sukardi 036
Mengembangkan Kebijakan
Keamanan Informasi Yang Baik

Penerapan Disiplin
Security Policy Kebutuhan pokok utama keamanan informasi di
institusi perbankan adalah kerahasiaan data nasabah
yang harus dijaga agar tidak tersebar pada pihak
yang tidak bertanggungjawab. PT. Bank Central Asia
Tbk. (BCA) sebagai salah satu institusi perbankan
terbesar di Indonesia memahami akan hal tersebut.
Oleh karenanya, bank tersebut membentuk Enterprise
Security Division yang bertanggungjawab terhadap
keamanan informasi.

024
STRATEGY TECHNOLOGY
// RISK MANAGEMENT // KNOWLEDGE // INFOSEC NEWS // THE ZERO DAY
041 053 009 015

ANALISIS
RISIKO
DI BERBAGAI INDUSTRI // INFOSEC NEWS
bagian Ii Log Management

// INSIGHT // KNOWLEDGE
049 061

Analisis
Malware // EVENT
Mengungkap 018
Tiga Prioritas
Keamanan untuk Strategi Hacker
wilayah Asia Pasifik (bagian II)

// ID-SIRTII // RECOMMENDED // CAREER

070 078 081
 "WHAT PROFESSIONALS SAY"

"Secara konten dan Semoga dapat menjadi manfaat

tampilan Majalah
CISO ini sudah bersama
sangat baik, Keep
Adie Bayuajie - Business Consultant, PT. Lintas Media Dawana

up the good work" Semoga sukses dan memberikan

Kenny Chandra
IT / System Engineering Manager
PT. TeleNet contribusi positive kepada
"Wah mantab perkembangan dan keamanan
sekali majalahnya" technology di Indonesia
Mohamad Ivan Fanany - Lecturer and Marjuki Markhasan - Senior Vice President at IT Solution Delivery Head at PermataBank
Researcher, Faculty of Computer Science,
Universitas Indonesia

Mudah-mudahan CISO magazine ini bisa

"Secara konten dan memberikan guidance, insight dan ilmu
tampilan Majalah CISO
ini sudah sangat baik, serta tambahan wawasan bagi saya dan
Keep up the good work" rekan2 kerja saya
Kenny Chandra
IT / System Engineering Manager Buce Darmawan, BSc, MTI - IT Auditor for IT Strategic Planning, IT Project
PT. TeleNet Application & IT Infrastructure Development at Bank Rakyat Indonesia
 Kebijakan Keamanan Informasi (Secu-
rity Policy) merupakan salah satu langkah
matangan Pak Jeffrey Sukardi di industri ke-
amanan informasi perbankan di Indonesia FROM THE EDITOR
awal dalam melakukan pengamanan infor- merupakan nilai besar yang dapat kita
masi. Kebijakan ini terus berkembang diiringi contoh.
dengan berkembangnya perusahaan dan Aplikasi Android CISO Magazine kini
kematangan sistem di dalamnya. Sehingga sudah dalam tahap finalisasi yang jika tidak
kebijakan keamanan informasi bukanlah se- ada halangan dari approval Google Play Store
suatu yang pengembangannya instan dan maka akan terbit dalam bulan ini. Kabar yang YASSER
selesai setelah pertama kali diresmikan. ditunggu-tunggu ini akan kami email secara
Kematangan yang dibutuhkan dalam langsung kepada para subscriber setia HADIPUTRA
pengembangan kebijakan ini tak lepas CISO Magazine. Semoga dengan aplikasi EDITOR IN CHIEF
dari tangan dingin dalang di belakangnya. ini akan lebih mendekatkan CISO Magazine @yasserhadiputra
Melihat kematangan sistem yang dimiliki PT dengan para pembaca setianya, on-demand,
Bank Central Asia Tbk (BCA), kami pun ingin anytime, anywhere.
belajar lebih banyak mengenai bagaimana Selain itu, aplikasi iPad CISO Magazine
BCA mengembangkan kebijakan yang mereka versi 1.1 telah mendapatkan approval oleh
miliki. Tentunya dalang di belakangnya adalah Apple Store, silakan update aplikasi CISO EDITORIAL
Jeffrey Sukardi, CISO (Chief Information Se- Magazine anda untuk mendapatkan tampilan
EDITOR IN CHIEF ACCOUNT EXECUTIVE
curity Officer) BCA yang ikut berkembang iOS 7 dan selalu be informed!
Yasser Hadiputra Dimas Satria Prabowo
bersama tempat ia mengabdi selama 28 tahun
ini. Kematangan sistem yang ia kembangkan JOURNALIST CREATIVE
tak terlepas dari pengalaman yang ia jalani. Iqbal Ramadhan Mochammad Iqbal
Suatu pengalaman berharga pula bagi kami Fahdi Fahlevi
dapat berbincang dengannya untuk Cover APP DEVELOPER
Story CISO Magazine Juni 2014. Ayu Kusumaningtyas
Kebijakan di BCA tidak akan efektif
jika penerapannya tidak berjalan dengan PT. BUMI NAWA DIGITAL MEDIA
baik. Dibutuhkan strategi yang baik untuk Graha Sartika Lt. 3
mendisiplinkan sebuah kebijakan agar di- Jl. Dewi Sartika No. 357
jalankan dengan konsisten oleh karyawan di Cawang - Jakarta Timur
T : +62-21-29362045
BCA. Jeffrey membagikan beberapa nilai-nilai
yang ia terapkan pada strategi mendisiplin- ADVERTISING INFORMATION
kan kebijakan di BCA. Pengalaman dan ke- adv@ciso.co.id info@ciso.co.id
Cloud Security

bsigroup.com/en-ID/
 Content
in t e r a c t io n
Statistic Interaction
P l aya b l e
VIDEO

Flash
And
animation

experience
the Interface
Get it For Free !
bit.ly/10MA5bO

Jumat, 6 Juni 2014
icrosoft, meminta pemerintah Amerika
M Serikat untuk mereformasi aturan me-
ngenai program mata-mata Amerika
Serikat. Perusahaan raksasa ini tidak hanya me-
minta transparansi, tapi juga tentang aturan yang
secara mendasar yang melarang agen pemerintah
untuk mengakses server penyimpanan informasi
yang terdapat pada perusahaan Amerika Serikat.
Dilansir dari Softpedia, hal tersebut diungkap-
kan Microsoft pada surat yang dipublikasikan oleh
General Counsel & Executive Vice President Legal
INFOSEC NEWS
Microsoft Meminta
Pemerintah AS Berhenti
Meretas Servernya
& Corporate Affairs Microsoft, Brad Smith, melalui
blog Technet pada Rabu lalu, (04/06). Pada
surat tersebut Microsoft mengingatkan bahwa
pemerintah AS seharusnya hanya diperbolehkan
untuk mengakses informasi pengguna yang
tersimpan dalam server domestik.
Microsoft mengatakan bahwa pemerintah
Amerika Serikat menghargai hukum Aman-demen
Keempat Konstitusi Amerika Serikat yang mengatur
hak privat warganya. Dibawah Amandemen Ke-
empat Konstitusi AS, pengguna memiliki hak
untuk menjaga komunikasi melalui email secara
privat. Kita butuh pemerintah kita untuk menegakan
hukum perlindungan privat dan mematuhi aturan
privasi yang ditetapkan oleh hukum. ungkap blog
tersebut.
Satu hal yang paling penting pada surat ini
adalah mengenai upaya peretasan yang dilakukan
agen intelijen pemerintah Amerika Serikat ter-
hadap pusat data yang dimiliki perusahaan tek-
nologi besar dan perusahaan yang berada di luar
Amerika Serikat. Sebuah laporan yang diungkap
Washington Post mengungkapkan bahwa pusat
data Google dan Yahoo pernah diserang oleh
seorang ahli yang kemungkinan berasal dari NSA.
Kita percaya usaha kami untuk memperluas
sistem enkripsi pada layanan kami membuat
sulit berbagai negara dalam meretas data yang
disimpan. Namun lebih dari tujuh bulan setelah
Washington Post pertama kali melaporkan bahwa
NSA telah meretas sistem di luar Amerika Serikat
untuk mengakses data yang terdapat pada Yahoo
Dan Google, Eksekutif Cabang masih diam terkait
dengan praktek-praktek ini, sebut tulisan dalam
blog tersebut.

Senin, 2 Juni 2014
elompok aktivis hacker Anonymous sedang
K mempersiapkan serangan siber terhadap
perusahaan sponsor Piala Dunia 2014 di
Brazil. Aksi ini dilakukan kelompok ini sebagai
bentuk protes terhadap sikap pemerintah yang
menghabiskan anggaran negara untuk perhelatan
Piala Dunia 2014 ini.
Rencana peretasan ini diumumkan oleh
Anonymous saat diwawancarai oleh Reuters
melalui Skype di suatu tempat yang dirahasiakan.
pada Jumat lalu, (30/05). Salah satu anggota
INFOSEC NEWS
Anonymous
Menargetkan
Penyerangan
Sponsor Piala
Dunia 2014
kelompok yang menamakan dirinya Che Commo-
dore mengklaim telah melakukan tes untuk melihat
ke-rentanan pada situs yang akan diserang. Kita
telah melakukan tes tengah malam untuk melihat
situs mana yang lebih banyak celah ungkap Che
Commodore.
Saat ini kita menargetkan sponsor Piala
Dunia 2014, Che Commodore menambahkan. Che
juga mengungkapkan bahwa perusahaan yang
berpotensi untuk diserang adalah Adidas, Emirates
Airline, Coca-Cola dan Budweiser.
 Menurut Reuters, pihak perusahaan sponsor
Piala Dunia 2014 hingga saat ini masih menolak
untuk memberikan tanggapan terkait rencana
penyerangan oleh Anonymous ini.
Sebelum rencana penyerangan ini, kelompok
Anonymous telah terlebih dahulu menyerang
jaringan komputer dan membocorkan beberapa
email pada Kementerian Luar Negeri Brazil. Seorang
hacker yang menamakan dirinya AnonManifest
menggunakan serangan phishing untuk men-jebol
sistem database Kementerian Luar Negeri Brazil
dan mengakses sistem dokumentasi.
Namun pihak Kementerian Luar Negeri Brazil
mengatakan pada Jumat lalu, bahwa hanya 55
akun email yang diretas dan hanya dokumen yang
dilampirkan pada email yang bocor. Dokumen yang
hilang itu pun hanya berasal dari arsip internal
dokumen Kementerian Luar Negeri.
Masalah ini sudah bisa diperbaiki. Tidak ada
hal yang penting yang hilang, kata sumber resmi
Kementerian Luar Negeri Brazil. Masalah ini
memang telah diatasi namun selama beberapa
hari para diplomat Brazil di luar negeri kehilangan
kontak via email dengan pemerintah pusat.
Masalah ancaman serangan siber ini cukup
merepotkan penyelenggara Piala Dunia Brazil 2014.
Selain masalah siber, penyelenggara juga sudah
mendapat banyak kritik karena kelambatan dalam
menangani masalah teknis seperti pembangunan
stadion yang tertunda.
Selain masalah teknis penyelenggaraan,
penyelenggaraan Piala Dunia kali ini juga dikecam
banyak warga Brazil karena dianggap meng-
hambur-hamburkan anggaran belanja negara
di saat menurunnya pelayanan publik di negara
tersebut.

Jumat, 6 Juni 2014
ekitar 16.000 data penting yang berisi
S informasi sensisif tentara Amerika Se-
rikat yang bertugas di Korea Selatan di-
kabarkan hilang. Selain data tersebut, data lain
seperti data pegawai lokal dan lamaran kerja juga
ikut menghilang. Data yang berisi nama, nomor
identifikasi dan alamat tersebut hilang setelah
diakses oleh orang yang tidak berkepentingan.
Seperti yang diinformasikan oleh The Register
hari ini, penyerangan tersebut terjadi pada 28 Mei
lalu. Karena kejadian ini, pihak pimpinan militer
Amerika Serikat di Korea Selatan meminta maaf
INFOSEC NEWS
Data 16.000
Tentara AS di
Korsel Hilang
kepada para tentara dan pelamar kerja. Permintaan
maaf yang ditandatangani oleh Komandan Ang-
katan Darat Amerika Serikat (USFK) di Korea
Selatan Jenderal Curtis M Scaparrotti, itu dirilis
dalam bentuk PDF.
Kami sangat menyesal dan memohon maaf
untuk segala ketidaknyamanan dan kekhawatiran
yang menimpa kalian. USFK menganggapi pe-
nyerangan dengan sangat serius dan sedang
meninjau kebijakan dan pelaksanaan dengan pan-
dangan yang menentukan apa langkah yang harus
diambil sehingga tidak terjadi lagi kejadian serupa
di masa mendatang, Curtis meminta maaf.
Sebelumnya Jenderal Curtis M Scaparrotti
memberi pernyataan yang menjelaskan bahwa
telah terjadi pencurian terhadap data personal dari
Sistem Perekrutan Nasional Korea yang berada
di bawah Departemen Angkatan Darat Amerika
Serikat.
USFK telah menemukan pencurian informasi
personil dari Sistem Perekrutan Nasional Korea
yang diurus oleh Departemen Angkatan Darat
Amerika Serikat. kata Scaparroti pada surat
tersebut.
Untuk mengatasi kasus ini pihak Angkatan
Darat telah berkonsultasi dengan pejabat senior
Amerika Serikat dan Korsel mengenai insiden ini
dan telah menarik komputer yang terinfeksi dari
jaringan dan menggantinya dengan sistem lain
untuk mengatur sistem perekrutan pegawai.
 THE ZERO DAY
SAP Sybase ESP esp_parse Connection.getType Remote Code
Execution Vulnerability
CVSS Score : 7.5
Ditemukan oleh WanderingGlitch, HP Zero Day Initiative
Dilaporkan pada 11 September 2013
Dirilis resmi pada 22 Mei 2014
Celah ini memungkinkan remote attacker (penyerang jarak
jauh) untuk mengeksekusi kode pada instalasi SAP Sybase ESP..
Tidak dibutuhkan proses interaksi untuk melakukan eksploitasi
celah ini.
Cacat permasalahan terletak pada Connection.getType
function di esp_server_lib.dll. Dengan mengirimkan spesifik
argumen pada Connection.getType function via XMLRPC. Penyerang
dapat memicu kondisi eksekusi kode jarak jauh. Penyerang bisa
mempengaruhi vulnerabilities ini pada konteks sebuah proses.
This vulnerability is being disclosed publicly without a patch in
accordance with the ZDI 180-day deadline.
Kaspersky Internet Security prremote.dll Use-After-Free
Remote Code Execution Vulnerability
CVSS Score : 10
Ditemukan oleh ZombiE
Dilaporkan pada 10 Juni 2013
Dirilis resmi pada 2 Mei 2014
Celah ini memungkinkan remote attacker (penyerang jarak
jauh) untuk mengeksekusi kode pada instalasi Kaspersky Internet
Security yang vulnerable. Korban harus melakukan interaksi untuk
mengeksekusi sebuah malicious file.
Cacat permasalahan terletak pada built-in RPC server yang
terimplementasi pada prremote.dll. RPC Server mendengarkan
lebih pada PRRemote: RPC endpoint. Melalui RPC Server, penyerang
dapat memasukan `call_table_ref` yang didesain secara spesial
untuk mendapatkan kode eksekusi. Penyerang dapat menyerang
vulnerabilities ini pada konteks sistem atau sebuah proses
Solusi vendor : http://support.kaspersky.com/10235#block0
 THE ZERO DAY
Advantech WebAccess bwocxrun.ocx CreateProcess Remote Code
Execution Vulnerability
CVSS Score : 7.5
Ditemukan oleh Anonymous
Dilaporkan pada 20 Desember 2013
Dirilis resmi pada 19 Mei 2014
Celah ini memungkinkan remote attacker (penyerang jarak jauh)
untuk mengeksekusi kode pada instalasi Advantech WebAccess yang
vulnerable. Dibutuhkan interaksi user untuk melakukan eksploitasi
celah ini dan mengeksekusi sebuah malicious file.
Cacat permasalahan terletak pada bwocxrun.ocx. Kontrol
mengekspos metode yang dapat di-script yaitu CreateProcess.
Penyerang dapat mengeksploitasi cacat pada kode validasi pada
metode untuk mengeksekusi perintah dalam konteks browser.
Solusi vendor : https://ics-cert.us-cert.gov/advisories/ICSA-
14-079-03
Symantec Workspace Streaming Agent XMLRPC Request putFile Method
Remote Code Execution Vulnerability
CVSS Score : 10
Ditemukan oleh Andrea Micalizzi (rgod)
Dilaporkan pada 30 Januari 2014
Dirilis resmi pada 13 Mei 2014
Celah ini memungkinkan remote attacker (penyerang jarak
jauh) untuk mengeksekusi kode pada instalasi Symantec Workspace
Streaming yang vulnerable. Tidak dibutuhkan proses otentifikasi
untuk mengeksploitasi cacat ini.
Cacat permasalahan terletak komponen SWS Agent (as_agent.
exe) Dengan mengirimkan permintaan pada kompenen crafted
XMLRPC, penyerang dapat menulis ulang file konfigurasi pada
Workspace Streaming server. Penyerang dapat mengeksekusi
vulnerabilities ini untuk mengeksekusi kode sebagai SYSTEM.
Solusi vendor : http://www.symantec.com/security_
response/securityupdates/detail.jsp?fid=security_
advisory&pvid=security_advisory&year=&suid=20140512_00
 BERIKLAN DI

