Stay on Retro kawan...

Delete this widget from your Dashboard and add your own words. This is just an example!




Tugas Keamanan Jaringan kelompok 5

Rabu, 19 Desember 2012


Manajemen Risiko dan Audit

Bab ini berfokus pada manajemen risiko - seni menganalisis ancaman dan kerentanan, dan menentukan dampak risiko yang dapat terjadi perusahaan Anda. Manajemen risiko jauh lebih dari sekedar menentukan berbagai risiko yang mengarah pada Anda. Ini merupakan eksplorasi dari berbagai pendekatan dan teknik untuk mengelola risiko ini.
Anda mungkin bertanya pada diri sendiri: Mengapa manajemen risiko sangat penting? Hal ini karena setiap perangkat keras komputer atau implementasi perangkat lunak memiliki beberapa resiko keamanan yang berkaitan dengan penggunaannya. Ambil contoh situasi di mana perusahaan Anda ingin menerapkan arsitektur LAN nirkabel untuk disandingkan dengan jaringan kabel. Ada risiko yang terdokumentasi (dan sebagian tidak terdokumentasi) yang terkait dengan teknologi nirkabel (WLAN) LAN. Apakah Anda hanya mengabaikan risiko dan menanamkan WLAN tanpa ada kekhawatiran? Di sinilah teknik manajemen risiko yang digunakan untuk menentukan tingkat risiko, dan jika kita bisa hidup dengan tingkat risiko itu.
Fokus utama manajemen risiko adalah untuk mengurangi risiko sampai pada tingkat yang dapat diterima. Tingkat yang dapat diterima yang sebenarnya akan bervariasi dari perusahaan ke perusahaan. Namun, manajemen risiko berarti bahwa kita perlu mengidentifikasi, mengontrol, dan meminimalkan kerugian yang berhubungan dengan risiko masing-masing. Kita mulai dengan memahami proses manajemen risiko, konsep ancaman dan kerentanan, dan hubungan kesemuanya dengan penilaian risiko.

Awal Proses Manajemen Risiko

Manajemen risiko melibatkan pemahaman tentang bagaimana keamanan diimplementasikan dalam organisasi Anda, dan bagaimana ancaman keamanan mempengaruhi operasi bisnis Anda. Sebagai aturan umum, sebelum Anda dapat mulai mengelola risiko, Anda perlu memahami operasi bisnis Anda dan jenis risiko yang mungkin dapat dialami.

Kebutuhan Manajemen Risiko

Mengapa manajemen risiko sangat penting untuk sebuah organisasi? Faktanya adalah ada risiko di sekitar kita. Beberapa risiko sifatnya tidak merusak, meskipun ada beberapa yag dapat menyebabkan bencana. Pertanyaannya adalah apakah Anda tahu apa risiko-risiko tersebut. Lebih penting lagi, apa yang akan Anda lakukan jika risiko-risiko itu menjadi nyata?

Ambil contoh dari seseorang yang tinggal di sebuah rumah tiga juta dolar di pantai di Malibu, California. Setiap beberapa tahun badai besar menghantam Pantai Barat dan menyebabkan laut menghasilkan beberapa gelombang yang cukup mengagumkan yang membentur pantai. Setiap tahun banyak rumah yang hancur akibat badai. Anda mungkin bertanya pada diri sendiri mengapa ada orang yang memilih untuk tinggal di daerah di mana rumah mereka kemungkinan besar akan dihancurkan oleh badai. Kemungkinan besar pemilik telah melakukan beberapa bentuk penilaian risiko dan manajemen risiko. Artinya, mereka telah menentukan risiko yang terkait dengan kepemilikan sebuah rumah di pantai (badai), menganalisis dampak dari risiko tersebut (rumah bisa hancur), dan menentukan suatu tindakan tentang bagaimana untuk menangani risiko (asuransi pembelian) . Dalam contoh ini, kita telah membahas penyebab, efek, dan respon terhadap kondisi risiko.


Seperti yang Anda bayangkan, setiap industri memiliki bagian mereka dalam risiko operasional. Sama halnya dengan bidang teknologi informasi. Setiap komputer atau sistem di Internet atau jaringan lain rentan terhadap serangan. Memiliki sistem di Internet seperti mengambil kelas seni bela diri - Anda akan mendapatkan pukulan. Pertanyaan-pertanyaan yang perlu Anda tanyakan pada diri Anda adalah: Seberapa keras Anda akan mendapatkan pukulan? Apa kerusakan jika saya terpukul? Apa yang bisa saya lakukan untuk meminimalkan kerusakan? Ingat, dalam manajemen risiko kita focus terhadap penyebab, efek, dan tanggapan kita terhadap insiden risiko.

Dalam bab ini, kita menyusun definisi dan asumsi tentang risiko seputar konsep tiga serangkai keamanan informasi: kerahasiaan, integritas, dan ketersediaan. Kita harus mengingat-ingat konsep-konsep ini ketika melakukan penilaian risiko dan keputusan manajemen risiko. Dalam manajemen risiko, kita mencari cara untuk meminimalkan dampak yang dapat mempengaruhi kerahasiaan informasi kita, integritas sistem dan data, dan ketersediaan infrastruktur.
Manajemen risiko membantu menejemen sistem informasi (IS) mencapai keseimbangan antara dampak risiko dan perhitungan biaya langkah-langkah perlindungan. Tujuan dari manajemen risiko adalah untuk mengidentifikasi, mengukur, mengendalikan, dan meminimalkan atau menghilangkan kemungkinan serangan.
catatan:
Apakah aset yang kita lindungi? Dari perspektif IS, aset kita dapat mencakup: hardware (PC, server, disk drive, dan router), perangkat lunak (program, utilitas, dan sistem operasi), data dan informasi (diproses, disimpan, backup, log audit, dan database) , orang, dokumentasi (program, perangkat keras, sistem, dan prosedur administratif lokal), dan persediaan (kertas, bentuk, pita, dan media magnetik).

