BAB IV PEMBAHASAN BAB IV PEMBAHASAN
4.1 Latar Belakang Pembahasan Dalam melakukan penilaian risiko, data diperoleh dengan cara mengumpulkan dokumen, wawancara dengan staf, serta melakukan observasi langsung pada Divisi IT Security. Berdasarkan NIST SP800-30 ada 9 tahapan yang dilakukan dalam penilaian risiko yaitu : 1. Karakterisasi sistem 2. Identifikasi ancaman 3. Identifikasi kerentanan 4. Analisa kontrol 5. Penentuan kemungkinan 6. Analisa dampak 7. Penentuan risiko 8. Rekomendasi kontrol 9. Dokumentasi hasil Berdasarkan hasil wawancara dengan staf Divisi IT Security (Lampiran 2) diketahui ancaman terbesar yang terjadi dari tahun 2010 sampai Februari 2012 adalah Denial of Service (DoS), Virus dan Worm, serta Unauthorized Access. Event yang terjadi berupa kategori tersebut cukup banyak walaupun sampai saat ini masih dapat diblokir oleh tools-tools IT Security yang dimiliki.
31
32
4.2 Penilaian Risiko Penilaian risiko merupakan proses pertama dalam manajemen risiko. Sembilan tahapan dalam proses penilaian risiko adalah sebagai berikut.
4.2.1 Karakterisasi Sistem (System Characterization) Pada penilaian risiko sistem informasi, tahap pertama yang dilakukan yaitu dengan menjelaskan informasi yang berhubungan dengan sistem yang digunakan untuk mengkarakterisasi sistem TI dan perusahaan. Untuk perangkat keras (hardware), sistem operasi, dan aplikasi yang tertera mengacu pada Dokumen List Aset Divisi IT Security, 2011 (Lampiran 1). Tabel 1 merupakan daftar hardware yang dimiliki oleh Divisi IT Security, Tabel 2 merupakan daftar sistem operasi, dan Tabel 3 merupakan daftar aplikasi yang digunakan untuk kegiatan operasional. Tabel 1. Daftar Hardware Divisi IT Security Jenis Server Router
Switch
Firewall
IPS IDM Server Proxy Gateway Mail Gateway
Tipe IBM X3650 IBM X3250 Cisco VPN 3000 Concentrator Cisco 2800 Series Juniper M10i Cisco Catalyst 2960 Series Cisco Catalyst 3560 Series Switches Extreme 6800 series Radware AppDirector Check Point Firewall Netscreen ISG 2000 Cisco ASA 5500 Series Proventia IPS Ironport Web Ironport Mail
Jumlah (unit) 81 5
6
6 22 10 4 4
33
Tabel 2. Daftar Sistem Operasi Divisi IT Security Jumlah Sistem Operasi (unit) 3 Window server 2003, enterprise (32 bit) 1 Window server 2008, enterprise (64 bit) 2 Windows Server 2008 Standard 7 Windows Server 2008 R2 Standard 37 Windows Server 2003 R2 8 Windows Server 2008 32 bit 2 Windows Server 2003 R2 64 bit 1 ESXi 20 Linux Redhat Enterprise Server 5.5 64BIT 10 Windows Server 2003 8 Solaris Tabel 3. Daftar Aplikasi Divisi IT Security Jumlah (unit) Aplikasi Log Processing, IT Security 1 Pooling Log SOC 1 Firewall SmartConsole 1 SEP Server 1 IPS Application (Site Protector IPS) 1 Database IPS 1 Collector IPS 3 Primary DNS External xyz.com 1 Secondary DNS External xyz.com 1 Firewall Perimeter 3 Mail Gateway 2 Web Gateway 2 Router 2 VPN Gateway 2 IPS G1200 2 IPS G400 5 IPS GX4002 10 Firewall Datacenter 2 NTP 1 Radius 1 VPN WLAN 1 C2960G L2 Switch 1
34
Jumlah (unit) 1 2 8
Aplikasi C3560G L2 Switch Loadbalancer proxy SEP-Desktop
Gambar 8 merupakan gambaran topologi jaringan dari aset yang dimiliki oleh Divisi IT Security. Semua server yang dimiliki oleh Divisi IT Security berada di daerah data center dimana setiap akses yang masuk difilter oleh firewall. Sebelum melewati firewall, terdapat IPS (Intrusion Prevention System) yang memiliki kemampuan untuk melakukan pencegahan secara proaktif dalam jaringan terhadap gangguan yang sering atau pernah terjadi. Fungsi utama dari router adalah sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya. Agar seluruh regional dapat melakukan pertukaran informasi maka router yang ditempatkan di kantor pusat PT. XYZ. Pada wilayah DMZ terdapat switch yang berfungsi sebagai load balancer, sebagai penghubung IPS dengan IDS (Intrusion Detection System), serta untuk mengatur koneksi apabila salah satunya ada yang down. Selain itu juga terdapat firewall dan IPS yang menfilter Internet sebelum masuk ke lokal jaringan PT. XYZ.
35
Gambar 8. Topologi Jaringan Divisi IT Security
36
User-user yang mendukung penggunaan sistem IT pada Divisi IT Security meliputi: a. Kepala divisi b. Manager c. IT Network Sistem Expert d. IT Security Officer e. Application Support Operator f. Tim Security Operation Center (SOC) g. Tim Antivirus h. Tim Identity Management (IDM) Gambar 9 adalah struktur organisasi dari Divisi IT Security PT. XYZ. Kepala divisi membawahi Manager Security Response dan IT Network System Expert. Manager Security Response membawahi Application Support Operator dan IT Security Officer. Tim IDM berada dibawah IT Security Officer. Sementara tim Antivirus dan tim SOC berada dibawah IT Network System Expert.