Majalah Keamanan Informasi

Untuk Profesional Pertama
Di Indonesia
Info :
adv@ciso.co.id
 EVENT

ICT EXPO 2014 INDONESIA

 EVENT
CT Expo pada tahun ini
kembali digelar di Indonesia
yang bertempat di Jakarta
Convention Center pada tanggal 14-
16 Mei 2014. Perhelatan tersebut
cukup meriah. Hal ini ditandai dengan
banyaknya peserta dari berbagai
macam industri teknologi informasi
yang berkontribusi di dalamnya. Selain
itu, animo masyarakat pun cukup positif
menyambut acara tersebut. Sehingga
dapat dikatakan bahwa acara tersebut
terbilang cukup sukses. Acara ini sendiri
didukung oleh beberapa perusahaan
ternama seperti Telkom dan Indosat
Business. Peran serta pemerintah pun
terlihat dari acara ini dengan dukungan
penuh dari Kementerian Komunikasi
dan Informatika Republik Indonesia
dan Kementerian Perindustrian
Republik Indonesia. Gelaran ICT kali ini
pun menggandeng banyak mitra media
untuk meliput perhelatan tersebut.
Tak terkecuali CISO Magazine yang sedangkan harian Bisnis Indonesia Expo mengatakan dalam press release
mendapat kesempatan sebagai media menyajikan keinginan Indonesia untuk mereka bahwa penggunaan media
partner ICT Expo. menjadi SMART City. Bloomberg TV sosial yang meningkat dengan tajam
ICT2014 mengusung tema BIG pun turut menyajikan acara TECHNow di antara para pengguna internet telah
Data, BIG Solution, BIG Business selama upacara pembukaan. Panitia ICT menyebabkan meningkatnya lalulintas

data yang besar di antara para operator
seluler, yang mana turut mendorong
naiknya penggunaan solusi bisnis
berbasis awan baik untuk perusahaan
besar maupun kecil. Perusahaan-
perusahaan tersebut mencari cara
untuk meningkatkan efisiensi dan
pertumbuhan, dan kunci produktivitas
pada dasarnya dapat dijawab dengan
teknologi. Indonesia telah mengalami
pertumbuhan yang menakjubkan dan
telah berada dijalur yang tepat untuk
menjadi bangsa yang besar secara
teknologi dalam waktu dekat.
Sebelum acara dibuka, pihak
panitia yang diwakili oleh Ir. Achmad
Safiun selaku Chairman ECMI dan Moh.
Lutfi Handayani, CEO iTech Magazine
memberikan welcoming address. Acara
ICT Expo dibuka secara khusus oleh
EVENT
Menteri Kominfo RI Ir. Tifatul Sembiring.
Pada pembukaannya tersebut Menteri
Kominfo Tifatul Sembiring sempat
menyitir sebuah berita yang menyatakan
bahwa Indonesia termasuk ke dalam
10 negara yang memiliki ekonomi
terbesar. Prestasi Indonesia tersebut
lanjut Menkominfo dapat dijadikan
sebuah master plan untuk mencapai
kesejahteraan Indonesia yang lebih
baik. Untuk menjadi negara maju,
Indonesia membutuhkan percepatan
konektivitas. Aspek konektivitas ini-
lah yang sangat relevan dengan tek-
nologi dan informasi. Oleh karena
itulah, perhelatan ICT Expo ini harus
memberikan inspirasi-inspirasi penting
yang dapat memberikan sumbangsih
bagi negara.
Acara kemudian dilanjutkan dengan
industry presentation yang berjudul
Virtual Solution and ICT Convergence.
Presentasi disajikan oleh Presdir
Arif Yahya dari Telkom Indonesia.
Setelah itu, acara dilanjutkan dengan
Presentation Award. Penghargaan yang
diselenggarakan oleh panitia ICT tersebut
menampilkan beberapa perusahaan
 EVENT

Workshop Peserta Dari Muhammad Taufik Security

Workshop Peserta Dari Yudi Kukuh, Country Manager Eset Assessment Services at Cybertech Solusindo

yang mendapatkan penghargaan se-
bagai salah satu Best ICT Award. Salah
satunya adalah Best IT Manager yang
menampilkan beberapa perusahaan
yang juara dalam pengimplementasian
TI seperti Semen Gresik dan PT. Jasa
Raharja. Selain itu ada pula perhargaan
dalam bidang telekomunikasi seperti
ICT Best Prepaid yang menampilkan
beberapa perusahaan telekomunikasi
seperti Telkomsel, Indosat dan XL
Axiata.
Peserta pameran yang menghadiri
dan ikut berpartisipasi di ICT Expo kali
ini pun sangat meriah. Beberapa booth
pameran diisi oleh peserta dari China dan
Singapura serta Malaysia. Perusahaan
besar seperti Telkomsel dan Indosat pun
tidak ketinggalan untuk menjadi salah
satu peserta pameran tersebut. Bahkan
perusahaan ternama seperti Samsung
pun ikut ambil bagian dalam pameran
ICT Expo. Peserta pameran tidak hanya
berasal dari perusahaan teknologi
informasi, beberapa perusahaan ani-
masi pun ikut ambil bagian dalam
pameran tersebut. Kehadiran beberapa
perusahaan animasi tersebut mewarnai
suasana pameran ICT Expo sehingga
semakin berwarna.
Acara ini dimeriahkan pula
oleh seminar-seminar menarik yang
diadakan oleh panitia. Salah satunya
adalah Big Data Solution yaitu seminar
tentang relevansi big data dengan
perkembangan bisnisnya yang disajikan
oleh presentator dari perusahaan ter-
nama seperti IBM, Oracle, Microsoft
dan VMWare. Seminar tentang cloud
computing sendiri disajikan dari
Telkom Sigma, Indonesian Cloud,
Biznet dan juga Cisco. Adapula
 EVENT

Workshop Peserta Dari Avaya Scopia Workshop Peserta Dari Spencer Chang Infocus Mondopad

technical seminar yaitu seminar

tentang aspek-aspek teknis dalam
dunia IT yang disajikan oleh peserta
seminar. Salah satunya adalah seminar
tentang mengamankan bisnis dengan
menerapkan teknologi aman yang
disajikan oleh Eset Indonesia. Ataupun
technical seminar tentang energi pintar
untuk industri ICT yang dibawakan
oleh Suryajaya Teknotama ataupun tren
tentang ancaman cyber yang disajikan
oleh Cybertech Solusindo. IR

Workshop Peserta Dari Sutejo Assisstant Vice President Artapala

Bergabunglah
dengan komunitas
profesional keamanan
informasi Indonesia

Join now
http://linkd.in/1f2fU5T
 COVER STORY

Jeffrey
sukardi
Penerapan
Disiplin
Security Policy
Oleh : Iqbal Ramadhan

A
spek keamanan informasi di
institusi perbankan adalah
unsur yang sangat terpenting.
Ia berkorelasi langsung terhadap
trust masyarakat yang berdampak
pada operasional bisnis perusahaan.
Pokok utama keamanan informasi di

institusi perbankan adalah kerahasiaan
data nasabah yang harus dijaga agar
tidak tersebar pada pihak yang tidak
bertanggung-jawab. PT. Bank Central
Asia Tbk. (BCA) sebagai salah satu
institusi perbankan terbesar di Indonesia
memahami akan hal tersebut. Oleh
karenanya, bank tersebut membentuk
Enterprise Security Division yang
bertanggungjawab terhadap keamanan
informasi. Enterprise Security Division
dikepalai oleh Jeffrey Sukardi sebagai
seorang CISO (Chief Information
Security Officer). Ia adalah individu
yang bertanggungjawab dalam menjaga
sistem keamanan informasi di institusi
perbankan tersebut.
Selayaknya seseorang yang me-
mutuskan hidupnya untuk berkarir,
Jeffrey pun menapaki karirnya di BCA
sebagai seorang staf pada tahun 1986. Titik
awal Jeffrey berkarir di BCA dimulai dari
staf programmer sebagai application
analyst. Di awal karirnya, Jeffrey ikut
terlibat dalam pembentukan online
banking system yang menghubungkan
transaksi setiap cabang secara real time.
Jeffrey menuturkan bahwa BCA saat
itu baru memiliki 9 cabang di Jakarta.
Setelah beberapa tahun berkarir di
bidang pengembangan aplikasi, Jeffrey
pun diangkat menjadi system operation
manager. System operation adalah
sebuah unit kerja yang menangani
operasional data center., papar Jeffrey.
Sejalan dengan perkembangan
bisnis yang dialami oleh BCA, Jeffrey
pun mau tidak mau harus mengikuti
perkembangan tersebut. Ia pun me-
nuturkan bahwa hampir semua bidang
TI sudah pernah ditangani. Karir Jeffrey
pun berlanjut menjadi system support
manager. Hingga akhirnya pada tahun
2004, Jeffrey dipercaya oleh institusi
untuk menangani keamanan informasi.
Saat itu, satuan tugas keamanan infor-
masi masih di bawah divisi TI. Pada
perkembangannya, tahun 2009 unit
keamanan informasi dipecah dari
divisi TI. Unit baru tersebut diberi
nama Satuan Kerja Enterprise Security
yang terpisah dari divisi TI dan berdiri
sendiri. Tanggungjawab yang dimiliki
oleh Satuan Kerja Enterprise Security
semakin luas dengan masuknya aspek
business continuity, crisis manage-
COVER STORY
ment dan sempat memasukan pula
aspek physical security dengan tang-
gungjawab pengamanan gedung, CCTV,
dan petugas pengamanan (SATPAM).
Namun melihat area yang semakin
berbeda, akhirnya tugas pengamanan
gedung pun dipisah dari Satuan Kerja
Enterprise Security.
Menjadi seorang CISO di sebuah
institusi perbankan ternama di Indo-
nesia tidak terlepas dari semakin ber-
kembangnya risiko yang berpotensi
menjadi ancaman bagi bisnis pe-
rusahaan. Khususnya risiko-risiko TI
yang semakin menjadi pusat proses
bisnis sebuah organisasi. Namun, apakah
menjadi seorang CISO harus mempunyai
latar belakang keilmuan teknologi
informasi? Jeffrey berpendapat, Se-
baiknya seorang CISO itu berangkat
dari latar belakang TI. Seorang CISO
itu perlu mengetahui perkembangan
teknologi secara mendalam. Walaupun
bisa jadi seorang CISO itu tidak
perlu berangkat dari background
seorang TI. Selama ia memahami betul
perkembangan teknologi dan bagaimana
mengimplementasikannya. Jeffrey me-

ngatakan seperti itu karena ia menyadari
pengamanan informasi tidak hanya
bersifat teknis teknologi semata.
Seorang CISO tidak hanya perlu tahu
tentang pengetahuan teknis semata. Ia
harus pandai dalam berkomunikasi,
negosiasi dan kalau perlu seorang CISO
harus mempunyai skill untuk menjual
ide-ide pada karyawan dan juga top
management. Kemampuan CISO lain-
nya adalah kemampuannya untuk
mengerti bisnis perusahaan. Seorang
CISO di perbankan wajib mengetahui
bisnis perbankan itu seperti apa. Ia
tidak bergerak di bisnis keamanan.
Justru faktor keamanan itu digunakan
untuk menunjang bisnis perbankan.
Tentunya seorang CISO pun harus
berani mengambil risiko. Karena untuk
mengembangkan layanan bank sering
sekali diiringi dengan risiko-risiko yang
terkandung. Ia perlu keberanian untuk
memutuskan kebijakan pada saat situasi
di mana suatu risiko itu perlu diambil.
Sejumlah keterampilan tersebut se-
tidaknya harus bisa dipenuhi oleh
mereka yang ingin meniti karir sebagai
seorang CISO.
Peranan
CISO di
BCA
Manajemen keamanan informasi
sudah menjadi perhatian penting
bagi BCA sejak tahun 2004. Pada saat
itu, Jeffrey bertanggungjawab atas
pengamanan informasi BCA seperti
informasi penting data nasabah yang
memang menjadi pokok objektif dari
tiap-tiap institusi perbankan. CISO di
BCA berperan sebagai perumus strategi
pengamanan informasi bank dan juga
sebagai orang yang memastikan bahwa
strategi tersebut terlaksana dengan
baik., ujar Jeffrey. Dua hal tersebut
menurut Jeffrey merupakan tugas
COVER STORY
utama seorang CISO. Walaupun pada
praktiknya, cakupan tugas CISO di
lapangan sangatlah luas. Salah satu tugas
terpenting seorang CISO di lapangan
adalah mengembangkan kebijakan,
teknologi dan sumber daya manusia
yang mengelola keamanan informasi.
Bagaimana sebuah strategi tersebut bisa
berjalan? Jeffrey menjelaskan bahwa
strategi tersebut harus selaras dengan
rencana bisnis BCA dan mendapat
persetujuan dari direksi BCA.
Sebagai seorang CISO, Jeffrey
pun mengakui bahwa banyak sekali
tantangan yang harus dihadapi. CISO
memiliki fungsi untuk memasti-
kan bahwa keamanan informasi pe-
rusahaan yaitu kerahasiaan, keutuhan
dan ketersediaan informasi dalam
kelangsungan bisnis dapat terjaga. Pe-
ngamanan informasi ini sangat penting
karena terkait erat dengan kepercayaan
stakeholders termasuk investor dan
nasabah kepada bank tersebut. Pada
praktiknya, ada tiga tantangan yang
dihadapi Jeffrey sebagai seorang CISO
di BCA. Tantangan tersebut adalah:

1. Mengantisipasi ancaman terhadap layanan
bank.
2. Membangun proses pengamanan informasi
yang responsive dan andal.
3. Membangun kesadaran sekuriti bagi karya-
wan dan pengguna jasa bank.
Kebijakan Keamanan Informasi di BCA
Berbicara tentang kebijakan ke-
amanan informasi, Jeffrey mempunyai
definisi tersendiri tentang kebijakan
tersebut dalam pandangannya sebagai
seorang CISO. Information Security
policy perusahaan adalah kebijakan
perusahaan mengenai pengamanan
informasi., papar Jeffrey. Baginya,
kebijakan keamanan informasi adalah
kebijakan yang paling mendasar untuk
sebuah perusahaan yang menyatakan
bahwa informasi merupakan aset
berharga dan perlu dijaga keamanan-
nya. Mengapa demikian? Sebagai
sebuah institusi perbankan terbesar di
Indonesia, kepercayaan nasabah pada
mereka adalah sebuah penghargaan.
Untuk memelihara trust masyarakat,
setiap informasi berharga tentang
nasabah harus dijaga agar institusi
perbankan tersebut dapat terus terjaga
kredibilitas dan reputasinya.
BCA sendiri menurut Jeffrey sudah
cukup lama menerapkan information
security policy semacam ini. Ia me-
ngatakan bahwa jauh sebelum ada
Enterprise Security Division, BCA
sudah menerapkan kebijakan keama-
nan tersebut. Walaupun demikian,
kebijakan keamanan itu selalu ber-
kembang sesuai dengan kebutuhan pe-
rusahaan. Pada akhirnya kebijakan
keamanan informasi di BCA sendiri
tidak statis. Semuanya menyesuaikan
dengan perkembangan zaman. Hal ini
sendiri sangat relevan dengan sifat
kebijakan itu sendiri yang dinamis. Infor-
mation Security policy sering disebut
dengan living document. Artinya
adalah dokumen kebijakan perusahaan
tersebut selalu berkembang.
Jeffrey sendiri mengiyakan bahwa
kebijakan keamanan informasi itu
pasti selalu evolve (berkembang). Dari
kacamata seorang CISO, kebijakan itu
berkembang karena didorong oleh
COVER STORY
perkembangan bisnis itu sendiri. Ia
pun mencontohkan relevansi antara
perkembangan teknologi dan bisnis.
Teknologi terbaru digunakan karena
munculnya ancaman-ancaman baru
yang berpotensi risiko terhadap bisnis
mereka. Hal ini bisa terlihat dari
semakin maraknya gadget, tablet dan
smartphone yang muncul belakangan
ini. Keberadaannya sudah menjadi
barang umum yang menyimpan risiko.
Information Security policy perlu
mengantisipasi hal ini., ujar Jeffrey.
Oleh karena itu, kebijakan keamanan
informasi tidak hanya mencakup
persoalan TI semata melainkan semua
aspek harus tercakup.
Kebijakan keamanan informasi
yang disusun oleh sebuah organisasi
haruslah relevan dengan visi misi
organisasi tersebut. Tidak terkecuali
juga di BCA. Setiap kebijakan keamanan
informasi yang disusun harus relevan
dengan visi misi bisnis perusahaan.
Security policy itu harus dan wajib
disesuaikan dengan visi misi bisnis
perusahaan., papar Jeffrey. Kebijakan
tersebut dapat dikatakan sebagai pen-

