Session 11
Risk management
ð
perhatian utama dari keamanan informasi. setiap
tindakan organisasi membutuhkan atau gagal untuk
mengambil melibatkan beberapa
tingkat risiko.
Risiko
ð
kemungkinan suatu ancaman tertentu dapat
memperlihatkan kerentanan yang dapat merusak
organisasi Anda
•
Vulnerability
Ø
kesalahan atau kelemahan yang terjadi didalam
prosedur sistem keamanan, desain, implementasi atau pengendalian internal kita.
•
Threat
Ø
potensi yang dapat menimbulkan penyerang atau aktivitas yang
dapat mengeksploitasi kerentanan tertentu
•
Impact
Ø
dampak mengacu pada jumlah kerugian ancaman
eksploitasi yang dapat menimbulkan sebuah kerentanan.
Langkah-langkah dalam risk management process :
•
Risk identification
ð Tahapan
awal yang mengidentifikasi resiko apa yang akan terjadi.
•
Risk assessment
•
Inventory of assets
ð
Membuat inventarisasi aset Anda dapat menilai
kerugian sementara Anda menilai risiko
•
Clarify assets
ð
Mengklasifikasikan aset sesuai dengan nilai
mereka dari bisnis
•
Identify threats and vulnerabilities
ð Mengidentifikasi
dan kerentanan terhadap masing-masing aset dan membandingkannya dengan kontrol
yang diusulkan untuk mencari apakah kontrol sudah sesuai
2 APPROACHES : QUANTITATIVE AND QUALITATIVE
•
Qualitative
risk analysis
ð Menggambarkan
skenario risiko dan kemudian angka keluar apa dampak acara tersebut akan ada
pada kegiatan bisnis
•
Quantitative
risk analysis
ð Menggambarkan
secara finansial dan menempatkan nilai uang pada semua elemen risiko.
Calculating
Quantified Risk
1 .
Menghitung Asset Value (AV)
2 .
Menghitung exposure factor (EF)
3 .
Menghitung single loss expectancy (SLE)
4 .
Menentukan
seberapa sering kerugian mungkin terjadi setiap tahun
5 .
Menentukan annualized loss expectancy (ALE)
MENGEMBANGKAN STRATEGI UNTUK MENGHADAPI RISIKO
•
Risk
mitigation (reduction)
Ø
Pendekatan ini menggunakan berbagai kontrol
untuk mengurangi atau mengurangi risiko diidentifikasi
•
Risk
assignment (transference)
Ø
Pendekatan ini memungkinkan organisasi untuk
mentransfer risiko kepada entitas lain
•
Risk
acceptance
Ø
ini memungkinkan suatu organisasi untuk menerima
risiko
•
Risk
avoidance
Ø
Penghindaran risiko hanya itu, memutuskan untuk
tidak mengambil risiko
PLANNING TO SURVIVE
Planning
for disasters
·
Business continuity management (BCM)
·
Business continuity plan (BCP)
·
Disaster recovery plan (DRP)
Terminologi penting
·
Business Impact Analysis (BIA)
·
Critical Business Function (CBF)
·
Recovery Time Objective (RTO)
·
Recovery Point Objective (RPO)
·
Emergency Operations Center (EOC)
Plan
review
·
Testing the plan
·
Checklist test
·
Structured walk-through test
·
Simulation test
·
Parallel test
·
Full-interruption test
Types of
backups
·
Full backup
·
Differential backup
·
Incremental backup
Session 4
Vulnerability
ð Kelemahan dalam sistem memungkinkan ancaman
untuk menyebabkan kerusakan. Ancaman sering
mengeksploitasi satu atau
kerentanan yang lebih dikenal.
Ancaman paling umum, tanpa urutan tertentu adalah :
·
Malicious software
·
Hardware and software failure
·
Internal attacker
·
Equipment theft
APA SAJA KERENTANAN DAN ANCAMAN ?
·
External attacker
·
Natural disaster
·
Industrial espionage
·
Terrorism
Ada 4
kategori umum serangan :
·
Fabrications
·
Interceptions
·
Interruptions
·
Modifications
Session 6
Access Control
(AC)
Ø
Metode
yang digunakan
untuk membatasi dan memberikan akses ke item tertentu, seperti mobil, rumah, komputer,
bahkan panggilan telepon.
Ø
Mendefinisikan siapa pengguna
(orang atau proses komputer), apa yang pengguna dapat lakukan,
sumber daya mana yang mereka dapat
tercapai, dan kegiatan apa yang mereka dapat melakukan.
4 (empat) bagian dari Access Control
·
Authorization
o
Proses memutuskan siapa
yang memiliki akses ke komputer
dan sumber daya jaringan.
·
Identification
o
Metode
subyek yang digunakan untuk meminta akses ke sistem atau sumber daya
·
Authentication
o
Membuktikan bahwa subjek
yang meminta akses adalah subjek yang sama yang telah diberikan akses.
·
Accountability
o
Menelusuri
suatu tindakan untuk orang atau proses untuk mengetahui siapa yang membuat perubahan pada sistem
atau data.
Tipe Access Control
·
Physical
Access Controls
Ø
Untuk
membatasi akses secara fisik ke perangkat hardware yang membangun suatu sistem
·
Logical
Access Controls
Ø
Untuk
melakukan pengaturan / pengendalian akses terhadap resource-resource yang ada
di dalam suatu sistem.
4 elemen
sentral akses untuk mengelola kebijakan kontrol akses dengan baik:
·
Users
·
Resources
·
Actions
·
Relationship
Authorization
Ø
proses memutuskan siapa
yang memiliki akses ke mana
komputer dan jaringan sumber daya.
Identifikasi
Ø metode subjek
digunakan untuk meminta akses ke sistem atau sumber daya.
Identification guidelines
Ø untuk memastikan
bahwa semua tindakan yang dilakukan dalam sistem komputer
dapat dikaitkan
dengan pengguna tertentu,
setiap pengguna harus memiliki pengenal
yang unik
Authentication types
·
Authentication
by Knowlodge
Ø Didasarkan pada sesuatu yang
kita ketahui, seperti password,
kata sandi, atau PIN
·
Authentication
by Ownership
Ø Didasarkan pada sesuatu yang Anda miliki, seperti
smart card, kunci, lencana atau token
·
Authentication
by Characteristic
Ø
Digunakan
baik untuk mengidentifikasi physical biometrics and
logical biometrics
Password best practices
·
Jangan menggunakan password yang lemah
·
Jangan menyimpan salinan tertulis password kecuali
benar-benar diperlukan
·
Jangan pernah berbagi password Anda dengan siapa pun
·
Gunakan password yang berbeda untuk akun pemakaian
penting yang berbeda
·
Jika Anda berpikir password terganggu, ubah segera
·
Hati-hati saat menyimpan password pada komputer
·
Pilih password yang sulit ditebak
ACCOUNTABILITY
POLICIES AND PROCEDURES
Ingredients to accountability:
·
log files
·
data retention
·
media disposal
·
compliance requirements
