BAB IV PEMBAHASAN. dokumen, wawancara dengan staf, serta melakukan observasi langsung pada Divisi

Transkripsi

1 BAB IV PEMBAHASAN BAB IV PEMBAHASAN 4.1 Latar Belakang Pembahasan Dalam melakukan penilaian risiko, data diperoleh dengan cara mengumpulkan dokumen, wawancara dengan staf, serta melakukan observasi langsung pada Divisi IT Security. Berdasarkan NIST SP ada 9 tahapan yang dilakukan dalam penilaian risiko yaitu : 1. Karakterisasi sistem 2. Identifikasi ancaman 3. Identifikasi kerentanan 4. Analisa kontrol 5. Penentuan kemungkinan 6. Analisa dampak 7. Penentuan risiko 8. Rekomendasi kontrol 9. Dokumentasi hasil Berdasarkan hasil wawancara dengan staf Divisi IT Security (Lampiran 2) diketahui ancaman terbesar yang terjadi dari tahun 2010 sampai Februari 2012 adalah Denial of Service (DoS), Virus dan Worm, serta Unauthorized Access. Event yang terjadi berupa kategori tersebut cukup banyak walaupun sampai saat ini masih dapat diblokir oleh tools-tools IT Security yang dimiliki. 31

2 Penilaian Risiko Penilaian risiko merupakan proses pertama dalam manajemen risiko. Sembilan tahapan dalam proses penilaian risiko adalah sebagai berikut Karakterisasi Sistem (System Characterization) Pada penilaian risiko sistem informasi, tahap pertama yang dilakukan yaitu dengan menjelaskan informasi yang berhubungan dengan sistem yang digunakan untuk mengkarakterisasi sistem TI dan perusahaan. Untuk perangkat keras (hardware), sistem operasi, dan aplikasi yang tertera mengacu pada Dokumen List Aset Divisi IT Security, 2011 (Lampiran 1). Tabel 1 merupakan daftar hardware yang dimiliki oleh Divisi IT Security, Tabel 2 merupakan daftar sistem operasi, dan Tabel 3 merupakan daftar aplikasi yang digunakan untuk kegiatan operasional. Tabel 1. Daftar Hardware Divisi IT Security Jenis Tipe Jumlah (unit) Server IBM X IBM X3250 Router Cisco VPN 3000 Concentrator 5 Cisco 2800 Series Juniper M10i Switch Cisco Catalyst 2960 Series Cisco Catalyst 3560 Series Switches Extreme 6800 series Radware AppDirector Firewall Check Point Firewall 6 Netscreen ISG 2000 Cisco ASA 5500 Series IPS Proventia IPS 22 IDM Server 10 Proxy Gateway Ironport Web 4 Mail Gateway Ironport Mail 4 6

3 33 Tabel 2. Daftar Sistem Operasi Divisi IT Security Jumlah Sistem Operasi (unit) Window server 2003, enterprise (32 bit) 3 Window server 2008, enterprise (64 bit) 1 Windows Server 2008 Standard 2 Windows Server 2008 R2 Standard 7 Windows Server 2003 R2 37 Windows Server bit 8 Windows Server 2003 R2 64 bit 2 ESXi 1 Linux Redhat Enterprise Server BIT 20 Windows Server Solaris 8 Tabel 3. Daftar Aplikasi Divisi IT Security Aplikasi Jumlah (unit) Log Processing, IT Security 1 Pooling Log SOC 1 Firewall SmartConsole 1 SEP Server 1 IPS Application (Site Protector IPS) 1 Database IPS 1 Collector IPS 3 Primary DNS External xyz.com 1 Secondary DNS External xyz.com 1 Firewall Perimeter 3 Mail Gateway 2 Web Gateway 2 Router 2 VPN Gateway 2 IPS G IPS G400 5 IPS GX Firewall Datacenter 2 NTP 1 Radius 1 VPN WLAN 1 C2960G L2 Switch 1

4 34 Aplikasi Jumlah (unit) C3560G L2 Switch 1 Loadbalancer proxy 2 SEP-Desktop 8 Gambar 8 merupakan gambaran topologi jaringan dari aset yang dimiliki oleh Divisi IT Security. Semua server yang dimiliki oleh Divisi IT Security berada di daerah data center dimana setiap akses yang masuk difilter oleh firewall. Sebelum melewati firewall, terdapat IPS (Intrusion Prevention System) yang memiliki kemampuan untuk melakukan pencegahan secara proaktif dalam jaringan terhadap gangguan yang sering atau pernah terjadi. Fungsi utama dari router adalah sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya. Agar seluruh regional dapat melakukan pertukaran informasi maka router yang ditempatkan di kantor pusat PT. XYZ. Pada wilayah DMZ terdapat switch yang berfungsi sebagai load balancer, sebagai penghubung IPS dengan IDS (Intrusion Detection System), serta untuk mengatur koneksi apabila salah satunya ada yang down. Selain itu juga terdapat firewall dan IPS yang menfilter Internet sebelum masuk ke lokal jaringan PT. XYZ.