dukung dan penunjang visi misi pe-
rusahaan. Jeffrey menjelaskan bahwa
keberadaan kebijakan keamanan infor-
masi sangat membantu perusahaan
dalam mencapai tujuan bisnisnya.
Setidaknya ada banyak keuntungan
yang bisa diperoleh sebuah instansi
perbankan yang menerapkan kebijakan
keamanan informasi. Mereka akan
memperoleh banyak keuntungan bila
mampu mengimplementasikannya
dengan baik. Jeffrey menjelaskan
bahwa setidaknya ada dua alasan yang
bisa dijadikan rujukan oleh institusi
perbankan terkait implementasi ke-
bijakan keamanan informasi. Yaitu:
1. Kebijakan keamanan informasi
perusahaan dapat memberikan arahan
yang jelas mengenai sikap manajemen
atas pengamanan informasi baik kepada
pihak internal dan maupun internal bahwa
informasi adalah aset yang wajib diamankan.
2. Kebijakan keamanan informasi dapat
menjadi dasar peraturan, prosedur dan
pedoman kerja perusahaan tersebut.
COVER STORY
Dua hal di atas bila diterapkan yang berbeda dan cara yang akan
dengan baik dapat memberikan ke- dicapainya pun berbeda. Tanpa adanya
untungan secara tangible dan intangible pemahaman terhadap objektifitas
pada instansi perbankan. perusahaan, maka akan sangat sulit
kebijakan keamanan informasi itu ber-
korelasi dengan bisnis yang sedang
Menyusun Kebijakan Keamanan Informasi
dijalankannya. Seorang CISO itu tidak
hanya harus paham soal teknologi, tetapi
Salah satu pertanyaan penting
juga harus cerdas dalam memahami
dalam kebijakan keamanan informasi
jalannya bisnis perusahaan.
adalah bagaimana menyusun kebijakan
Langkah berikutnya yang bisa
tersebut? Perlukah melibatkan semua
dilakukan oleh organisasi adalah pe-
unit kerja di institusi itu? Pada intinya
mahaman tentang pengelolaan TI
seorang CISO dalam menyusun ke-
organisasi. Tiap-tiap industri memiliki
bijakan keamanan informasi harus me-
cara yang berbeda dalam pengelolaan
libatkan semua unit kerja. Keamanan
TI untuk mencapai tujuan mereka. Di
informasi pada intinya tidak hanya
institusi perbankan, pengelolaan TI itu
berfokus pada bidang TI semata. Bidang
dimaksudkan sebagai penunjang dalam
keamanan informasi mencakup semua
pelaksanaan transaksi keuangan yang
aspek dalam organisasi tersebut. Sebagai
berbasis online. Langkah terakhir yang
seorang CISO, Jeffrey memahami betul
patut diperhatikan dalam penyusunan
manfaat dari kebijakan keamanan
kebijakan keamanan informasi adalah
informasi ini.
pengamanan informasi itu sendiri.
Langkah pertama yang perlu
Pada klausul kebijakan keamanan
dilakukan dalam penyusunan kebijakan
informasi harus memuat tindakan-
itu menurut Jeffrey adalah pemahaman
tindakan pengamanan informasi yang
mendalam tentang sasaran perusahaan.
dapat diimplementasikan. Hal lainnya
Setiap organisasi mempunyai sasaran
yang harus ada dalam kebijakan ter-

sebut adalah business continuity plan
dan unsur manajemen risiko. Tiga
langkah tersebut dapat menjadi acuan
bagi seorang CISO untuk menyusun
kebijakan mereka sendiri.
Adapun aspek yang harus tercover dalam
sebuah kebijakan keamanan informasi, Jeffrey
membaginya menjadi tiga hal. Yaitu:
Aspek teknologi
Pada aspek ini, sebuah kebijakan keamanan
informasi perlu dinyatakan bahwa akses pada
sebuah informasi harus dikontrol dan dibatas.
Informasi yang bersifat rahasia hanya boleh
diketahui oleh pihak-pihak yang memiliki
wewenang tertentu.
Aspek proses
Pada aspek proses, kebijakan keamanan infor-
masi perlu membahas mengenai perlunya atas
kontrol perubahan sistem.
Aspek manusia
Aspek teknologi yang dibahas dalam kebijakan
keamanan informasi umumnya menjelaskan
tentang proses pengembangan kesadaran
sekuriti kepada seluruh karyawan. Di dalamnya
pun sudah termasuk program-program pelatihan
tentang keamanan informasi.
Satu hal lainnya yang perlu
diperhatikan menurut Jeffrey dalam
penyusunan kebijakan informasi ini,
Penyusunan kebijakan keamanan
informasi perlu mendapatkan ma-
sukan dari unit kerja terkait. Dalam
menyusun kebijakan keamanan in-
formasi ini, seorang CISO harus me-
nyertakan unit kerja lainnya dalam
sebuah organisasi. Unit kerja yang
dilibatkan tersebut tergantung kepada
kebutuhan perusahaan itu sendiri.
Jeffrey mengatakan, Di BCA, unit
bisnis, SDM, Audit dan tentunya TI selalu
dilibatkan dalam proses penyusunannya.
Ketiadaan kerjasama antar unit kerja
hanya akan mempersulit implementasi
kebijakan keamanan informasi tersebut.
Implementasi Kebijakan
Keamanan Informasi
Implementasi kebijakan keamanan
informasi itu adalah hal yang sangat
kritis dalam pengelolaan keamanan
informasi di perusahaan., ujar Jeffrey.
Ia mengatakan pula bahwa kebijakan
yang bermanfaat akan percuma
COVER STORY
jika tidak diimplementasikan dan
disosialisasikan dengan baik. Hal
ini menjadi sebuah tantangan bagi
Jeffrey karena mensosialisasikan dan
mengimplementasikan kebijakan ke-
amanan informasi di BCA dengan jumlah
karyawan 25.000 orang sangatlah
tidak mudah. Hal ini perlu disiasati
oleh sebuah kreatifitas untuk membuat
sesuatu yang kompleks itu menjadi
mudah. Tujuan akhir yang diharapkan
Jeffrey sebagai seorang CISO adalah
kebiasaan baik dalam penanganan ke-
amanan informasi dapat membudaya di
perusahaan.
Tantangan utama yang dihadapi
Jeffrey adalah bagaimana membangun
kesadaran dari semua karyawan BCA
tentang pentingnya aset informasi. Da-
lam kebijakan keamanan informasi
itu perlu dinyatakan bahwa informasi
adalah aset perusahaan. Organisasi yang
abai terhadap aset ini akan mengalami
kesulitan dalam mengembangkan
bisnis mereka. Khusus pada institusi
perbankan seperti BCA, hal ini sangat
berkaitan langsung dengan kepercayaan
masyarakat yang berdampak pada re-
 COVER STORY
putasi perusahaan. Oleh karena itulah,
semua karyawan berkewajiban untuk
menjaga aset tersebut.
Untuk mencapai tujuan yang
dicapai, sangat diperlukan berbagai
macam cara yang diperlukan dalam
mendukung implementasi kebijakan
keamanan informasi semacam ini. Jeffey
mengatakan bahwa salah satu cara yang
ia gunakan dalam mengimplementasikan
kebijakan keamanan informasi di BCA
adalah menggunakan media-media
kreatif. Sebagai seorang CISO, ia sangat
menginginkan kebijakan keamanan in-
formasi itu dapat ditaati oleh semua Jeffrey mengatakan bahwa salah satu cara yang ia gunakan dalam mengimplementasikan
pihak. Pedoman yang wajib dibaca kebijakan keamanan informasi di BCA adalah menggunakan media-media kreatif.
tetapi membosankan akan kurang
efektif dalam mengimplementasikan banyak dilakukan di BCA., ujar Jeffrey. ada indikator yang dijadikan pegangan
kebijakan keamanan informasi ini. Media-media sederhana seperti brosur untuk merujuk pada tingkat penilaian
Output negatif yang mungkin muncul ataupun poster sudah sering dilakukan efektifitas dari sosialisasi tersebut. Salah
dari cara seperti ini adalah kebijakan agar mereka memahami betul seperti satunya adalah dengan menggunakan
keamanan informasi itu tidak akan apa kebijakan keamanan informasi itu pre-test dan post-test yang digunakan
diterapkan oleh para karyawan BCA. sendiri. BCA pun pernah menggunakan untuk mengukur efektifitas tersebut.
Pengamanan keamanan informasi media komik dan games agar tujuan Bentuk pre-test tersebut biasanya be-
itu dimulai dari kesadaran dan berujung dari implementasi kebijakan keamanan risi tentang pemahaman karyawan
pada kebiasaan. Berbagai cara so- informasi itu dapat tercapai. Walaupun tentang keamanan informasi. Adapun
sialisasi agar kebijakan keamanan infor- bentuk media yang digunakan tidak post-test berisikan pula hal yang sama
masi dapat diimplementasikan sudah lazim, Jeffrey mengatakan bahwa tetap namun diberikan pada karyawan se-

telah sosialisasi itu usai. Pada intinya,
kebijakan keamanan informasi sangat
identik dengan sesuatu yang kompleks
dan rumit. Melalui program pengenalan
kebijakan keamanan informasi itu, ke-
bijakan tersebut sering digunakan
dalam aktifitas pekerjaan dan dapat
membudaya.
Selain metode kreatif di atas, Jeffrey
pun mengatakan ada satu metode efektif
yang dapat digunakan agar kebijakan
keamanan ini dapat membudaya.
Membuka ruang dialog adalah cara
paling efektif yang dapat digunakan
untuk mengetahui sejauh mana tingkat
awareness karyawan terkait kebijakan
keamanan informasi. Dalam dialog
tersebut Jeffrey kembali menegaskan
bahwa kerahasiaan nasabah itu penting
dan prioritas nomor satu. Dialog yang
dibangun tidak perlu terlalu lama,
namun esensi yang disampaikan harus
jelas dan tersampaikan secara optimal
kepada karyawan BCA.
Tentunya Jeffrey melakukan hal ini
tidak bisa sendirian. Ia membutuhkan
dukungan dari semua unit kerja kare-
na jumlah karyawan di BCA sendiri
COVER STORY
yang sedemikian banyak. Jeffrey me-
ngatakan bahwa ia sudah melatih be-
berapa individu terpilih di tiap-tiap
cabang BCA di seluruh Indonesia untuk
menjadi promotor sosialisasi kebijakan
keamanan informasi. Sehingga budaya
pengamanan informasi ini tidak hanya
berlangsung di pusat tetapi juga di
daerah. Mereka pun dilengkapi sarana
dan prasarana seperti media audio
video untuk mensosialisakan kebijakan
keamanan informasi di BCA.
Lalu, Bagaimana cara menerapkan
kebijakan keamanan informasi itu
pada personil baru? Ini tentunya mem-
butuhkan pendekatan yang berbeda.
Personil baru belum memahami
seperti apakah bentuk organisasi dan
budaya kerja di BCA. Salah satu bentuk Implementasi kebijakan
kebijakan yang diterapkan BCA ter-
hadap personil baru adalah kebijakan keamanan informasi itu
tentang sharing password. Kebijakan
keamanan informasi di BCA mewajib- adalah hal yang sangat
kan seluruh karyawannya untuk tidak
membagi password yang digunakan.
kritis dalam pengelolaan
Setiap personil yang ada memegang
informasi penting yang sangat berharga
keamanan informasi di
bagi kelangsungan bisnis perusahaan. perusahaan.

Salah satu bentuk informasi yang sangat
INCIDENT RESPONSe berharga bagi BCA adalah data nasabah.
Lazimnya data nasabah di institusi
HARUS ADA DALAM perbankan, ia memuat informasi ten-
tang data pribadi nasabah salah satunya
SECURITY POLICY., adalah nomor akun mereka. Semua data
itu tersimpan secara online. Seorang
TEGAS JEFFREY. CISO perlu menerapkan sebuah kebija-
kan yang mengatur tentang keamanan
informasi nasabah. Password yang
digunakan untuk melindungi informasi
nasabah itu tidak boleh dibagikan
kepada siapapun. Hanya individu yang
memiliki akses tertentu yang boleh
mengakses data tersebut. Bagaimana-
pun juga, informasi nasabah itu sangat
rentan disalahgunakan termasuk risiko
social engineering. Para karyawan
BCA perlu memahami hal-hal seperti
ini agar tidak terjadi hal-hal yang tidak
diinginkan.
Kebijakan keamanan informasi
yang diterapkan di BCA sendiri harus
berlaku bagi semua individu yang
ada di dalam perusahaan tersebut. Hal
ini tidak terkecuali di jajaran Dewan
Direksi sendiri. Banyak anekdot yang
mengatakan bahwa kebijakan keamanan
COVER STORY
informasi hanya berlaku di kalangan
karyawan saja. Board of directors
mempunyai unlimited power sehingga
dengan bebas dapat melakukan apa saja.
Hal ini ternyata tidak berlaku di BCA.
Top management sudah sangat aware
terhadap keamanan, sehingga hal itu
tidak sulit bagi mereka., ujar Jeffrey.
Berdasarkan pengalaman Jeffrey se-
bagai seorang CISO, ia tidak memiliki
kesulitan dalam mempresentasikan
bentuk-bentuk ancaman terbaru. Proses
edukasi pun berjalan dengan baik karena
awareness mereka sudah terbangun.
Sehingga ketika Jeffrey akan membahas
tentang kebijakan keamanan informasi,
hampir dipastikan tidak mengalami
kendala.
Beberapa kendala yang dialami
oleh sebuah organisasi dalam meng-
implementasikan kebijakan keamanan
informasi adalah tidak adanya dukungan
dari top management. Ketiadaan du-
kungan ini sangat berdampak buruk
terhadap kinerja perusahaan. Dukungan
top management BCA ini menjadi sebuah
tanda bahwa semua jajaran sangat
mendukung terhadap kelangsungan

Ketiadaan kerjasama bisnis perusahaan. Bentuk dukungan
tersebut adalah sebuah bentuk apresiasi
antar unit kerja hanya bahwa keamanan informasi sudah
menjadi kebutuhan bagi organisasi.
akan mempersulit Oleh karena itu, kebijakan keamanan
informasi di BCA itu berlaku bagi semua
implementasi kebijakan karyawan mulai dari staf hingga jajaran
direksi.
keamanan informasi Kebijakan keamanan informasi
tersebut. sendiri tidak bisa dilepaskan dari adanya
sanksi. Kebijakan itu akan berjalan
dengan semestinya bila diberlakukan
sanksi tegas kepada individu yang
melanggar. Agar implementasi ke-
bijakan keamanan informasi ini berjalan
optimal, kita menggunakan metode
stick and carrot., ujar Jeffrey. Bagi
Jeffrey, kebijakan keamanan informasi
ini adalah sesuatu yang sangat penting
bagi BCA. Ia ingin kebijakan itu dapat
dijalankan secara optimal. Pegawai
yang melanggar kebijakan keamanan
informasi akan dikenakan sanksi yang
diterapkan sesuai dengan peraturan
SDM yang umum. Individu yang
melanggar pertama kali akan diberikan
surat peringatan. Jika kebijakan tersebut
masih dilanggar, pihak bank pun akan
COVER STORY
memutus hubungan kerja.
Jeffrey mengatakan juga bahwa
sanksi dan kebijakan keamanan infor-
masi ini berlaku untuk semua unit kerja
di BCA. Bagaimanapun juga unit kerja
tersebut ikut berkontribusi langsung
dalam pengembangan kebijakan ke-
amanan informasi di bank tersebut.
Oleh karenanya, kebijakan keamanan
informasi itu harus dijalankan dan
dipatuhi oleh semua orang di BCA. Semua
unit kerja tersebut saling berhubungan
satu sama lain. Jika ada satu kesalahan
fatal yang terjadi, dikhawatirkan hal
tersebut dapat berdampak pada semua
lini bisnis dan unit kerja BCA itu sendiri.
Pada umumnya, dalam pengem-
bangan kebijakan keamanan informasi
mengacu pada suatu standar atau
framework tertentu. Setidaknya se-
bagai dasar awal pembentukan, bisa
menggunakan beberapa best practice
yang sudah teruji. Beberapa acuan
yang sering dijadikan standardisasi
dalam implementasi kebijakan tersebut
adalah COBIT ataupun standar ISO
seperti ISO 27001. Tidak semua
kebijakan keamanan informasi di tiap-

tiap organisasi mengacu pada standar
atau framework yang sama. Semuanya
kembali pada kecocokan masing-
masing organisasi. Apakah kebijakan
keamanan informasi di BCA mengacu
pada framework tertentu? Kebijakan
keamanan informasi di BCA mengacu
pada framework ISO 27001., ujar
Jeffrey. Kebijakan keamanan informasi
yang mengacu pada framework ISO
27001 harus mencakup berbagai macam
unsur. Salah satunya adalah password
control. Berbagi password dapat menjadi
sebuah ancaman terhadap eksistensi
keamanan informasi. Risiko yang bisa
terjadi adalah terpaparnya informasi
sensitif yang merugikan perusahaan.
Karena hal itulah, kebijakan keamanan
informasi di BCA sendiri mencantumkan
password management sebagai bagian
dari kebijakan keamanan mereka.
Acuan lainnya yang didapat
dari framework ISO 27001 adalah
mencantumkan incident
dalam kebijakan keamanan infor-
respons
masi di BCA. Incident respons harus
ada dalam security policy., tegas
Jeffrey. Respon insiden tersebut tidak
COVER STORY
hanya bersifat digital tetapi juga secara
fisik. Hal ini merupakan bagian dari
business continuity management. Isi-
nya menjelaskan apa saja yang perlu
dilakukan pihak BCA ketika insiden
itu terjadi. Insiden yang terjadi secara
fisik mungkin bisa berbeda dari insiden
yang terjadi secara digital. Salah
satu contohnya adalah bagaimana
tindakan-tindakan strategis yang perlu
dilakukan oleh BCA untuk melanjutkan
kelangsungan bisnis ketika insiden
fisik terjadi. Contoh konkritnya adalah
gempa bumi ataupun kebakaran.
Walaupun demikian, satuan Enter-
prise Security BCA mempunyai tin-
dakan respon insiden yang bersifat
digital. Apa saja tindakan insiden yang
dilakukan BCA ketika server yang di- Agar implementasi
kelola mengalami kerusakan atau cyber
threat mencuri informasi penting? kebijakan keamanan
Semua itu harus terangkum dan
dijelaskan dalam kebijakan keamanan informasi ini berjalan
informasi yang menjadi pedoman atau
standar operational procedure bagi
optimal, kita menggunakan
tiap-tiap individu di BCA. ISO 27001
mengatur tentang aspek-aspek tersebut.
metode carrot and stick.,
Dimana framework itu dijadikan acuan ujar Jeffrey

