Investment of cyber security

1. INVESTASI KEAMANAN SISTEM INFORMASI PADA
VIRTUAL PRIVATE CLOUD MENGGUNAKAN
CYBERKILL CAHIN FRAMEWORK PADA PT ABC
UTAMA HASIOLAN PANGGABEAN
2001903005
Program Pascasarjana Ilmu Komputer
PROGRAM STUDI TEKNIK INFORMATIKA JENJANG S2
UNIVERSITAS BINA NUSANTARA JAKARTA 2019

2. AGENDA
LATAR BELAKANG
STUDI KASUS
RUMUSAN MASALAH
MANFAAT PENELITIAN
METODOLOGY
PAPER

3. LATAR
BELAKANG

4. LATAR BELAKANG

5. LATAR BELAKANG

6. LATAR BELAKANG

7. LATAR BELAKANG

8. STUDI KASUS
• Berdasarkan informasi dari CTO PT ABC, dan pesan notifikasi dari sistem
deteksi dan proteksi yang sudah ada pada virtual private cloud, terdapat
serangan berupa serangan brute force dan Denial of Service (DoS) yang
menyerang infrastruktur virtual private cloud. Dan juga serangan ransomware,
account hijacking, phishing, malware dan virus yang menyerang data yang
tersimpan pada virtual private cloud. Ketika serangan terjadi, penanganan
tidak dapat dilakukan dengan cepat dan efisien sehingga harus berdampak
pada lumpuhnya operasional sementara waktu sampai serangan dapat diatasi.
Dampak serangan tersebut adalah kehilangan hak akses terhadap infrastruktur
dan aplikasi, kehilangan data, kelumpuhan kegiatan operasional perusahaan
dikarenakan infrastruktur yang terganggu, dan juga hilangnya kepercayaan
klien.
• Pihak manajemen berencana untuk meningkatkan keamanan sistem
informasi pada virtual private cloud agar bisa mengembalikan kepercayaan
klien perusahaan untuk menggunakan solusi yang diberikan oleh PT ABC.
• Hal yang menjadi pertanyaan di management adalah dengan biaya x dolar
dan standar kemanan yang di implementasikan seberapa efektif tingkat
keamanan yang akan dicapai.

9. RUMUSAN
MASALAH
• Belum adanya pemodelan baku
(standardisasi) yang membahas
hubungan antara peningkatan
keamanan sistem dengan jumlah
biaya yang telah diinvestasikan.
• Banyak perusahaan enggan untuk
melakukan investasi peningkatan
keamanan jaringan karena sulit
diukur peningkatannya.

10. MANFAAT
PENELITIAN
• Meningkatkan keamanan sistem informasi di virtual
private cloud PT ABC secara efektif.
• Meminimalisir ancaman dan serangan dari pihak yang
tidak berwenang dan bisa melakukan mitigasi risiko
yang ada secara proposional.
• Untuk mengetahui hubungan antara biaya investasi
yang dikeluarkan dengan tingkat keamanan yang
didapat dengan melakukan pengukuran keamanan
cloud secara aspek teknis.
• Menjadi pertimbangan dan mengurangi tingkat
subjektivitas ketika melakukan investasi terhadap
perimeter security sehingga dapat memberikan
kebijakan manajemen risiko lebih objektif.

11. METODOLOGY
• Gordon & Loeb tentang distribusi probabilitas.
• Robust Technology tentang penilaian pembobotan
dari suatu yang bernilai berdasarkan ekpektasi
sebagai batasan nilai tertentu.
• RAOM (Risk Assessment and Optimization Model)
tentang simulasi model dalam penilaian risiko dengan
pengalaman tertentu.
• Evaluation Model sebagai pelengkap model yang akan
dibuat dan membahas tentang aspek bisnis dan
keuangan berdasarkan perhitungan NPV, IRR, dan ROI
dari asumsi yang telah dibuat.
• Kemudian ditambahkan dengan berdiskusi dari
beberapa beberapa staf ahli yang bekerja dalam
bidang keamanan jaringan, dan mengacu pada
standardisasi internasional NIST-SP800, ISO/IEC
17799, dan ISO 27001/27002.

