#9 Metode Penilaian

FA
FAHMI ARNES, MMSI.
Risiko: NIST 800-14
Risk Management IT
 Kemampuan yang diharapkan
• Mahasiswa mampu menjelaskan metode
penilaian risiko dengan NIST 800-14
• Ketepatan menjelaskan metode penilaian
risiko dengan NIST 800-14
• Diskusi

Add a footer 2
Pendahuluan
• Adalah panduan untuk membantu organisasi-organisasi dalam mengelola risiko
privasi dengan:
• Mempertimbangkan privasi saat perancangan dan penerapan sistem-sistem, produk-produk,
dan layanan-layanan yang berdampak pada [data pribadi] individu;
• Tata cara komunikasi tentang praktek privasi mereka; dan
• Mendorong kolaborasi tenaga kerja lintas organisasi-organisasi misalnya diantara para eksekutif,
hukum, dan teknologi informasi (TI) — melalui pengembangan profil-profil, pemilihan tingkatan-
tingkatan, dan pencapaian berbagai macam hasil.

3
Tujuan
• Untuk meningkatkan Privasi melalui Manajemen Risiko (Kerangka Kerja Privasi)
• Untuk memberikan garis dasar yang dapat digunakan organisasi untuk menetapkan
dan meninjau program keamanan TI
• Manajemen, auditor internal, pengguna, pengembang sistem, dan praktisi keamanan
dapat menggunakan panduan ini untuk mendapatkan pemahaman tentang
persyaratan keamanan dasar yang harus dimiliki sebagian besar sistem TI mereka.
• Dasarnya dimulai dengan prinsip keamanan sistem yang diterima secara umum dan
dilanjutkan dengan praktik umum yang digunakan dalam mengamankan sistem TI

4
Prinsip dan Praktik NIST 800-14
Prinsip dan Praktik yang Diterima Secara Umum untuk Mengamankan Sistem
Teknologi Informasi.
• Berfungsi sebagai referensi bagi organisasi yang ingin menetapkan dan meninjau
program keamanan TI mereka.
• Memberikan dasar untuk program keamanan komputer yang baik dan praktik
memandu organisasi pada jenis kontrol, tujuan, dan prosedur yang terdiri dari
program keamanan TI yang efektif.
• Menggunakan Pedoman Organisasi untuk Kerjasama Ekonomi dan Pembangunan
(OECD) untuk Keamanan Sistem Informasi sebagai dasar prinsip mereka.

5
Hubungan Prinsip & Praktik NIST 800-14
• Setiap prinsip berlaku untuk setiap praktik.
• Sifat hubungan antara prinsip dan praktik bervariasi.
• Dalam beberapa kasus, praktik berasal dari satu atau lebih prinsip; dalam kasus lain
praktik dibatasi oleh prinsip.
• Hal yang penting adalah bahwa prinsip-prinsip tersebut memberikan landasan bagi
program keamanan komputer yang baik.
• Bagian ini menjelaskan delapan prinsip dan empat belas praktik.

6
Prinsip NIST 800-14
Banyak pendekatan dan metode yang dapat digunakan untuk mengamankan sistem
TI; maksudnya harapan disini adalah sebagai prinsip keamanan sistem yang diterima
secara umum.
Prinsip-prinsip tersebut adalah:
• Membahas keamanan komputer dari sudut pandang tingkat yang sangat tinggi.
• Akan digunakan saat mengembangkan program dan kebijakan keamanan komputer
dan saat membuat sistem, praktik, atau kebijakan baru.
• Diungkapkan pada level tinggi, mencakup bidang yang luas, misalnya akuntabilitas,
efektivitas biaya, dan integrasi.

7
8 Prinsip NIST 800-14
Delapan Prinsip yang didefinisikan adalah:
1. Keamanan komputer mendukung misi organisasi - Fisik organisasi, sumber daya
keuangan, reputasi, karyawan, dan aset lainnya dilindungi dengan mengambil
langkah-langkah keamanan.
2. Keamanan Komputer adalah elemen integral dari manajemen yang baik - Sistem
informasi dan TI seringkali merupakan aset penting organisasi dan harus dilindungi
melalui manajemen yang baik.
3. Keamanan komputer harus hemat biaya - Biaya dan manfaat keamanan harus
diperiksa secara hati-hati dengan metode moneter dan non moneter untuk
memastikan bahwa biaya kontrol tidak melebihi manfaat yang diharapkan.

