Manajemen Risiko dan Audit
Bab ini berfokus
pada manajemen risiko - seni menganalisis ancaman dan kerentanan, dan
menentukan dampak risiko yang dapat terjadi perusahaan Anda. Manajemen risiko
jauh lebih dari sekedar menentukan berbagai risiko yang mengarah pada Anda. Ini
merupakan eksplorasi dari berbagai pendekatan dan teknik untuk mengelola risiko
ini.
Anda mungkin
bertanya pada diri sendiri: Mengapa manajemen risiko sangat penting? Hal ini
karena setiap perangkat keras komputer atau implementasi perangkat lunak
memiliki beberapa resiko keamanan yang berkaitan dengan penggunaannya. Ambil
contoh situasi di mana perusahaan Anda ingin menerapkan arsitektur LAN nirkabel
untuk disandingkan dengan jaringan kabel. Ada risiko yang terdokumentasi (dan
sebagian tidak terdokumentasi) yang terkait dengan teknologi nirkabel (WLAN)
LAN. Apakah Anda hanya mengabaikan risiko dan menanamkan WLAN tanpa ada
kekhawatiran? Di sinilah teknik manajemen risiko yang digunakan untuk
menentukan tingkat risiko, dan jika kita bisa hidup dengan tingkat risiko itu.
Fokus utama
manajemen risiko adalah untuk mengurangi risiko sampai pada tingkat yang dapat
diterima. Tingkat yang dapat diterima yang sebenarnya akan bervariasi dari
perusahaan ke perusahaan. Namun, manajemen risiko berarti bahwa kita perlu
mengidentifikasi, mengontrol, dan meminimalkan kerugian yang berhubungan dengan
risiko masing-masing. Kita mulai dengan memahami proses manajemen risiko,
konsep ancaman dan kerentanan, dan hubungan kesemuanya dengan penilaian risiko.
Awal Proses
Manajemen Risiko
Manajemen risiko
melibatkan pemahaman tentang bagaimana keamanan diimplementasikan dalam
organisasi Anda, dan bagaimana ancaman keamanan mempengaruhi operasi bisnis
Anda. Sebagai aturan umum, sebelum Anda dapat mulai mengelola risiko, Anda
perlu memahami operasi bisnis Anda dan jenis risiko yang mungkin dapat dialami.
Kebutuhan
Manajemen Risiko
Mengapa
manajemen risiko sangat penting untuk sebuah organisasi? Faktanya adalah ada
risiko di sekitar kita. Beberapa risiko sifatnya tidak merusak, meskipun ada beberapa
yag dapat menyebabkan bencana. Pertanyaannya adalah apakah Anda tahu apa
risiko-risiko tersebut. Lebih penting lagi, apa yang akan Anda lakukan jika
risiko-risiko itu menjadi nyata?
Ambil contoh
dari seseorang yang tinggal di sebuah rumah tiga juta dolar di pantai di
Malibu, California. Setiap beberapa tahun badai besar menghantam Pantai Barat
dan menyebabkan laut menghasilkan beberapa gelombang yang cukup mengagumkan
yang membentur pantai. Setiap tahun banyak rumah yang hancur akibat badai. Anda
mungkin bertanya pada diri sendiri mengapa ada orang yang memilih untuk tinggal
di daerah di mana rumah mereka kemungkinan besar akan dihancurkan oleh badai.
Kemungkinan besar pemilik telah melakukan beberapa bentuk penilaian risiko dan
manajemen risiko. Artinya, mereka telah menentukan risiko yang terkait dengan
kepemilikan sebuah rumah di pantai (badai), menganalisis dampak dari risiko
tersebut (rumah bisa hancur), dan menentukan suatu tindakan tentang bagaimana
untuk menangani risiko (asuransi pembelian) . Dalam contoh ini, kita telah
membahas penyebab, efek, dan respon terhadap kondisi risiko.
Seperti yang
Anda bayangkan, setiap industri memiliki bagian mereka dalam risiko
operasional. Sama halnya dengan bidang teknologi informasi. Setiap komputer
atau sistem di Internet atau jaringan lain rentan terhadap serangan. Memiliki
sistem di Internet seperti mengambil kelas seni bela diri - Anda akan
mendapatkan pukulan. Pertanyaan-pertanyaan yang perlu Anda tanyakan pada diri
Anda adalah: Seberapa keras Anda akan mendapatkan pukulan? Apa kerusakan jika
saya terpukul? Apa yang bisa saya lakukan untuk meminimalkan kerusakan? Ingat,
dalam manajemen risiko kita focus terhadap penyebab, efek, dan tanggapan kita
terhadap insiden risiko.
Dalam bab ini, kita
menyusun definisi dan asumsi tentang risiko seputar konsep tiga serangkai keamanan
informasi: kerahasiaan, integritas, dan ketersediaan. Kita harus mengingat-ingat
konsep-konsep ini ketika melakukan penilaian risiko dan keputusan manajemen
risiko. Dalam manajemen risiko, kita mencari cara untuk meminimalkan dampak
yang dapat mempengaruhi kerahasiaan informasi kita, integritas sistem dan data,
dan ketersediaan infrastruktur.