dan pedoman Enterprise Security di
BCA.
Esensi kebijakan keamanan
informasi sendiri menurut Jeffrey dirasa
sebagai sebuah kebutuhan dibanding
compliance. Beberapa perusahaan dan
industri di Indonesia masih memandang
kebijakan keamanan informasi itu
tidak begitu penting kalaupun ada itu
hanya sekadar pelengkap compliance.
Jeffrey mengatakan bahwa bisnis
yang dijalankan di BCA ini sangat
mengandalkan pada kepercayaan (trust)
konsumen. Kekhawatiran terbesar dari
bisnis ini adalah hilangnya kepercayaan
masyarakat pada institusi perbankan ini.
Hilangnya trust dapat mengakibatkan
operasional perusahaan terpuruk dan
berdampak buruk terhadap bisnis pe-
rusahaan. Masyarakat menyimpan uang-
nya di BCA karena mereka percaya
terhadap kredibilitas bank.
Rasa kepercayaan masyarakat ini
didorong karena bank memiliki ke-
mampuan untuk menyimpan dananya
dengan baik. Sudah banyak kasus yang
menimpa institusi perbankan terkait
pencurian uang yang merugikan na-
sabah akibat aktifitas fraud. Kasus
lainnya yang cukup merugikan
nasabah adalah tereksposnya infor-
masi pribadi mereka yang sangat
mudah disalahgunakan. Pihak ketiga
yang tidak bertanggungjawab bisa
menyalahgunakannya untuk peme-
rasan ataupun tindakan kriminal lain-
nya. Masyarakat tentu tidak ingin
hal ini terjadi. Begitu juga pihak BCA
tidak menginginkan informasi penting
tersebut disalahgunakan.
Implementasi kebijakan keamanan
informasi bagi Jeffrey merupakan se-
buah kebutuhan yang tidak bisa ditawar.
Dari sisi compliance, BCA berusaha
memenuhi compliance yang bersandar
tidak hanya pada framework ISO 27001,
tetapi juga undang-undang tentang
kerahasiaan nasabah. Undang-undang
COVER STORY
tersebut mengacu pada peraturan
pemerintah Republik Indonesia untuk
melindungi keamanan privasi nasabah.
Kesibukan Jeffrey sebagai se-
orang CISO sangatlah padat. Ia ber-
tanggungjawab penuh terhadap ke-
amanan seluruh bank sehingga waktu
untuk berdiskusi bersama Jeffrey
sangatlah terbatas. Harapan untuk
kembali berdiskusi bersama Jeffrey
masih tetap ada. Bagaimanapun
juga, profesi seorang CISO ini jarang
ditemukan. Walaupun di tingkat ke-
butuhan akan profesi ini sangatlah
tinggi. Ilmu dan pengalaman yang di-
miliki oleh Jeffrey sangat bermanfaat
untuk pengembangan manajemen ke-
amanan informasi di Indonesia agar
menjadi lebih baik lagi. IR
 GOVERNANCE

Mengembangkan
Kebijakan Keamanan
Informasi Yang Baik
Oleh : Iqbal Ramadhan

idak ada benar atau salah
dalam menerapkan kebijakan
keamanan informasi (security
policy). Yang salah adalah tidak adanya
kebijakan keamanan informasi dalam
sebuah organisasi. Melalui security
policy, sebuah perusahaan ataupun
organisasi lainnya dapat mengelola
ke-amanan informasi mereka dengan
baik. Mengembangkan security policy
yang baik tidak hanya berfokus pada
pencegahan tereksposnya sistem ke-
amanan informasi dari pihak eks-
ternal, tetapi juga dari internal orga-
nisasi itu sendiri. Ed Titel, praktisi
IT veteran yang pernah berkarir di
IBM dan Schlumberger mengatakan
bahwa security policy dapat diartikan
sebagai sebuah aturan tertulis yang
menerangkan bagaimana sebuah orga-
nisasi dapat melindungi aset bisnis
dan teknologi informasinya. Dalam
pandangannya, Ed mengatakan bah-
wa security policy ini adalah living
document. Artinya, aturan tersebut
akan selalu berkembang sesuai dengan
perkembangan teknologi. Berdasarkan
definisi Ed, dapat dikatakan bahwa
mengembangkan security policy yang
baik harus relevan dan sejalan dengan
business plan yang telah disepakati
sebelumnya.
Ada banyak manfaat yang bisa di-
ambil dari sebuah security policy yang
baik. Implementasi dari security policy
itu harus efektif agar dapat berjalan
sesuai dengan apa yang diharapkan
pemangku kepentingan. Andang Nu-
groho, Security Manager dari Bank
Permata mengatakan bahwa dalam
industri perbankan, prinsip utama yang
harus dijunjung adalah kepercayaan.
Trust dalam anggapan Andang berarti
adanya sebuah jaminan dari korporat
bahwa data dan transaksi nasabah akan
dilindungi dengan baik oleh bank. Ini
hanya dapat terjadi bila perusahaan
atau bank memiliki security policy
yang baik. Tidak dapat dipungkiri
bahwa trust adalah aspek penting
dalam dunia perbankan yang relevan
dengan reputasi mereka. Trust bersifat
intangible. Artinya menerapkan security
policy yang baik ini memiliki manfaat
yang berdampak secara tidak langsung.
Manfaat tangible yang bisa di-
GOVERNANCE
peroleh oleh sebuah intitusi perbankan
adalah rasa percaya masyarakat akan
tinggi sehingga mereka akan yakin
bahwa mereka dapat menyimpan uang
di tempat yang aman. Meningkatnya
trust masyarakat pada sebuah institusi
perbankan akan berdampak pada kre-
dibilitas perusahaan. Manfaat intangible
ini memang tidak dapat dirasakan
langsung seperti manfaat tangible
(untung-rugi). Namun, manfaat efek
intangible ini dapat dirasakan secara
bertahap.
Mengembangkan
Security Policy
Mengembangkan security policy
yang baik pasti terkendala oleh banyak
hal. Salah satu yang dipaparkan oleh
Andang adalah mencari perimbangan
antara kenyamanan dan keamanan,
serta kecepatan dan keamanan. User
harus diyakinkan bahwa, jika mereka
mengorbankan kenyamanan atau
kecepatan untuk keamanan data, pada
akhirnya ini adalah sesuatu yang proper

dan berdampak positif pada bank secara
keseluruhan. Tentunya, security policy
itu harus mencakup banyak hal. Andang
melanjutkan bahwa mengembangkan
security policy perlu berdasarkan best
practice, seperti COBIT atau ISO 27000
karena banyak aspek yang bisa tercakup
dari implementasi kebijakan keamanan.
Dukungan penuh dari seluruh
stakeholder manajemen sangat di-
perlukan untuk mengembangkan secu-
rity policy ini dengan baik. BOD (Board
of Director) dan kepala unit bisnis
merupakan figur penting agar efektifitas
security policy berjalan sesuai dengan
apa yang diharapkan. Mereka juga
harus meyakinkan perusahaan bahwa
keamanan data bukan mengganggu
tapi justru membantu revenue gene-
ration. Security policy juga harus di-
implementasikan oleh mereka yang
berpengalaman dalam standar yang di-
gunakan sebagai referensi, baik inhouse
ataupun dengan bantuan konsultan.
Jay Bavisi, President EC Council
yang kami wawancara pada sebuah
kesempatan mengatakan bahwa me-
nerapkan security policy yang baik bisa
GOVERNANCE
sangat beragam. Setiap industri me- organisasi dapat mengevaluasi apa saja
miliki budaya kerja dan operasional yang perlu diperbaiki di dalam security
bisnis yang berbeda. Suatu security policy dan bagian mana saja yang efektif
policy yang berjalan efektif di untuk digunakan.
sebuah organisasi belum tentu bisa
diimplementasikan di organisasi
lainnya. The organization shouldnt
copy and paste about security policy
Hananto Susilo, praktisi dari Network
from the net. ,papar Jay. Internet
Management and Security PT. Pertamina
memang menyediakan berbagai macam
mengatakan bahwa setidaknya ada empat
referensi yang bisa dijadikan rujukan.
aspek yang mesti tercakup dalam sebuah
Walaupun demikian, hal tersebut jangan
security policy. Aspek yang harus tercakup
dijadikan sebuah legitimasi untuk me-
tersebut adalah:
ngadopsinya secara langsung.
a. Network
It takes a lot of inclusive
b. Server
measurement., ujar Jay. Untuk
c. Application
membuat sebuah security policy yang
d. Client side
baik, organisasi perlu melakukan riset,
mengukur kebutuhan industri mereka
dan melibatkan berbagai struktur dan
level pegawai untuk ikut memberikan
input dalam menyusun kebijakan ke- Lalu bagaimana caranya agar
amanan mereka. Sebelum security security policy tersebut dapat di-
policy tersebut diimplementasikan, implementasikan secara efektif?
organisasi terlebih dahulu melakukan Langkah pertama menurut Hananto
trial (percobaan) untuk melihat se- adalah menerapkan kebijakan segre-
berapa efektifnya kebijakan tersebut gation of duty (pemisahan tugas)
berjalan. Melalui proses free trial ini, antara penentu kebijakan dengan

pemilik layanan (service owner) agar
tidak ada konflik kepentingan. Secara
aspek logging (pencatatan), organisasi
dapat menerapkan logging yang
lengkap terhadap akses user ke semua
layanan. Pemberlakuan sanksi yang
jelas & tegas harus diterapkan bagi
pelanggar kebijakan keamanan dengan
mereferensi hasil audit terhadap
history akses tersebut. Puncak dari
semua strategi implementasi tersebut
tetap bermuara pada role model dari
manajemen puncak (top management)
terhadap kepatuhan kebijakan.
Adapun cara organisasi agar
security policy mereka memenuhi
standar kepatuhan seperti ISO 27001
dapat dilakukan dengan cara melakukan
audit internal secara berkala terhadap
kesesuaian standar ISO 27001. Hananto
pun menambahkan bahwa organisasi
harus menuangkan standar-standar
pelaksanaan pengelolaan layanan ke
dalam standar tata kerja yang lebih
mudah dipahami oleh tim operasional.
Mereka akan kesulitan dalam me-
GOVERNANCE
mahami sebuah standar operasional
bila bahasa yang disajikan sukar
untuk dipahami. Tentunya arahan dan
guidance dari top management tetap
sama pentingnya. Salah satu contohnya
adalah adanya kepedulian dari top
management dengan pembuatan surat
keputusan implementasi security policy.
Termasuk di dalamnya juga role model
untuk konsistensi kepatuhan terhadap
kebijakan; tidak ada lagi pengecualian
terhadap kebijakan.

Membudayakan Security Policy
Andang menyimpulkan satu hal
agar security policy ini dapat mem-
budaya. Perusahaan ataupun institusi
lainnya perlu untuk melakukan sebuah
usaha yang berkelanjutan. Upaya
berkelanjutan tersebut diperlukan
agar aspek penting seperti people,
technology and process dapat berjalan
secara berkesinambungan. Penjelasan
dari Andang itu menyebutkan bahwa
security policy itu harus melingkupi
tiga aspek di atas. Security policy yang
hanya melingkupi aspek people saja
tidak akan efektif karena proses dan
teknologi tidak dilibatkan. Begitu pula
jika teknologi terlalu diunggulkan
dalam security policy tanpa meng-
upgrade man behind the system akan
sulit untuk membudayakan security
policy tersebut.
Di akhir diskusinya, Hananto
menyimpulkan bahwa untuk mem-
budayakan security policy tersebut
dapat dilakukan dengan cara metode
penerapan sanksi. Policy yang me-
nyangkut tentang keamanan informasi
GOVERNANCE
harus dipenuhi oleh siapapun tanpa
terkecuali. Mereka yang melanggar
policy tersebut harus mendapatkan
sanksi sesuai dengan apa yang telah
dilanggarnya. Bagaimanapun juga,
keamanan informasi adalah sesuatu
yang sangat berharga dan dapat
berdampak pada operasional bisnis.
Penerapan sanksi yang tegas tanpa
pandang bulu dapat menjadi titik awal
agar security policy tersebut dapat
membudaya. IR
 RISK MANAGEMENT

ANALISIS
RISIKO
DI BERBAGAI INDUSTRI
bagian Ii

Oleh : Iqbal Ramadhan


Analisis Risiko di Manajemen Keamanan Informasi
ada edisi sebelumnya, CISO
Magazine telah mengangkat
topik tentang analisis risiko
di berbagai industri. Topik tersebut
dibahas sebagai studi banding untuk
menentukan analisis risiko seperti
apakah yang paling tepat dilakukan
pada bidang manajemen keamanan
informasi. Analisis risiko seperti apa
yang cocok untuk digunakan dalam
mengelola keamanan informasi? Ber-
bagai macam metode analisis risiko yang
telah dimuat di edisi sebelumnya dapat
dijadikan rujukan bagi person in charge
yang mengelola keamanan informasi.
Ada satu poin penting yang dapat
diterapkan dalam analisis risiko yang
relevan dengan manajemen keamanan
informasi. Poin tersebut adalah memilih
metode atau cara analisis risiko yang
digunakan. Pada paparan sebelumnya
telah disebutkan bahwa walaupun ada
banyak varian analisis risiko, namun
tujuannya sama yaitu mengantisipasi
ketidakpastian. Analisis risiko dapat
disesuaikan dengan kebutuhan yang
relevan dengan manajemen keamanan
informasi. Setiap instansi di Indonesia
memiliki analisis risiko yang berbeda-
beda. Walaupun NIST di AS telah
memberlakukan standardisasi sendiri
terkait analisis risiko yang berkaitan
dengan sistem informasi.
Pada panduannya tersebut, NIST
mencantumkan langkah-langkah ana-
lisis risiko dalam sistem informasi
yaitu system characterization, threat
identification, vulnerability identifi-
ca-tion, control analysis, likelihood
determination, impact analysis, risk
RISK MANAGEMENT
determination, control recommendation
dan results documentation. Agar ana-
lisis risiko sesuai dengan kebutuhan,
cara analisis risiko tersebut dapat
mengadopsi dari analisis yang sudah ada
ataupun melakukan pengembangan dari
analisis sebelumnya. Kebijakan analisis
risiko tersebut dapat mengadopsi dari
analisis risiko yang digunakan di industri
lain ataupun menggunakan analisis
NIST yang relevan dengan keamanan
sistem informasi. Semua kebijakan
tersebut dikembalikan lagi kepada PIC
yang mengelola keamanan informasi.
Satu simpulan yang dapat ditarik adalah
analisis risiko itu sangat berguna
dalam pengelolaan informasi. Karena
manajemen keamanan informasi adalah
aktivitas yang penuh dengan risiko.

Kualitatif atau Kuantitatif?
Pertanyaan yang paling mendasar
dalam analisis keamanan informasi
adalah metode apakah yang paling
cocok untuk diterapkan? Seperti yang
dijelaskan oleh NIST bahwa baik
metode kualitatif ataupun kuantitatif
mempunyai kelebihan dan kekurangan.
Hingga saat ini, masih sering menjadi
perdebatan terkait metode apakah
yang paling cocok dalam menganalisis
risiko di manajemen keamanan
informasi. Kelebihan utama yang
dimiliki oleh metode kualitatif adalah
metode tersebut dapat langsung
mengidentifikasi dan menggambarkan
berbagai macam bentuk risiko
khususnya yang berhubungan dengan
analisis dampak. Metode kualitatif pun
mampu memberikan analisis area
mana saja yang perlu untuk diperbaiki
serta menetapkan prioritas risiko.
Kesulitan yang dihadapi oleh metode
RISK MANAGEMENT
kualitatif adalah tidak mampu untuk Akibatnya, metode ini kurang efektif
memberikan ukuran numerik yang bila harus menganalisis dampak yang
jelas terkait dampak yang dihasilkan. terjadi secara cost and benefit.
Metode kuantitatif sendiri memiliki keuntungan dibandingkan kualitatif. Metode ini
memiliki keuntungan untuk menjelaskan secara kuantitatif dampak yang terjadi dari adanya
risiko disertai dengan perhitungan cost and benefit yang dapat digunakan dalam risk control.
Seperti halnya kualitatif, metode kuantitatif ini memiliki kelemahan. Kuantitatif sangat
bergantung pada angka sehingga sering kali ditemui adanya kesulitan untuk mendeskripsikan
seperti apa dampak risiko itu bila terjadi. Untuk mendeskripsikannya perlu bantuan dari
metode kualitatif. Ada tiga hal yang perlu diperhatikan bila ingin menggunakan metode
kuantitatif dalam manajemen keamanan informasi. Yaitu:
1. Harus menyertakan estimasi sumber ancaman pada
vulnerability sistem dalam jangka waktu tertentu.
2. Mencantumkan estimasi cost bila sebuah risiko terjadi.
3. Menyertakan pertimbangan faktor-faktor yang muncul
dari analisis subjektif terkait suatu ancaman pada
vulnerability sistem tertentu.