37
Gambar 9. Struktur Organisasi Divisi IT Security
4.2.2 Identifikasi Ancaman (Threat Identification) Sumber ancaman adalah keadaan atau peristiwa yang memiliki potensi untuk menyebabkan kerusakan pada sistem TI. Untuk sumber ancaman – ancaman keamanan informasi, Divisi IT Security melakukan monitoring selama 24 jam sehari 7 hari dalam seminggu. Data hasil monitoring kemudian dapat diakses melalui portal internal. Berdasarkan portal tersebut didapat data jumlah event terhadap perangkatperangkat yang dimiliki oleh PT.XYZ. Pada Gambar 10 terlihat kategori event terbesar dari tahun 2010 sampai Februari 2012 berupa denial of service (DoS). Pada tahun 2010 event kedua terbanyak berupa unauthorized access attempt. Sedangkan pada
38
tahun 2011 dan 2012 jenis event kedua terbanyak setelah DoS adalah worm/virus diikuti dengan kategori protocol signature dan network. Data pada Gambar 10 dan Gambar 11 terdapat pada Lampiran 2.
Gambar 10. Kategori Event Terdeteksi pada Perangkat
Gambar 11. Virus Terdeteksi pada Server dan Workstation
39
Gambar 11 merupakan grafik virus yang terdeteksi pada server dan workstation. PT. XYZ menggunakan antivirus Symantec Enterprise. Berdasarkan gambar terlihat virus yang terdeteksi pada workstation lebih banyak daripada yang terdeteksi pada server. Hal ini disebabkan karena pertukaran data pada server dibatasi dan juga akses menuju ke server akan difilter oleh firewall, antivirus, dan tools security lainnya. Sementara untuk data insiden dapat dilihat pada Lampiran 10dimana terdapat 1348 insiden yang terjadi pada tahun 2010 - Februari 2012. Tabel 4 merupakan ancaman yang diidentifikasi berdasarkan 3 event terbesar pada Divisi IT Security.
Ancaman Denial of Service
Virus/Worm
Unauthorized Access
Tabel 4. Identifikasi Ancaman Sumber Ancaman Aksi Ancaman Hacker ‐ Menggunakan semua bandwidth dengan mengirimkan traffic yang besar ke jaringan ‐ Mengkonsumsi disk space yang ada dengan menciptakan file yang besar ukurannya ‐ Mengirim permintaan ilegal untuk sebuah aplikasi sehingga menyebabkan crash ‐ Membuat banyak sesi login ke dalam server sehingga user lain tidak dapat melakukan login Internal perusahaan (ka- ‐ Menyisipi attachment pada ryawan) email ‐ Menginfeksi file dokumen perusahaan ‐ Membanjiri dan meningkatkan peggunaan network ‐ Membuka backdoor pada komputer Pihak ketiga ‐ Defacing pada website (vendor, eks-karyawan), ‐ Mengkopi data sensitif
40
Ancaman
Sumber Ancaman Industrial espionage ‐ ‐ ‐
Aksi Ancaman perusahaan Melakukan remote pada server tanpa authorisasi Menebak atau mencuri username dan password Mengakses workstation tanpa izin
4.2.3 Identifikasi Kerentanan (Vulnerability Identification) Analisis ancaman terhadap sistem TI harus mencakup analisis kerentanan yang terkait dengan sistem. Tujuan dari tahap ini adalah untuk mengembangkan daftar kerentanan sistem (cacat atau kelemahan) yang dapat dieksploitasi oleh sumber ancaman potensial. Tabel 5 merupakan hasil identifikasi kerentanan yang terdapat pada Divisi IT Security berdasarkan hasil wawancara. Tabel 5. Identifikasi Kerentanan Kerentanan Sumber Ancaman disisipi pada ‐ Instalasi software yang Virus tidak berhubungan dengan software kegiatan operasional. ‐ Pertukaran data antar ja- Umumnya sumber ‐ ringan maupun removable penyebaran virus terdapat pada removable media media (flashdisk, external ‐ hardisk) Karyawan yang ceroboh Human error ‐ ‐ ‐ Sistem ID Karyawan yang Unauthorized user oleh ‐
Aksi Ancaman Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan. Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan. Terjadinya pengubahan data Perusahaan Terjadinya perubahan parameter pada sistem Data menjadi tidak valid Menyusup kedalam sistem
41
Kerentanan Sumber Ancaman telah berhenti belum karyawan yang berhenti dihapus dari sistem Penggunaan account root Unauthorized oleh vendor pada saat fase vendor development
user
Aksi Ancaman secara ilegal ‐ Mengakses data milik perusahaan oleh ‐ Menyusup kedalam sistem secara ilegal ‐ Mengakses data milik perusahaan
Untuk mengetahui kerentanan terhadap sistem maka dilakukan juga vulnerability assessment dengan menggunakan tools berupa Nessus Vulnerability Scanner. Mulai dari tahun 2010 sampai 2012 terjadi penambahan IP address yang diassessment. Dimana setiap IP address merepresentasikan sistem atau aplikasi yang dimiliki oleh Divisi IT Security. Pada tahun 2010 terdapat 50 IP address, tahun 2011 terdapat 115 IP address, dan tahun 2012 terdapat 133 IP address. Gambar 12 merupakan data hasil vulnerability assessment yang dilakukan selama tiga tahun terakhir sesuai data pada Lampiran 2.