Proses Manajemen Risiko
Tujuan dari manajemen risiko adalah untuk mengidentifikasi di area-area mana perlindungan (atau penanggulangan) diperlukan untuk mencegah pengungkapan langsung yang kurang hati-hati dan tidak sah atau informasi yang dimodifikasi.
Langkah-langkah dalam proses manajemen risiko yang efektif adalah:
1. Melakukan penilaian cepat terhadap risiko sehingga Anda tahu apa kebijakan keamanan yang perlu Anda cakup. Ini membentuk dasar bagi kebijakan keamanan Anda, disertai masukan dari berbagai departemen bisnis.
2. Sepenuhnya menganalisis risiko, atau mengidentifikasi praktik industri sebagai perhatian, menganalisis kerentanan.
3. Mengatur infrastruktur keamanan.
4. Kntrol Desain, menulis standar untuk setiap teknologi.
5. Menentukan sumber daya apa yang tersedia, memprioritaskan penanggulangan, dan melaksanakan penanggulangan prioritas yang utama yang dapat anda lakukan.
6. Melakukan review periodik dan tes-tes yang memungkinkan.
7. Melaksanakan deteksi intrusi dan respon insiden.

Kita perlu mulai dengan kebijakan karena ini akan menentukan sikap keamanan yang diinginkan perusahaan utnuk melindungi dengan hormat sumber daya perusahaan. Jika Anda memiliki kebijakan keamanan yang sangat terbuka (misalnya, Anda membiarkan segala hal keluar masuk jaringan perusahaan Anda), dan Anda memperhatikan risiko pada jaringan Anda, maka kebijakan yang Anda inginkan tidak sesuai implementasi Anda. Kebijakan keamanan akan mengarahkan Anda ke area operasi bisnis Anda yang membutuhkan perlindungan. Tidaklah mungkin untuk menerapkan perlindungan 100% untuk perusahaan Anda. Pendekatan yang terbaik adalah dengan berkonsentrasi terlebih dahulu untuk melindungi daerah-daerah organisasi Anda yang jika terganggu, bisa mendatangkan kerusakan paling besar. Pengembangan kebijakan keamanan dicakup lebih rinci dalam Bab 8.
Langkah kedua dalam manajemen risiko adalah untuk menganalisis risiko dan menentukan dampaknya terhadap organisasi Anda. Ini juga melibatkan penlikan praktek industri terbaik untuk menjaga keamanan. Sebagai contoh, kita tahu bahwa sistem operasi Windows memiliki kerentanan yang luas dan bahwa konfigurasi default Windows 2000 tidak aman. Jika organisasi telah memutuskan bahwa mereka akan menggunakan Windows 2000 sebagai pilihan sistem operasi mereka, maka langkah selanjutnya adalah menentukan apa yang dapat dilakukan untuk lebih mengamankan sistem. Ada banyak sumber daya, seperti Panduan Step-by-step Pengamanan Windows 2000 yang dikembangkan oleh Institut SANS. Dokumen ini didasarkan pada masukan dari pakar keamanan Windows dari berbagai latar belakang. Pada akhirnya, dokumen yang dihasilkan adalah mengenai istilah apa dalam praktek industri terbaik.. untuk mengamankan sistem Windows 2000. Tapi pekerjaan tersebut tidak berhenti di situ. Kerentanan ditemukan setiap hari, sehingga Anda perlu untuk menganalisis kelemahan dan menentukan apakah dan bagaimana mereka mempengaruhi jaringan Anda.
Perlu diketahui bahwa paradigma mengenai penerapan praktik industri terbaik ini berlaku untuk versi-versi lain dari sistem operasi Windows dan lain sebagainya, seperti beberapa varian sistem operasi mirip-Unix.
Gunakan Internet untuk meneliti risiko spesifik yang biasanya terlihat dalam industri Anda. Banyak organisasi seperti Gartner (http://www.gartner.com) dan Computer Economics (http://www.computereconomics.com) terlibat dalam penelitian dan menghasilkan laporan yang menyebut mengenai kerentanan dan risiko berbasis industri.
             Seperti yang kita nyatakan sebelumnya, analisis risiko melibatkan menentukan risiko dan menentukan dampaknya terhadap infrastruktur. Gambar di atas adalah matriks analisis resiko. Sumbu X adalah kekerasan konsekuensi, dinilai dari rendah ke tinggi. Artinya, karena risiko atau tingkat keparahan meningkat, maka demikian juga kerusakan yang diakibatkannya. Sumbu Y adalah besaran kemungkinan bahwa risiko tersebut benar-benar bisa terjadi, juga dinilai dari rendah ke tinggi. Tujuannya adalah untuk berkonsentrasi pada bidang-bidang tersebut yang menghasilkan kekerasan konsekuensi menengah-ke-tinggi  dan sebuah kemungkinan menengah-ke-tinggi yang mungkin benar-benar terjadi. Sebagai contoh, tingkat keparahan konsekuensi dari sebuah meteor besar memukul bumi tinggi, tetapi besaran kemungkinannya rendah. Skenario ini tidak akan menjadi bidang perhatian. Namun, menempatkan e-commerce kita di Internet dan tidak melindunginya dengan firewall dapat mengakibatkan probabilitas tinggi bahwa sistem akan dibahayakan dan keparahan konsekuensi. Yang tinggi