Ganjar Imansantosa, Information
Security Senior Manager Specialty Retail
Company di California, AS mengatakan
bahwa dalam industri mereka kehila-
ngan data atau hilangnya informasi
sensitif adalah risiko yang paling sering
terjadi. Metode yang umumnya sering
digunakan oleh Ganjar adalah metode
yang bersifat kualitatif. Penilaian risiko
yang berbasis kualitatif masih dominan
dan sering digunakan., ujar pria yang
pernah menjabat sebagai Manager
Technology Risk and Services, Ernst
and Young Indonesia. Pola kualitatif
digunakan untuk mengidentifikasi
skenario risiko berdasarkan peringkat
tertentu yang menyatakan tentang
dampak dan kemungkinan risiko itu
terjadi. Walaupun demikian, metode ini
sangat penuh dengan subjektifitas yang
tinggi dan penilaian dari para ahli.
Ganjar pun mengatakan bahwa
dalam industri retail seperti ini terkadang
menggunakan metode kuantitatif untuk
menganalisis risiko dalam manajemen
keamanan informasi. Salah satunya
adalah menggunakan studi yang dapat
digunakan untuk mengkuantifikasi
jumlah cost dari data-data yang hilang.
Metode ini sangat umum, walaupun
kemungkinan error sangat tinggi
untuk beberapa industri spesifik. Oleh
karena itu, metode ini digunakan hanya
untuk menganalisis untuk kasus-kasus
analisis risiko yang spesifik.
Lain halnya dengan pendapat Yusri
Amsal. Selaku Vice President Security
& Fraud Risk Head di PT Bank Ekonomi
Raharja Tbk, Member HSBC Group,
Yusri mengatakan bahwa tidak ada
metode yang benar-benar tepat untuk
menganalisis risiko dalam keamanan
informasi. Sebagai seorang VP di
institusi perbankan, Yusri menjelaskan
bahwa karakteristik setiap perusahaan
atau industri berbeda satu sama lain.
Walaupun bidang kajiannya sama yaitu
keamanan informasi, business core yang
dimiliki sebuah perusahaan berbeda
antara satu dengan yang lainnya. Per-
bedaan inilah yang menyebabkan
sulitnya dicari metode standar untuk
menganalisis risiko. Karena perbedaan
karakteristik industri itulah, definisi
metode analisis risiko yang cocok dirasa
lebih tepat. Adapun untuk mendapatkan
RISK MANAGEMENT
hasil analisis yang maksimal, sebuah
perusahaan baiknya menggabungkan
dua metode (hybrid method) kualitatif
dan kuantitatif. Alasannya adalah kedua
metode tersebut dapat melengkapi
kelemahan masing-masing.
Pendapat dari Yusri di atas sangat
relevan dengan panduan dari ISO
27001 yang menyatakan bahwa sangat
sulit menentukan metode apa yang
cocok dalam menganalisis risiko dalam
manajemen keamanan informasi.
Kesulitan tersebut dilatarbelakangi
perbedaan bisnis dan operasional
sebuah organisasi. Perbedaan tersebut
menimbulkan kebingungan terkait
metode apa yang paling cocok untuk
menganalisis risiko. Hal lainnya yang
mengakibatkan perbedaan analisis
risiko dilandasi pula oleh tingkat
kedewasaan sebuah organisasi dalam
mengimplementasikan manajemen ke-
amanan informasi. Semakin dewasa
sebuah organisasi menerapkan sistem
manajemen keamanan informasi yang
baik, maka akan baik pula analisis
risikonya.

Ada berbagai cara yang dilakukan
oleh tiap-tiap industri dalam me-
nganalisis risiko di keamanan informasi.
Ganjar menuturkan bahwa analisis
risiko adalah sesuatu yang sangat
dinamik. Setiap praktisi memiliki
cara dan metodenya sendiri dalam
menganalisis risiko di keamanan infor-
masi. Adapun cara yang selalu digunakan
Ganjar dalam menganalisis risiko pada
keamanan informasi dilakukan dengan
cara memahami betul tujuan strategi
bisnis. Ini dilakukan dengan cara
menggunakan analisis yang berbasis
risk based approach. Cara seperti ini
hanya bisa dicapai dengan menerapkan
komunikasi yang berkelanjutan dengan
semua unit bisnis dan manajemen
RISK MANAGEMENT
eksekutif. Lalu, analis risiko akan bisa
menerjemahkan tujuan bisnis mereka
yang relevan dengan skenario risiko
dalam bidang keamanan informasi.
Ganjar pun menekankan bahwa
analisis risiko adalah fondasi utama
dalam kegiatan keamanan informasi.
Baik itu berupa aktifitas monitoring
day to day periodic ataupun proyek
keamanan informasi yang berskala
besar. Tanpa adanya analisis risiko
yang terencana dengan baik, program
yang dikelola akan kacau dan kita
akan mendapatkan proyek keamanan
informasi yang bersifat sporadik. Pada
akhirnya, ini akan berdampak pada
Return Of Investment perusahaan.

Di sisi lain, Yusri menjelaskan juga teknik-teknik analisis risiko
yang lazim digunakan dalam manajemen keamanan informasi.
Teknik analisis manajemen risiko pada keamanan informasi secara
garis besar sama dengan analisis manajemen risiko yg lain., ujar
Yusri. Langkah-langkahnya antara lain:
Identifikasi (identifikasi masalah/risiko, ancaman yang muncul,
kelemahan yang ada, impact yang ditimbulkan, kontrol yang
telah diterapkan, dll).
Prioritas (setelah tahap identifikasi, dilakukan penentuan
prioritas dan pemilihan kontrol untuk menutup kelemahan/
risiko yang paling besar hingga yang terkecil).
Implementasi kontrol (baik secara teknis, administratif dan
prosedur).
Melakukan review, kembali ke langkah pertama. Ini menjadi
semacam siklus yang harus dievaluasi secara periodik.
RISK MANAGEMENT
Yusri pun menegaskan bahwa
melalui analisis risiko setiap organisasi
dapat menentukan kontrol yang tepat
dalam meminimalkan suatu risiko
sampai ketitik yang dapat diterima oleh
suatu organisasi/perusahaan baik itu
kontrol teknis, administratif maupun
prosedur.
Sebagai bahan perbandingan,
Oxford University di Inggris merilis
cara-cara teknik analisis yang bisa
dijadikan rujukan. Oxford University
lebih mengedepankan analisis kuan-
titatif ketimbang kualitatif. Mereka
menyatakan bahwa untuk menganalisis
risiko yang berpotensi menjadi ancaman
pada aset informasi, risiko tersebut
harus diidentifikasi, dikuantifikasi dan
diprioritaskan. Pada tahapan analisis
ini ada beberapa hal penting yang harus
dipersiapkan. Yaitu:

Aset
Organisasi harus menentukan terlebih dahulu
jenis informasi seperti apa yang harus dilindungi
karena ia merupakan bagian terpenting dari
kelangsungan operasional mereka. Ini sangat
membantu dalam memprioritaskan jenis-jenis
risiko pada tahapan analisis nanti.
Setelah ketiga poin di atas dipetakan,
organisasi harus mulai menentukan
metode apa yang akan digunakan. Oxford
University menekankan bahwa untuk
menentukan tingkatan risiko melalui
analisis, semuanya sangat bergantung
pada nilai sebuah aset, informasi yang
diberikan dan sumber daya yang dimiliki
vulnerabilities
Ini adalah aspek yang dieksploitasi oleh
ancaman yang berdampak pada tereksposnya
informasi penting. Kerentanan dapat bersumber
dari software, hardware, process and policies,
sistem konfigurasi, ketergantungan pada pihak
ketiga dan faktor lingkungan.
sebuah unit analis risiko. Sama seperti
pemaparan praktisi di atas, Oxford
pun memberikan dua cara yang sama
yaitu kualitatif dan kuantitatif. Metode
kualitatif dalam pandangan Oxford
University sangat bersifat subjektif
karena sangat bergantung pada expert
judgment. Di sisi lain, metode kuantitatif
RISK MANAGEMENT
ancaman
Ia adalah sesuatu yang berpotensi meng-
eksploitasi kelemahan sistem informasi orga-
nisasi. Ancaman dapat berasal dari lingkungan,
eksternal, internal, kecelakaan ataupun ke-
salahan teknis. Ancaman harus diidentifikasi
berdasarkan motivasinya, kesempatan, ke-
mampuan dan ketertarikannya pada target.
cukup mendapat perhatian karena
dalam pandangan mereka metode ini
dapat mengukur secara akurat dampak
risiko yang bisa terjadi. Keuntungan
menggunakan metode ini adalah hasil
yang didapat bisa sangat akurat selama
data ataupun informasi yang diperoleh
reliable.
 RISK MANAGEMENT
Ada beberapa teknik analisis risiko yang dapat dicoba berdasarkan Setelah menganalisis risiko, analis
beberapa referensi yang dihimpun. Di antaranya adalah: dapat mulai menentukan tingkatan
risiko dan mendeskripsikannya. Sama
seperti teknik analisis di atas, penentuan
Calabreses Razor
tingkatan risiko ini berbeda. Tergantung
Sebuah metode yang dikembangkan oleh Chris Calabrese. Metode ini pada jenis industri dan kebutuhan
digunakan agar Pusat Keamanan Informasi untuk mengevaluasi cost and organisasi itu sendiri. IR
benefit dari sebuah control risk.

ISO 31000
Panduan analisis risiko dari standar manajemen risiko ISO 31000 ini dapat
digunakan pula di bidang manajemen keamanan informasi.

NIST SP 800-30
NIST SP 800-30 tentang Risk Management Guide for Information Technology
Systems dapat dijadikan acuan bagi para analis risiko.

Risk IT
Salah satu metode analisis risiko yang dikembangkan oleh ISACA.

Do-it-yourself
Pengembangan analisis risiko yang disesuaikan dengan kebutuhan organisasi.
Teknik analisis ini dapat dikembangkan dari berbagai macam varian teknik
analisis yang ada.
 INSIGHT

Tiga Prioritas
Keamanan untuk
wilayah Asia Pasifik
Oleh :
Yudi Arijanto

K
eamanan dunia maya bukanlah
semata-mata bagian dari Tek-
nologi Informasi (TI) lagi
dan profesional yang berkecimpung
di dunia keamanan jaringan; Ketika
kejadian serang-serangan di dunia maya
belakangan ini baik di Indonesia dan
wilayah Asia Pasifik telah memeberikan
pembelajaran akan banyak hal, tapi
yang paling utama adalah keamanan
dunia maya telah menjadi topik hangat
yang memberikan implikasi ke berbagai
lini bisnis dan pangsa pasar. Serangan
di dunia maya dalam rentang 12 bulan
terakhir telah menunjukkan penjahat
dunia maya semakin modern dengan
dengan teknik-teknik mereka, dan
menggunakan metode jahat apapun
untuk mencapai tujuan mereka. Apakah
dibelakangnya hacker dengan agenda
politik yang ingin menanamkan rasa
takut dan pemberontakan melawan
pemerintah atau penjahat dunia maya
yang mencuri data berharga dan
penting untuk keuntungan finansial,
baik pemerintah dan perusahaan
harus mengamankan jaringan untuk
melindungi kepentingan mereka.
Negara Indonesia sedang dalam
tahapan untuk membentuk kemampuan
keamanan di dunia maya dan hal
tersebut memberikan kesempatan
yang unik untuk kerja sama yang
erat dengan negara sahabat mereka
termasuk negara Amerika Serikat. Sejak
tahun 2011, pemerintah Indonesia dan
kaum analis dari non-pemerintah telah
menyerukan untuk mempercepat dan
memperkuat keamanan dunia maya dan
jaringan pertahanan Indonesia. Dengan
kelompok analis dari IDC memprediksi
bahwa pengeluaran biaya TI di Indonesia
akan tumbuh sebesar 12,5 persen pada
tahun 2014 di tengah perekonomian
yang sulit didorong oleh investasi dari
sektor perbankan dan telekomunikasi
khususnya terhadap solusi keamanan
TI, kita berharap untuk melihat lebih
banyak upaya yang terkonsentrasi baik
di sektor publik dan swasta menuju
keamanan dunia maya. Berikut adalah
tiga strategi yang dapat dilakukan
oleh pemerintah dan perusahaan-pe-
rusahaan untuk meningkatkan upaya
menuju memerangi kejahatan dunia
maya.
INSIGHT
Kolaborasi Pemerintah Dan
Dunia Industri Menjadi Kunci
Utama
Pada tahun 2013, pencurian dan
pembobolan data menjadi berita utama
di seluruh dunia. Mulai dari skandal
Edward Snowden dan serangan
Tentara Syria secara electronik sampai
pembobolan data kartu JP Morgan
Chase, kami terus melihat serangan
yang lebih kompleks pada skala global,
menargetkan pemerintah, perusahaan
dan individu. Menurut sebuah penelitian
terbaru dari IDC dan National University
of Singapore (NUS), Asia Pasifik akan
mencatat kerugian perusahaan tertinggi
di dunia sebesar US $ 138 miliar dari
pembobolan data di dunia maya yang
dilakukan oleh penjahat dunia maya
yang terorganisir.
Dengan semakin tergantungnya
kita dengan infrastruktur penting
pada setiap hari, termasuk jaringan
listrik, pusat transaksi keuangan,

dan bendungan, yang sekarang telah
terhubung ke jaringan, adalah penting
bagi pemerintah, organisasi dan pe-
rusahaan bersama-sama untuk me-
miliki baik perangkat lunak dan keras
keamanan dunia maya yang akan
memberikan perlindungan mumpuni
ke jaringan, komputasi awan dan
perangkat akhir pengguna, sementara
juga menyediakan visibilitas penuh
terhadap lalu lintas jaringan.
Kolaborasi antara industri dan
pemerintah adalah sangat penting
dalam rangka secara aktif melindungi
infrastruktur dan sistem informasi yang
menopang perekonomian kita. Kita
sudah melihat kolaborasi di wilayah
tersebut, seperti Asia Pacific Computer
Emergency Response Team (APCERT),
yang menyediakan bantuan teknis,
berbagi best-practice dan pelatihan,
kepada 30 kelompok dari 21 negara,
termasuk dua dari Indonesia. Kami
berharap untuk melihat lebih banyak
inisiatif yang diluncurkan dalam be-
berapa bulan dan tahun mendatang,
yang dipimpin oleh pemerintah masing-
masing di wilayah tersebut.
INSIGHT
Berinovasi Untuk Menjadi Yang
Terdepan Dalam Memerangi
Kejahatan Dunia Maya
Inovasi terus menjadi tema yang perlu mengevaluasi celah keamanan
selalu berulang di semua aspek bisnis dan mengembangkan sistem respon
TI, dan terutama juga untuk keamanan. untuk mengelola kejadian-kejadian
Ini seperti permainan kucing dan tikus, ketika pembobolan sistem terjadi. Hal
dengan penjahat dunia maya tetap ini dimulai dengan memiliki teknologi
bekerja keras untuk mencari celah- yang tepat di jaringan untuk mendeteksi
celah dan mengeksploitasi kerentanan serangan yang sedang berlangsung dan
dalam sistem. mencegah munculnya ancaman baru.
Dalam lingkungan multi perangkat Selain itu, perusahaan harus membuat
yang kita gunakan sehari-hari, dan keamanan dunia maya sebagai bagian
dengan Internet of Things (IOT) men- penting dari praktek bisnis untuk
jadi kenyataan, celah keamanan hampir menggerakan inisiatif-inisiatif bisnis
ada di mana-mana. Untuk mengatasi ataupun perkenalan produk baru.
hal ini, perusahaan dan pemerintah