Gambar 12. Grafik Vulnerability Assessment terhadap Aplikasi
42
Untuk tingkat kerentanan dari hasil identifikasi kerentanan diatas dapat didefinisikan pada Tabel 6, sebagai berikut :
Tingkat Kerentanan Tinggi
Tabel 6. Tingkat Kerentanan Sistem Karakteristik ‐ ‐ ‐ ‐ ‐
Sedang
‐ ‐ ‐
Memungkinkan penyerang dapat menjalankan perintah sebagai user lain Memungkinkan penyerang dapat mengakses data diluar akses yang diperbolehkan Memungkinkan penyerang untuk berperan sebagai user/entitas lain Memungkinkan penyerang melakukan aksi DoS Memungkinkan penyerang menguasai/mengendalikan sistem sepenuhnya Memungkinkan penyerang mengumpulkan data Memungkinkan penyerang menyembunyikan event/aktifitasnya Sebagai titik awal penyerang mendapatkan akses ke suatu sistem/data
‐
‐
‐ ‐
‐
Rendah
‐
Informasi awal yang didapat oleh ‐ penyerang sebelum mendapatkan ‐ informasi yang menyeluruh. ‐ ‐
Contoh Root account, admin account, sys account menggunakan password yang lemah Versi dari software belum terupdate dengan versi yang terbaru
Menggunakan Sertifikat SSL yang tidak terdaftar Adanya kelemahan pada pengaturan protokol remote desktop yang memungkinkan terjadinya penyalahgunaan akses Konfigurasi dari software yang menyebabkan terbukanya informasi sensitif Port yang terbuka Deteksi service Identifikasi sistem operasi Deteksi versi
43
4.2.4 Analisis Pengendalian (Control Analysis) Untuk mengetahui kontrol yang digunakan dalam penanganan insiden terkait dengan tiga insiden teratas pada Divisi IT Security maka dilakukan pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4). Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 7, Tabel 8, Tabel 9, dan Tabel 10 merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner.
Tahap Pencegahan
Tabel 7. Kontrol untuk Pencegahan Insiden Kontrol ‐ Dilakukan update antivirus minimal 3 kali sehari ‐ Dilakukan vulnerability assessment terhadap semua sistem yang dimiliki secara periodik ‐ Konfigurasi pada jaringan dengan memfilter trafik yang masuk ‐ Dilakukan monitoring selama 24 jam, 7 hari seminggu terhadap ancaman yang terjadi pada sistem
Tabel 8. Kontrol untuk Penanganan Insiden Secara Umum Tahap Kontrol Deteksi dan analisa ‐ Mengetahui insiden telah terjadi ‐ Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada ‐ Melakukan pengkajian ‐ Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. ‐ Mengklasifikasi insiden menggunakan beberapa kategori yang ada
Tabel 9. Kontrol untuk Penanganan Insiden Denial of Service Tahap Kontrol Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapu‐ Memperoleh, mempertahankan, mengamankan,
44
Tahap san, dan Pemulihan ‐ ‐ ‐ Kegiatan Pasca Insiden
‐
Kontrol dan mendokumentasi bukti yang ada. Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Membuat laporan lanjutan
Tabel 10. Kontrol untuk Penanganan Unauthorized access Tahap Kontrol Deteksi dan analisa ‐ Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapu‐ Memperoleh, mempertahankan, mengamankan, san, dan Pemulihan dan mendokumentasi bukti yang ada. ‐ Mengkonfirmasi penahanan kejadian ‐ Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi) ‐ Melaksanakan tindakan penahanan tambahan jika perlu ‐ Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. ‐ Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal ‐ Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden ‐ Membuat laporan lanjutan
Tabel 11. Kontrol untuk Penanganan Virus/worm
45
Tahap Deteksi dan analisa
‐ ‐
Penahanan, Penghapusan, dan Pemulihan
‐ ‐ ‐ ‐ ‐ ‐
Kegiatan Pasca Insiden
Kontrol Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Mengidentifikasi sistem yang terinfeksi Apabila diperlukan, halangi mekanisme transmisi untuk malicious code Disinfeksi, mengkarantina, menghapus, dan mengganti file yang terinfeksi Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. -
4.2.5 Penentuan Kemungkinan (Likelihood Determination) Penentuan potensi kerentanan dapat mendatangkan ancaman dapat dikategorikan ke dalam tingkat tinggi, sedang, dan rendah. Faktor yang menjadi bahan pertimbangan antara lain : a. Motivasi dan kapabilitas sumber ancaman b. Sifat kerentanan c. Keberadaan dan efektifitas kontrol saat ini
Tabel 12. Kategori Kemungkinan Terjadi Skor
Kategori Ke-
Indikator
Keterangan
46
mungkinan Kejadian
3
2
1
Tinggi
Sedang
Rendah
Kemungkinan terjadi ≥1 kali dalam satu kuartal
Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, hal ini terjadi karena pengendalian untuk mencegah kerentanan yang dilakukan tidak efektif atau masih kurang.
Kemungkinan terjadi < 4 kali dalam setahun
Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan masih bisa melakukan kontrol yang mungkin dapat menghambat keberhasilan dari kerentanan.
Kemungkinan terjadi < 1 kali setahun
Sumber ancaman mempunyai motivasi rendah, kontrol digunakan dapat mencegah atau secara signifikan mengurangi suatu kerentanan yang akan terjadi.