Manajemen risiko
membantu menejemen sistem informasi (IS) mencapai keseimbangan antara dampak
risiko dan perhitungan biaya langkah-langkah perlindungan. Tujuan dari
manajemen risiko adalah untuk mengidentifikasi, mengukur, mengendalikan, dan
meminimalkan atau menghilangkan kemungkinan serangan.
catatan:
Apakah aset yang
kita lindungi? Dari perspektif IS, aset kita dapat mencakup: hardware (PC,
server, disk drive, dan router), perangkat lunak (program, utilitas, dan sistem
operasi), data dan informasi (diproses, disimpan, backup, log audit, dan
database) , orang, dokumentasi (program, perangkat keras, sistem, dan prosedur
administratif lokal), dan persediaan (kertas, bentuk, pita, dan media
magnetik).
Proses Manajemen Risiko
Tujuan dari
manajemen risiko adalah untuk mengidentifikasi di area-area mana perlindungan
(atau penanggulangan) diperlukan untuk mencegah pengungkapan langsung yang
kurang hati-hati dan tidak sah atau informasi yang dimodifikasi.
Langkah-langkah
dalam proses manajemen risiko yang efektif adalah:
1. Melakukan
penilaian cepat terhadap risiko sehingga Anda tahu apa kebijakan keamanan yang
perlu Anda cakup. Ini membentuk dasar bagi kebijakan keamanan Anda, disertai
masukan dari berbagai departemen bisnis.
2. Sepenuhnya
menganalisis risiko, atau mengidentifikasi praktik industri sebagai perhatian,
menganalisis kerentanan.
3. Mengatur
infrastruktur keamanan.
4. Kntrol Desain,
menulis standar untuk setiap teknologi.
5. Menentukan
sumber daya apa yang tersedia, memprioritaskan penanggulangan, dan melaksanakan
penanggulangan prioritas yang utama yang dapat anda lakukan.
6. Melakukan
review periodik dan tes-tes yang memungkinkan.
7. Melaksanakan
deteksi intrusi dan respon insiden.
Kita perlu mulai
dengan kebijakan karena ini akan menentukan sikap keamanan yang diinginkan
perusahaan utnuk melindungi dengan hormat sumber daya perusahaan. Jika Anda
memiliki kebijakan keamanan yang sangat terbuka (misalnya, Anda membiarkan
segala hal keluar masuk jaringan perusahaan Anda), dan Anda memperhatikan
risiko pada jaringan Anda, maka kebijakan yang Anda inginkan tidak sesuai
implementasi Anda. Kebijakan keamanan akan mengarahkan Anda ke area operasi
bisnis Anda yang membutuhkan perlindungan. Tidaklah mungkin untuk menerapkan
perlindungan 100% untuk perusahaan Anda. Pendekatan yang terbaik adalah dengan
berkonsentrasi terlebih dahulu untuk melindungi daerah-daerah organisasi Anda
yang jika terganggu, bisa mendatangkan kerusakan paling besar. Pengembangan
kebijakan keamanan dicakup lebih rinci dalam Bab 8.
Langkah kedua
dalam manajemen risiko adalah untuk menganalisis risiko dan menentukan
dampaknya terhadap organisasi Anda. Ini juga melibatkan penlikan praktek industri
terbaik untuk menjaga keamanan. Sebagai contoh, kita tahu bahwa sistem operasi
Windows memiliki kerentanan yang luas dan bahwa konfigurasi default Windows
2000 tidak aman. Jika organisasi telah memutuskan bahwa mereka akan menggunakan
Windows 2000 sebagai pilihan sistem operasi mereka, maka langkah selanjutnya
adalah menentukan apa yang dapat dilakukan untuk lebih mengamankan sistem. Ada
banyak sumber daya, seperti Panduan Step-by-step Pengamanan Windows 2000 yang
dikembangkan oleh Institut SANS. Dokumen ini didasarkan pada masukan dari pakar
keamanan Windows dari berbagai latar belakang. Pada akhirnya, dokumen yang
dihasilkan adalah mengenai istilah apa dalam praktek industri terbaik.. untuk
mengamankan sistem Windows 2000. Tapi pekerjaan tersebut tidak berhenti di
situ. Kerentanan ditemukan setiap hari, sehingga Anda perlu untuk menganalisis
kelemahan dan menentukan apakah dan bagaimana mereka mempengaruhi jaringan
Anda.
Perlu diketahui
bahwa paradigma mengenai penerapan praktik industri terbaik ini berlaku untuk
versi-versi lain dari sistem operasi Windows dan lain sebagainya, seperti
beberapa varian sistem operasi mirip-Unix.
Gunakan Internet
untuk meneliti risiko spesifik yang biasanya terlihat dalam industri Anda. Banyak
organisasi seperti Gartner (http://www.gartner.com) dan Computer Economics
(http://www.computereconomics.com) terlibat dalam penelitian dan menghasilkan
laporan yang menyebut mengenai kerentanan dan risiko berbasis industri.
Seperti yang kita
nyatakan sebelumnya, analisis risiko melibatkan menentukan risiko dan
menentukan dampaknya terhadap infrastruktur. Gambar di atas adalah matriks
analisis resiko. Sumbu X adalah kekerasan konsekuensi, dinilai dari rendah ke
tinggi. Artinya, karena risiko atau tingkat keparahan meningkat, maka demikian
juga kerusakan yang diakibatkannya. Sumbu Y adalah besaran kemungkinan bahwa
risiko tersebut benar-benar bisa terjadi, juga dinilai dari rendah ke tinggi.
Tujuannya adalah untuk berkonsentrasi pada bidang-bidang tersebut yang
menghasilkan kekerasan konsekuensi menengah-ke-tinggi dan sebuah kemungkinan menengah-ke-tinggi yang
mungkin benar-benar terjadi. Sebagai contoh, tingkat keparahan konsekuensi dari
sebuah meteor besar memukul bumi tinggi, tetapi besaran kemungkinannya rendah.