5 Gambar 8. Topologi Jaringan Divisi IT Security 35

6 36 User-user yang mendukung penggunaan sistem IT pada Divisi IT Security meliputi: a. Kepala divisi b. Manager c. IT Network Sistem Expert d. IT Security Officer e. Application Support Operator f. Tim Security Operation Center (SOC) g. Tim Antivirus h. Tim Identity Management (IDM) Gambar 9 adalah struktur organisasi dari Divisi IT Security PT. XYZ. Kepala divisi membawahi Manager Security Response dan IT Network System Expert. Manager Security Response membawahi Application Support Operator dan IT Security Officer. Tim IDM berada dibawah IT Security Officer. Sementara tim Antivirus dan tim SOC berada dibawah IT Network System Expert.

7 37 Gambar 9. Struktur Organisasi Divisi IT Security Identifikasi Ancaman (Threat Identification) Sumber ancaman adalah keadaan atau peristiwa yang memiliki potensi untuk menyebabkan kerusakan pada sistem TI. Untuk sumber ancaman ancaman keamanan informasi, Divisi IT Security melakukan monitoring selama 24 jam sehari 7 hari dalam seminggu. Data hasil monitoring kemudian dapat diakses melalui portal internal. Berdasarkan portal tersebut didapat data jumlah event terhadap perangkatperangkat yang dimiliki oleh PT.XYZ. Pada Gambar 10 terlihat kategori event terbesar dari tahun 2010 sampai Februari 2012 berupa denial of service (DoS). Pada tahun 2010 event kedua terbanyak berupa unauthorized access attempt. Sedangkan pada

8 38 tahun 2011 dan 2012 jenis event kedua terbanyak setelah DoS adalah worm/virus diikuti dengan kategori protocol signature dan network. Data pada Gambar 10 dan Gambar 11 terdapat pada Lampiran 2. Gambar 10. Kategori Event Terdeteksi pada Perangkat Gambar 11. Virus Terdeteksi pada Server dan Workstation

9 39 Gambar 11 merupakan grafik virus yang terdeteksi pada server dan workstation. PT. XYZ menggunakan antivirus Symantec Enterprise. Berdasarkan gambar terlihat virus yang terdeteksi pada workstation lebih banyak daripada yang terdeteksi pada server. Hal ini disebabkan karena pertukaran data pada server dibatasi dan juga akses menuju ke server akan difilter oleh firewall, antivirus, dan tools security lainnya. Sementara untuk data insiden dapat dilihat pada Lampiran 10dimana terdapat 1348 insiden yang terjadi pada tahun Februari Tabel 4 merupakan ancaman yang diidentifikasi berdasarkan 3 event terbesar pada Divisi IT Security. Tabel 4. Identifikasi Ancaman Ancaman Sumber Ancaman Aksi Ancaman Denial of Service Hacker Menggunakan semua bandwidth dengan mengirimkan traffic yang besar ke jaringan Mengkonsumsi disk space yang ada dengan menciptakan file yang besar ukurannya Mengirim permintaan ilegal untuk sebuah aplikasi sehingga menyebabkan crash Membuat banyak sesi login ke dalam server sehingga user lain tidak dapat melakukan login Virus/Worm Unauthorized Access Internal perusahaan (karyawan) Pihak ketiga (vendor, eks-karyawan), Menyisipi attachment pada Menginfeksi file dokumen perusahaan Membanjiri dan meningkatkan peggunaan network Membuka backdoor pada komputer Defacing pada website Mengkopi data sensitif

10 40 Ancaman Sumber Ancaman Aksi Ancaman Industrial espionage perusahaan Melakukan remote pada server tanpa authorisasi Menebak atau mencuri username dan password Mengakses workstation tanpa izin Identifikasi Kerentanan (Vulnerability Identification) Analisis ancaman terhadap sistem TI harus mencakup analisis kerentanan yang terkait dengan sistem. Tujuan dari tahap ini adalah untuk mengembangkan daftar kerentanan sistem (cacat atau kelemahan) yang dapat dieksploitasi oleh sumber ancaman potensial. Tabel 5 merupakan hasil identifikasi kerentanan yang terdapat pada Divisi IT Security berdasarkan hasil wawancara. Tabel 5. Identifikasi Kerentanan Kerentanan Sumber Ancaman Aksi Ancaman Virus disisipi pada software Instalasi software yang tidak berhubungan dengan kegiatan operasional. Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan. Pertukaran data antar jaringan Umumnya sumber maupun removable penyebaran virus terdapat media pada removable media (flashdisk, external hardisk) Human error Karyawan yang ceroboh Terjadinya pengubahan data Perusahaan Terjadinya perubahan parameter pada sistem Data menjadi tidak valid Sistem ID Karyawan yang Unauthorized user oleh Menyusup kedalam sistem Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan.