4.2.6 Analisa Dampak (Impact Analysis) Tahap selanjutnya dari penilaian risiko adalah menentukan dampak yang terjadi ketika ancaman terhadap kerentanan yang ada berhasil dieksploitasi. Penilaian dampak didasarkan pada pertimbangan kepekaan dan kekritisan aset informasi yang ada. Dampak akibat suatu insiden merupakan hal yang merugikan dari salah satu atau beberapa 3 prinsip dasar keamanan yaitu integritas, ketersediaan, dan kerahasiaan. Berdasarkan wawancara dan dokumen IT Helpdesk Incident Management Policy and Procedure (Lampiran 9), dampak terjadinya insiden dapat dikategorikan menjadi tiga, yaitu besar, sedang, dan kecil. Tingkat dampak terjadinya insiden beserta indikatornya dapat dilihat pada Tabel 12.
47
Skor
Tabel 13. Kategori Dampak Indikator
Tingkat Dampak • •
3
Tinggi
• •
• • 2
Sedang
• • •
Insiden melibatkan manajemen tingkat atas PT. XYZ, seperti Kepala Grup/Kepala Divisi Pengguna yang terkena gangguan ≥ satu divisi Resolution time paling lambat 24 jam Merupakan aplikasi yang berhubungan dengan revenue generator Insiden menyebabkan informasi • atau data yang mendukung kegiatan operasional tidak tersedia Pengguna yang terkena gang- • guan 1 departemen Potensi dan mungkin menjadi • sorotan publik Mempengaruhi kegiatan operasional dan berkaitan dengan servis/layanan Resolution time 48 jam
Keterangan • • •
Kehilangan kepercayaan publik mengenai produk dan layanan perusahaan Ketidaknyamanan terhadap pelanggan ≥ 24 jam Direct loss > Rp. 100.000.000
Reputasi terkena dampak buruk dan dibutuhkan usaha dan biaya untuk perbaikan Ketidaknyamanan terhadap pelanggan ≥ 6 jam Direct loss antara Rp. 1.000.000 – Rp. 100.000.000
•
1
Insiden menyebabkan ketidak- • Reputasi sedikit terpenganyamanan, gangguan, atau keruruh, dapat diabaikan. sakan yang tidak disengaja oleh • Ketidaknyamanan terhadap pengguna atau tingkat adminispelanggan ≤ 2 jam trator dan berdampak minor pa- • Direct loss ≤ Rp. 1.000.000 da sistem Rendah • Pengguna yang terkena gangguan ≤ 5 orang • Mempengaruhi kegiatan supporting operasional • Tidak urgent Kerugian biaya sebagai bagian dari dampak risiko akibat terjadinya insiden,
dilakukan dengan mempertimbangkan beberapa variabel quantifiable yang relevan
48
dengan dampak terjadinya insiden yaitu biaya perbaikan waktu kerja karyawan, dan jumlah karyawan yang terkena dampak insiden. Salah satu contoh estimasi kerugian yang dapat disajikan, berupa direct loss adalah:
Aplikasi i-SEV merupakan aplikasi elektronik voucher PT. XYZ untuk
melakukan top up pulsa yang ditembakkan langsung ke nomer pelanggan. Aplikasi ini merupakan salah satu aplikasi perting sebagai aplikasi revenue generator bagi PT. XYZ. Rata-rata transaksi yang berlangsung per hari nya mencapai ±3000 untuk seluruh Indonesia. Apabila terjadi serangan DoS atau Virus yang dapat menyebabkan terjadi nya system down dalam kurun waktu 24 jam, dengan asumsi rata-rata pulsa yang diisi Rp. 50.000 per transaksi. Jumlah transaksi perhari dikali rata-rata pengisian pulsa. Maka estimasi total kerugian yang dialami PT. XYZ sebesar Rp. 150 juta.
4.2.7 Penentuan Risiko (Risk Determination) Berdasarkan tingkat risiko ini dapat ditentukan jenis perlakuan atau tindakan yang harus dilakukan. Mengacu pada wawancara pada Lampiran 3, kategori tingkat risiko dapat dilihat pada Tabel 14.
Skor
7-9
Tingkat Risiko
Tinggi
Tabel 14. Tingkat Risiko Deskripsi Tindakan yang diperlukan ‐ Penyerang telah berhasil ‐ Risiko harus mendapat permengeksploitasi lakuan berupa perbaikan kerentanan keamanan dan tindakan korektif terhajaringan. dap kontrol sesegera mungkin. ‐ Memungkinkan penyerang ‐ Sistem yang ada mungkin untuk mendapatkan akses dapat beroperasi, namun remote ke jaringan atau tindakan korektif sangat sistem. krusial dibutuhkan.
49
Skor
Tingkat Risiko
Deskripsi
Tindakan yang diperlukan
‐ Memungkinkan penyerang dapat memperoleh akses administratif untuk sistem tersebut.
4-6
1-3
Sedang
Rendah
‐ Penyerang meluncurkan ‐ Risiko harus mendapat perserangan baik secara lakuan untuk perbaikan, manual atau menggunakan mencegah, dan menguranalat otomatis, tetapi ginya. serangan itu tidak berhasil. ‐ Dapat diberikan tambahan kontrol yang sesuai dalam ‐ Serangan dilakukan dengan menggunakan jangka waktu yang wajar. program atau teknik eksploitasi terhadap aplikasi rentan atau jasa di jaringan. ‐ Tidak ada ancaman ‐ Risiko dapat diterima tunggal dengan ‐ Untuk kedepannya akan dikerahasiaan, integritas dan lakukan eskalasi lebih lanjut ketersediaan aset terhadap kontrol. informasi.
Tabel 15 menggambarkan risiko-risiko yang mungkin terjadi akibat adanya ancaman pada tahap Identifikasi Ancaman, besarnya risiko, dan kontrol yang ada pada saat ini.