Setelah kebijakan keamanan Anda terdefinisi, langkah selanjutnya adalah menyiapkan infrastruktur keamanan. Ini bisa menjadi kombinasi dari kontrol keamanan administratif, teknis, atau fisik untuk mengatasi risiko yang teridentifikasi. Kontrol administrasi termasuk kebijakan dan prosedur dan pelatihan kesadaran keamanan bagi pengguna akhir. Kontrol teknis adalah solusi berbasis teknologi. Firewall, sistem deteksi intrusi, perlindungan software anti-virus, dan penggunaan enkripsi adalah contoh dari kontrol teknis.
Setelah Anda memilih kontrol, dan sebelum Anda menggunakannya, Anda harus menulis standar (atau pedoman) untuk setiap jenis kontrol yang digunakan. Standar-standar ini akan menentukan bagaimana kontrol akan digunakan untuk perlindungan keamanan. Misalnya, jika Anda memutuskan untuk menerapkan sistem perlindungan anti-virus sebagai tindakan pencegahan terhadap virus dan kode berbahaya, maka Anda juga dimungkinkan untuk mengembangkan standar pelaksanaan dapat diterima untuk itu juga, seperti frekuensi pemindaian hard disk. Kadang-kadang Anda mungkin harus memodifikasi standar-standar ini. Misalnya, jika anti-virus signature update anda dijadwalkan bulanan, tetapi Anda menemukan bahwa hal ini tidak cukup sering karena perkembangbiakan virus baru, Anda akan mengubah frekuensi update menjadi mingguan, harian, atau bahkan per jam.
Kemungkinan besar Anda akan perlu menentukan apa sumber daya yang tersedia (dalam hal personil dan teknologi), dan memprioritaskan penanggulangan untuk setiap risiko yang diidentifikasi. Karena bisa jadi sulit untuk mengelola semua risiko pada saat yang sama, Anda perlu menentukan tindakan pencegahan mana yang merupakan prioritas utama, dan menerapkannya terlebih dahulu.
Ulasan dan pengujian berkala infrastruktur keamanan Anda sangatlah penting, karena tanpa hal-hal tersebut, Anda tidak akan memiliki gambaran yang akurat tentang seberapa baik sistem Anda dijamin. Metode yang khas untuk mencapai ini termasuk menampilkan tes kerentanan, meninjau kebijakan keamanan dan prosedur, serta pengujian berbagai kontrol administratif dan teknis.
Dan akhirnya, itu adalah praktek terbaik yang diterima untuk melaksanakan beberapa bentuk deteksi intrusi dan untuk mengembangkan rencana respon insiden di dalam acara di mana sistem Anda dikompromikan. Kita akan mencakup manfaat dari deteksi intrusi dan penanganan insiden kemudian dalam bab ini.

Penekanan pada manajemen risiko adalah pada proses, bukan hanya serangkaian tindakan. Proses ini memungkinkan kami mengidentifikasi informasi dan data yang terancam, terutama oleh kelemahan dalam sistem informasi kami, mengukur unsur risiko dengan misi kami, mengidentifikasi di mana kita dapat menerapkan kontrol atau penanggulangan, dan menyediakan dasar untuk memutuskan bagaimana ancaman yang ditimbulkan oleh masing-masing risiko akan berkurang. Kita dapat melakukan upaya untuk menghilangkan semua risiko, tapi ini hampir tidak mungkin. Oleh karena itu, kita harus menghubungkan masalah keamanan kita dengan nilai dari informasi dan data yang berada pada IS kita, dan memusatkan sumber daya dan upaya untuk mengurangi risiko yang terkait dengan isu-isu keamanan yang paling mungkin mengancam aset kita.

mendefinisikan Risiko
Sekarang kita telah membahas secara rinci proses manajemen risiko, kita harus mendefinisikan konsep ancaman dan kerentanan, dan bagaimana hal tersebut berhubungan dengan risiko analisis. Identifikasi risiko melibatkan pemahaman ancaman dan kerentanan terkait yang mungkin anda alami. Apa definisi risiko? Definisi klasik risiko adalah:
Risiko = Ancaman X Kerentanan
Kerentanan didefinisikan sebagai suatu kelemahan dalam sebuah sistem yang bisa dimanfaatkan. Anda telah mendengar hal ini sebelumnya. Sebuah kerentanan ditemukan dalam layanan klien FTP XYZ yang jika dieksploitasi, bisa mengakibatkan kualahan dalam pelindungan,atau semacamnya. Kerentanan adalah kenyataan bahwa klien FTP memiliki cacat, kelemahan yang dapat menyebabkan kompromi sistem. Bahayanya terletak pada kenyataan bahwa kerentanan tersembunyi ini ditemukan dan kemudian tereksploitasi.

Ancaman adalah setiap peristiwa yang dapat menyebabkan hasil yang tidak diinginkan. Ancaman bisa menjadi eksploitasi kerentanan. Ancamannya adalah bahwa seseorang benar-benar bisa memanfaatkan kelemahan ini dan melemahkan sistem Anda.


