Personal Assignment 1

Individual

ISYS8056042 – Information Systems Security and Risk

Management

I Putu Aldha Rasjman Sayoga

2402273981

Session 01
To be Submitted Week 01
 Personal Assignment 1
Session 1

Metode analisis kuantitatif (quantitative analysis method), yaitu metode analisis risiko yang
menggunakan angka numerik untuk menyatakan dampak dan probabilitas. Anda diminta untuk
menjelaskan pendekatan kuantitatif, dilakukan dengan melalui empat proses penting, meliputi:
1. Identifikasi nilai aset (asset value)
2. Penentuan ancaman, kelemahan (vulnerability) dan dampak
3. Perkiraan kecenderungan terjadi (likelihood of exploitation)
4. Perhitungan Annual Loss Exposure (ALE)

Jawab:

Berikut adalah penjelasan mengenai pendekatan kuantitatif dalam analisis risiko yang melibatkan
empat proses penting:

1. Identifikasi Nilai Aset (Asset Value)

Langkah pertama adalah mengidentifikasi dan menilai nilai dari aset yang ingin dijaga
dari risiko. Ini bisa berupa data, sistem, properti fisik, informasi sensitif, atau apapun
yang dianggap bernilai dalam konteks keamanan. mengidentifikasi dan mengkategorikan
aset berdasarkan peran mereka dalam proses organisasi atau karakteristiknya [1] [2].
Identifikasi ini sangat penting untuk manajemen risiko yang efektif karena membantu
memprioritaskan sumber daya dan upaya untuk melindungi aset yang paling berharga [3].
Teknik otomatis, seperti process mining dan event correlation methods, telah diusulkan
untuk merampingkan proses identifikasi aset dan mengurangi upaya manual. Teknik-
teknik ini menganalisis data historis, peristiwa sistem, dan karakteristik aset untuk
mengidentifikasi dan menghubungkan aset bersama-sama. Aset yang diidentifikasi
kemudian dapat digunakan untuk identifikasi risiko keamanan, analisis jalur serangan,
dan penilaian keamanan [4].
2. Penentuan Ancaman, Kelemahan, dan Dampak
Setelah nilai aset diidentifikasi, langkah berikutnya adalah menganalisis ancaman yang
mungkin dihadapi, kelemahan yang ada, serta potensi dampak yang dapat terjadi jika
ancaman tersebut terealisasi. Model ancaman mencakup ancaman pada perangkat lunak,
sistem operasi, dan lapisan jaringan [5]. Selain itu, model matematika diusulkan untuk
menentukan indikator kuantitatif ancaman dalam otomasi industri dan sistem
telekomunikasi. Model ini memperhitungkan sifat probabilistik dari proses penerapan
dampak negatif dan mengidentifikasi faktor-faktor yang berkontribusi atau memulai
ancaman ini [6]. Model ini digunakan untuk menilai tingkat ancaman dan memberikan
rekomendasi untuk melindungi sistem industri dan telekomunikasi. Beberapa model
ancaman dan dampak dalam sistem informasi dengan metode kuantitaf antara lain:
a. Serangan Malware: Menghitung kemungkinan serangan malware berdasarkan jumlah
serangan yang tercatat dalam periode waktu tertentu dan dampak finansial yang
dihasilkan dari kerusakan atau kehilangan data. Serangan malware dapat
mengakibatkan hilangnya kekayaan dan keamanan bagi individu dan organisasi [7].
Dalam industri perawatan kesehatan, serangan malware dapat membahayakan nyawa
dan keselamatan pasien dengan mengunci pengguna dari jaringan mereka sendiri,
mendapatkan akses ke informasi, atau menahan organisasi untuk tebusan [8].
Serangan malware juga dapat menyebabkan kegagalan perlindungan komprehensif
online dalam sistem terdistribusi, menempatkan sistem dalam keadaan tidak aman
[9].
b. Serangan Phishing: Mengukur probabilitas keberhasilan serangan phishing
berdasarkan frekuensi upaya phishing yang terdeteksi dan estimasi kerugian finansial
dari informasi yang dicuri. Serangan phishing memiliki berbagai efek pada individu
dan organisasi. Serangan ini menargetkan email dan saluran komunikasi lainnya
untuk mendapatkan kredenSIAL pengguna dan informasi sensitif,
yang
menyebabkan hilangnya data, pencurian identitas, dan kerugian finansial [10].
Phishing memiliki dampak negatif pada perekonomian, menyebabkan kerugian
finansial bagi perusahaan dan individu dan meningkatkan ketidakpercayaan
pelanggan dalam perdagangan online [11].
 c. Serangan Denial-of-Service (DoS): Serangan Denial-of-Service (DoS) bertujuan
untuk membuat komputer atau perangkat jaringan tidak tersedia bagi pengguna yang
dituju dengan membanjiri permintaan, yang mengakibatkan penolakan layanan
kepada pengguna tambahan [12]. Secara kuantitatif, perlu dilakukan analisis
frekuensi dan durasi serangan DoS yang terjadi serta biaya yang terkait dengan
waktu tidak aktif atau hilangnya layanan. Efek dari serangan DoS termasuk
menguras sumber daya komputasi dan komunikasi target, sehingga sulit bagi
pengguna yang sah untuk mengakses layanan yang disediakan oleh jaringan atau
server [13]. Serangan ini dapat mengganggu fungsi normal sistem target,
menyebabkannya crash, reboot, atau menolak layanan kepada pengguna yang sah
[14].