50
Tabel 15. Analisa Risiko Risiko
Tingkat Dampak (1-3) 2
Ancaman
Dampak
Virus/worm
• Kinerja jaringan lambat • Pertukaran informasi terganggu • Produktivitas karyawan berkurang
Serangan virus pada workstation
1
Virus/worm
Defacing Website
3
Website tidak dapat diakses
3
Bandwidth habis
Kemungkinan Kejadian (1-3) 3
Tingkat Risiko (1-3) 6
• Kinerja perangkat lambat • Produktivitas karyawan berkurang
3
3
Unathorized Access
• Buruknya reputasi perusahaan
3
9
Denial of Service
• Buruknya reputasi perusahaan
3
9
Unauthorized Access
Kontrol Saat Ini • Update antivirus untuk semua server dan workstation • Scanning virus secara berkala • Monitoring anomali yang terjadi • Update antivirus untuk semua server dan workstation • Scanning virus secara berkala • Monitoring anomali yang terjadi • Patching terhadap vulnerability • Monitoring anomali yang terjadi • Patching terhadap vulnerability
51
Risiko
Data pelanggan berubah atau hilang
Tingkat Dampak (1-3) 3
Ancaman Unathorized Access Virus/Worm
Dampak • Data tidak tersedia/tidak valid • Hilangnya kepercayaan pelanggan
Kemungkinan Kejadian (1-3) 3
Tingkat Risiko (1-3) 9
System down, hang, crash
3
Denial of Service
• Data tidak dapat diakses • Produktivitas karyawan berkurang
2
6
Aset (server) rusak
3
Denial of Service
• Data tidak tersedia
1
3
Tidak dapat Login ke sistem
2
Denial of Service
• Produktivitas karyawan berkurang
1
2
Unathorized Access
Kontrol Saat Ini • Membatasi jumlah admin • Penggunaan password yang kompleks • Melakukan backup secara berkala • Filter pada firewall • Melakukan back-up secara berkala • Filter pada firewall • Filter pada firewall • Penggunaan password yang kompleks
52
4.2.8 Rekomendasi Kontrol Rekomendasi kontrol didapat dari hasil penilaian risiko dengan tujuan untuk mengurangi tingkat risiko pada sistem TI. Beberapa hal yang dapat direkomendasikan adalah : a. Menetapkan kebijakan terkait ancaman yang ada, termasuk yang berhubungan dengan information sharing. Saat ini PT. XYZ telah memiliki kebijakan keamanan, tetapi sebaiknya kebijakan tersebut lebih ditingkatkan. b. Mengembangkan prosedur untuk penanganan insiden. Prosedur penanganan insiden tersebut menyediakan langkah-langkah rinci untuk menanggapi insiden. Prosedur harus mencakup semua tahapan proses respon insiden. Prosedur harus didasarkan pada kebijakan penanganan insiden dan rencana. Selanjutnya rekomendasi ini akan dilanjutkan pada proses mitigasi risiko, dimana prosedur dan teknis keamanan sebagai kontrol yang direkomendasikan akan dievaluasi, diprioritaskan, dan diimplementasikan.
4.2.9 Dokumentasi Hasil Setelah penilaian risiko selesai, hasilnya harus didokumentasikan dalam bentuk laporan. Dokumentasi menggambarkan keseluruhan proses penilaian risiko, mulai dari ancaman dan kerentanan, pengukuran risiko, dan rekomendasi kontrol untuk diimpelementasikan. Dari hasil laporan dapat membantu manajemen untuk membuat
53
keputusan tentang perubahan kebijakan, prosedural, anggaran, maupun sistem operasional. Dokumentasi terdapat pada Lampiran 8.
4.3 Mitigasi Risiko Mitigasi risiko merupakan proses kedua dari manajemen risiko dengan penambahan kontrol yang direkomendasikan pada proses penilaian risiko.
4.3.1 Kebijakan Keamanan Kebijakan berisi beberapa poin seperti maksud dan tujuan, ruang lingkup, peran dan tanggung jawab dari pihak yang bersangkutan. Penyusunan kebijakan keamanan mengambil referensi dari ISO/IEC 27002. ISO/IEC 27002 terdiri 15 domain yang mencakup 3 aspek yaitu aspek organisasi, aspek fisik, dan aspek teknis. Dalam pembuatan kebijakan diambil domain yang menyangkut aspek teknis saja karena domain yang lain dinilai kurang relevan dalam keseluruhan pembahasan tesis ini. Kebijakan 1. Penggunaan Email dan Internet Mail Address Kebijakan 2. Pemilihan dan Perlindungan Password Kebijakan 3. Penggunaan Jaringan dan Internet Kebijakan 4. Pengendalian Virus Kebijakan 5. Pengelolaan Akses User Kebijakan 6. Jumlah Optimum Administrator Kebijakan 7 Infrastruktur Jaringan Kebijakan 8 Pemantauan Keamanan Informasi Kebijakan 9 Remote Access
54
Kebijakan 10 Akses Pihak Ketiga
4.3.2 Prosedur Operasi Standar (SOP) Prosedur didasarkan pada kebijakan yang merupakan gambaran dari proses teknis yang dilakukan untuk penanganan insiden. SOP dapat digunakan sebagai alat instruksional dan didistribusikan kepada seluruh anggota Divisi IT Security. SOP perlu diperbarui dari waktu ke waktu dan dapat berubah sesuai dengan ancaman baru atau tren dalam keamanan informasi. Dokumen SOP (Lampiran 7) berisikan : 1. Pendahuluan yang berisikan tujuan dokumen, siapa saja yang terlibat, ruang lingkup, dan referensi. 2. Manajemen insiden yang berisikan proses penanganan bila terjadi insiden, cara melakukan penilaian (assessment), klasifikasi serangan, cara penahanan dan pemulihan insiden. 3. Alur proses penanganan insiden secara umum dan insiden terkait tren yang terjadi selama 3 tahun terakhir. Gambar 13, merupakan proses alur penanganan insiden secara umum, Gambar 14 adalah alur penanganan untuk insiden dengan kategori DoS, Gambar 15 adalah alur penanganan untuk insiden dengan kategori virus/worm, dan Gambar 16 adalah alur penanganan untuk insiden dengan kategori unauthorized access.