Skenario ini tidak akan menjadi bidang perhatian. Namun, menempatkan e-commerce
kita di Internet dan tidak melindunginya dengan firewall dapat mengakibatkan
probabilitas tinggi bahwa sistem akan dibahayakan dan keparahan konsekuensi.
Yang tinggi
Setelah
kebijakan keamanan Anda terdefinisi, langkah selanjutnya adalah menyiapkan
infrastruktur keamanan. Ini bisa menjadi kombinasi dari kontrol keamanan administratif,
teknis, atau fisik untuk mengatasi risiko yang teridentifikasi. Kontrol
administrasi termasuk kebijakan dan prosedur dan pelatihan kesadaran keamanan
bagi pengguna akhir. Kontrol teknis adalah solusi berbasis teknologi. Firewall,
sistem deteksi intrusi, perlindungan software anti-virus, dan penggunaan
enkripsi adalah contoh dari kontrol teknis.
Setelah Anda
memilih kontrol, dan sebelum Anda menggunakannya, Anda harus menulis standar
(atau pedoman) untuk setiap jenis kontrol yang digunakan. Standar-standar ini
akan menentukan bagaimana kontrol akan digunakan untuk perlindungan keamanan.
Misalnya, jika Anda memutuskan untuk menerapkan sistem perlindungan anti-virus
sebagai tindakan pencegahan terhadap virus dan kode berbahaya, maka Anda juga dimungkinkan
untuk mengembangkan standar pelaksanaan dapat diterima untuk itu juga, seperti
frekuensi pemindaian hard disk. Kadang-kadang Anda mungkin harus memodifikasi
standar-standar ini. Misalnya, jika anti-virus signature update anda dijadwalkan
bulanan, tetapi Anda menemukan bahwa hal ini tidak cukup sering karena
perkembangbiakan virus baru, Anda akan mengubah frekuensi update menjadi mingguan,
harian, atau bahkan per jam.
Kemungkinan
besar Anda akan perlu menentukan apa sumber daya yang tersedia (dalam hal
personil dan teknologi), dan memprioritaskan penanggulangan untuk setiap risiko
yang diidentifikasi. Karena bisa jadi sulit untuk mengelola semua risiko pada
saat yang sama, Anda perlu menentukan tindakan pencegahan mana yang merupakan prioritas
utama, dan menerapkannya terlebih dahulu.
Ulasan dan
pengujian berkala infrastruktur keamanan Anda sangatlah penting, karena tanpa
hal-hal tersebut, Anda tidak akan memiliki gambaran yang akurat tentang
seberapa baik sistem Anda dijamin. Metode yang khas untuk mencapai ini termasuk
menampilkan tes kerentanan, meninjau kebijakan keamanan dan prosedur, serta
pengujian berbagai kontrol administratif dan teknis.
Dan akhirnya,
itu adalah praktek terbaik yang diterima untuk melaksanakan beberapa bentuk
deteksi intrusi dan untuk mengembangkan rencana respon insiden di dalam acara di
mana sistem Anda dikompromikan. Kita akan mencakup manfaat dari deteksi intrusi
dan penanganan insiden kemudian dalam bab ini.
Penekanan pada
manajemen risiko adalah pada proses, bukan hanya serangkaian tindakan. Proses
ini memungkinkan kami mengidentifikasi informasi dan data yang terancam,
terutama oleh kelemahan dalam sistem informasi kami, mengukur unsur risiko
dengan misi kami, mengidentifikasi di mana kita dapat menerapkan kontrol atau
penanggulangan, dan menyediakan dasar untuk memutuskan bagaimana ancaman yang
ditimbulkan oleh masing-masing risiko akan berkurang. Kita dapat melakukan
upaya untuk menghilangkan semua risiko, tapi ini hampir tidak mungkin. Oleh
karena itu, kita harus menghubungkan masalah keamanan kita dengan nilai dari
informasi dan data yang berada pada IS kita, dan memusatkan sumber daya dan
upaya untuk mengurangi risiko yang terkait dengan isu-isu keamanan yang paling
mungkin mengancam aset kita.
mendefinisikan
Risiko
Sekarang kita
telah membahas secara rinci proses manajemen risiko, kita harus mendefinisikan
konsep ancaman dan kerentanan, dan bagaimana hal tersebut berhubungan dengan
risiko analisis. Identifikasi risiko melibatkan pemahaman ancaman dan kerentanan
terkait yang mungkin anda alami. Apa definisi risiko? Definisi klasik risiko
adalah:
Risiko = Ancaman
X Kerentanan
Kerentanan
didefinisikan sebagai suatu kelemahan dalam sebuah sistem yang bisa dimanfaatkan.
Anda telah mendengar hal ini sebelumnya. Sebuah kerentanan ditemukan dalam
layanan klien FTP XYZ yang jika dieksploitasi, bisa mengakibatkan kualahan
dalam pelindungan,atau semacamnya. Kerentanan adalah kenyataan bahwa klien FTP
memiliki cacat, kelemahan yang dapat menyebabkan kompromi sistem. Bahayanya
terletak pada kenyataan bahwa kerentanan tersembunyi ini ditemukan dan kemudian
tereksploitasi.
Ancaman adalah
setiap peristiwa yang dapat menyebabkan hasil yang tidak diinginkan. Ancaman
bisa menjadi eksploitasi kerentanan. Ancamannya adalah bahwa seseorang
benar-benar bisa memanfaatkan kelemahan ini dan melemahkan sistem Anda.