8
8 Prinsip NIST 800-14 (2)
4. Pemilik sistem memiliki tanggung jawab keamanan di luar organisasinya sendiri -
Jika sistem memiliki pengguna eksternal, maka pemilik memiliki tanggung jawab
untuk berbagi pengetahuan yang memadai tentang keberadaan dan jangkauan
umum tindakan keamanan.
5. Tanggung jawab dan akuntabilitas keamanan komputer harus dibuat eksplisit -
Tanggung jawab dan Akuntabilitas Pemilik, penyedia, dan pengguna TI harus
eksplisit.
6. Keamanan komputer memerlukan pendekatan yang komprehensif dan
terintegrasi - Kontrol keamanan seringkali bergantung pada berfungsinya kontrol
lainnya. Jika dipilih dengan tepat, kontrol manajerial, operasional, dan teknis
dapat bersinergi.

9
8 Prinsip NIST 800-14 (3)
7. Keamanan komputer harus dinilai ulang secara berkala - Teknologi sistem dan
pengguna, risiko sistem, dan persyaratan keamanan selalu berubah, sehingga
perlu menilai ulang keamanan sistem TI secara berkala.
8. Keamanan komputer dibatasi oleh faktor-faktor sosial - Langkah-langkah
keamanan harus dipilih dan diterapkan dengan pengakuan hak dan kepentingan
sah orang lain.

10
Praktik NIST 800-14
• Praktik memandu organisasi tentang jenis kontrol, tujuan, dan prosedur yang terdiri
dari program keamanan TI yang efektif.
• Praktik menunjukkan apa yang harus dilakukan untuk meningkatkan atau mengukur
program keamanan komputer yang ada atau untuk membantu pengembangan
program baru.
• Praktik tersebut memberikan landasan bersama untuk menentukan keamanan
suatu organisasi dan membangun kepercayaan saat menjalankan bisnis multi-
organisasi
• Organisasi harus menggunakan praktik sebagai titik awal untuk mengembangkan
praktik tambahan berdasarkan persyaratan organisasi dan sistem mereka sendiri.

11
14 Praktik NIST 800-14
Empat belas praktik yang didefinisikan adalah:
1. Policy 3. Risk Management
• Kebijakan program • Tugas beresiko
• Kebijakan khusus masalah • Mitigasi risiko
• Kebijakan khusus sistem • Analisis ketidakpastian
• Semua kebijakan
4. Life Cycle Planning
2. Program Management • Rencana keamanan
• Program keamanan pusat • Fase inisiasi
• Program tingkat sistem • Fase Pengembangan/Akuisisi
• Fase implementasi
• Fase Operasi/Pemeliharaan
• Fase pembuangan
12
14 Praktik NIST 800-14 (2)
5. Personal/User Issue 7. Computer Security Incident Handling
• Kepegawaian • Penggunaan kemampuan
• Karakteristik
• Administrasi pengguna
8. Awareness & Training
6. Preparing for Contingencies and
Disasters 9. Security considerations in computer
• Rencana bisnis
support and operations
• Identifikasi sumber daya 10. Physical and environmental security
• Kembangkan skenario
• Mengembangkan strategi
• Menguji dan merevisi rencana