55
Tim Security Operation Center
IT Network System Expert
Menemukan insiden
Membuat laporan Awal
Analisis awal
Insiden potensial ? Tidak Ya Eskalasi lebih dalam
Lain-lain
Klasifikasi
Top 3 Insiden (A, B, C)
Membuat laporan Akhir
Log events
Gambar 13. Alur Proses Penanganan Insiden Secara Umum
Keterangan gambar diatas ; 1. Tim SOC melakukan monitoring secara terus menerus setiap harinya. Ketika menemukan suatu event yang dianggap sebagai insiden tim SOC akan melaporkan kepada IT Network Sistem Expert. Selain itu tim SOC juga melakukan analisis awal dengan mencari informasi dan data-data yang saling terkait dengan insiden.
56
2. Berdasarkan hasil analisis kemudian ditentukan apakah insiden tersebut dikatakan potensial atau tidak. Jika tidak tim SOC akan membuat laporan akhir. Namun apabila insiden tersebut potensial, akan dilakukan serta melakukan eskalasi lebih dalam dan pengkajian misalnya dengan membaca informasi ataupun berdiskusi mengenai insiden tersebut. 3. Kemudian dilakukan klasifikasi kategori insiden, apakah insiden merupakan top 3 insiden yang terjadi pada PT. XYZ atau bukan. Jika ya, maka dilakukan penanganan sesuai jenis insiden dan jika bukan maka tim SOC akan memberikan log dari event tersebut. Terakhir tim SOC membuat laporan akhir kepada IT Network Sistem Expert. Selanjutnya dibahas secara rinci untuk penanganan masing-masing insiden terkait 3 serangan terbesar yang terdeteksi pada Divisi IT Security:
57
Gambar 14. Alur Penanganan Denial of Service
58
Keterangan gambar diatas : 1. Tim SOC menemukan insiden DoS kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan tersebut. Apabila serangan belum berhenti, dilakukan filtering berdasarkan karakteristik serangan. Bila serangan masih juga belum berhenti dapat dilakukan relokasi target. 3. Ketika serangan telah berhenti, sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat serangan maka proses diulangi dengan melakukan identifikasi serta mitigasi terhadap kerentanan yang berhasil dieksploitasi. Namun apabila sudah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera.
59
Tim Antivirus
IT Network System Expert
Insiden berupa virus/worm
Membuat laporan Awal
Membuat tiket pada portal
Melakukan prioritas berdasarkan dampak bisnis
User
Estimasi teknis & Eskalasi lebih dalam
Identifikasi sistem yang terinfeksi
Belum
Memutuskan sistem dari jaringan
Mitigasi kerentanan yang di eksploitasi
Quarantined/ delete file
Konfirmasi sistem telah normal ?
Pembahasan insiden dalam meeting
Sudah
Membuat laporan akhir, update portal
Gambar 15. Alur Penanganan Virus/Worm
60
Keterangan gambar diatas ; 1. Tim antivirus menemukan insiden berupa virus atau worm kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan identifikasi terhadap sistem yang terinfeksi. Apabila dianggap berbahaya maka dilakukan pemutusan sistem dari jaringan. Tim antivirus juga harus melakukan mitigasi terhadap kerentanan yang dieksploitasi oleh malware. 3. Tim antivirus melakukan aksi untuk membersihkan, mengkarantina atau mendelete file yang terinfeksi. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat virus/worm maka proses diulangi dengan melakukan identifikasi sistem yang terinfeksi. Namun apabila sudah bersih dari virus/worm maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera..
61
Tim Security Operation Center
IT Network System Expert
Insiden berupa unauthorized access
Laporan Awal
Membuat tiket pada portal
Melakukan prioritas berdasarkan dampak bisnis
User
Estimasi teknis & Eskalasi lebih dalam
Initial containment
Mengumpulkan data-data
Penanganan sudah cukup ?
Belum
Tindakan tambahan
Belum
Sudah Mitigasi kerentanan yang di eksploitasi
Hapus komponen insiden dari sistem
Mengembalikan sistem seperti semula
Melakukan monitoring tambahan
Konfirmasi sistem telah normal ?
Pembahasan insiden dalam meeting
Sudah
Membuat laporan akhir, update portal
Gambar 16. Alur Penanganan Unauthorized Access
62
Keterangan gambar diatas ; 1. Tim SOC menemukan insiden unauthorized access kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan penanganan awal misalnya dengan men-disable user account yang digunakan pada waktu serangan terjadi. Apabila serangan telah teratasi dapat dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan tersebut. Namun bila serangan belum juga teratasi maka IT Network Security Expert dapat memberikan saran mengenai tindakan tambahan. 3. Setelah itu, komponen-komponen yang terkait dengan insiden dapat dihapus dari sistem dan sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat serangan maka proses diulangi dengan melakukan identifikasi awal. Namun apabila sudah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera..