3. Perkiraan Kecenderungan Terjadi (Likelihood of Exploitation)

Proses ini melibatkan penilaian terhadap seberapa mungkin ancaman atau serangan akan
terjadi. Ini bisa berdasarkan sejarah serangan sebelumnya, tren industri, atau analisis dari
keadaan dan kondisi yang ada.
Menilai seberapa mungkin ancaman terjadi dalam sistem informasi secara kuantitatif
melibatkan proses evaluasi yang menggunakan data numerik dan metrik untuk mengukur
probabilitas terjadinya ancaman. Beberapa pendekatan yang bisa digunakan meliputi:
a. Analisis Historis: Menggunakan data sejarah serangan atau insiden keamanan yang
terjadi pada sistem informasi untuk menghitung frekuensi atau kejadian serupa di
masa depan [15].
b. Pendekatan Berbasis Risiko: Menggunakan metode kuantitatif dalam analisis risiko
untuk menentukan probabilitas terjadinya ancaman dengan menggabungkan data,
model matematika, dan asumsi yang terkait [16].
c. Penilaian Berdasarkan Industri: Menerapkan data dan tren yang ditemukan dalam
industri atau sektor serupa untuk memperkirakan probabilitas serangan yang mungkin
terjadi pada sistem informasi [17].
d. Penilaian Ekspert: Penilaian dengan metode Delphi dengan cara mengumpulkan
pandangan dari sejumlah ahli keamanan atau profesional yang berpengalaman untuk
 menilai dan memperkirakan probabilitas ancaman berdasarkan pengetahuan dan
pengalaman mereka [18].

4. Perhitungan Annual Loss Exposure (ALE)

ALE adalah hasil dari perkalian antara nilai aset dengan probabilitas terjadinya ancaman
dan dampaknya. Ini adalah cara untuk menghitung estimasi kerugian tahunan yang
mungkin dialami jika ancaman tersebut terealisasi. ALE menggunakan algoritma enkripsi
otentikasi single-pass online yang menggunakan transformasi putaran AES dan jadwal
kunci AES-128. Ini mendukung data terkait opsional dan bergantung pada penggunaan
nonces untuk keamanan [19].

Dengan melakukan keempat proses ini, analisis risiko kuantitatif dapat memberikan gambaran
yang lebih terperinci dan numerik terkait dengan potensi risiko yang dihadapi, membantu
organisasi untuk mengambil keputusan yang lebih terinformasi dalam mengelola dan
mengurangi risiko yang ada.