13
14 Praktik NIST 800-14 (3)
11. Identification and Authentification
• Autentikasi
• Kata sandi
• Otentikasi tingkat lanjut
12. Logical Access Control
• Kriteria akses
• Mekanisme kontrol akses
13. Audit Trails
• Isi rekaman jejak audit
• Keamanan jejak audit
• Tinjauan jejak audit
• Pemantauan penekanan tombol
14. Cryptography
• Kriptografi secara tradisional dikaitkan hanya
dengan menjaga kerahasiaan data. Namun,
• kriptografi modern dapat digunakan untuk
menyediakan banyak layanan keamanan, seperti
tanda tangan elektronik dan memastikan data
tidak diubah.
14
Kasus: Insiden Keamanan
Contoh kasus insiden keamanan yang pernah terjadi, melibatkan serangan injeksi SQL
pada Sistem Pembayaran Heartland dan pengecer lainnya yang menyebabkan
pelanggaran data besar-besaran.
Insiden dapat dikurangi jika mereka menerapkan prinsip dan praktik keamanan
komputer berikut:
• Prinsip "Pemilik sistem memiliki tanggung jawab keamanan di luar organisasi
mereka sendiri" - Terlepas dari pemberitahuan tentang kemungkinan ancaman dan
kerentanan, pengecer tidak mengambil tindakan dan tanggung jawab pencegahan apa
pun.

15
Kasus: Insiden Keamanan (2)
• Praktik penanganan insiden keamanan komputer - Mereka dapat bereaksi dengan
cepat dan efisien terhadap gangguan dalam pemrosesan normal dan merespons
pelanggaran keamanan.
• Praktek Kesadaran dan Pelatihan – Ada sejumlah cara di mana seseorang dapat
membatasi paparan kerentanan injeksi SQL dan ini memerlukan kesadaran dan dilatih
dengan langkah-langkah pencegahan.

16
Organization for Economic Cooperation &
Development
• Pedoman OECD dikembangkan
pada tahun 1992 oleh Accountability Awareness Ethics
sekelompok pakar internasional
untuk menyediakan landasan
bagi pemerintah maupun sektor
swasta, yang bertindak sendiri- Multidisciplinary Proportionality Integration
sendiri dan bersama-sama,
dapat membangun kerangka
kerja untuk mengamankan
Timeliness Reassessment Democracy
sistem TI.

17
Organization for Economic Cooperation &
Development (2)
Pedoman OECD untuk Keamanan Sistem Informasi :
• Akuntabilitas - Tanggung jawab dan akuntabilitas pemilik,penyedia dan pengguna
sistem informasi dan pihak lain...harusmenjadi eksplisit.
• Kesadaran - Pemilik, penyedia, pengguna dan pihak lain harusdapat dengan mudah,
konsisten dengan menjaga keamanan, untuk mendapatkan pengetahuan yang sesuai
dan diberitahu tentang keberadaan dan jangkauan umum dari langkah-langkah untuk
keamanan sistem informasi.
• Etika - Sistem informasi dan keamanan sistem informasi harus disediakan dan
digunakan sedemikian rupa sehingga hak dan kepentingan sah orang lain dihormati.

18
Organization for Economic Cooperation &
Development (3)
• Multidisiplin - Tindakan, praktik, dan prosedur untuk keamanan sistem informasi
harus mempertimbangkan dan menanganisemua pertimbangan dan sudut pandang
yang relevan.
• Proporsionalitas - Tingkat keamanan, biaya, tindakan, praktik, danprosedur harus
sesuai dan proporsional dengan nilai dan tingkat ketergantungan pada sistem
informasi dan dengan tingkat keparahan, kemungkinan dan tingkat potensi bahaya.
• Integrasi - Tindakan, praktik, dan prosedur untuk keamanan sistem informasi harus
dikoordinasikan dan diintegrasikan satu sama lain dan tindakan, praktik, dan prosedur
organisasi lainnya untuk menciptakan sistem keamanan yang koheren.

19
Organization for Economic Cooperation &
Development (4)
• Ketepatan waktu - Pihak publik dan swasta, baik nasional maupuntingkat
internasional, harus bertindak secara terkoordinasi tepat waktu untuk mencegah dan
menanggapi pelanggaran keamanan sistem informasi.
• Penilaian ulang - Keamanan sistem informasi harus dinilai ulang secara berkala, karena
sistem informasi dan persyaratan keamanannya bervariasi dari waktu ke waktu.
• Demokrasi - Keamanan sistem informasi harus sesuai dengan penggunaan dan aliran
data dan informasi yang sah dalam masyarakat demokratis.

20
Alhamdulilah
Terima Kasih