12. KERANGKA
PIKIR

13. KERANGKA
PIKIR

14. MODEL
KERANGKA
KERJA RESIKO

15. VARIABLE
ANALISA
No Variabel Proses Pengambilan Data Keterangan
1 Tingkat Risiko Diambil pada proses
identifikasi resiko dengan
mempertimbangkan
kondisi sistem serta
mengacu pada framework
cyber kill chain
Hasil berupa:
min (0.1)
med (0.5)
max (1.0)
2 Dampak bisnis Berdasarkan data dari
narasumber berupa staf
ahli bidang terkait
Hasil berupa
pembobotan (1, 0.5,
0, -0.5, -1)

16. CYBERKILL
CHAIN
CONTROLS
METRIX
Phase Detect Deny Disrupt Degrade Deceive Contain
Reconnaisance
Weaponization
Delivery
Exploitation
Installation
Command & Control
Actions on Objectives

17. CYBERKILL
CHAIN
CONTROLS
METRIX
Cyber kill chain controls matrix tersebut akan diisi dengan
perangkat atau kebijakan yang dapat memberikan respon
sesuai judul kolom untuk fase serangan tertentu. Penentuan
perangkat dan kebijakan pada tabel berikut mengacu kepada
nilai tingkat risiko dan dampak bisnis yang telah didapatkan
sebelumnya.
Setelah mendapatkan jenis perangkat serta kebijakan apa saja
yang perlu ditempuh suatu organisasi pada tiap-tiap fase cyber
kill chain beserta respon yang dibutuhkan, pengambilan
keputusan investasi peningkatan keamanan sistem informasi
dapat dilakukan secara objektif. Selain itu, penggelontoran
biaya investasi juga dapat menjadi efisien dan tepat guna,
karena ditentukan berdasarkan tingkat keamanan yang
dihendaki dan dibutuhkan oleh organisasi.

18. PAPER
No. Penelitian Deskripsi
1 A new methodology for security evaluation in cloud
computing (Ristov, Gusev, & Kostoska, 2012)
Kesimpulan dari penelitian ini adalah, standar keamanan yang
sudah ada masih belum mencakup tantangan keamanan cloud.
Peneliti juga mengusulkan tujuan pengendalian ISO 27001:2005
baru, manajemen virtualisasi, dengan dua kontrol yang meliputi
virtualisasi dan kontrol virtual sistem.
2 Framework for Secure Cloud Computing (Munir &
Palaniappan, 2013)
Pada penelitian ini, disebutkan bahwa dengan mengembangkan
penilaian risiko dapat membantu organisasi dalam mengambil
keputusan terkait penggunaan cloud computing berbanding risiko
yang dapat diterima.
3 Perancangan Manajemen Risiko Keamanan Informasi
Dengan Menggunakan Metode NIST 800-30: Studi Kasus
Sistem Informasi Akademik (SIMAK) Universitas Islam
Negeri Sultan Syarif Kasim Riau (Syafitri, 2014)
Melakukan perancangan manajemen risiko keamanan informasi
dengan mengacu pada standardisasi NIST 800-30. Dengan
mendapatkan kontrol resiko, hasil yang didapatkan adalah rencana
implementasi
4 Rencana implementasi keamanan PTIPD Memaparkan bahwa dengan adanya kontrol risiko, risiko yang telah
diidentifikasi dapat diminimalisir. Selain itu, kontrol juga dapat
dijadikan bahan pertimbangan pengambilan keputusan.
5 Evaluasi manajemen risiko sistem informasi monitoring:
Studi kasus lembaga lembaga ID-SIRTII/CC
(Rochmatulloh, 2017)
Mengevaluasi manajemen risiko sistem monitoring ID-SIRTII/CC
dengan menggunakan kerangka kerja NIST SP 800-53. Hasil yang
didapat adalah rekomendasi kontrol untuk meminimalisir risiko
pada sistem, berdasarkan tingkat risiko masing-masing aset
6 (Stoneburner dkk., 2002 dalam Lo dan Chen, 2012) Proses pengelolaan risiko dilakukan melalui proses identifikasi
risiko, penilaian risiko, serta pengambilan langkah untuk
mengurangi risiko ke tingkat yang dapat diterima.
7 (Peltier, 2005) Proses penilaian risiko adalah proses paling penting dari
manajemen informasi risiko.
8 (Michael dkk., 2001 dalam Bae dan Lee, 2012,) Pada proses manajemen risiko, terdapat beberapa proses yaitu
mengidentifikasi risiko yang ada, mengevaluasi dampak, dan
mengeksekusi tindakan yang tepat.
9 (Miller dan Leiblein, 1996; Shapira, 1995) Manajemen organisasi cenderung lebih fokus pada besarnya
kerugian daripada kemungkinan hal itu akan terwujud.
10 (dikutip oleh Yue dkk., 2006, lihat Briney 2001; Ernst dan
Young, 2003; Stein, 2003)
Kendala utama bagi perusahaan untuk mencapai tingkat
perlindungan keamanan yang diinginkan adalah karena kurangnya
anggaran keamanan.

19. TERIMA KASIH