6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
Pengenalan Keamanan Sistem IT
1. Pengenalan Keamanan Sistem IT
26 Mar 2012
1. Pendahuluan
Jika kita berjalan-jalan ke toko buku komputer dan ke situs internet telah banyak
orang yang berbagi tentang tips-tips bagaimana cara hacking atau craking suatu website,
bagaimana caranya mendapatkan password admin website tertentu atau bagaimana cara
mendapatkan password dari ID seseorang di jejaring sosial, dan lain sebagainya. tetapi
sangat jarang orang yang ingin berbagi bagaimana cara untuk mengamankan data-data
om
yang ada dalam sistem baik itu aplikasi website, jaringan dan lain sebagainya dari gangguan
l.c
penyusup (attacker).
ai
Sebelum kita ingin mengamankan sistem kita dari gangguan penyusup (attacker),
gm
terlebih dahulu kita harus tahu apa yang harus kita amankan dan kenapa? Jawabannya
al
@
adalah aset, dan kenapa? Karena jika kehilangan aset, kita bisa kehilangan seluruh bisnis
riz
yang dimiliki.
ar
k.
Ketika kita menjadi bagian dari tim keamanan sistem IT, banyak orang yang
m
berimajinasi bahwa kita seperti petugas keamanan yang duduk di pos yang sesekali
&
berpatroli dengan membawa pentungan, atau senapan, dan senter, yang harus berjaga 24
l.c
om
jam, yang baru bertindak melakukan perbaikan keamanan setelah terjadi insiden. Jika anda
ai
merupakan bagian dari tim keamanan sistem IT dan anda juga memiliki pola pikir seperti
gm
diatas, sebaiknya anda segera merubah pola berpikir anda.
@
Sebagai seorang petugas keamanan sistem IT kita harus bisa berpikir dalam dua
tik
sudut pandang secara bersamaan, salah satu bagian dari otak kita berfikir sebagai petugas
ca
n
keamanan dan bagian yang lain berpikir sebagai pencuri, kenapa harus demikian? Jika kita
in
d
ri.
sudah mengetahui bagaimana pola berpikir dari seorang pencuri dalam hal ini apa yang
diinginkan pencuri dari sistem kita, dan strategi apa yang dilakukan untuk mendapatkan itu?
Maka kita sebagai petugas keamanan akan lebih mudah melakukan pencegahannya.
2. Pengertian Aset
Aset adalah sesuatu yang memiliki nilai untuk organisasi (source : ISO/IEC
27001:2005,3.1). Menentukan aset organisasi yang harus kita lindungi dari berbagai
ancaman yang menyebabkan kerugian bisnis bisa dilakukan dengan dua tahap :
Menentukan aset berdasarkan kemungkinan ancaman yang disebabkan adanya
kerentanan pada aset tersebut :
Tentukan group aset
Tentukan spesifik asset
2.
Tentukan hal hal penting yang tergantung pada aset tersebut dan memiliki
nilai bisnis tinggi
Tentukan ancaman yang mungkin terjadi terhadap aset tersebut
Kemudian ancaman tersebut terjadi karena ada kerentanan apa?
Apa saja dampak yang diakibatkan oleh ancaman yang terjadi karena adanya
kerentanan tersebut
Penilaian resiko aset terhadap ancaman yang disebabkan oleh adanya kerentanan :
Kemudian lakukan penilaian aset (risk value) karena adanya ancaman
berdasarkan confidentiality, integrity, dan availability.
Selanjutnya kita juga harus menilai bisnis loss yang disebabkan karena
l.c
om
tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
Tentukan nilai impact level nya dengan rumus = aset value dibandingkan
al
@
gm
ai
ancaman tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
dengan nilai bisnis loss. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium,
k.