Identifikasi potensi risiko bisa menjadi pekerjaan yang menakutkan. Kebanyakan setiap produk teknologi - dari sistem operasi untuk aplikasi perangkat - memiliki kerentanan terekam (dan tidak terekam) mereka sendiri. Misalnya, Anda mungkin menyadari kerentanan terekam yang terkait dengan penggunaan Microsoft Internet Information Server (IIS). Namun, sudahkah semua kerentanan diidentifikasi? Kita bisa melindungi diri dari risiko yang kita ketahui tapi bagaimana dengan risiko yang tidak kita ketahui keberadaannya? Anda sudah berada dalam risiko hanya dengan mengetahui fakta bahwa sistem Anda terhubung ke Internet.
Variabel lain yang harus dipertimbangkan dalam manajemen risiko adalah nilai dari aset. Aset bisa berupa sumber daya, produk, proses, atau apa pun yang telah dianggap memiliki nilai oleh perusahaan. Saat menghitung efek dari ancaman terhadap aset, bisa jadi dalam hal kerugian keuangan, atau dalam hal hilangnya kerahasiaan, integritas, atau ketersediaan terhadap aset tersebut. Nilai aset bisa berwujud atau tidak berwujud, dan terdiri dari berbagai elemen yang terkait dengan aset. Unsur-unsur dapat mencakup biaya pengembangan, nilai penggantian, nilai kepemilikan, dan nilai publik yang dirasakan.

catatan
Kadang-kadang Anda mungkin melihat resiko didefinisikan sebagai:
Risiko = Ancaman x Kerentanan x nilai Aktiva
Dalam skenario ini, kita memasukkan nilai aset sebagai variabel dalam persamaan kita. Ini berarti bahwa ada faktor risiko yang lebih tinggi ketika nilai aset juga lebih tinggi. Di sisi lain, saat nilai aset mendekati nol, tingkat risiko kita juga akan mendekati nol. Nilai aset tidak selalu mengenai nilai moneter, tetapi bisa menjadi nilai subyektif sebagai gantinya.










Manajemen Risiko Pilihan
Sekarang Anda Setelah mengidentifikasi berbagai risiko, langkah berikutnya adalah untuk memutuskan apa yang akan Anda lakukan mengenai hal itu. Pilihan Anda adalah
• Menerima resiko apa adanya.
• Mengurangi atau mengurangi risiko.
• Transfer risiko.
Menerima risiko berarti bahwa Anda memahami risiko tetapi Anda bersedia untuk hidup dengan konsekuensi tereksploitasinya resiko-resiko tersebut. Penerimaan Risiko adalah pilihan yang benar - akan tetapi disertai dengan konsekuensi. Idealnya, Anda ingin meredakan atau minimal, mengurangi risiko ke tingkat yang dapat diterima. Tingkat risiko yang dapat diterima adalah subyektif - apa yang diterima oleh seseorang mungkin tidak dapat diterima yang lain.
Apakah mungkin untuk menghilangkan risiko sepenuhnya? Hal ini dimungkinkan, tapi sekali lagi, berapa biayanya? Misalnya, jika situs internet e-commerce Anda beresiko terhack, yang bisa Anda lakukan adalah menghubungkan server dari Internet, sehingga menghilangkan risiko sepenuhnya. Tapi jika Anda melakukan itu, bagaimana mungkin Anda melakukan bisnis? Jadi tujuannya adalah untuk mengurangi risiko ke tingkat yang dapat diterima dan masih dapat menggunakan sistem seperti yang Anda mau. Ada garis tipis antara menggabungkan kontrol keamanan yang cukup untuk mengurangi (atau menghilangkan) risiko, versus kegunaan dari sistem.
Pilihan lain adalah untuk mentransfer risiko. Hal ini juga dikenal sebagai pilihan model asuransi. Dalam skenario ini, Anda menyerahkan risiko kepada pihak ketiga yang menjamin Anda terhadap ancaman hingga batasan tertentu.
Contoh manajemen risiko di dunia nyata
Mari kita lihat apakah kita dapat menerapkan situasi kehidupan nyata lain untuk manajemen risiko. Banyak orang mengendarai mobil untuk pergi bekerja, pergi ke sekolah, atau mengajak keluarga untuk berkendara di hari Minggu yang cerah. Ada beberapa risiko yang terlibat dengan mengemudi mobil. Terutama, kita berpikir tentang kecelakaan mobil dan fakta bahwa ada risiko bahwa kita akan mengalami salah satunya. Jika kita hanya menerapkan apa yang kita dilputi sehubungan dengan manajemen risiko, kita dapat mengasumsikan bahwa kerentanan (kelemahan) adalah kenyataan bahwa mobil kita bisa ditotal jika ditabrak mobil lain. Ancamannya adalah kenyataan bahwa seseorang menabrak mobil kita. Oleh karena itu, risiko adalah kelemahan kali ancaman seseorang benar-benar menabrak mobil kita. Jadi apa pilihan kita? Nah, kebanyakan dari kita menerima kenyataan bahwa kita bisa mengalami kecelakaan dan membeli asuransi untuk mentransfer risiko kepada orang lain.
Pilihan lain adalah mencoba untuk mengurangi risiko ke tingkat yang dapat diterima. Di sisi yang lebih drastis, kita bisa memutuskan untuk tidak mengemudi lagi, sehingga menghilangkan risiko mengalami kecelakaan. Apakah ini layak? Saya kira demikian, tapi ada banyak pengorbanan pribadi jika kita mengambil pendekatan ini. Kita bisa mengurangi risiko dengan mengemudi di sisi jalan yang jarang dilalui atau mengemudi di jam-jam sepi. Namun, bersama setiap keputusan yang kita buat mengenai mengurangi risiko datang pula pergeseran dalam cara normal kita melakukan berbagai hal.
Manajemen Risiko Pertanyaan
Untuk memutuskan antara menerima, mengurangi, atau mentransfer resiko, kita perlu lebih memahami risiko dan bagaimana hal itu mempengaruhi kita. Ketika mengevaluasi risiko, akan sangat membantu untuk bertanya pada diri sendiri beberapa pertanyaan kunci:
• Apa yang bisa terjadi?
• Jika hal itu terjadi, bisa menjadi seburuk apakah hal itu?
• Seberapa sering hal itu bisa terjadi?
• Seberapa bisa diandalkannya jawaban atas pertanyaan-pertanyaan di atas?
Jawaban atas pertanyaan-pertanyaan ini membantu kita fokus pada ancaman yang sebenarnya dan mendapatkan pemahaman yang lebih baik mengenai dampaknya jika ancaman tersebut benar-benar terjadi. Pertanyaan pertama adalah bertanya kepada diri sendiri: apa sebenarnya yang kita takutkan? Apakah ancaman yang sebenarnya? Apakah ancaman tersebut sesuatu yang nyata? Dapatkah kita mendefinisikan ancaman stersebut secara akurat?
Dan jika kita dapat mendefinisikan ancaman, kerusakan apa  yang bisa disebabkan? Seberapa besar kemungkinan kerusakan? Misalnya, kerusakan bisa berupa apa saja mulai dari file rusak sampai terhapusnya semua file penting. Dengan kata lain, apa dampak dari ancaman tersebut?
Variabel lain yang perlu dipertimbangkan adalah frekuensi ancaman. Seberapa sering ancaman ini bisa terjadi? Apakah hanya sekali atau bisa terjadi lebih sering?
Pertanyaan terakhir berhubungan dengan pengenalan ketidakpastian. Artinya, seberapa yakin Anda atas jawaban untuk ketiga pertanyaan diatas? Dapatkah Anda memvalidasi dan membuktikan jawaban Anda? Ini mungkin pertanyaan yang sulit dijawab, karena mungkin akan sulit untuk melakukan perhitungan secara akurat mengenai risiko kita pada sistem operasi atau program baru saat kerentanan baru terus-menerus ditemukan.
Risiko melibatkan ketidakpastian. Ambil contoh kasus pengoperasian server Web. Anda tahu bahwa di dalam sebuah jaringan, server Web yang tidak memiliki patch dan tidak terlindungi akan terancam. Ini mungkin tidak terjadi hari ini atau mungkin tidak terjadi besok, tapi ini akan terjadi.
Kehadiran, ketahanan, dan kekuatan dari ancaman, serta efektivitas pengamanan, harus dipertimbangkan ketika menilai kemungkinan terjadnya ancaman.