Identifikasi
potensi risiko bisa menjadi pekerjaan yang menakutkan. Kebanyakan setiap produk
teknologi - dari sistem operasi untuk aplikasi perangkat - memiliki kerentanan
terekam (dan tidak terekam) mereka sendiri. Misalnya, Anda mungkin menyadari
kerentanan terekam yang terkait dengan penggunaan Microsoft Internet
Information Server (IIS). Namun, sudahkah semua kerentanan diidentifikasi? Kita
bisa melindungi diri dari risiko yang kita ketahui tapi bagaimana dengan risiko
yang tidak kita ketahui keberadaannya? Anda sudah berada dalam risiko hanya
dengan mengetahui fakta bahwa sistem Anda terhubung ke Internet.
Variabel lain
yang harus dipertimbangkan dalam manajemen risiko adalah nilai dari aset. Aset
bisa berupa sumber daya, produk, proses, atau apa pun yang telah dianggap
memiliki nilai oleh perusahaan. Saat menghitung efek dari ancaman terhadap
aset, bisa jadi dalam hal kerugian keuangan, atau dalam hal hilangnya
kerahasiaan, integritas, atau ketersediaan terhadap aset tersebut. Nilai aset
bisa berwujud atau tidak berwujud, dan terdiri dari berbagai elemen yang
terkait dengan aset. Unsur-unsur dapat mencakup biaya pengembangan, nilai
penggantian, nilai kepemilikan, dan nilai publik yang dirasakan.
catatan
Kadang-kadang
Anda mungkin melihat resiko didefinisikan sebagai:
Risiko = Ancaman
x Kerentanan x nilai Aktiva
Dalam skenario
ini, kita memasukkan nilai aset sebagai variabel dalam persamaan kita. Ini berarti
bahwa ada faktor risiko yang lebih tinggi ketika nilai aset juga lebih tinggi.
Di sisi lain, saat nilai aset mendekati nol, tingkat risiko kita juga akan
mendekati nol. Nilai aset tidak selalu mengenai nilai moneter, tetapi bisa
menjadi nilai subyektif sebagai gantinya.
Manajemen Risiko
Pilihan
Sekarang Anda Setelah
mengidentifikasi berbagai risiko, langkah berikutnya adalah untuk memutuskan
apa yang akan Anda lakukan mengenai hal itu. Pilihan Anda adalah
• Menerima
resiko apa adanya.
• Mengurangi
atau mengurangi risiko.
• Transfer
risiko.
Menerima risiko
berarti bahwa Anda memahami risiko tetapi Anda bersedia untuk hidup dengan
konsekuensi tereksploitasinya resiko-resiko tersebut. Penerimaan Risiko adalah
pilihan yang benar - akan tetapi disertai dengan konsekuensi. Idealnya, Anda
ingin meredakan atau minimal, mengurangi risiko ke tingkat yang dapat diterima.
Tingkat risiko yang dapat diterima adalah subyektif - apa yang diterima oleh
seseorang mungkin tidak dapat diterima yang lain.
Apakah mungkin
untuk menghilangkan risiko sepenuhnya? Hal ini dimungkinkan, tapi sekali lagi,
berapa biayanya? Misalnya, jika situs internet e-commerce Anda beresiko terhack,
yang bisa Anda lakukan adalah menghubungkan server dari Internet, sehingga
menghilangkan risiko sepenuhnya. Tapi jika Anda melakukan itu, bagaimana
mungkin Anda melakukan bisnis? Jadi tujuannya adalah untuk mengurangi risiko ke
tingkat yang dapat diterima dan masih dapat menggunakan sistem seperti yang
Anda mau. Ada garis tipis antara menggabungkan kontrol keamanan yang cukup
untuk mengurangi (atau menghilangkan) risiko, versus kegunaan dari sistem.
Pilihan lain
adalah untuk mentransfer risiko. Hal ini juga dikenal sebagai pilihan model
asuransi. Dalam skenario ini, Anda menyerahkan risiko kepada pihak ketiga yang
menjamin Anda terhadap ancaman hingga batasan tertentu.
Contoh manajemen
risiko di dunia nyata
Mari kita lihat
apakah kita dapat menerapkan situasi kehidupan nyata lain untuk manajemen
risiko. Banyak orang mengendarai mobil untuk pergi bekerja, pergi ke sekolah,
atau mengajak keluarga untuk berkendara di hari Minggu yang cerah. Ada beberapa
risiko yang terlibat dengan mengemudi mobil. Terutama, kita berpikir tentang
kecelakaan mobil dan fakta bahwa ada risiko bahwa kita akan mengalami salah
satunya. Jika kita hanya menerapkan apa yang kita dilputi sehubungan dengan
manajemen risiko, kita dapat mengasumsikan bahwa kerentanan (kelemahan) adalah
kenyataan bahwa mobil kita bisa ditotal jika ditabrak mobil lain. Ancamannya
adalah kenyataan bahwa seseorang menabrak mobil kita. Oleh karena itu, risiko
adalah kelemahan kali ancaman seseorang benar-benar menabrak mobil kita. Jadi
apa pilihan kita? Nah, kebanyakan dari kita menerima kenyataan bahwa kita bisa
mengalami kecelakaan dan membeli asuransi untuk mentransfer risiko kepada orang
lain.