Tentukan nilai likelihood (kemungkinan terjadi) nya. Biasanya nilai dibagi
ar
riz
High
m
menjadi 3, yaitu : Low, Medium, High
&
Tentukan nilai risk score dengan rumus = impact level dibandingkan dengan
l.c
om
likelihood. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
Jika hasil risk score adalah medium atau high, maka kita harus membuat
ai
@
gm
kontrol dari tiap kerentanan sehingga resiko yang ada dapat dikurangi.
ca
n
tik
3. Mindset (pola pikir) seorang petugas keamanan sistem IT
Seorang penyusup (attacker) biasanya menghabiskan banyak waktu mereka untuk
in
d
ri.
memperoleh informasi dari target. Karena bagi mereka, exploit adalah hal yang bisa
dilakukan dalam waktu singkat jika mereka telah mengetahui banyak informasi kerentanan
yang dimiliki oleh target dan aset yang dianggap bernilai bisnis tinggi oleh organisasi.
Semakin banyak informasi kerentanan yang dimiliki, maka semakin banyak kemungkinan
attacker mengambil aset yang bernilai bisnis tinggi tersebut.
Informasi seperti apakah yang diharapkan oleh para penyusup (attacker) itu?
3. l.c
om
Informasi yang diharapkan attacker minimal seperti yang digambarkan dibawah ini :
ai
Bagaimana mendapatkan informasi seperti gambar diatas? Informasi tersebut dapat
gm
diperoleh dari wawancara atau scanning IP Address. Ketika melakukan wawancara atau
al
@
scanning IP Address kita bisa mendapatkan kerentanan dan bisa menentukan ancaman apa
riz
yang kemungkinan dapat membahayakan bisnis, meskipun terkadang kerentanan dan
ar
k.
ancaman tersebut baru bisa didapatkan setelah kita melakukan analisa lebih mendalam.
m
Setelah kita melakukan semua tahapan – tahapan dalam menentukan kerentanan
&
dan ancaman pada aset, dan telah melakukan penilaian resiko terhadap aset, kemudian kita
l.c
om
harus mempresentasikan hasil analisa ke manajemen, sebaiknya sertakan juga proof of
ai
concept (POC) dari analisa yang telah kita buat. Contoh, ketika kita menyampaikan bahwa
gm
pada cookies di web aplikasi kita terdapat kerentanan yang bisa digunakan oleh penyusup
@
(attacker) masuk sampai kedalam database kita, dan mampu melakukan perubahan
tik
terhadap data yang tersimpan didalamnya, maka sebaiknya sertakan juga proof of concept
ca
n
dari yang kita sampaikan itu. Ketika menyampaikan proof of concept tersebut tidak
ri.
disarankan bagi kita untuk mendemokan secara live bagaimana kita mendapatkan
sistem itu.
in
d
kerentanan tersebut, atau bahkan kita tidak boleh mendemokan bagaimana cara masuk ke
Sebagai seorang tim keamanan sistem IT, kita tidak hanya dituntut untuk
mendapatkan kerentanan, ancaman, penilaian resiko pada aset yang disertai dengan proof
of concept saja, tetapi kita juga dituntut untuk memberikan solusi atau rencana perbaikan
sehingga resiko yang ada menjadi bisa diterima oleh manajemen. Solusi atau rencana
perbaikan tersebut bisa dibagi menjadi dua, yaitu rencana jangka pendek dan rencana
jangka panjang. Rencana jangka pendek dapat diterapkan ketika hal tersebut dapat
mengatasi kerentanan yang paling penting (yang memiliki nilai resiko medium dan high) dan
dapat dilakukan sesegera mungkin. Sedangkan rencana jangka panjang dapat diterapkan
4. ketika membawa manfaat jangka panjang dan organisasi tidak dapat melakukan dalam
waktu 6-12 bulan ke depan sehingga membutuhkan investasi waktu dan dana yang besar.
Penulis:
Indri (indri.cantik@gmail.com)
-
Mark (mark.rizal@gmail.com)
in
d
ri.
ca
n
tik
@
gm
ai
l.c
om
&
m
ar
k.
riz
al
@
gm
ai
l.c
om
-