Menghitung Risiko.
Ekspektasi kerugian tunggal dan ekspektasi kerugian tahunan
Ketika semua sudah diutarakan dengan jelas, pada akhirnya, itu semua bermuara pada uang. Apa yang akan dipertimbangkan oleh manajemen adalah, "Berapa banyak kerugian finansial yang kita bisa tenerima dalam satu ancaman?" Jika database perusahaan terganggu sedangkan database tersebut berisikan formula rahasia milik anda (yang sangat berharga) untuk obat revolusioner Anda berikutnya,maka Anda tidak akan membiarkan satu resikopun masuk ke dalam system anda yang mana resiko tersebut mungkin mengarah pada tercurinya formula ini. Ingatlah bahwasanya kita menyatakan bahwa risiko melibatkan ketidakpastian. Ketidakpastian di sini adalah bahwa kita tidak bisa secara akurat menentukan nilai pasti dari formula tersebut (mungkin hal ini menghasilkan jutaan dolar, atau mungkin tidak menghasilkan uang sama sekali karena formula tersebut mungkin tidak bekerja).
Ini semua mengarah pada perhitungan Single Loss Expectancy atau SLE (Ekspektasi Rugi Tunggal). SLE adalah nilai dolar yang ditetapkan untuk satu even. Artinya, itu adalah kerugian organisasi dari sebuah peristiwa tunggal. Rumusnya adalah:
SLE  = Nilai Aset ($) X Faktor Eksposur (EF)
Faktor Eksposur (paparan) (EF) adalah persentase kerugian yang dapat dicapai oleh sebuah ancaman terhadap asset. EF ini dinyatakan dalam 0 sampai 100% kerugian terhadap aset. Sebagai contoh, jika sebuah bom nuklir yang meledak di sebuah kota kecil, dan kota tersebut memiliki nilai 90 juta dolar, ekspektasi rugi tunggal (SLE) akan menjadi 90 juta dolar, karena kita dapat mengasumsikan bahwa sebuah bom nuklir akan menghasilkan kerugian 100%.
Apa yang terjadi ketika peristiwa itu terjadi lebih dari sekali? Kita kemudian menghitung Annualized Loss Expectancy (Ekspektasi Kerugian Tahunan) atau ALE. ALE adalah kerugian keuangan tahunan yang diperkirakan dari ancaman tersebut.
Rumusnya adalah:
Ekspektasi Kerugian Tahunan = Ekspektasi kerugian tunggal X Rata-rata kejadian tahunan (Annualized Rate of Occurrence (ARO)