4.3.3 Rekomendasi Penanggulangan Insiden 1. Pencegahan
63
‐
Blokir suspicious files Konfigurasi email server dan client untuk memblokir attachment dengan ekstensi file yang berkaitan dengan malicious code (misalnya .pif, .vbs, bisa juga .rar atau .zip agar lebih ketat) dan kombinasi ekstensi file yang mencurigakan (misalnya .txt.vbs., .Htm.exe.). Namun cara ini mungkin juga memblokir aktifitas yang sah. Beberapa perusahaan mengubah ekstensi file terlebih dahulu sebelum dikirim kemudian penerima harus men-save dan merename file terlebih dahulu sebelum dijalankan.
‐
Mengurangi sharing file pada Windows karena banyak worm yang menyebar melalui sharing file pada host yang menjalankan windows. Sebuah infeksi tunggal dapat dengan cepat menyebar ke ratusan atau ribuan host melalui unsecured share.
‐
Menetapkan prosedur kepada semua user dari sistem, aplikasi, domain, sampai workstation untuk mengubah password mereka secara periodik. Hal ini merupakan cara pencegahan unauthorized access.
‐
Meningkatkan Pengetahuan Keamanan Informasi (Security Awareness) Divisi IT Security telah mengadakan pelatihan security awareness yang dilakukan satu kali dalam setahun yang diikuti oleh seluruh karyawan PT. XYZ. Hal ini dimaksudkan agar setiap karyawan menyadari aturan perilaku dan tanggung jawab mereka dalam melindungi misi Perusahaan. Untuk meningkatkan security awareness sebaiknya tidak hanya melalui pelatihan saja satu kali setahun saja, tetapi dapat dilakukan dalam sesi-sesi kecil per-divisi atau grup dengan materi yang menyeluruh mengenai
64
keamanan informasi. Misalnya masalah attachment pada email, pergantian password, serta sharing file. Selain itu juga dapat dilakukan workshop, melalui situs Web, dan stiker. 2. Deteksi ‐
Manajemen Patch Secara rutin Divisi IT Security melakukan vulnerability assessment secara periodik. Hal ini dilakukan untuk mengurangi potensi terjadinya insiden keamanan. Dari hasil penilaian kerentanan yang telah diinformasikan kepada penanggung jawab masing-masing perangkat seharusnya dilakukan eskalasi terhadap kerentanan yang ada. Manajemen patch sangat penting untuk mengurangi kerentanan yang ada pada aplikasi. Divisi IT Security juga bertanggung jawab untuk melakukan manajemen patch, misalnya dengan memperoleh, menguji, dan mendistribusikan patch untuk para administrator yang sesuai dan pengguna diseluruh Perusahaan. Terkadang manajemen patch sering dibutuhkan saat mencoba untuk melakukan pemulihan dari insiden dengan skala besar.
‐
Penggunaan SIEM (Security Incident Event Management) lebih ditingkatkan. Terkadang sulit untuk mengidentifikasi suatu event sebagai insiden yang potensial. Semua yang mengeluarkan log harus dimonitor dengan baik. Mulai dari log aplikasi, perangkat (firewall, IPS, appliance), sistem operasi, maupun database. SIEM bekerja untuk meningkatkan keamanan informasi pada infrastruktur jaringan perusahaan dengan efisien dan dapat mendeteksi
65
kejadian yang mencurigakan. SIEM bertugas untuk memberikan deteksi awal dan peringatan terhadap event keamanan..
4.4 Pengukuran Akhir Pengukuran akhir dilakukan setelah 3 bulan implementasi proses mitigasi risiko, yaitu Maret – May 2012. Pada tahap ini dilakukan kembali pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4) untuk mengetahui peningkatan keamanan informasi setelah melalui tahap mitigasi risiko . Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 16, Tabel 17, Tabel 18, dan Tabel 19 merupakan merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner. Tabel 16. Kontrol untuk Penanganan Insiden Secara Umum Tahap Kontrol Deteksi dan analisa ‐ Mengetahui insiden telah terjadi ‐ Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada ‐ Mencari informasi yang saling berhubungan ‐ Melakukan pengkajian ‐ Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. ‐ Mengklasifikasi insiden menggunakan beberapa kategori yang ada
Tabel 17. Kontrol untuk Penanganan Insiden Denial of Service Tahap Kontrol Deteksi dan analisa ‐ Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. ‐ Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. ‐ Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut.