Keamanan Dunia Maya
Harus Diatasi Mulai Dari
Level Tertinggi
Akhirnya, pendekatan yang di-
lakukan perusahaan untuk keamanan
dunia maya akan memerlukan lebih
banyak keterlibatan dari C-level
untuk melindungi informasi bisnis
penting tanpa menghambat inovasi
dan pertumbuhan, daripada mem-
perlakukan masalah tersebut sebagai
masalah teknologi semata. Hal ini akan
membutuhkan keterlibatan pemimpin
senior perusahaan untuk memahami
risiko keamanan dan implikasi bisnis
terhadap ancaman-ancaman, dan pen-
dekatan perusahaan terhadap kegiatan
hacking dan pembobolan data.
Industri jasa keuangan dan per-
bankan, dan pemerintah telah ber-
inisiatif untuk memasukkan keamanan
dunia maya sebagai bagian penting
dari strategi bisnis mereka, tetapi
organisasi dalam industri kesehatan,
telekomunikasi dan manufaktur dapat
berbuat lebih banyak untuk memastikan
keamanan dunia maya menjadi topik
diskusi di ruang rapat direksi.
Untuk tetap berada di depan,
pemimpin bisnis harus memastikan
strategi mereka terus diperbarui dan
membuat trade-off yang tepat antara
peluang bisnis dan risiko. Kami telah
melihat banyak perusahaan multi-
nasional menerapkan program tahun-
an untuk mengklasifikasikan data pe-
rusahaan dan memfokuskan upaya
penanganan keamanan dunia maya,
tetapi belum melihat upaya yang
komprehensif dengan perusahaan-pe-
rusahaan di Asia Pasifik, terutama di
Indonesia.
Terlepas dari pendekatan dan
model yang akan dipakai untuk ke-
amanan dunia maya, Indonesia akan
membutuhkan pendidikan, pelatihan
dan kesadaran akan keamanan dunia
INSIGHT
maya. Sebuah sistem pertahanan
maya yang kuat membutuhkan ke-
patuhan yang konsisten sebagai upaya
perlindungan di pemerintah dan sektor
swasta. Pendidikan yang lebih luas
untuk dasar keamanan dunia maya
dan langkah-langkah pencegahan
akan sejalan menuju pembentukan ke-
amanan dunia maya, seperti halnya
pendidikan untuk masyarakat umum,
salah satunya adalah pendidikan akan
penggunaan internet yang aman.
Dengan kolaborasi yang lebih besar di
dunia industri, Indonesia akan berada
dalam posisi yang lebih baik untuk
memerangi serangan-serangan dunia
maya.
Penulis
Yudi Arijanto adalah Information Security
Architect dan Manager di Palo Alto Networks,
Indonesia. Yudi memiliki beberapa sertifikasi
profesional seperti CISSP, CISA, CISM, CRISC,
ISO27001 Lead Auditors, GWAPT, GCFW, GCIH,
dan VCPv5. Ia juga aktif sebagai member
di CSA Indonesia Chapter, ISACA, ISC2, GIAC
Advisory Board Member.
 KNOWLEDGE

Log
Management

Oleh :
Iqbal Ramadhan
 KNOWLEDGE
og adalah sebuah catatan. masing-masing. Secara harfiah, log harus mengalami banyak kendala dalam
Baik itu catatan di buku management dapat diartikan sebagai masalah pengelolaan log ini. Selain
maupun yang bersifat digital. sebuah cara untuk mengelola data yang harus menghadapi kendala terbatasnya
Yaitu sebuah rekaman aktivitas yang terekam dalam log secara efektif untuk jumlah sumber daya dalam pengelolaan
telah terjadi sebelumnya. Hal ini juga menganalisis setiap aktivitas yang te- log ini, organisasi pun harus menghadapi
berlaku pada setiap perangkat TI. rekam dalam sistem informasi. permasalahan berupa penyimpanan dan
Masing-masing perangkat TI memiliki Tantangan terberat dalam me- log generations yang bisa sangat rumit
sistem logging (pencatatan) yang ngelola log adalah menyeimbangkan yang dapat diakibatkan oleh banyak
berfungsi untuk melakukan audit secara efektif jumlah kuantitas sumber faktor. Salah satunya adalah banyaknya
trail terhadap apa yang telah terjadi daya dalam mengelola data yang sumber log yang harus dianalisis,
sebelumnya pada perangkat. Juga terekam dengan jumlah data yang konten log yang tidak konsisten serta
berfungsi untuk melakukan debugging dimiliki. Terkadang sebuah organisasi semakin membengkaknya jumlah data
dalam pengembangan sistem.
Dalam keamanan informasi, log
sangatlah penting. Karena log me-
rupakan salah satu informasi yang
cukup sensitif pada sistem. Log me-
mungkinkan seorang untuk melihat
konfigurasi yang telah diterapkan se-
hingga akan memperkaya informasi
penyerang terhadap sebuah sistem.
Oleh karena itu log perlu disimpan dan
dikelola dengan baik.
Perkembangan sistem TI yang besar
akan menyulitkan seorang pengelola
TI dalam melakukan log management
(manajemen log) dikarenakan setiap
perangkat akan menghasilkan log

yang ada dalam log. Kendala lainnya
yang sering ditemui adalah organisasi
harus memastikan jaringan, sistem dan
keamanan komputer mereka tetap aman
ketika proses analisis log berlangsung.
SANS Institute pada tahun 2010
pernah merilis sebuah survey tentang
tantangan dan permasalahan apa saja
yang dihadapi sebuah organisasi da-
lam mengelola data yang terekam da-
lam log. Data tersebut menunjukkan
bahwa mayoritas perusahaan ataupun
organisasi mengalami kendalah yang
sama dalam mengelola sebuah log.
Walaupun memiliki permasalahan yang
sama, jenis-jenis kendala yang dihadapi
berbeda satu sama lain.
Berdasarkan data di atas, ada
beberapa permasalahan yang sering
dihadapi oleh sebuah organisasi da-
lam pengelolaan log. Tantangan ter-
besar yang sering ditemui oleh orga-
nisasi adalah searching through the
data. Sekitar 38 persen responden
menyatakan bahwa permasalahan dan
tantangan terbesar yang sering dihadapi
adalah mencari informasi melalui
historis data yang banyak. Organisasi
yang memiliki sistem informasi yang
sangat besar akan menghadapi banyak
kesulitan dalam mencari sebuah
informasi spesifik pada ratusan gigabyte
data. Perbedaan teknologi yang dipakai
dalam mengelola data dapat menjadi
salah satu pemicu pada permasalahan
utama ini. Tantangan kedua diikuti
oleh aspek analisis dan pelaporan.
Permasalahan analisis ini bisa dipicu
oleh kesulitan dalam mengintepretasi
data yang terekam dalam log. Sekitar 31
persen responden mengaku kesulitan
ini dapat berdampak pada hasil laporan
yang tidak objektif. Permasalahan ter-
besar ketiga adalah mengambil data
historis yang tersimpan dalam log.
Kapasitas log yang banyak, memiliki sisi
yang kurang menguntungkan. Semakin
banyaknya data yang tersimpan dalam
log, maka akan semakin lama pula me-
recover data historis yang tersimpan di
dalamnya.
Faktor Keamanan
Sevenpri Chandra, Head of
Management Dual Degree Program
Universitas Binus, mengatakan bahwa
KNOWLEDGE
melalui log management tingkat ke-
amanan dapat dideteksi dan juga tin-
dakan preventif dapat dilakukan lebih
dini. Akademisi yang pernah menjadi
IT Manager di sebuah perusahaan
ini mengatakan, Memang jika kita
perhatikan lebih seksama, banyak
log record yang bermuara kepada
keamanan itu sendiri, sehingga dari sisi
compliance akan menjadi terpenuhi
jika peran log management tersebut
dimaksimalkan. Bila dijelaskan, com-
pliance tersebut harus sesuai standar
baik government regulation maupun
organization business. Adapun log
record yang dimaksud Sevenpri adalah
log dari antivirus, software application,
operating system, firewall, workstation
and network equipment.
Sevenpri menambahkan bahwa
ancaman yang bisa terdeteksi dari
log management ini dapat dijabarkan
antara lain dari sisi security software :
ancaman malware, malicious activity,
vulnerability, network traffic. Sedang-
kan dari bagian operating system :
privileges access dan audit record serta
system event.

Aresto Sujono CISA, CGEIT, praktisi TI
yang pernah berkarir sebagai sebagai Senior
IT Consultant di Ernst and Young dan Senior
Manager di Veda Praxis mengatakan bahwa
ada dua tujuan dalam mengelola keamanan
informasi yang biasanya dilakukan oleh
organisasi. Yaitu:
a. Sebagai detective control, log yang
dikumpulkan berguna dalam men-
deteksi terjadinya suatu insiden
keamanan
b. Memenuhi aspek compliance, berbagai
standar/framework kontrol keamanan
informasi mengharuskan organisasi
untuk merekam, mengelola, dan me-
review log keamanan sebagai bagian
dari penerapan kontrol.
Aresto pun menyatakan bahwa log
management bermanfaat dalam mendeteksi
atau membantu proses forensik insiden
keamanan, yaitu:
// Intrution
// Aktivitas Malware
// Unauthorized user access
Log management juga menjadi
semakin penting seiring berkembang-
nya tren Advanced Persistent Threat
(APT).
Surya Suhendra, Security Ope-
rations Manager Conoco Phillips justru
melihat ancaman bahwa ancaman-
ancaman serius yang terdeteksi dalam
log seperti virus ataupun malware
dan juga backdoor sudah dimulai dari
KNOWLEDGE
tahun 1970 dan 1980-an. Satu hal yang
menjadi perbedaan adalah dahulu
komputer hanya dimiliki oleh orang-
orang yang kompeten dalam bidangnya.
Sehingga penyebaran ancaman ter-
sebut sangatlah terbatas. Namun,
perkembangan sistem komputer yang
semakin meluas saat ini berdampak
pula pada semakin meluasnya ancaman
itu. Salah satu sumber ancaman yang
berpotensi pada kerusakan sistem bisa
berasal dari smartphone. Dahulu orang
menggunakan telepon genggam hanya
untuk SMS ataupun menelpon. Sekarang
semua orang dapat mengakses sistem
data melalui smartphone sehingga
sumber ancaman pun bertambah.
Oleh karena itulah melalui mekanisme
pengelolaan log yang baik, kita dapat
melakukan trace analysis terkait
aktivitas yang telah terekam.

Analisis Log Managemen
Salah satu tantangan terberat pada
analisis log adalah menganalisis data-
data rekaman log dalam jumlah yang
besar. Bagaimana metode yang baik
untuk menganalisis dan mengelola
data log tersebut? Masih menurut
Sevenpri log data menjadi suatu hal
yang berat jika dilihat dari sisi jumlah,
namun hal yang terberat tersebut
harusnya tidak menjadi suatu alasan.
Mengapa? Karena tingkat kepentingan
yang begitu tinggi, maka perusahaan
perlu melakukan strategi untuk dapat
mengelola log record tersebut dan
melakukan analisa terhadap data
log yang telah dimiliki. Untuk dapat
mengelola log management tersebut
dibutuhkan suatu aplikasi yang dapat
mempermudah perusahaan di dalam
menyimpan dan menganalisisnya.
Pasar (market) yang menyedikan
aplikasi ini sudah sedemikian banyak.
Ada beberapa aplikasi log management
yang dapat melakukan hal tersebut
sehingga pekerjaan organisasi menjadi
lebih mudah dan efisien.
Perangkat yang dikenal saat ini
umumnya ada dua yaitu Security Infor-
mation Management dan Security Event
Manager. Sevenpri menjelaskan bahwa
istilah ini muncul pertama kali pada
tahun 2005 yang dipopulerkan oleh
Gartner [Nicolett dan Amrit Williams],
Security Information and Event
Management describes the product
capabilities of gathering, analyzing and
presenting information from network
and security devices; identity and access
management applications; vulnerability
management and policy compliance
tools; operating system, database and
application logs; and external threat
data. A key focus is to monitor and help
manage user and service privileges,
directory services and other system
configuration changes; as well as
providing log auditing and review and
incident response. Teknologi SIEM
menyediakan analisis data yang real-
time untuk security warning yang
dihasilkan oleh network hardware dan
software application. SIEM umumnya
dalam bentuk software, appliances
atau managed services yang mana
KNOWLEDGE
digunakan untuk security data log dan
menghasilkan laporan untuk tujuan
compliance.
Adapun cara untuk menganalisis
anomali dalam log data menurut
Sevenpri, Kita harus memiliki suatu
standarisasi atas hal-hal yang akan kita
monitoring. Standar tersebut haruslah
compliance sehingga dapat lebih mu-
dah melakukan judgement terhadap
data yang didapatkan dari rekaman
tersebut. Namun demikian, dengan ada-
nya bantuan software SIEM maka hal
tersebut akan lebih mudah bukan saja
dalam hal monitoring tetapi juga dalam
hal analisis dan preventif.
Aresto pun menambahkan be-
berapa hal yang perlu diperhatikan
dalam menganalisis log. Praktik log
management harus dilakukan sebagai
suatu risk based process., ujar Aresto.
Maksudnya adalah pilihan-pilihan tek-
nis seperti pemilihan event dan sumber
yang direkam dalam log untuk kemudian
di-review/dianalisis harus berdasarkan
pertimbangan setelah melakukan risk
assessment. Ini memastikan bahwa
log management dilakukan sebagai

aktifitas kontrol dengan kadar tertentu
yang yang merespon tingkat risiko
tertentu. Dengan demikian diharapkan
jumlah rekaman log yang harus dikelola
menjadi terkendali.
Terkait dengan produk log mana-
gement yang berbasis SIEM, Aresto
mengatakan bahwa organisasi sekarang
memiliki pilihan untuk menggunakan
berbagai produk SIEM yang ada di
pasaran. Kelebihan dari berbagai produk
SIEM adalah dukungan kustomisasi yang
lebih lengkap dalam menentukan event
yang harus direkam, dukungan berbagai
kapabilitas untuk melakukan analisis
canggih seperti pattern recognition dan
correlation, serta dukungan kapabilitas
pelaporan yang lebih lengkap terutama
untuk memenuhi persyaratan com-
pliance tertentu. Sebagai aktivitas kon-
trol, log management tidak lengkap
tanpa adanya aktifitas kontrol berupa
incident management. Organisasi
harus memiliki prosedur incident
management yang jelas, rinci, dan
tersosialisasi dengan baik sehingga
semua personil organisasi mengerti
apa yang harus dilakukan apabila suatu
KNOWLEDGE
insiden keamanan informasi terdeteksi.
Surya juga mengakui bahwa me-
monitor secara manual dan meng-
analisis log sangatlah tidak mungkin.
Penggunaan internet yang masif ber-
potensi membuka ilegal akses kepada
sistem. Unsur terpenting dalam analisis
log menurut Surya cenderung mengarah
kepada trace analysis dan behaviour
user. Dari sisi internal, log analysis
ini dapat menceritakan bagaimana
perilaku user kepada sistem komputer.
Kecenderungan individu ini dapat di-
lihat dari bagaimana ia mengambil
informasi di internet. Sisi security
melihatnya untuk mengantisipasi po-
tensi vulnerability pada sistem. Ji-
ka seorang user sering mengakses
situs yang memiliki konten hacking,
dikhawatirkan perilaku tersebut
dapat memicu kuriositas user untuk
melakukan aktifitas hacking pada
sistem.
Salah satu cara yang bisa di-
gunakan dalam menganalisis se-
buah data log menurut Surya adalah
menggunakan metodologi execissive
consumption bandwith. Metode ini

digunakan untuk menganalisis berapa
jumlah konsumsi sebuah kuota yang
digunakan seorang user. Praktik ini
cukup efektif digunakan dalam sebuah
perusahaan yang berskala besar. Se-
bagai contoh, jika sebuah perusahaan
memiliki 4000 orang karyawan dan
masing-masing dari mereka memiliki
jumlah kuota sebanyak 2 gigabyte.
Jika menganalisis sekaligus, ini akan
membuat pekerjaan semakin rumit.
Sistem cukup menganalisis log yang
dikonsumsi berdasarkan kuota yang
ada. Bila seorang user menghabiskan
kuota lebih dari batas yang ada, ini dapat
menimbulkan anomali. Hal tersebut
dapat langsung dilakukan trace analysis
mengapa user tersebut menggunakan
kuota melebihi ketentuan.
Analisis log ini menurut Surya
sangat menekankan pada aspek people.
Pada intinya, teknologi adalah netral.
Faktor yang harus diperhatikan adalah
man behind the system., papar Surya.
Analisis log tersebut sangat membantu
untuk menganalisis website apa saja
yang sering diakses oleh user. Dari
analisis log tersebut, sistem dapat
membaca situs apa saja yang sering di-
kunjungi oleh suatu departemen dalam
sebuah organisasi. Jika departemen
media relations sering mengakses situs
yang relevan dengan job description
mereka, hal ini tidak menjadi anomali.
Sebaliknya jika ada sebuah departemen
sering mengakses situs yang bukan
bagian dari job description mereka,
aktifitas tersebut dapat menimbulkan
pertanyaan. Apabila dilihat dari paparan
di atas, Surya memandang log analysis
ini untuk mendeteksi anomali yang
sifatnya internal.
Bila dalam hasil analisis log terdapat
Analisis Mitigasi dan
Incident Report
anomali, perusahaan perlu membuat
langkah mitigasi risiko yang harus
diambil. Sevenpri memaparkan bahwa
pada umumnya didalam organisasi yang
telah menerapkan log management
maka akan ada Incident Response Team
(IRT). Di dalam IRT ini umumnya terdiri
dari dua tim. Tim pertama merupakan
KNOWLEDGE
tim inti dan tim kedua adalah tim yang
dapat dikatakan statusnya as needed.
Khusus untuk tim inti dari IRT maka
komposisi yang ada didalam tim ter-
sebut haruslah memiliki pengetahuan
ataupun jabatan pada Information and
System Security/Compliance, Tech-
nology Supports, Management Repre-
sentative, Audit Department, Disaster
Recovery/ Business Continuity Planning.
Dengan adanya IRT tersebut, maka tugas
IRT lah yang akan mengambil langkah-
langkah yang strategi yang kemudian
dilaporkan dan diusulkan kepada pihak
top management.
Di akhir wawancaranya, Sevenpri
memberikan langkah praktis yang
dapat digunakan top management
dalam memitigasi risiko. Diantaranya
desain proses bisnis baru dengan
built-in pengendalian risiko dan lang-
kah preventif yang memadai dari
awal. Secara berkala, menilai kembali
risiko yang diterima dalam proses
yang sedang berlangsung sebagai fitur
normal operasi bisnis dan memodifikasi
langkah-langkah mitigasi. Langkah lain-
nya adalah transfer risiko kepada lem-

baga eksternal atau menghindari risiko
sama sekali.
Mitigasi risiko dan incident res-
pons yang dilakukan di perusahaan
multinasional menurut Surya sudah
berstandar global. Artinya, perusahaan
multinasional yang berkantor di Indo-
nesia cukup mengikuti aturan baku yang
sudah ada dan tidak perlu membuat
langkah mitigasi risiko ataupun incident
response yang baru. Salah contoh
langkah incident response tersebut
menurut Surya adalah investigasi motif.
Ketika ada anomali yang terdeteksi,
hal yang pertama dilakukan adalah
melakukan investigasi. Contoh kasus-
nya adalah jika sistem terserang virus
dari komputer user, PIC (person in
charge) harus menganalisis bagaimana
virus itu tersebar dan me-lock down
KNOWLEDGE
komputer tersebut. Selanjutnya tinggal
mencari motif utama apakah penye-
baran itu sengaja atau tidak disengaja.
Namun itu semua kembali ke security
policy masing-masing perusahaan.
Secara spesifik, langkah mitigasi risiko
yang ada di Conoco Phillips sudah me-
lingkupi aspek disaster recovery plan,
respond center dan support dari mitra
bisnis. IR
 KNOWLEDGE

D
alam artikel Analisis Malware
bagian pertama (CISO edisi Mei
2014), kita sudah membahas
perilaku kode bineryang sedang dianalisa
termasuk interaksi dengan file system
dan network. Contoh kode biner yang
dianalisa dalam artikel yang lalu juga
menunjukkan adanya interaksi dengan
file system and registry dari Windows,
seperti terlihat pada gambar 1 dibawah.
Dalam gambar 1 terlihat jelas bahwa kode
biner tersebut mencoba mengkakses
registry key dengan nama cacaoweb
dan pada saat yang bersamaan program
berusaha mencari keberadaan program
bernama cacaoweb.exe dank arena
file tersebut tidak ada maka dilanjutkan
dengan pembuatan file dengan bernama
cacaoweb.exe.
Pada gambar 2, kita bisa melihat
adanya proses baru yang dibuat untuk
menjalankan program cacaoweb.exe
tersebut, bahkan terlihat juga command
line parameter yang digunakan oleh kode
biner tersebut yaitu : C:\Program Files\
cacaoweb\cacaoweb.exe restart.exe.