Annualized Rate of Occurrence (ARO) atau rata-rata kejadian tahunan adalah frekuensi di mana perkiraan ancaman diperkirakan terjadi. Nilainya dapat berkisar dari nol sampai dengan jumlah besar. Kadang-kadang nilai ARO mudah untuk dihitung. Kadang sangat sulit untuk dihitung, pada kenyataannya, sering kali jumlah ini menjadi faktor ketidakpastian dalam perhitungan manajemen risiko.
Sebagai skenario kasus nyata, bayangkan Anda perlu menghitung jumlah kerugian pendapatan karena karyawan Anda. Surfing web selama jam kerja (tidak terkait dengan pekerjaan, tentu saja). Kita mulai dengan menghitung SLE tersebut. Untuk ini kita perlu nilai aset dan faktor eksposur. Jika 25 persen dari 1.000 karyawan Anda membuang satu jam dari waktu mereka setiap minggu untuk surfing web dan biaya per jam adalah $ 50, maka rumusnya menjadi:
SLE = $ 50/jam x 250 atau $ 12.500 per minggu
Biaya yang signifikan. Jika kita ingin menghitung biaya tahunan, rumus menjadi:
ALE = $ 12.500 x 50 minggu (dengan asumsi liburan 2 minggu) atau $ 650.000 per tahun
Penilaian Risiko Kualitatif vs Kuantitatif
Ada dua pendekatan penilaian risiko: kualitatif dan kuantitatif. Dalam penilaian risiko kuantitatif, kita mencoba untuk menetapkan nilai numerik obyektif, biasanya nilai ini menggambarkan nilai kerugian moneter. Penilaian risiko kualitatif, di sisi lain, lebih berkaitan dengan nilai-nilai intangible, dan berfokus pada variabel dan bukan hanya pada kerugian moneter.
Penilaian risiko kualitatif jauh lebih mudah untuk dilakukan dan dapat mengidentifikasi daerah berisiko tinggi. Misalnya, Anda perlu melakukan penilaian risiko untuk menentukan dampak dari menginstal jalur akses LAN nirkabel dalam organisasi Anda. Hal yang pertama adalah untuk menentukan kerentanan, ancaman, dan juga risiko menggunakan LAN nirkabel. Kemudian Anda menentukan apakah risiko tersebut berlaku untuk organisasi Anda dan menentukan kemungkinan bahwa Anda beresiko. Salah satu risiko menggunakan LAN nirkabel adalah kemungkinan seseorang mengendus lalu lintas jaringan nirkabel, dan jalur akses yang salah konfigurasi dapat memungkinkan koneksi klien nakal. Ini adalah resiko yang nyata yang perlu ditangani. Dapatkah Anda menempatkan nilai moneter terhadap risiko-risiko ini? Jika seseorang terhubung ke jaringan Anda melalui jalur akses terbuka, berapa banyak perusahaan anda akan kehilangan biaya dalam pendapatannya?
Seperti yang dapat Anda lihat dari contoh ini, analisis risiko kuantitatif dalam situasi ini tidak cukup bekerja. Pendekatan kualitatif jauh lebih baik, karena kita bisa sampai pada hasil yang lebih subjektif. Dalam penilaian risiko kualitatif, hasilnya biasanya dikategorikan sebagai rendah, sedang, atau risiko tinggi kejadian. Seseorang mengoperasikan jalur akses LAN nirkabel di rumah di pedesaan, di mana tetangga terdekat berjarak 5 mil, maka risiko akan adanya seseorang yang mencoba untuk masuk ke jaringannya sangat rendah. Sebuah perusahaan di tengah-tengah taman berteknologi tinggi, dengan jalur akses yang memungkinkan koneksi nakal, memiliki risiko tinggi.
Penilaian risiko kuantitatif adalah alat bisnis yang jauh lebih berharga, karena ia bekerja dalam system  metrik - biasanya dalam dolar. Dan biaya total dalam dolar adalah yang dicari oleh manajemen ketika manajemen mencoba untuk memahami implikasi tentang bagaimana sebuah risiko dapat mempengaruhi organisasi.
Praktek Penilaian Risiko Terbaik
Salah satu masalah yang dihadapi oleh organisasi adalah bahwa sistem administrasi adalah pekerjaan financial yang tinggi, terutama dalam organisasi besar. Selain itu, kebanyakan system administrator banyak memfokuskan pada “kereta datang tepat waktu” (berhubungan dengan dedline). Ini berarti bahwa mereka berkonsentrasi pada sistem operasi dengan benar, dan menghadapi situasi darurat yang muncul. Sayangnya, ini berarti bahwa mereka tidak dapat melihat gambaran yang lebih besar. Mereka mungkin tidak dapat menerapkan perbaikan atau penambalan yang diperlukan karena ini akan memungkinkan untuk diberhentikannya system untuk jangka waktu tertentu, dan hal ini mungkin dianggap tidak dapat diterima. Selain itu, konfigurasi keamanan yang efektif mungkin tidak dapat dipahami. Artinya, seorang administrator sistem mungkin menginstal dan mengelola server Microsoft IIS tetapi tidak sepenuhnya memahami semua masalah keamanan konfigurasi. Ada juga masalah bahwa kerentanan baru sedang terekspos setiap hari. Bertahan dengan kerentanan berakhir menjadi pekerjaan penuh-waktu. Bayangkan memiliki jaringan yang terdiri dari beberapa server yang menjalankan Windows 2000 Advanced Server dan Sun Solaris. Selanjutnya, tambahkan Windows 2000 workstation dan beberapa system Linux Red Hat. Sekarang bayangkan memastikan bahwa sistem ini dikonfigurasi dengan benar untuk keamanan yang optimal, dan Anda juga harus menguji setiap sistem untuk memastikan bahwa itu benar-benar terjamin. Sekarang tambahkan fakta bahwa kerentanan baru ditemukan hampir setiap hari. Bagaimana Anda tetap bertahan? Bagaimana Anda mempertahankan konfigurasi keamanan tingkat-tinggi? Pengujian manual untuk kelemahan sistem adalah proses yang panjang dan sulit.
Sebuah praktik penilaian risiko yang terbaik dapat membantu sebuah organisasi yang tidak memiliki kemampuan sendiri untuk melakukan penilaian risiko yang lebih formal. Jenis penilaian risiko didasarkan pada checklist, dibangun oleh konsensus dari berbagai keamanan profesional. Alat otomatis yang baru membuat penilaian risiko menjadi sederhana dan mudah untuk dilakukan oleh kebnyakan administrator sistem.
Sumber daya apakah yang dapat membantu Anda menentukan konfigurasi aman terbaik untuk berbagai sistem Anda? Tidak ada organisasi tunggal atau orang yang kemungkinan akan menghasilkan rekomendasi praktik terbaik. Artinya, mungkin seseorang memiliki ide yang cukup bagus tentang bagaimana mengamankan sistem Windows 2000 tetapi orang ini ahli definitif pada subjek? Apakah rekomendasi mereka solusi terbaik untuk lingkungan spesifik Anda? Bahkan rekomendasi dari sebuah perusahaan harus diperhatikan dengan seksama. Sebuah perusahaan tunggal mungkin tidak melihat masalah (dan solusi) dari perspektif yang berbeda. Pendekatan yang lebih baik adalah memiliki banyak organisasi berpartisipasi dalam pengembangan rekomendasi ini. Dengan cara ini, rekomendasi termasuk masukan dari berbagai industri dan dari orang-orang dengan pengalaman yang beragam. Ada banyak sampel berbasis konsensus rekomendasi praktik terbaik.
The Center for Internet Security