66
Tahap ‐ Penahanan, Penghapusan, dan Pemulihan
‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐
Kegiatan Pasca Insiden
‐ ‐
Kontrol Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Menahan insiden – memberhentikan serangan DoS apabila serangan belum berhenti. Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. Apabila belum tertahankan, jalankan filter berdasarkan sifat dari serangan jika memungkinkan. Apabila belum tertahankan relokasi target. Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan sediakala. Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut
Tabel 18. Kontrol untuk Penanganan Unauthorized access Tahap Kontrol Deteksi dan analisa ‐ Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. ‐ Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. ‐ Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. ‐ Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, dan Pemulihan
‐ ‐ ‐ ‐
Melakukan penahanan pada awal kejadian Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah
67
Tahap
‐ ‐ ‐ ‐ ‐ ‐
Kegiatan Pasca Insiden
‐ ‐
Kontrol cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi) Melaksanakan tindakan penahanan tambahan jika perlu Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. Menghapus semua komponen insiden dari system Mengembalikan sistem yang terkena ke keadaan operasional semula Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut
Tabel 19. Kontrol untuk Penanganan Virus/worm Tahap Kontrol Deteksi dan analisa ‐ Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. ‐ Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. ‐ Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. ‐ Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, dan Pemulihan
‐ ‐ ‐
Mengidentifikasi sistem yang terinfeksi Disconnect semua sistem yang terinfeksi dari jaringan Mitigasi kerentanan yang dimanfaatkan oleh malicious code
68
Tahap ‐ ‐ ‐ ‐ ‐
Kegiatan Pasca Insiden
‐ ‐
Kontrol Apabila diperlukan, halangi mekanisme transmisi untuk malicious code Disinfeksi, mengkarantina, menghapus, dan mengganti file yang terinfeksi Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut
Dari hasil kuesioner terlihat setelah mitigasi risiko, kontrol untuk mengendalikan insiden bertambah. Kemudian pada Lampiran 10 dapat dilihat jumlah insiden yang terjadi setelah proses mitigasi risiko yaitu bulan Maret – May 2012 adalah 115 insiden. Seiring dengan meningkatnya kontrol dan berkurangnya jumlah insiden, berarti keamanan informasi Perusahaan juga semakin meningkat.
4.5 Pembahasan Berdasarkan NIST SP800-30 terdapat 9 tahapan dalam penilaian risiko. Tahap pertama adalah karakterisasi sistem yang bertujuan untuk menjelaskan informasi yang berhubungan dengan sistem yang digunakan untuk mengkarakterisasi sistem TI dan perusahaan. Pada tahap ini terdapat list aset yang dimiliki Divisi IT Security berupa hardware, software, dan aplikasi. Perangkat yang dimiliki berupa server, router, switch, dan perangkat-perangkat keamanan jaringan. Terdapat 48 aplikasi yang dimi-
69
liki oleh Divisi IT Security. Pada karakterisasi sistem juga ditampilkan user-user yang mendukung penggunaan sistem termasuk kepala divisi, manager, dan staff. Tahap kedua merupakan identifikasi ancaman yang terjadi selama tahun 2010 – Februari 2012. Dimana serangan yang mendominasi selama kurun waktu tersebut adalah Denial of Service, Virus/worm, dan Unauthorized access. Data tersebut didapat melalui akses portal internal yang dimiliki oleh Divisi IT Security. Sedangkan sumber ancamannya berasal dari hacker, industrial espionage (misalnya kompetitor), internal perusahaan, maupun pihak ketiga seperti vendor atau mantan karyawan. Tahap ketiga merupakan identifikasi kerentanan. Berdasarkan wawancara terdapat beberapa kerentanan yang dapat diidentifikasi sebagai akibat kurangnya kebijakan yang mengatur keamanan informasi. Selain itu untuk mengetahui kerentanan pada sistem dilakukan vulnerability assessment secara periodik. Tahap keempat merupakan analisis pengendalian. Pada tahap ini dilakukan penyebaran kuesioner kepada tim Security Operation Center dan tim Antivirus. Kuesioner digunakan untuk mengetahui kontrol penanganan insiden yang ada pada saat ini. untuk tahap deteksi, penanganan, dan pasca insiden. Sedangkan untuk tahap pencegahan dilakukan dengan metode wawancara. Tahap kelima adalah penentuan kemungkinan yaitu dengan menentukan seberapa besar potensi kerentanan dapat mendatangan ancaman. Kategori ini dibagi menjadi 3 yaitu tinggi, sedang, dan kecil berdasarkan pertimbangan motivasi dan kapabilitas sumber ancaman, sifat dari kerentanan, dan efektifitas kontrol saat ini.
70
Tahap keenam adalah analisa dampak yang terjadi ketika ancaman terhadap kerentanan berhasil dieksploitasi. Tahap ini juga dibagi menjadi 3 kategori berdasarkan pertimbangan jumlah karyawan yang terkena dampak, waktu, dan biaya. Tahap ketujuh adalah penentuan risiko. Tingkat risiko dibagi menjadi 3 kategori yaitu tinggi, sedang, dan rendah. Pada tahap ini juga ditentukan masing-masing tingkat risiko terhadap ancaman-ancaman yang ada pada 4.2.2. Tahap kedelapan adalah rekomendasi kontrol tambahan dari hasil penilaian risiko. Kontrol yang disarankan berupa tambahan kebijakan keamanan, prosedur operasi standar (SOP), serta beberapa tambahan untuk penanganan insiden baik untuk pencegahan maupun deteksi. Tahap terakhir adalah dokumentasi dari hasil penilaian risiko. Dokumentasi disajikan pada Lampiran 8. Selanjutnya dilakukan proses mitigasi untuk mengurangi risiko yang telah diidentifikasi saat penilaian dan merupakan kelanjutan dari tahap delapan pada penilaian risiko sebelumnya. Pertama, melalui peningkatan kebijakan keamanan berupa kebijakan yang menyangkut masalah teknis. Diantaranya kebijakan pemilihan dan perlindungan password, penggunaan jaringan dan Internet, pengendalian virus, pengelolaan akses user, dan remote akses. Kebijakan ini mengacu pada ISO/IEC 27002. Kedua, dengan pembuatan SOP untuk penanganan insiden. Dan yang ketiga dengan beberapa rekomendasi tambahan.
71
Untuk hasil akhir manajemen risiko dilakukan pengukuran kembali terhadap kontrol yang telah ditingkatkan pada tahap mitigasi risiko. Dari hasil pengukuran terlihat kontrol telah bertambah. Diharapkan seiring dengan bertambahnya kontrol maka keamanan
informasi
Divisi
IT
Security
juga
meningkat.