Pilihan lain
adalah mencoba untuk mengurangi risiko ke tingkat yang dapat diterima. Di sisi
yang lebih drastis, kita bisa memutuskan untuk tidak mengemudi lagi, sehingga
menghilangkan risiko mengalami kecelakaan. Apakah ini layak? Saya kira demikian,
tapi ada banyak pengorbanan pribadi jika kita mengambil pendekatan ini. Kita
bisa mengurangi risiko dengan mengemudi di sisi jalan yang jarang dilalui atau
mengemudi di jam-jam sepi. Namun, bersama setiap keputusan yang kita buat
mengenai mengurangi risiko datang pula pergeseran dalam cara normal kita
melakukan berbagai hal.
Manajemen Risiko
Pertanyaan
Untuk memutuskan
antara menerima, mengurangi, atau mentransfer resiko, kita perlu lebih memahami
risiko dan bagaimana hal itu mempengaruhi kita. Ketika mengevaluasi risiko,
akan sangat membantu untuk bertanya pada diri sendiri beberapa pertanyaan
kunci:
• Apa yang bisa
terjadi?
• Jika hal itu
terjadi, bisa menjadi seburuk apakah hal itu?
• Seberapa
sering hal itu bisa terjadi?
• Seberapa bisa
diandalkannya jawaban atas pertanyaan-pertanyaan di atas?
Jawaban atas
pertanyaan-pertanyaan ini membantu kita fokus pada ancaman yang sebenarnya dan
mendapatkan pemahaman yang lebih baik mengenai dampaknya jika ancaman tersebut
benar-benar terjadi. Pertanyaan pertama adalah bertanya kepada diri sendiri:
apa sebenarnya yang kita takutkan? Apakah ancaman yang sebenarnya? Apakah ancaman
tersebut sesuatu yang nyata? Dapatkah kita mendefinisikan ancaman stersebut secara
akurat?
Dan jika kita dapat
mendefinisikan ancaman, kerusakan apa yang bisa disebabkan? Seberapa besar kemungkinan
kerusakan? Misalnya, kerusakan bisa berupa apa saja mulai dari file rusak sampai
terhapusnya semua file penting. Dengan kata lain, apa dampak dari ancaman
tersebut?
Variabel lain
yang perlu dipertimbangkan adalah frekuensi ancaman. Seberapa sering ancaman
ini bisa terjadi? Apakah hanya sekali atau bisa terjadi lebih sering?
Pertanyaan terakhir
berhubungan dengan pengenalan ketidakpastian. Artinya, seberapa yakin Anda atas
jawaban untuk ketiga pertanyaan diatas? Dapatkah Anda memvalidasi dan
membuktikan jawaban Anda? Ini mungkin pertanyaan yang sulit dijawab, karena
mungkin akan sulit untuk melakukan perhitungan secara akurat mengenai risiko
kita pada sistem operasi atau program baru saat kerentanan baru terus-menerus
ditemukan.
Risiko
melibatkan ketidakpastian. Ambil contoh kasus pengoperasian server Web. Anda
tahu bahwa di dalam sebuah jaringan, server Web yang tidak memiliki patch dan tidak
terlindungi akan terancam. Ini mungkin tidak terjadi hari ini atau mungkin
tidak terjadi besok, tapi ini akan terjadi.
Kehadiran,
ketahanan, dan kekuatan dari ancaman, serta efektivitas pengamanan, harus
dipertimbangkan ketika menilai kemungkinan terjadnya ancaman.
Menghitung
Risiko.
Ekspektasi
kerugian tunggal dan ekspektasi kerugian tahunan
Ketika semua
sudah diutarakan dengan jelas, pada akhirnya, itu semua bermuara pada uang. Apa
yang akan dipertimbangkan oleh manajemen adalah, "Berapa banyak kerugian
finansial yang kita bisa tenerima dalam satu ancaman?" Jika database
perusahaan terganggu sedangkan database tersebut berisikan formula rahasia milik
anda (yang sangat berharga) untuk obat revolusioner Anda berikutnya,maka Anda
tidak akan membiarkan satu resikopun masuk ke dalam system anda yang mana
resiko tersebut mungkin mengarah pada tercurinya formula ini. Ingatlah
bahwasanya kita menyatakan bahwa risiko melibatkan ketidakpastian.
Ketidakpastian di sini adalah bahwa kita tidak bisa secara akurat menentukan
nilai pasti dari formula tersebut (mungkin hal ini menghasilkan jutaan dolar,
atau mungkin tidak menghasilkan uang sama sekali karena formula tersebut mungkin
tidak bekerja).
Ini semua
mengarah pada perhitungan Single Loss Expectancy atau SLE (Ekspektasi Rugi
Tunggal). SLE adalah nilai dolar yang ditetapkan untuk satu even. Artinya, itu
adalah kerugian organisasi dari sebuah peristiwa tunggal. Rumusnya adalah:
SLE = Nilai Aset ($) X Faktor Eksposur (EF)
Faktor Eksposur
(paparan) (EF) adalah persentase kerugian yang dapat dicapai oleh sebuah
ancaman terhadap asset. EF ini dinyatakan dalam 0 sampai 100% kerugian terhadap
aset. Sebagai contoh, jika sebuah bom nuklir yang meledak di sebuah kota kecil,
dan kota tersebut memiliki nilai 90 juta dolar, ekspektasi rugi tunggal (SLE)
akan menjadi 90 juta dolar, karena kita dapat mengasumsikan bahwa sebuah bom
nuklir akan menghasilkan kerugian 100%.
Apa yang terjadi
ketika peristiwa itu terjadi lebih dari sekali? Kita kemudian menghitung
Annualized Loss Expectancy (Ekspektasi Kerugian Tahunan) atau ALE. ALE adalah
kerugian keuangan tahunan yang diperkirakan dari ancaman tersebut.