Pusat Internet Security (CIS), www.cisecurity.org, mengembangkan alat untuk melakukan penilaian terhadap sistem Windows 2000. Alat CIS, ditampilkan dalam slide, dapat digunakan untuk memindai Windows 2000 sistem dan membandingkan pengaturan konfigurasi dengan konfigurasi template berbasis konsensus. Alat CIS akan memberikan skor pada seberapa baik sistem dikonfigurasi. Misalnya, alat akan membiarkan Anda tahu jika Anda tidak memiliki paket layanan terbaru diinstal atau jika Anda kehilangan perbaikan terbaru. Sistem administrator kemudian dapat men-download patch yang sesuai, dan scan ulang sistem untuk menentukan apakah skor keseluruhan telah membaik. Beberapa perbaikan untuk konfigurasi default mungkin mengambil beberapa pekerjaan. Mungkin Anda akan perlu untuk membuat modifikasi pada Kebijakan Keamanan Lokal atau bahkan membuat perubahan langsung ke Registry. CIS alat yang tersedia untuk Windows NT, Solaris, Linux, dan HP-UX. Windows XP dan Windows 2003 tidak didukung pada saat penulisan ini.
Langkah-demi-Langkah FORESEC Guides
Proyek lain praktik konfigurasi terbaik adalah Langkah-demi-Langkah FORESEC panduan. Panduan ini merupakan kompilasi masukan dari banyak ahli dalam organisasi yang berbeda. Misalnya, Windows Mengamankan 2000 panduan memiliki masukan dari komersial, pemerintah, dan lembaga pendidikan.
Daftar-pembanding cara lain untuk memastikan pekerjaan dilakukan dengan benar. Pendekatan checklist ini dirancang untuk dua orang. Satu orang melakukan cek dan orang lain double-memeriksa pekerjaan. Teknik pemeriksaan dan double-check adalah penting untuk pengetahuan berbasis penilaian risiko. Satu orang yang tahu keamanan dan risiko pada umumnya, dan lain yang tahu teknologi yang spesifik, membuat tim yang ideal dengan pemilik sistem.
Kasus Bisnis untuk Manajemen Risiko
Itu semua pada akhirnya bermuara untuk membuat presentasi kepada manajemen dan kebutuhan untuk menyampaikan gambaran besar. Hal ini tidak cukup untuk memahami teknologi inti kita gunakan untuk kita penanggulangan kontrol - host dan jaringan berbasis sistem deteksi intrusi, scanner kerentanan, honeypots, dan firewall. Pertanyaannya adalah, bisa Anda menunjukkan kepada mereka bagaimana teknologi bekerja sama untuk menghasilkan hasil yang dibutuhkan?
Setiap perusahaan akan memiliki kebutuhan yang berbeda dan harapan yang beragam. Sebuah lembaga keuangan memiliki prioritas yang berbeda dari sebuah organisasi militer. Aset berharga Sebuah perusahaan farmasi bisa menjadi formula untuk obat baru. Sebuah aset lembaga keuangan yang bisa menjadi klien daftar dan nomor rekening. Setiap orang memiliki sesuatu yang berbeda untuk melindungi dan toleransi yang berbeda terhadap risiko. Sangat menarik untuk dicatat bahwa bank kehilangan uang dalam jumlah besar setiap tahun dan tidak dapat menjelaskan bagaimana menghilang. Tapi untuk bank, kehilangan $ 1 juta per tahun tidak mungkin menjadi masalah besar. Bagi mereka, ini merupakan tingkat risiko yang dapat diterima dan ditoleransi - biaya melakukan bisnis.
Bisnis Kasus untuk Penilaian Risiko
Sekarang kita telah memperkenalkan proses penilaian risiko dasar, mari kita menerapkan proses ini untuk kasus bisnis untuk sistem deteksi intrusi. Pertama, mari kita mempertimbangkan skenario yang berbeda kita mungkin akan bekerja sama dengan:
• Organisasi tidak memiliki deteksi intrusi, dan Anda sedang melakukan presentasi kasus untuk menambahkan kemampuan ini.
• Organisasi memiliki sistem deteksi intrusi dasar, dan Anda mungkin merekomendasikan upgrade sistem.
• Organisasi memiliki sistem deteksi intrusi pemantauan pusat, dan Anda sedang melakukan presentasi kasus untuk kemampuan departemen.
Salah satu masalah yang mungkin Anda hadapi adalah bahwa banyak manajer yang tidak nyaman saat berhadapan dengan data aktual mengenai serangan dan kerentanan. Mereka jelas akan melihat ini sebagai suatu kelemahan pada bagian mereka untuk melakukan pekerjaan mereka. Bahkan sebagai konsultan luar Anda mungkin menghadapi hambatan yang sama. Bahkan, sebagai konsultan, Anda mungkin merasa banyak resistensi, bahkan dari administrator sistem. Hal ini karena mereka mungkin merasa bahwa Anda akan menunjukkan manajemen bahwa mereka belum melakukan pekerjaan mereka secara memadai.
Hal ini juga bisa terjadi bahwa manajer hanya tidak memahami keparahan situasi. Mereka mungkin tidak benar-benar percaya bahwa ada masalah. Jika Anda tidak dapat memberikan bukti bahwa sistem mereka beresiko, maka akan sulit untuk meyakinkan mereka untuk menghabiskan dana tambahan untuk penanggulangan Anda akan merekomendasikan. Anda sering dapat menggunakan sumber yang ada data, seperti log firewall dan sistem, untuk pembiayaan meningkatkan deteksi intrusi tambahan dengan menunjukkan mereka "pistol merokok."
Para Vektor Ancaman
Dengan menggunakan daftar ancaman vektor kita dapat mengidentifikasi peluang yang memungkinkan serangan dan karena itu memahami bagaimana untuk membela melawan mereka. Seperti yang kita mempertimbangkan sumber daya informasi yang dapat terancam oleh vektor ini, kita sekarang dapat fokus pada masalah. Setelah kita memahami masalah, kita dapat lebih fokus pada penanggulangan yang efektif.
Daftar vektor ancaman didefinisikan sebagai:
• Outsider serangan dari jaringan
• Outsider serangan dari telepon
• Insider serangan dari jaringan lokal
• Insider serangan dari sistem lokal
• Serangan dari kode berbahaya
Mari kita menggali lebih dalam ke dalam vektor untuk lebih memahami apa yang kita hadapi.
Serangan Outsider - Internet

