INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
1. INVESTASI KEAMANAN SISTEM INFORMASI PADA
VIRTUAL PRIVATE CLOUD MENGGUNAKAN
CYBERKILL CAHIN FRAMEWORK PADA PT ABC
UTAMA HASIOLAN PANGGABEAN
2001903005
Program Pascasarjana Ilmu Komputer
PROGRAM STUDI TEKNIK INFORMATIKA JENJANG S2
UNIVERSITAS BINA NUSANTARA JAKARTA 2019
8. STUDI KASUS
• Berdasarkan informasi dari CTO PT ABC, dan pesan notifikasi dari sistem
deteksi dan proteksi yang sudah ada pada virtual private cloud, terdapat
serangan berupa serangan brute force dan Denial of Service (DoS) yang
menyerang infrastruktur virtual private cloud. Dan juga serangan ransomware,
account hijacking, phishing, malware dan virus yang menyerang data yang
tersimpan pada virtual private cloud. Ketika serangan terjadi, penanganan
tidak dapat dilakukan dengan cepat dan efisien sehingga harus berdampak
pada lumpuhnya operasional sementara waktu sampai serangan dapat diatasi.
Dampak serangan tersebut adalah kehilangan hak akses terhadap infrastruktur
dan aplikasi, kehilangan data, kelumpuhan kegiatan operasional perusahaan
dikarenakan infrastruktur yang terganggu, dan juga hilangnya kepercayaan
klien.
• Pihak manajemen berencana untuk meningkatkan keamanan sistem
informasi pada virtual private cloud agar bisa mengembalikan kepercayaan
klien perusahaan untuk menggunakan solusi yang diberikan oleh PT ABC.
• Hal yang menjadi pertanyaan di management adalah dengan biaya x dolar
dan standar kemanan yang di implementasikan seberapa efektif tingkat
keamanan yang akan dicapai.
9. RUMUSAN
MASALAH
• Belum adanya pemodelan baku
(standardisasi) yang membahas
hubungan antara peningkatan
keamanan sistem dengan jumlah
biaya yang telah diinvestasikan.
• Banyak perusahaan enggan untuk
melakukan investasi peningkatan
keamanan jaringan karena sulit
diukur peningkatannya.
10. MANFAAT
PENELITIAN
• Meningkatkan keamanan sistem informasi di virtual
private cloud PT ABC secara efektif.
• Meminimalisir ancaman dan serangan dari pihak yang
tidak berwenang dan bisa melakukan mitigasi risiko
yang ada secara proposional.
• Untuk mengetahui hubungan antara biaya investasi
yang dikeluarkan dengan tingkat keamanan yang
didapat dengan melakukan pengukuran keamanan
cloud secara aspek teknis.
• Menjadi pertimbangan dan mengurangi tingkat
subjektivitas ketika melakukan investasi terhadap
perimeter security sehingga dapat memberikan
kebijakan manajemen risiko lebih objektif.
11. METODOLOGY
• Gordon & Loeb tentang distribusi probabilitas.
• Robust Technology tentang penilaian pembobotan
dari suatu yang bernilai berdasarkan ekpektasi
sebagai batasan nilai tertentu.
• RAOM (Risk Assessment and Optimization Model)
tentang simulasi model dalam penilaian risiko dengan
pengalaman tertentu.
• Evaluation Model sebagai pelengkap model yang akan
dibuat dan membahas tentang aspek bisnis dan
keuangan berdasarkan perhitungan NPV, IRR, dan ROI
dari asumsi yang telah dibuat.
• Kemudian ditambahkan dengan berdiskusi dari
beberapa beberapa staf ahli yang bekerja dalam
bidang keamanan jaringan, dan mengacu pada
standardisasi internasional NIST-SP800, ISO/IEC
17799, dan ISO 27001/27002.