2014-04-26 05:18:14,224 RegCloseKey
2014-04-26 05:18:14,224 LdrGetDllHandle
2014-04-26 05:18:14,224 RegOpenKeyExA
2014-04-26 05:18:14,224 FindFirstFileExW
2014-04-26 05:18:14,224 NtCreateFile
Gambar 1 Interaksi kode biner dengan file system dan Registry
2014-04-26 05:18:14,294 CreateProcessInternalW
2014-04-26 05:18:14,294 LdrGetDllHandle
2014-04-26 05:18:14,294 ExitProcess
Gambar 2 Interaksi program yang berhubungan dengan process
Handle: 0x00000098 success
MaduleHandle: 0x7o9o0000
success
FileName: SHELL32
Handle: 0x00000000
Registry: 0x80000001 failed
SubKey: SOFTWARE\cacaoweb
FileName: C:\DOCUME~1\User\
LOCALS~1\Temp\cacaoweb.exe
success
ShareAccess: 3
FileName: C:\DOCUME~1\User\
LOCALS~1\Temp\cacaoweb.exe
DesiredAccess: 0x90100090
success
CreateDisposition: 1
FileHandle: 0x00000098
ApplicationName: C: \Program
Files\cacaoweb\cacaoweb.exe
Processid: 1956
CommandLine: "C: \Program
Files\cacaoweb\cacaoweb.
success
exe" -restart
ThreadHandle : 0x000000ac
ProcessHandle : 0x000000a9
ThreadId : 1964
CreationFlags : 0x00000010
MaduleHandle: 0x00000000
FileName: macoret.dll
ExitCode: 0
KNOWLEDGE
0x00000000 Dengan demikian jelas bahwa
perilaku kode biner terhadap sistem
0x00000000
yang berkaitan dengan proses, registry,
network, file system dan lainnya dapat
0x00000002 digunakan untuk menjadi fitur yang
dapat dipakai untuk menjadi penentu
0x00059238 apakah kode biner tersebut bersifat
berbahaya (malicious) atau tidak.
Selain itu setiap kode biner (yang
0x00000000 sangat mungkin adalah malware) yang
berhasil ditangkap lewat honeypot
diindentifikasikan lewat nilai fungsi
hash misalnya menggunakan MD5 atau
SHA-1. Dengan menggunakan nilai
hash maka setiap perbedaan bahkan
1 bit pada kode biner maka nilai hash
berubah siknifikan. Sifat ini menjadi
penting untuk mengindentifikasikan
0x00000001
kalau ada perubahan pada kode biner
yang akan dianalisa. Karena malware
dapat berubah dengan mudah dari
waktu ke waktu sesuai dengan keinginan
failed 0x00000135 pembuatnya maka penamaan malware
yang baku menjadi sulit, itu sebabnya
success 0x00000000 analis malware menggunakan nilai
hash untuk menentukan adanya
kemungkinan malware jenis baru.

Namun nilai hash yang berbeda
tidak menjamin bahwa adanya indikasi
kode biner yang berbeda seperti yang
kita lihat pada gambar 3 dibawah.
Gambar 3 merupakan visualisasi dari
perilaku kode biner yang dianalisa
lewat analisis behavior lewat sandbox.
Terlihat perbandingan 2 kode biner
dengan 2 nilai hash berbeda namum
memiliki perilaku yang sama, bahkan
tidak ada perbedaan sama sekali.
Visualisasi tersebut gambar 3 dapat
diperjelas dengan melihat pada gambar
4, dimana terlihat bahwa kode biner
melakukan berbagai aktifitas dimulai
dengan pembuatan file (Create File)
yang dilanjutkan akses ke device driver
bersangkutan dan kemudian dilanjutkan
dengan pembukaan file (Open File).
Dengan alat bantu visualisasi ini maka
analis malware lebih jelas melihat
perilaku malware dan menentukan
apakah malware tersebut berperilaku
berbeda sehingga dapat menentukan
kemungkinan sebagai berikut:
// Kode biner yang dibandingkan sama persis
atau mendekati 100% (hanya berbeda pada
bagian yang tidak penting sebagai penentu
perbedaan malware)
KNOWLEDGE
// Kode biner hanya menggunakan beberapa
kode yang sama dan sisanya memang
berbeda sama sekali
Sehingga terlihat dengan jelas
bahwa analisis behavior yang mencoba
menggali perilaku kode biner terhadap
sistem dapat dijadikan sebuah indikasi
apakah kode biner tersebut adalah
malware atau bukan dan menentukan
apakah kode biner tersebut mempunyai
kesamaan dengan kode biner lainnya
(untuk menentukan kelompok dari kode
biner tersebut).
 KNOWLEDGE

Malware with MD5 hash value 0afe24086463380e9e92965f12e14d53

Malware with MD5 hash value 0ce31321784b1c68346375932c37bb86

Gambar 3 Perbandingan 2 kode biner dengan 2 nilai hash MD5 berbeda
 KNOWLEDGE

TimeStamp API Arguments Return Status

Untuk menentukan apakah sebuah

FileHandle: 0x000000d8
DesiredAccess: 0xc0100080
2014-04-24 18:07:43,093 NtCreateFile FileName: WMIDataDevice
CreateDisposition: 1
ShareAccess: 0
kode biner adalah malware atau bukan maka
0x00000000 true
beberapa fitur yang dapat digunakan dari
hasil analisis statik misalnya:

DeviceHandle: 0x000000d8 // String

IoControlCode: 2228388
2014-04-24 18:07:43,093 DeviceIoControl InBuffer: x06\x08\x00\ 0x00000000 false // API call yang dapat terlihat dalam file
x00ExplorerStartup\x00
OutBuffer: . . . (truncated)

FileName: Kernel32
2014-04-24 18:07:43,109 LdrGetDllHandle
ModuleHandle: 0x7c800000
0x00000000 true ASCII Strings

ModuleHandle: 0x7c800000 string

FunctionName: CreateActCtxW
2014-04-24 18:07:43,109 LdrGetProcedureAddress 0x00000000 true GetProcAddress
Ordinal: 0
FunctionAddress: 0x7c8154ec
GetVersion
FileHandle: 0x000000d8 GetACP
DesiredAccess: 0x001200a9
2014-04-24 18:07:43,109 NtOpenFile FileName: C:\WINDOWS\ 0x00000000 true
explorer.exe
VirtualAlloc
ShareAccess: 1
VirtualProtect
SectionHandle: 0x000000dc VirtualQuery
DesiredAccess: 0x00000004
2014-04-24 18:07:43,109 NtCreateSection 0x00000000 true
ObjectAttributes:
FileHandle: 0x000000d8
DosDateTimeToFileTime

Sleep
SectionHandle: 0x000000dc
ProcessHandle: 0xffffffff QueryPerformanceCounter
2014-04-24 18:07:43,109 ZwMapViewOfSection 0x00000000 true
BaseAddress: 0x00a20000
SectionOffset: 0x00000000 SetLastErrorv
 KNOWLEDGE
Contoh String yang berhasil di- PE Sections
ekstrak dari kode biner adalah seperti
contoh gambar 5. Sebuah file PE
Relative Virtual
biasanya memiliki beberapa header Name Size (Bytes) Characteristics
Address
dan section, yang bertujuan untuk CNT_CODE
menginformasikan linker dinamis .text 0x1000 15 KB (15492) MEM_EXECUTE
bagaimana memetakan file tersebut MEM_READ

ke dalam memory. Gambar 6 adalah

.rdata 0x5000 2 KB (1972) CNT_INITIALIZED_DATA
contoh dari salah satu file PE dengan
section yang dimiliki sedangkan gambar CNT_INITIALIZED_DATA
7 adalah salah PE import section yang .data 0x6000 66 KB (68068) MEM_READ
MEM_WRITE
berisi API call yang dapat digunakan
CNT_INITIALIZED_DATA
selama program dieksekusi nantinya. .reloc 0x17000 3 KB (3240) MEM_DISCARDABLE
MEM_READ
FunctionV Address
LoadLibraryA 0x10005020
Gambar 6 (atas) File PE dengan section Sedangkan untuk hasil analisis
InterlockedIncrement 0x10005024
yang dimiliki behavior, salah satu fitur yang bisa
InterlockedExchange 0x10005028
digunakan adalah:
GetProcAddress 0x1000502c Gambar 7 (samping) API call yang berada
dalam kode biner pada section PE Imports // API Call
GetVersion 0x10005030

GetACP 0x10005034

VirtualAlloc 0x10005038

VirtualProtect 0x1000503c

VirtualQuery 0x10005040

DosDateTimeToFileTime 0x10005044
 KNOWLEDGE
Gambar 8 adalah contoh API call yang
digunakan selama analisis behavior
dilakukan.

Gambar 8 API call yang dijalankan saat analisis behavior dilakukan


Sehingga gabungan dari fitur dari
analisis statik dan analisis dinamik
dapat dijadikan fitur untuk menentukan
2 hal:
// Menentukan apakah sebuah kode biner
adalah malware atau bukan
// Menentukan apakah sebuah kode biner
dapat dikategorikan dalam 1 kelompok atau
keluarga malware yang sama
Fitur-fitur tersebut menjadi input
ke dalam sebuah machine lear-ning,
yang biasanya sudah dilatih dengan
menggunakan data sample campuran
kode biner malware maupun bukan
sebelumnya untuk mendeteksi ada-
nya kemungkinan bahwa sebuah
kode biner adalah malware. Machine
learning tersebut akan terus belajar dari
data sample training yang baru dan
kemampuan mendeteksi malware
yang belum diketahui akan semakin
baik dengan waktu. Data sample yang
bukan malware dimasukkan dalam
data sample sehingga machine learning
juga bisa belajar ciri-ciri kode biner
yang bukan malware. Beberapa contoh
KNOWLEDGE
machine learning yang dapat digunakan Hanya saja seperti yang di-jelaskan
dapat dilihat pada tabel contoh machine dalam artikel sebelumnya dimana
learning dalam artikel ini. malware terus berevolusi sehingga
Gambar 9 dibawah menggambar kecepatan evolusi saat ini melampaui
2 kelompok malware yang berbeda kecepatan para analis mengekstrak fitur
dengan fitur yang unik pada keluarga yang dapat dijadikan signature dalam
tersebut sesuai hasil penelitian Reick mendeteksi. Dengan demikian analisis
dalam publikasinya berjudul: Learning malware tidak dapat hanya bergantung
and Classification of Malware Behavior. pada analisis statik tetapi juga harus
Dari fitur-fitur unik yang dapat digabung dengan analisis behavior
diekstrak menjadi string, yang biasanya untuk menentukan perilaku malware.
disebut sebagai signature, yang dapat Dengan adanya evolusi dalam
dipakai untuk mendeteksi kode biner jenis dan jumlah malware yang terus
dimasa mendatang. Industri pembuat meningkat maka analis malware terus
anti-virus sangat bergantung pada harus mencari cara untuk mendeteksi
signature tersebut dalam mendeteksi kode biner sebagai malware atau
kode biner sebagai malware atau bukan. bukan lebih cepat dan lebih efisien.
0.0142: create_file_2 (srcpath="C:\windows\...")
0.0073: create_file_1 (srcpath="C:\windows\...", srcfile="vcmgcd32.dl_"0
0.0068: delete_file_2 (srcpath="C:\windows\...")
0.0051: create_mutex_1 (name="kuku_joker_v3.09")
0.0035: enum_processes_1 (apifunction="Process32First")
Fitur penting dari kelompok malware Sality
0.0084: create_mutex_1 (name="GhostBOT0.58c")
0.0073: create_mutex_1 (name="GhostBOT0.58b")
0.0052: create_mutex_1 (name="GhostBOT0.58a")
0.0014: enum_processes_1 (apifunction="Process32First")
0.0011: query_value_2 (key="HKEY_LOCAL...\run", subkey_or_value=GUARD")
Fitur penting dari kelompok malware Doomber

Perlombaan ini akan terus berlangsung seiring
dengan perkembangan teknologi baik dalam
bidang perangkat keras maupun perangkat
lunak.
Beberapa contoh Machine Learning
Machine Learning Open Source Software
http://mloss.org/software/
Orange
http://orange.biolab.si/
Scikit-learn
http://scikit-learn.org/stable/
Malheur
http://www.mlsec.org/malheur/
Weka
http://www.cs.waikato.ac.nz/ml/weka/
Shogun
http://www.shogun-toolbox.org/
R saat ini sedang melanjutkan studi doktoralnya di salah satu universitas
http://www.r-project.org/
Mathlab
http://www.mathworks.com/products/matlab/
KNOWLEDGE
ISTILAH DAN DEFINISI
Hash function
Sebuah fungsi program yang memetakan data dengan dengan ukuran
panjang yang berbeda menjadi sebuah nilai yang mempunyai panjang
yang tetap. Nilai hasil fungsi tersebut biasa kita sebut dengan nama
nilai hash, kode hash, checksum atau hash saja.
Machine learning
Sebuah cabang ilmu dari kecerdasan buatan yang mempelajari sistem yang
dapat belajar dari data yang diberikan.
API (Application Programming Interface)
Sebuah progam antarmuka yang menghubungkan 2 komponen perangkat
lunak yang berbeda sehingga kedua komponen tersebut dapat berinteraksi
satu dengan yang lainnya.
Penulis
Charles Lim, MSc., ECSA, ECSP, ECIH, CEH, CEI adalah seorang pendidik,
peneliti, penulis, konsultan IT dan IT security, dan juga pelatih professional
di bidang keamanan IT. Sehari-harinya beliau lebih banyak melakukan
penelitian di Swiss German University (http://people.sgu.ac.id/charleslim)
dan mempublikasikan hasil penelitiannya terutama pada bidang malware,
intrusion detection, data mining, cloud security, dan digital forensik. Beliau
di Jakarta. Beliau juga aktif dalam berbagai komunitas seperti Honeynet
Indonesia Chapter (http://honeynet.or.id), Academy CSIRT (http://www.acad-
csirt.or.id), OWASP Indonesia Chapter (http://www.owasp/.org) dan Cloud
Security Alliance (http://www.cloudsecurityalliance.org dan https://www.
facebook.com/IndoCloudSec).
LAPORAN BULANAN // APRIL 2014
m

RANGKUMAN
April 2014, tingkat keamanan internet nasional Indonesia
berdasarkan pada kenaikan dan penurunan Aktivitas insiden
keamanan internet berada dalam kondisi Sedang.
serangan
traffic
// APRIL 2014

Berdasarkan hasil pemantauan trafik nasional

periode April 2014, jumlah serangan sebesar
2.077.491. Data tersebut diambil dari dari 2 (dua)
tipe IDS yang dipergunakan. Data dari tipe IDS-1
tercatat sebesar 2.064.024, sedangkan dari tipe IDS-2
diperoleh sebesar 13.467. Jika dibandingkan dengan
bulan lalu, Lalu lintas data tersebut terlihat menurun
walaupun tidak digabungkan. Akan tetapi dengan
penggabungan data tersebut tercatat lebih rendah
dari rata-rata tahun lalu. Dengan penggabungan
data dari 2 (dua) tipe IDS tersebut, maka data yang
di dapat lebih lengkap. Adapun data yang diperoleh
dari 2 (dua) tipe IDS tersebut seperti pada gambar
3, tercatat sebesar 99,70% dari tipe IDS-1 dan 0,30%
dari tipe IDS-2.
aktivitas
malware
Pemantauan aktivitas malware pada periode April 2014,
menunjukkan bahwa telah terjadi sebesar 1.501.710 aktivitas.
Pemantauan malware tersebut berkaitan juga dengan lalu lintas
data pada tipe IDS-1 setiap bulannya. Aktivitas terbesar pada
jenis malware seperti terlihat pada tabel 2 yaitu EXPLOIT, sebesar
1.268.605 aktivitas.
// APRIL 2014
Total tercatat sebanyak 1.501.710 aktivitas malware,
untuk EXPLOIT mendominasi sebesar 84,48% dari
seluruh aktivitas malware yang terpantau. Semen-
tara itu, aktivitas malware lainnya seperti DOS se-
besar 13,81%, DDOS sebesar 0,49%, BOTNET-CNC
sebesar 0,48%, BAD-TRAFFIC sebesar 0,39%, dan
SPYWARE-PUT sebesar 0.35% dari seluruh aktivitas
malware yang ada.
 // APRIL 2014

Berikut ini 5 (lima) domain

peringkat teratas dari insiden
website yang terjadi selama bulan
April, yaitu:

1. .sch.id sebanyak 205 (24,82%)

2. .go.id sebanyak 204 (24,70%);
Januari Februari Maret April 3. .co.id sebanyak 154 (18,64%);
4. .ac.id sebanyak 106 (12,83%)
5. .web.id sebanyak 44 (5,33%).
Sejak awal bulan April 2014 tercatat telah terjadi 826 insiden
website (deface). Kejadian pada bulan ini mengalami penurunan
sebanyak 188 kejadian dari bulan sebelumnya.

