Home » Reviews » [umum] Pengenalan Keamanan Sistem IT

[umum] Pengenalan Keamanan Sistem IT

Pendahuluan

Jika kita berjalan-jalan ke toko buku komputer dan ke situs internet telah banyak orang yang berbagi tentang tips-tips bagaimana cara hacking atau craking suatu website, bagaimana caranya mendapatkan password admin website tertentu atau bagaimana cara mendapatkan password dari ID seseorang di jejaring sosial, dan lain sebagainya. tetapi sangat jarang orang yang ingin berbagi bagaimana cara untuk mengamankan data-data yang ada dalam sistem baik itu aplikasi website, jaringan dan lain sebagainya dari gangguan penyusup (attacker).

Sebelum kita ingin mengamankan sistem kita dari gangguan penyusup (attacker), terlebih dahulu kita harus tau apa yang harus kita amankan dan kenapa? Jawabannya adalah aset, dan kenapa?  Karena jika kehilangan aset, kita bisa kehilangan seluruh bisnis yang dimiliki.

Ketika kita menjadi bagian dari tim keamanan sistem IT, banyak orang yang berimajinasi bahwa kita seperti petugas keamanan yang duduk di pos yang sesekali berpatroli dengan membawa pentungan, atau senapan, dan senter, yang harus berjaga 24 jam, yang baru bertindak melakukan perbaikan keamanan setelah terjadi insiden. Jika anda merupakan bagian dari tim keamanan sistem IT dan anda juga memiliki pola pikir seperti diatas, sebaiknya anda segera merubah pola berpikir anda.

Sebagai seorang petugas keamanan sistem IT kita harus bisa berpikir dalam dua sudut pandang secara bersamaan, salah satu bagian dari otak kita berfikir sebagai petugas keamanan dan bagian yang lain berpikir sebagai pencuri, kenapa harus demikian? Jika kita sudah mengetahui bagaimana pola berpikir dari seorang pencuri dalam hal ini apa yang diinginkan pencuri dari sistem kita, dan strategi apa yang dilakukan untuk mendapatkan itu? Maka kita sebagai petugas keamanan akan lebih mudah melakukan pencegahannya.

Pengertian Aset

Aset adalah sesuatu yang  memiliki nilai untuk organisasi (source : ISO/IEC 27001:2005,3.1)

Menentukan aset organisasi yang harus kita lindungi dari berbagai ancaman yang menyebabkan kerugian bisnis bisa dilakukan dengan dua tahap :

  • Menentukan aset berdasarkan kemungkinan ancaman yang disebabkan adanya kerentanan pada aset tersebut :
  • Tentukan group aset
  • Tentukan spesifik asset
  • Tentukan hal hal penting yang tergantung pada aset tersebut dan memiliki nilai bisnis tinggi
  • Tentukan ancaman yang  mungkin terjadi terhadap aset tersebut
  • Kemudian ancaman tersebut terjadi karena ada kerentanan apa?
  • Apa saja dampak yang diakibatkan oleh ancaman yang terjadi karena adanya kerentanan tersebut
  • Penilaian resiko aset terhadap ancaman yang disebabkan oleh adanya kerentanan :
  • Kemudian lakukan penilaian aset (risk value) karena adanya ancaman tersebut, biasanya nilai  dibagi menjadi 3, yaitu : Low, Medium, High berdasarkan confidentiality, integrity, dan availability.
  • Selanjutnya kita juga harus menilai bisnis loss yang disebabkan karena ancaman tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
  • Tentukan nilai impact level nya dengan rumus = aset value dibandingkan dengan nilai bisnis loss. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
  • Tentukan nilai likelihood (kemungkinan terjadi) nya. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
  • Tentukan nilai risk score dengan rumus = impact level dibandingkan dengan likelihood. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High
  • Jika hasil risk score adalah medium atau high, maka kita harus membuat kontrol dari tiap kerentanan sehingga resiko yang ada dapat dikurangi.

3. Mindset (pola pikir) seorang petugas keamanan sistem IT

Seorang penyusup (attacker) biasanya menghabiskan banyak waktu mereka untuk memperoleh informasi dari target. Karena bagi mereka eksploit adalah hal yang bisa dilakukan dalam waktu singkat jika mereka telah mengetahui banyak informasi kerentanan yang dimiliki oleh target dan aset yang dianggap bernilai bisnis tinggi oleh organisasi. Semakin banyak informasi kerentanan yang dimiliki, maka semakin banyak kemungkinan cracker mengambil aset yang bernilai bisnis tinggi tersebut.

Informasi seperti apakah yang diharapkan oleh para penyusup (attacker) itu? informasi yang diharapkan cracker minimal seperti yang digambarkan dibawah ini :

Keamanan Sistem Informasi

Bagaimana mendapatkan informasi seperti gambar diatas? Informasi tersebut dapat diperoleh dari wawancara atau scanning IP Address. Ketika melakukan wawancara atau scanning IP Address kita bisa mendapatkan kerentanan dan bisa menentukan ancaman apa yang kemungkinan dapat membahayakan bisnis, meskipun terkadang kerentanan dan ancaman tersebut baru bisa didapatkan setelah kita melakukan analisa lebih mendalam.

Setelah kita melakukan semua tahapan – tahapan dalam menentukan kerentanan dan ancaman pada aset, dan telah melakukan penilaian resiko terhadap aset, kemudian kita harus mempresentasikan hasil analisa ke manajemen, sebaiknya sertakan juga proof of concept (POC) dari analisa yang telah kita buat. Contoh, ketika kita menyampaikan bahwa pada cookies di web aplikasi kita terdapat kerentanan yang bisa digunakan oleh penyusup (attacker) masuk sampai kedalam database kita, dan mampu melakukan perubahan terhadap data yang tersimpan didalamnya, maka sebaiknya sertakan juga proof of concept dari yang kita sampaikan itu. Ketika menyampaikan proof of concept tersebut tidak disarankan bagi kita untuk mendemokan secara live bagaimana kita mendapatkan kerentanan tersebut, atau bahkan kita tidak boleh mendemokan bagaimana cara masuk ke sistem itu.

Sebagai seorang tim keamanan sistem IT, kita tidak hanya dituntut untuk mendapatkan kerentanan, ancaman, penilaian resiko pada aset yang disertai dengan proof of concept saja, tetapi kita juga dituntut untuk memberikan solusi atau rencana perbaikan sehingga resiko yang ada menjadi bisa diterima oleh manajemen. Solusi atau rencana perbaikan tersebut bisa dibagi menjadi dua, yaitu rencana jangka pendek dan rencana jangka panjang. Rencana jangka pendek dapat diterapkan ketika hal tersebut dapat mengatasi kerentanan yang paling penting (yang memiliki nilai resiko medium dan high) dan dapat dilakukan sesegera mungkin. Sedangkan rencana jangka panjang dapat diterapkan ketika membawa manfaat jangka panjang dan organisasi tidak dapat melakukan dalam waktu 6-12 bulan ke depan sehingga membutuhkan investasi waktu dan dana yang besar.

Penulis:

-        Indri (indri.cantik@gmail.com)

-        Mark (mark.rizal@gmail.com)

3 Comments

  1. Setiyo Mursid

    kapan2 bikin pengenalan sistem keamanan hatimu ya, Mbak..
    hihihi..

Leave a Reply

Scroll To Top