15. VARIABLE
ANALISA
No Variabel Proses Pengambilan Data Keterangan
1 Tingkat Risiko Diambil pada proses
identifikasi resiko dengan
mempertimbangkan
kondisi sistem serta
mengacu pada framework
cyber kill chain
Hasil berupa:
min (0.1)
med (0.5)
max (1.0)
2 Dampak bisnis Berdasarkan data dari
narasumber berupa staf
ahli bidang terkait
Hasil berupa
pembobotan (1, 0.5,
0, -0.5, -1)
17. CYBERKILL
CHAIN
CONTROLS
METRIX
Cyber kill chain controls matrix tersebut akan diisi dengan
perangkat atau kebijakan yang dapat memberikan respon
sesuai judul kolom untuk fase serangan tertentu. Penentuan
perangkat dan kebijakan pada tabel berikut mengacu kepada
nilai tingkat risiko dan dampak bisnis yang telah didapatkan
sebelumnya.
Setelah mendapatkan jenis perangkat serta kebijakan apa saja
yang perlu ditempuh suatu organisasi pada tiap-tiap fase cyber
kill chain beserta respon yang dibutuhkan, pengambilan
keputusan investasi peningkatan keamanan sistem informasi
dapat dilakukan secara objektif. Selain itu, penggelontoran
biaya investasi juga dapat menjadi efisien dan tepat guna,
karena ditentukan berdasarkan tingkat keamanan yang
dihendaki dan dibutuhkan oleh organisasi.
18. PAPER
No. Penelitian Deskripsi
1 A new methodology for security evaluation in cloud
computing (Ristov, Gusev, & Kostoska, 2012)
Kesimpulan dari penelitian ini adalah, standar keamanan yang
sudah ada masih belum mencakup tantangan keamanan cloud.
Peneliti juga mengusulkan tujuan pengendalian ISO 27001:2005
baru, manajemen virtualisasi, dengan dua kontrol yang meliputi
virtualisasi dan kontrol virtual sistem.
2 Framework for Secure Cloud Computing (Munir &
Palaniappan, 2013)
Pada penelitian ini, disebutkan bahwa dengan mengembangkan
penilaian risiko dapat membantu organisasi dalam mengambil
keputusan terkait penggunaan cloud computing berbanding risiko
yang dapat diterima.
3 Perancangan Manajemen Risiko Keamanan Informasi
Dengan Menggunakan Metode NIST 800-30: Studi Kasus
Sistem Informasi Akademik (SIMAK) Universitas Islam
Negeri Sultan Syarif Kasim Riau (Syafitri, 2014)
Melakukan perancangan manajemen risiko keamanan informasi
dengan mengacu pada standardisasi NIST 800-30. Dengan
mendapatkan kontrol resiko, hasil yang didapatkan adalah rencana
implementasi
4 Rencana implementasi keamanan PTIPD Memaparkan bahwa dengan adanya kontrol risiko, risiko yang telah
diidentifikasi dapat diminimalisir. Selain itu, kontrol juga dapat
dijadikan bahan pertimbangan pengambilan keputusan.
5 Evaluasi manajemen risiko sistem informasi monitoring:
Studi kasus lembaga lembaga ID-SIRTII/CC
(Rochmatulloh, 2017)
Mengevaluasi manajemen risiko sistem monitoring ID-SIRTII/CC
dengan menggunakan kerangka kerja NIST SP 800-53. Hasil yang
didapat adalah rekomendasi kontrol untuk meminimalisir risiko
pada sistem, berdasarkan tingkat risiko masing-masing aset
6 (Stoneburner dkk., 2002 dalam Lo dan Chen, 2012) Proses pengelolaan risiko dilakukan melalui proses identifikasi
risiko, penilaian risiko, serta pengambilan langkah untuk
mengurangi risiko ke tingkat yang dapat diterima.
7 (Peltier, 2005) Proses penilaian risiko adalah proses paling penting dari
manajemen informasi risiko.
8 (Michael dkk., 2001 dalam Bae dan Lee, 2012,) Pada proses manajemen risiko, terdapat beberapa proses yaitu
mengidentifikasi risiko yang ada, mengevaluasi dampak, dan
mengeksekusi tindakan yang tepat.
9 (Miller dan Leiblein, 1996; Shapira, 1995) Manajemen organisasi cenderung lebih fokus pada besarnya
kerugian daripada kemungkinan hal itu akan terwujud.
10 (dikutip oleh Yue dkk., 2006, lihat Briney 2001; Ernst dan
Young, 2003; Stein, 2003)
Kendala utama bagi perusahaan untuk mencapai tingkat
perlindungan keamanan yang diinginkan adalah karena kurangnya
anggaran keamanan.