Serangan yang datang dari luar ke jaringan internal Anda dari Internet telah didokumentasikan dengan baik. Beberapa sumber terbaik untuk informasi mengenai eksploitasi dari Internet adalah situs-situs seperti www.antionline.com. Pada situs ini Anda dapat mempelajari lebih lanjut tentang kemungkinan ancaman ke jaringan Anda.
Kita harap Anda telah menerapkan firewall dan sistem deteksi intrusi. Jika Anda memiliki, sumber terbaik informasi tentang apa yang akan datang ke dalam sistem Anda adalah log firewall. Jika Anda tidak memiliki sistem deteksi intrusi, Anda mungkin ingin mencoba satu untuk satu bulan atau lebih. Tempatkan IDS di DMZ Anda selama beberapa hari dan semuanya log. Log ini akan memberitahu Anda tentang ancaman yang sebenarnya ditujukan terhadap situs Anda.
catatan
Aku ingat situasi pertama di mana saya menginstal firewall pribadi di laptop saya. Suatu hari saya tinggal di sebuah hotel di Florida yang memiliki akses internet. Aku menyalakan fitur log pada firewall saya karena saya penasaran untuk melihat apakah ada orang akan berusaha untuk masuk ke dalam sistem saya setelah terhubung ke jaringan hotel. Saya tidak online selama lebih dari 5 menit ketika firewall saya mulai berbunyi pada saya. Melihat log saya menemukan bahwa komputer lain sedang berusaha untuk melakukan scan jaringan! Sayangnya, saya tidak menempatkan firewall pada setting tertinggi - mode siluman. Jadi mereka bisa melihat saya di jaringan. Saya segera dikonfigurasi sehingga aku benar-benar tersembunyi dari pandangan jaringan, dan menambahkan mesin mencoba untuk memindai saya ke daftar alamat IP yang diblokir. "