Aktivitas website deface

.go.id dalam bulan Januari
sampai dengan April 2014
.sch.id ini menunjukkan bahwa
beberapa domain .id
.co.id mengalami kenaikan dan
penurunan seperti pada
.ac.id domain .ac.id maupun .co.
id. Walaupun demikian, ada
sebagian domain .id yang
.web.id cenderung tetap, bahkan
mengalami penurunan.
 // APRIL 2014

Selama April 2014, Id-SIRTII/CC melakukan

pemantauan berkaitan dengan informasi
celah keamanan pada website berbasis
domain .id. Didapatkan dari hasil pemantauan
sebanyak 1.485 buah website memiliki
celah keamanan. Domain .ac.id merupakan
domain diperingkat teratas ditemukan celah
keamanan, diikuti oleh domain .go.id, domain
.sch.id, .co.id, .or.id, .web.id, .net.id, dan .mil.
id. Selain itu didapatkan juga sebanyak 395
informasi lainnya yang berkaitan dengan celah
keamanan. Celah keamanan yang ditemukan ini
diindikasikan dapat di eksploitasi lebih lanjut.

Aktivitas terjadinya phising pada bulan April 2014
menunjukkan terdapat sejumlah situs yang dipalsukan, dibuat
mirip dengan aslinya ataupun menyamarkan informasi yang
ditujukan untuk mengelabui pengunjung situs tersebut.
Berdasarkan dari hasil pemantauan terdapat 190 website yang
terkena atau dibuat untuk melakukan phishing. Pada domain
.com aktivitas ini ditemukan sebanyak 157 buah, domain ac.id
sebanyak 9 buah, domain .co.id dan .go.id masing-masing 5
buah, domain .or.id 3 buah, domain .edu 4 buah, sementara
domain .tl dan .net masing masing 2 buah, serta domain .tk,
.es, dan .org.ng masing-masing 1 buah.
// APRIL 2014
Berdasarkan pemantauan Id-SIRTII/CC terdapat kebocoran
data di 12 site domain dengan 524 record. Site domain
yang sering terjadi kebocoran data yakni .ac.id, .go.id, .or.id,
serta .co.id. Namun dari domain tersebut yang paling sering
terjadi kebocoran data yakni .ac.id, .go.id, dan .co.id. Pada
bulan April 2014 jumlah data leakage site domain .ac.id, .or.
id, .go.id, dan .co.id lebih sedikit; akan tetapi jumlah record
nya lebih besar.
 // APRIL 2014

Periode bulan April 2014, pelaporan insiden dari masyarakat

yang masuk melalui email Id-SIRTII/CC di incident@idsirtii.
or.id sebanyak 186 buah laporan. Adapun laporan terbanyak
terdapat di kategori malware mencapai 145 buah laporan,
selanjutnya fraud 26 buah, vulnerability dengan 11 buah
laporan, DOS 3 buah laporan, serta intrusion dengan 1
laporan.
MENGENAI ID-SIRTII

K
ejahatan cyber meningkat sejak 2003, Kepolisian Republik
Indonesia (Polri) mencatat 71 kasus kejahatan cyber. Kejahatannya
pun beragam, seperti credit card fraud, ATM/EDC skimming,
hacking, cracking, phishing, internet banking fraud, malware, internet
pornografi, dan banyak kejahatan cyber lainnya.

Menjawab tantangan di atas, Peraturan Menteri No. 26/PER/M. METODE PENGAMATAN

KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jaringan ID-SIRTII PADA TREN
Telekomunikasi Berbasis Protokol Internet dikeluarkan pada 4 Mei SERANGAN KEAMANAN
2007. Menteri Komunikasi dan Informasi menunjuk Indonesia Security INTERNET
Incident Response Team on Internet and Infrastructure/Coordination
Center (ID-SIRTII/CC) untuk melakukan pengawasan keamanan PERALATAN PEMANTAUAN INTERNET
jaringan telekomunikasi berbasis protokol internet. // Aktif : Peralatan Monitoring Internet ID-SIRTII
// Partisipatif : Tsubame Project dan Nicter
ID-SIRTII lembaga yang memiliki peran strategis dalam sosialisasi
dengan pihak terkait tentang IT security (keamanan sistem informasi), PELAPORAN INSIDEN KEAMANAN INTERNET
melakukan pemantauan dini, pendeteksian dini, peringatan dini (Http://Idsirtii.or.id/Pelaporan-Insiden-Keamanan-
terhadap ancaman terhadap jaringan telekomunikasi dari dalam Internet/
maupun luar negeri khususnya dalam tindakan pengamanan
pemanfaatan jaringan, membuat/menjalankan/mengembangkan dan
SURVEI SERANGAN WEBSITE DOMAIN
database log file serta statistik keamanan Internet di Indonesia untuk
INDONESIA
memberikan informasi berkala mengenai laporan serangan oleh ID-
SIRTII. Tujuannya tidak lain adalah memberikan kesadaran pada
lapisan pembaca atas kejahatan cyber yang semakin canggih serta
meningkat secara kuantitas.
 RECOMMENDED

Apps Books
Hacking: The Art of Exploitation
Buku berjudul Hacking: The Art of Exploitation ini berbicara
mengenai keamanan komputer dan keamanan jaringan. Buku ini ditulis
oleh ahli sekuriti kom-puter,Jon Smibbs Erickson, dan diterbitkan oleh
No Starch Press pada 2013.
Pada pembahasan mengenai pemrograman lewat buku ini
Erickson menjelaskan mengenai pengembangan, disain, konstruksi
dan pengetasan mengenai peng-eksploitasian kode. Pada pem-bahasan
mengenai jaringan, buku ini menjelaskan dasar dari Model OSI dan
konsep dasar jaringan seperti packet sniffing, connection hijacking,
denial of service dan port scanning. Dan pembahasan terakhir adalah
mengenai informasi dasar mengenai kriptografi hingga mengenai
enkripsi simetris dan asimetris.
Buku ini memberi pemahaman mengenai peretasan komputer.
Buku ini dilengkapi dengan gambar kode dan contoh-contoh bagaimana
melaksanakan teknik yang diajarkan pada buku ini. Isi pada buku ini
adalah berkisar pada tiga aspek yaitu mengenai pemograman, jaringan
dan kriptografi.

Penerbit: Elex Media Komputindo

 RECOMMENDED

Website
www.torproject.org

www.torproject.org adalah situs penyedia aplikasi yang

memungkinkan peng-guna dapat melakukan kegiatan online
secara anonim dan dapat menghentikan penyensoran. Tor memiliki
kepanjangan The Onion Router. Tor dapat menghindarkan kita
dari kegiatan penyadapan saat melakukan kegiatan di dunia
maya. Menggunakan Tor dapat mempersulit kegiatan pelacakan
saat melakukan komunikasi di dunia siber. Tor digunakan untuk
memproteksi rahasia pribadi dari pengguna, kebebasan penggunan
saat melakukan komunikasi tanpa dapat dimata-matai oleh pihak
manapun.
Cara kerja aplikasi ini dengan menggunakan enkripsi pada halaman aplikasinya. Tor mengenkripsi halaman untuk
memberikan anonimitas pada komunikasi yang dilakukan melalui layanan ini. Tor mengenkripsi data asli, termasuk
alamat IP tujuan, dan dilakukan secara berulang kali dan mengirimkan pesan melalui sirkuit virtual.
 RECOMMENDED

Film
The Fifth Estate
The Fifth Estate adalah film bergenre thriller yang dirilis pada tahun
2013. Film yang disutradarai oleh Bill Condon ini bercerita mengenai situs
pembocor rahasia Wikileaks. Film ini dibintangi oleh Benedict Cumberbatch
yang memerankan sebagai pendiri Wikileaks Julian Assange. Film ini diangkat
berdasarkan buku karangan jurnalis Daniel Domscheit Berg yang berjudul
Inside Wikileaks: My Time wit Julian Assange and The Worlds Most Dangerous
Website yang diterbitkan pada tahun 2011.
Judul film ini terinspirasi oleh istilah yang mendeskripsikan mengenai
orang-orang yang melakukan kegiatan jurnalisme di luar batasan normal
yang sering dilakukan oleh media mainstream. Film ini sendiri berkisah
mengenai pertemuan pertama kali Daniel Domscheit Berg dengan hacker
asal Australia Julian Assange pada acara Computer Chaos di Berlin, Jerman.
Pertemuan Daniel dan Julian ini membuat keduanya bekerjasama pada situs
pembocor rahasia Wikileaks. Tokoh Daniel Domscheit Berg pada film ini
sendiri diperankan oleh actor asal Jerman Daniel Bruhl.
Film ini pertama kali dirilis pada acara 2013 Toronto International
Film Festival dan dirilis oleh Touchstone Pictures di Amerika Serikat pada
18 Oktober 2013. Pemeran Julian Assange, Benedict Cumberbatch, diganjar
sebagai pemenang dalam nominasi British Artist of the Year pada ajang
penghargaan Britannia Awards tahun 2013.

Sutradara : Brian Knappenberger


It Security Engineer
PT Datacomm Diangraha
Requirements
// Graduated from reputable
university majoring in Electrical or
Telecommunication Engineering or
Computer Science or Information
Technology with min. GPA of 3.0.
// Having good knowledge with OSI
Layer and TCP/IP network.
// Having good knowledge with IT
security concept, Firewall, IDS/IPS,
VPN, NAC, QoS management and
SIEM.
// Having good knowledge with
Windows, Linux, *BSD platform
administration.
// Having good knowledge with
security tools is advantages (Network
according to customer security in MoP
made by the IT Security Consultant.
// Follow-related incident in the
IT Security team leader customer
according to instructions.
// Perform staging device before
implementation in the field.
// Perform testing / PoC devices are
offered principal in accordance with
the specifications mentioned.
// To monitor the performance of
the system log and security devices
installed at customer.
// Perform update and maintenance
of the systems and physical devices in
accordance with c
We would like your CV by sending
your complete documents to :
hrd@datacomm.co.id
Pt Asuransi Bina Dana
Virtualization macam macam
OS ( Windows, Linux )
Successful candidate will
be offered with attractive
remuneration package as well as
promising career path
Please send your CV & photograph
to email:
hrd_abda@yahoo.id
Pt Asaba Computer
Centre
IT Project Manager
Responsibilities
// Manage infrastructure and system
integration projects based on
Microsoft platform
CAREER
stated, please submit your
complete resume and your recent
photograph to email :
hrd@asaba.co.id
PT ITSEC Asia
Senior It Auditor
Responsibilities
// Menjadi anggota dari Tim auditor
dalam melakukan review terhadap
Divisi IT.
Requirements
// Telah berpengalaman minimal 3
(tiga) tahun di bidang IT.
// Telah memiliki sertifikasi CISA.
// Memiliki komitmen untuk Project
selama 6 bulan

Reconnaisance, Vulnerability Scanning,
Exploitation Framework, Incident
Handling, and Digital Forensic).
// Hands-on experience with PERL,
PYTHON, and BASH is preferable.
// Having good writing,
communication, and presentation
skill.
//Passionate to learn, hardworking,
good team player and willing to travel
all over Indonesia.
Job Description
// The process of implementation
and configuration of IT equipment
Arta, Tbk
IT Manager
Requirements
// Male / Female
// S1 Degree in Information System
// Preferable having 5 year working
experience in same field
// Memahami Networking (Cisco)
// Lebih disukai memiliki Sertifikasi
CCNP
// Memahami Information Security
Mgt System (ISO 27000)
Requirements Jika Anda memenuhi semua
// S1 in IT or Engineering persyaratan di atas, silakan kirim
// Male/Female max 30 years of age lamaran lengkap dan foto terbaru
// Certification in Microsoft Windows melalui email :
Server, System Center, Exchange jobs@itsecasia.com
Server, or SQL Server is an advantage
// Certification in PMP is an
advantage
// One year or more experience as
project manager Bumitama Gunajaya
// Excellent communication and
presentation skills
Agro (BGA Group)
Quality Assurance &
If you are interested to apply Compliance Officer
and meet the qualification

Requirements
// S1-Segala Jurusan
// Pria / Wanita
// 25-35 Tahun
// Minimal 2 (dua) tahun di bidang
yang sama
// Memahami UU ITE, ITIL, ICT Policy,
dan Technical Writer
Send your Cv to:
Jl. Melawai Raya No. 10 Jakarta
Selatan 12160
Phone: (021) 727 98418
PT Techno International
Mandira
Solution Architect Security
(Code: Sas)
Requirements
// Minimum 5+ years experience
// Expertise with architecting,
designing, developing and deploying
IBM security Product
// Extensive experience in enterprise
application deployment architectures,
environments and concerns
(scalability, performance, availability,
reliability, security etc.)
// Knowledge of Solaris and/or Linux
Administration and knowledge of the
Networking tier is also a strong plus.
// Basic scripting skills and
knowledge of benchmarks, standards
// Workin g knowledge of Database
architectures, SQL and ability to
interpret ERDs and other relational
timeline. still a team player.
specifications are useful.
// To obtain technical certification for // Territory Qualification preferred
// Familiar to positioning technology
correctly while providing prospects/
products that company distributes. but not mandatory
// To help customers in matching // Knowledge / Experience in Firewall,
customers with a framework
requirement into product/solutions. Proxy, Anti-spam, VMware, Load
and methodology for evaluating
// To provide workable (or alternative) Balancer would be an advantage.
technology and an assessment
solution based on customers // Product certification like Cisco
of product fit to the customers
requirement. CCNA/CCNP, Check Point CCSE,
enterprise/applications architectural
// To conduct Product Hands-on Bluecoat BCCPP, Brocade BCNP/BCLP
needs.
Training to customers and partners would be advantage.
// Familiar to prove assistance to
// To be able to carry out installation
prospects with choosing the right
set of Products and designing the
and configuration by reading manual Requirements
when given a new product when // Salary will commensurate with
Application-integration right.
there is no prior training given. qualifications and experiences
// Hands-on assistance with
// Able to work in a fast-paced
Integration (code-reviews, code-
environment. Working after office If you are interested to apply
samples etc.) and Tuning of the
hours, Sat/Sun/Public Holidays, from and meet the qualification
customer Application with companys
time to time, would be expected. stated, please submit your
technology.
// Managing relations with software
// To support Sales personnel complete resume and your recent
in sales process, e.g. product photograph to :
architects, developers, operational
features/functionalities clarification,
personnel and technology leadership
implementation consideration, PT. INDOPOLEON TECHNOLOGY
within prospect organizations.
tender compliance, etc.
// To work closely with Sales Gd. Setiabudi 2 LT. 5 Suite 504-B
For quick response, please kindly
personnel to help manage a few Jl. HR. Rasuna Said Kav. 62, Karet,
send email to :
strategic accounts Setiabudi
hrd@tim-corp.net
// To conduct POC to secure sales. Jakarta Selatan, 12920
organization and methodically plan Indonesia
Human Resource Department
and anticipate changes to achieve
PT Techno International Mandira
smooth implementation, in budget
JL Radio Dalam 191/17
and timely
Kebayoran Baru JAKARTA 12140
Requirements
PT Indopoleon // Positive and professional working
attitude, ability to work under
Technology minimum supervision.
Network / Security // Hands-on experience on LAN/WAN
Engineer and security solutions would be an
advantage. (Those without can be
considered for a junior position)
// Familiar with functionalities of IP
Responsibilities
networks & routing protocol, BGP,
// To provide implementation service OSPF, DNS, AD, Proxy, etc.
including managing customers and // Ability to work independently but