Rumusnya adalah:
Ekspektasi Kerugian Tahunan = Ekspektasi
kerugian tunggal X Rata-rata kejadian tahunan (Annualized Rate of Occurrence
(ARO)
Annualized Rate
of Occurrence (ARO) atau rata-rata kejadian tahunan adalah frekuensi di mana perkiraan ancaman
diperkirakan terjadi. Nilainya dapat berkisar dari nol sampai dengan jumlah
besar. Kadang-kadang nilai ARO mudah untuk dihitung. Kadang sangat sulit untuk
dihitung, pada kenyataannya, sering kali jumlah ini menjadi faktor
ketidakpastian dalam perhitungan manajemen risiko.
Sebagai skenario
kasus nyata, bayangkan Anda perlu menghitung jumlah kerugian pendapatan karena
karyawan Anda. Surfing web selama jam kerja (tidak terkait dengan pekerjaan,
tentu saja). Kita mulai dengan menghitung SLE tersebut. Untuk ini kita perlu
nilai aset dan faktor eksposur. Jika 25 persen dari 1.000 karyawan Anda
membuang satu jam dari waktu mereka setiap minggu untuk surfing web dan biaya
per jam adalah $ 50, maka rumusnya menjadi:
SLE = $ 50/jam x
250 atau $ 12.500 per minggu
Biaya yang
signifikan. Jika kita ingin menghitung biaya tahunan, rumus menjadi:
ALE = $ 12.500 x
50 minggu (dengan asumsi liburan 2 minggu) atau $ 650.000 per tahun
Penilaian Risiko
Kualitatif vs Kuantitatif
Ada dua
pendekatan penilaian risiko: kualitatif dan kuantitatif. Dalam penilaian risiko
kuantitatif, kita mencoba untuk menetapkan nilai numerik obyektif, biasanya
nilai ini menggambarkan nilai kerugian moneter. Penilaian risiko kualitatif, di
sisi lain, lebih berkaitan dengan nilai-nilai intangible, dan berfokus pada
variabel dan bukan hanya pada kerugian moneter.
Penilaian risiko
kualitatif jauh lebih mudah untuk dilakukan dan dapat mengidentifikasi daerah
berisiko tinggi. Misalnya, Anda perlu melakukan penilaian risiko untuk
menentukan dampak dari menginstal jalur akses LAN nirkabel dalam organisasi
Anda. Hal yang pertama adalah untuk menentukan kerentanan, ancaman, dan juga risiko
menggunakan LAN nirkabel. Kemudian Anda menentukan apakah risiko tersebut
berlaku untuk organisasi Anda dan menentukan kemungkinan bahwa Anda beresiko.
Salah satu risiko menggunakan LAN nirkabel adalah kemungkinan seseorang
mengendus lalu lintas jaringan nirkabel, dan jalur akses yang salah konfigurasi
dapat memungkinkan koneksi klien nakal. Ini adalah resiko yang nyata yang perlu
ditangani. Dapatkah Anda menempatkan nilai moneter terhadap risiko-risiko ini?
Jika seseorang terhubung ke jaringan Anda melalui jalur akses terbuka, berapa
banyak perusahaan anda akan kehilangan biaya dalam pendapatannya?
Seperti yang
dapat Anda lihat dari contoh ini, analisis risiko kuantitatif dalam situasi ini
tidak cukup bekerja. Pendekatan kualitatif jauh lebih baik, karena kita bisa
sampai pada hasil yang lebih subjektif. Dalam penilaian risiko kualitatif,
hasilnya biasanya dikategorikan sebagai rendah, sedang, atau risiko tinggi
kejadian. Seseorang mengoperasikan jalur akses LAN nirkabel di rumah di pedesaan,
di mana tetangga terdekat berjarak 5 mil, maka risiko akan adanya seseorang
yang mencoba untuk masuk ke jaringannya sangat rendah. Sebuah perusahaan di
tengah-tengah taman berteknologi tinggi, dengan jalur akses yang memungkinkan
koneksi nakal, memiliki risiko tinggi.
Penilaian risiko
kuantitatif adalah alat bisnis yang jauh lebih berharga, karena ia bekerja
dalam system metrik - biasanya dalam
dolar. Dan biaya total dalam dolar adalah yang dicari oleh manajemen ketika
manajemen mencoba untuk memahami implikasi tentang bagaimana sebuah risiko
dapat mempengaruhi organisasi.
Praktek
Penilaian Risiko Terbaik
Salah satu masalah
yang dihadapi oleh organisasi adalah bahwa sistem administrasi adalah pekerjaan
financial yang tinggi, terutama dalam organisasi besar. Selain itu, kebanyakan
system administrator banyak memfokuskan pada “kereta datang tepat waktu”
(berhubungan dengan dedline). Ini berarti bahwa mereka berkonsentrasi pada
sistem operasi dengan benar, dan menghadapi situasi darurat yang muncul.
Sayangnya, ini berarti bahwa mereka tidak dapat melihat gambaran yang lebih
besar. Mereka mungkin tidak dapat menerapkan perbaikan atau penambalan yang
diperlukan karena ini akan memungkinkan untuk diberhentikannya system untuk
jangka waktu tertentu, dan hal ini mungkin dianggap tidak dapat diterima.
Selain itu, konfigurasi keamanan yang efektif mungkin tidak dapat dipahami.
Artinya, seorang administrator sistem mungkin menginstal dan mengelola server
Microsoft IIS tetapi tidak sepenuhnya memahami semua masalah keamanan
konfigurasi. Ada juga masalah bahwa kerentanan baru sedang terekspos setiap
hari. Bertahan dengan kerentanan berakhir menjadi pekerjaan penuh-waktu.