Cloud computing memberikan platform komputasi yang memungkinkan
pengguna untuk melakukan berbagai aktifitas seperti penggunaan sistem
penyimpanan online, penempatan aplikasi perusahaan, pengembangan perangkat
lunak, dan pembentukan lingkungan jaringan yang realistis. Dalam beberapa tahun
terakhir, jumlah pengguna layanan cloud telah meningkat dengan pesat dan banyak
data yang telah disimpan di cloud computing.
DARI 3 MODEL CLOUD YANG SAAT INI DAPAT DI ADOPSI (Private, public dan hybrid) yang paling banyak digunakan adalah modul private cloud
Private cloud sendiri adalah Cloud infrastructure and services are dedicated to a particular organization. Private clouds can reside on premise or be hosted by a third party.
Namun, ancaman dan pelanggaran data layanan cloud juga
terus meningkat karena peretas selalu berusaha mengeksploitasi kerentanan pada
keamanan arsitektur cloud computing. Berdasarkan survei dari CloudPassage
(Schulze, 2016), ancaman terbesar terhadap keamanan cloud computing adalah
akses tidak sah melalui penyalahgunaan kredensial pegawai dan kontrol akses yang
tidak standar sebesar 53%, pembajakan akun sebesar 44% dan antarmuka atau
Aplication Programming Interface (API) yang tidak aman sebesar 39%. Dengan
semakin meningkatnya ancaman terhadap cloud computing, keamanan sistem
informasi pada cloud computing perlu dikelola dengan baik.
Dan dari data yang saya dapat kan ini, semua target tersebut setidaknya sudah pernah mengimplementasikan perimeter keamanan. Namun masih memiliki celah yang dapat merugikan organisasi
hubungan antara biaya yang dikeluarkan dengan
penerapan perimeter security dan seberapa besar tingkat keamanan yang dapat
dicapai. Adanya kejelasan tingkat keamanan dibandingkan biaya yang dikeluarkan
dapat menyakinkan perusahaan untuk mengeluarkan biaya dalam mengamankan
infrastruktur cloud mereka, yaitu apabila keamanan cloud telah terpenuhi --
ditandai dengan adanya peningkatan layanan yang aman dan nyaman bagi
pelanggan.
Dengan melakukan analisis pada kedua variabel tersebut, diharapkan akan didapatkan hasil berupa nilai tingkat risiko beserta dampak bisnis dari setiap entitas pada sebuah organisasi. Dengan didapatkan nilai tersebut, langkah selanjutnya adalah pembuatan cyber kill chain controls matrix seperti pada Tabel 3 berikut:
Cyber kill chain controls matrix tersebut akan diisi dengan perangkat atau kebijakan yang dapat memberikan respon sesuai judul kolom untuk fase serangan tertentu. Penentuan perangkat dan kebijakan pada tabel berikut mengacu kepada nilai tingkat risiko dan dampak bisnis yang telah didapatkan sebelumnya.
Setelah mendapatkan jenis perangkat serta kebijakan apa saja yang perlu ditempuh suatu organisasi pada tiap-tiap fase cyber kill chain beserta respon yang dibutuhkan, pengambilan keputusan investasi peningkatan keamanan sistem informasi dapat dilakukan secara objektif. Selain itu, penggelontoran biaya investasi juga dapat menjadi efisien dan tepat guna, karena ditentukan berdasarkan tingkat keamanan yang dihendaki dan dibutuhkan oleh organisasi.
Cyber kill chain controls matrix tersebut akan diisi dengan perangkat atau kebijakan yang dapat memberikan respon sesuai judul kolom untuk fase serangan tertentu. Penentuan perangkat dan kebijakan pada tabel berikut mengacu kepada nilai tingkat risiko dan dampak bisnis yang telah didapatkan sebelumnya.
Setelah mendapatkan jenis perangkat serta kebijakan apa saja yang perlu ditempuh suatu organisasi pada tiap-tiap fase cyber kill chain beserta respon yang dibutuhkan, pengambilan keputusan investasi peningkatan keamanan sistem informasi dapat dilakukan secara objektif. Selain itu, penggelontoran biaya investasi juga dapat menjadi efisien dan tepat guna, karena ditentukan berdasarkan tingkat keamanan yang dihendaki dan dibutuhkan oleh organisasi.