References:
[1] E. Yunizal, J. Santoso, and K. Surendro, “Asset Identification in Information Security Risk
Assessment Using Process Mining,” Int J Adv Sci Eng Inf Technol, vol. 12, no. 4, p. 1441, Jul.
2022, doi: 10.18517/ijaseit.12.4.14865.
[2] I. Kotenko, E. Doynikova, A. Fedorchenko, and V. Desnitsky, “Automation of Asset Inventory
for Cyber Security: Investigation of Event Correlation-Based Technique,” Electronics (Basel),
vol. 11, no. 15, p. 2368, Jul. 2022, doi: 10.3390/electronics11152368.
[3] J. Breier and F. Schindler, “Assets Dependencies Model in Information Security Risk
Management,” 2014, pp. 405–412. doi: 10.1007/978-3-642-55032-4_40.
[4] B. Muslim, “Quantitative Risk Analysis of Asset Information Technology at STT Pagaralam,”
Conference SENATIK STT Adisutjipto Yogyakarta, vol. 4, Nov. 2018, doi:
10.28989/senatik.v4i0.186.
[5] S. Toshmatov, I. Yarashov, A. Otakhonov, and A. Ismatillayev, “Designing an algorithmic
formalization of threat actions based on a Functioning table,” in 2022 International
 Conference on Information Science and Communications Technologies (ICISCT), IEEE, Sep.
2022, pp. 1–5. doi: 10.1109/ICISCT55600.2022.10146987.
[6] S. Toshmatov, I. Yarashov, A. Otakhonov, and A. Ismatillayev, “Designing an algorithmic
formalization of threat actions based on a Functioning table,” in 2022 International
Conference on Information Science and Communications Technologies (ICISCT), IEEE, Sep.
2022, pp. 1–5. doi: 10.1109/ICISCT55600.2022.10146987.
[7] M. Shen, X. Gao, and M. Peng, “Effects of Malware Attacks on the Cascading Failure of Cyber-
physical Power System,” J Phys Conf Ser, vol. 1624, no. 6, p. 062005, Oct. 2020, doi:
10.1088/1742-6596/1624/6/062005.
[8] A. Kumar, N. Ojha, and N. K. Srivastava, “Factors Affecting Malware Attacks: An Empirical
Analysis,” Purushartha - A Journal of Management , Ethics and Spirituality, vol. 10, no. 02,
Oct. 2017, doi: 10.21844/pajmes.v10i02.10569.
[9] S. Selvaganapathy and S. Sadasivam, “Malware Attacks on Electronic Health Records,” 2021,
pp. 589–599. doi: 10.1007/978-981-33-6981-8_47.
[10] S. Tasmin, A. K. Sarmin, M. Shalehin, and A. K. M. B. Haque, “Combating the Phishing
Attacks,” 2022, pp. 106–137. doi: 10.4018/978-1-7998-9426-1.ch006.
[11] Z. Alkhalil, C. Hewage, L. Nawaf, and I. Khan, “Phishing Attacks: A Recent Comprehensive
Study and a New Anatomy,” Front Comput Sci, vol. 3, Mar. 2021, doi:
10.3389/fcomp.2021.563060.
[12] Prof. B. V. Jadhav, Mansi Mahamuni, Akshata Ghodke, Akshata Ghodke, and Vrushali Chavan,
“Detection of DDoS Attack,” International Journal of Advanced Research in Science,
Communication and Technology, pp. 498–500, Mar. 2023, doi: 10.48175/IJARSCT-8872.
[13] G. Nayak, A. Mishra, U. Samal, and B. K. Mishra, “Depth Analysis On DoS & DDoS
Attacks,” in Wireless Communication Security, Wiley, 2022, pp. 159–182. doi:
10.1002/9781119777465.ch9.
[14] X. Huang, “Application of Computer Data Mining Technology Based on AKN Algorithm in
Denial of Service Attack Defense Detection,” Wirel Commun Mob Comput, vol. 2022, pp. 1–
12, Feb. 2022, doi: 10.1155/2022/4729526.
[15] O. Kalugina, I. Barankova, and U. Mikhailova, “Development of a Tool for Modeling Security
Threats of an Enterprise Information System,” in 2020 International Conference on Electrical,
Communication, and Computer Engineering (ICECCE), IEEE, Jun. 2020, pp. 1–5. doi:
10.1109/ICECCE49384.2020.9179449.
[16] S. Boulares, K. Adi, and L. Logrippo, “Insider Threat Likelihood Assessment for Access Control
Systems: Quantitative Approach,” 2017, pp. 135–142. doi: 10.1007/978-3-319-51966-1_9.
[17] P. H. Meland, D. A. Nesheim, K. Bernsmed, and G. Sindre, “Assessing cyber threats for
storyless systems,” Journal of Information Security and Applications, vol. 64, p. 103050, Feb.
2022, doi: 10.1016/j.jisa.2021.103050.
[18] M. Jouini, L. B. A. Rabai, and R. Khedri, “A Multidimensional Approach towards a Quantitative
Assessment of Security Threats,” Procedia Comput Sci, vol. 52, pp. 507–514, 2015, doi:
10.1016/j.procs.2015.05.024.
[19] P. V Shevchenko, J. Jang, M. Malavasi, G. W. Peters, G. Sofronov, and S. Trück, “The nature of
losses from cyber-related events: risk categories and business sectors,” J Cybersecur, vol. 9,
no. 1, Jan. 2023, doi: 10.1093/cybsec/tyac016.