Bayangkan memiliki jaringan yang terdiri dari beberapa server yang menjalankan
Windows 2000 Advanced Server dan Sun Solaris. Selanjutnya, tambahkan Windows
2000 workstation dan beberapa system Linux Red Hat. Sekarang bayangkan
memastikan bahwa sistem ini dikonfigurasi dengan benar untuk keamanan yang
optimal, dan Anda juga harus menguji setiap sistem untuk memastikan bahwa itu
benar-benar terjamin. Sekarang tambahkan fakta bahwa kerentanan baru ditemukan
hampir setiap hari. Bagaimana Anda tetap bertahan? Bagaimana Anda mempertahankan
konfigurasi keamanan tingkat-tinggi? Pengujian manual untuk kelemahan sistem
adalah proses yang panjang dan sulit.
Sebuah praktik
penilaian risiko yang terbaik dapat membantu sebuah organisasi yang tidak
memiliki kemampuan sendiri untuk melakukan penilaian risiko yang lebih formal.
Jenis penilaian risiko didasarkan pada checklist, dibangun oleh konsensus dari
berbagai keamanan profesional. Alat otomatis yang baru membuat penilaian risiko
menjadi sederhana dan mudah untuk dilakukan oleh kebnyakan administrator sistem.
Sumber daya
apakah yang dapat membantu Anda menentukan konfigurasi aman terbaik untuk
berbagai sistem Anda? Tidak ada organisasi tunggal atau orang yang kemungkinan
akan menghasilkan rekomendasi praktik terbaik. Artinya, mungkin seseorang
memiliki ide yang cukup bagus tentang bagaimana mengamankan sistem Windows 2000
tetapi orang ini ahli definitif pada subjek? Apakah rekomendasi mereka solusi
terbaik untuk lingkungan spesifik Anda? Bahkan rekomendasi dari sebuah
perusahaan harus diperhatikan dengan seksama. Sebuah perusahaan tunggal mungkin
tidak melihat masalah (dan solusi) dari perspektif yang berbeda. Pendekatan
yang lebih baik adalah memiliki banyak organisasi berpartisipasi dalam
pengembangan rekomendasi ini. Dengan cara ini, rekomendasi termasuk masukan
dari berbagai industri dan dari orang-orang dengan pengalaman yang beragam. Ada
banyak sampel berbasis konsensus rekomendasi praktik terbaik.
The Center for
Internet Security
Pusat Internet
Security (CIS), www.cisecurity.org, mengembangkan alat untuk melakukan
penilaian terhadap sistem Windows 2000. Alat CIS, ditampilkan dalam slide,
dapat digunakan untuk memindai Windows 2000 sistem dan membandingkan pengaturan
konfigurasi dengan konfigurasi template berbasis konsensus. Alat CIS akan
memberikan skor pada seberapa baik sistem dikonfigurasi. Misalnya, alat akan
membiarkan Anda tahu jika Anda tidak memiliki paket layanan terbaru diinstal
atau jika Anda kehilangan perbaikan terbaru. Sistem administrator kemudian
dapat men-download patch yang sesuai, dan scan ulang sistem untuk menentukan
apakah skor keseluruhan telah membaik. Beberapa perbaikan untuk konfigurasi
default mungkin mengambil beberapa pekerjaan. Mungkin Anda akan perlu untuk
membuat modifikasi pada Kebijakan Keamanan Lokal atau bahkan membuat perubahan
langsung ke Registry. CIS alat yang tersedia untuk Windows NT, Solaris, Linux,
dan HP-UX. Windows XP dan Windows 2003 tidak didukung pada saat penulisan ini.
Langkah-demi-Langkah
FORESEC Guides
Proyek lain
praktik konfigurasi terbaik adalah Langkah-demi-Langkah FORESEC panduan.
Panduan ini merupakan kompilasi masukan dari banyak ahli dalam organisasi yang
berbeda. Misalnya, Windows Mengamankan 2000 panduan memiliki masukan dari
komersial, pemerintah, dan lembaga pendidikan.
Daftar-pembanding
cara lain untuk memastikan pekerjaan dilakukan dengan benar. Pendekatan
checklist ini dirancang untuk dua orang. Satu orang melakukan cek dan orang
lain double-memeriksa pekerjaan. Teknik pemeriksaan dan double-check adalah
penting untuk pengetahuan berbasis penilaian risiko. Satu orang yang tahu
keamanan dan risiko pada umumnya, dan lain yang tahu teknologi yang spesifik,
membuat tim yang ideal dengan pemilik sistem.
Kasus Bisnis
untuk Manajemen Risiko
Itu semua pada
akhirnya bermuara untuk membuat presentasi kepada manajemen dan kebutuhan untuk
menyampaikan gambaran besar. Hal ini tidak cukup untuk memahami teknologi inti kita
gunakan untuk kita penanggulangan kontrol - host dan jaringan berbasis sistem
deteksi intrusi, scanner kerentanan, honeypots, dan firewall. Pertanyaannya
adalah, bisa Anda menunjukkan kepada mereka bagaimana teknologi bekerja sama
untuk menghasilkan hasil yang dibutuhkan?
Setiap
perusahaan akan memiliki kebutuhan yang berbeda dan harapan yang beragam.
Sebuah lembaga keuangan memiliki prioritas yang berbeda dari sebuah organisasi
militer. Aset berharga Sebuah perusahaan farmasi bisa menjadi formula untuk
obat baru. Sebuah aset lembaga keuangan yang bisa menjadi klien daftar dan
nomor rekening. Setiap orang memiliki sesuatu yang berbeda untuk melindungi dan
toleransi yang berbeda terhadap risiko. Sangat menarik untuk dicatat bahwa bank
kehilangan uang dalam jumlah besar setiap tahun dan tidak dapat menjelaskan
bagaimana menghilang. Tapi untuk bank, kehilangan $ 1 juta per tahun tidak
mungkin menjadi masalah besar. Bagi mereka, ini merupakan tingkat risiko yang
dapat diterima dan ditoleransi - biaya melakukan bisnis.
Bisnis Kasus
untuk Penilaian Risiko
Sekarang kita
telah memperkenalkan proses penilaian risiko dasar, mari kita menerapkan proses
ini untuk kasus bisnis untuk sistem deteksi intrusi. Pertama, mari kita
mempertimbangkan skenario yang berbeda kita mungkin akan bekerja sama dengan:
• Organisasi
tidak memiliki deteksi intrusi, dan Anda sedang melakukan presentasi kasus
untuk menambahkan kemampuan ini.
• Organisasi
memiliki sistem deteksi intrusi dasar, dan Anda mungkin merekomendasikan
upgrade sistem.
• Organisasi
memiliki sistem deteksi intrusi pemantauan pusat, dan Anda sedang melakukan
presentasi kasus untuk kemampuan departemen.
Salah satu
masalah yang mungkin Anda hadapi adalah bahwa banyak manajer yang tidak nyaman
saat berhadapan dengan data aktual mengenai serangan dan kerentanan. Mereka
jelas akan melihat ini sebagai suatu kelemahan pada bagian mereka untuk
melakukan pekerjaan mereka. Bahkan sebagai konsultan luar Anda mungkin
menghadapi hambatan yang sama. Bahkan, sebagai konsultan, Anda mungkin merasa
banyak resistensi, bahkan dari administrator sistem. Hal ini karena mereka
mungkin merasa bahwa Anda akan menunjukkan manajemen bahwa mereka belum
melakukan pekerjaan mereka secara memadai.
Hal ini juga
bisa terjadi bahwa manajer hanya tidak memahami keparahan situasi. Mereka
mungkin tidak benar-benar percaya bahwa ada masalah. Jika Anda tidak dapat
memberikan bukti bahwa sistem mereka beresiko, maka akan sulit untuk meyakinkan
mereka untuk menghabiskan dana tambahan untuk penanggulangan Anda akan
merekomendasikan. Anda sering dapat menggunakan sumber yang ada data, seperti
log firewall dan sistem, untuk pembiayaan meningkatkan deteksi intrusi tambahan
dengan menunjukkan mereka "pistol merokok."
Para Vektor
Ancaman
Dengan
menggunakan daftar ancaman vektor kita dapat mengidentifikasi peluang yang
memungkinkan serangan dan karena itu memahami bagaimana untuk membela melawan
mereka. Seperti yang kita mempertimbangkan sumber daya informasi yang dapat
terancam oleh vektor ini, kita sekarang dapat fokus pada masalah. Setelah kita
memahami masalah, kita dapat lebih fokus pada penanggulangan yang efektif.
Daftar vektor
ancaman didefinisikan sebagai:
• Outsider
serangan dari jaringan
• Outsider
serangan dari telepon
• Insider
serangan dari jaringan lokal
• Insider
serangan dari sistem lokal
• Serangan dari
kode berbahaya
Mari kita
menggali lebih dalam ke dalam vektor untuk lebih memahami apa yang kita hadapi.
Serangan
Outsider - Internet
Serangan yang
datang dari luar ke jaringan internal Anda dari Internet telah didokumentasikan
dengan baik. Beberapa sumber terbaik untuk informasi mengenai eksploitasi dari
Internet adalah situs-situs seperti www.antionline.com. Pada situs ini Anda
dapat mempelajari lebih lanjut tentang kemungkinan ancaman ke jaringan Anda.
Kita harap Anda
telah menerapkan firewall dan sistem deteksi intrusi. Jika Anda memiliki,
sumber terbaik informasi tentang apa yang akan datang ke dalam sistem Anda
adalah log firewall. Jika Anda tidak memiliki sistem deteksi intrusi, Anda
mungkin ingin mencoba satu untuk satu bulan atau lebih. Tempatkan IDS di DMZ
Anda selama beberapa hari dan semuanya log. Log ini akan memberitahu Anda
tentang ancaman yang sebenarnya ditujukan terhadap situs Anda.
catatan
Aku ingat
situasi pertama di mana saya menginstal firewall pribadi di laptop saya. Suatu
hari saya tinggal di sebuah hotel di Florida yang memiliki akses internet. Aku
menyalakan fitur log pada firewall saya karena saya penasaran untuk melihat
apakah ada orang akan berusaha untuk masuk ke dalam sistem saya setelah
terhubung ke jaringan hotel. Saya tidak online selama lebih dari 5 menit ketika
firewall saya mulai berbunyi pada saya. Melihat log saya menemukan bahwa
komputer lain sedang berusaha untuk melakukan scan jaringan! Sayangnya, saya
tidak menempatkan firewall pada setting tertinggi - mode siluman. Jadi mereka
bisa melihat saya di jaringan. Saya segera dikonfigurasi sehingga aku
benar-benar tersembunyi dari pandangan jaringan, dan menambahkan mesin mencoba
untuk memindai saya ke daftar alamat IP yang diblokir. "