11 41 Kerentanan Sumber Ancaman Aksi Ancaman karyawan yang berhenti telah berhenti belum dihapus dari sistem Penggunaan account root oleh vendor pada saat fase development Unauthorized user oleh vendor secara ilegal Mengakses data milik perusahaan Menyusup kedalam sistem secara ilegal Mengakses data milik perusahaan Untuk mengetahui kerentanan terhadap sistem maka dilakukan juga vulnerability assessment dengan menggunakan tools berupa Nessus Vulnerability Scanner. Mulai dari tahun 2010 sampai 2012 terjadi penambahan IP address yang diassessment. Dimana setiap IP address merepresentasikan sistem atau aplikasi yang dimiliki oleh Divisi IT Security. Pada tahun 2010 terdapat 50 IP address, tahun 2011 terdapat 115 IP address, dan tahun 2012 terdapat 133 IP address. Gambar 12 merupakan data hasil vulnerability assessment yang dilakukan selama tiga tahun terakhir sesuai data pada Lampiran 2. Gambar 12. Grafik Vulnerability Assessment terhadap Aplikasi

12 42 Untuk tingkat kerentanan dari hasil identifikasi kerentanan diatas dapat didefinisikan pada Tabel 6, sebagai berikut : Tingkat Kerentanan Tabel 6. Tingkat Kerentanan Sistem Karakteristik Tinggi Memungkinkan penyerang dapat menjalankan perintah sebagai user lain Memungkinkan penyerang dapat mengakses data diluar akses yang diperbolehkan Memungkinkan penyerang untuk berperan sebagai user/entitas lain Memungkinkan penyerang melakukan aksi DoS Memungkinkan penyerang menguasai/mengendalikan sistem sepenuhnya Sedang Memungkinkan penyerang mengumpulkan data Memungkinkan penyerang menyembunyikan event/aktifitasnya Sebagai titik awal penyerang mendapatkan akses ke suatu sistem/data Rendah Informasi awal yang didapat oleh penyerang sebelum mendapatkan informasi yang menyeluruh. Contoh Root account, admin account, sys account menggunakan password yang lemah Versi dari software belum terupdate dengan versi yang terbaru Menggunakan Sertifikat SSL yang tidak terdaftar Adanya kelemahan pada pengaturan protokol remote desktop yang memungkinkan terjadinya penyalahgunaan akses Konfigurasi dari software yang menyebabkan terbukanya informasi sensitif Port yang terbuka Deteksi service Identifikasi sistem operasi Deteksi versi

13 Analisis Pengendalian (Control Analysis) Untuk mengetahui kontrol yang digunakan dalam penanganan insiden terkait dengan tiga insiden teratas pada Divisi IT Security maka dilakukan pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4). Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 7, Tabel 8, Tabel 9, dan Tabel 10 merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner. Tabel 7. Kontrol untuk Pencegahan Insiden Tahap Kontrol Pencegahan Dilakukan update antivirus minimal 3 kali sehari Dilakukan vulnerability assessment terhadap semua sistem yang dimiliki secara periodik Konfigurasi pada jaringan dengan memfilter trafik yang masuk Dilakukan monitoring selama 24 jam, 7 hari seminggu terhadap ancaman yang terjadi pada sistem Tabel 8. Kontrol untuk Penanganan Insiden Secara Umum Tahap Kontrol Deteksi dan analisa Mengetahui insiden telah terjadi Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada Melakukan pengkajian Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. Mengklasifikasi insiden menggunakan beberapa kategori yang ada Tabel 9. Kontrol untuk Penanganan Insiden Denial of Service Tahap Kontrol Deteksi dan analisa Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapu- Memperoleh, mempertahankan, mengamankan,

14 44 Tahap Kontrol san, dan Pemulihan dan mendokumentasi bukti yang ada. Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Tabel 10. Kontrol untuk Penanganan Unauthorized access Tahap Kontrol Deteksi dan analisa Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, dan Pemulihan Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi) Melaksanakan tindakan penahanan tambahan jika perlu Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Tabel 11. Kontrol untuk Penanganan Virus/worm

15 45 Tahap Kontrol Deteksi dan analisa Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, Mengidentifikasi sistem yang terinfeksi dan Pemulihan Apabila diperlukan, halangi mekanisme transmisi untuk malicious code Disinfeksi, mengkarantina, menghapus, dan mengganti file yang terinfeksi Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Kegiatan Pasca Insiden Penentuan Kemungkinan (Likelihood Determination) Penentuan potensi kerentanan dapat mendatangkan ancaman dapat dikategorikan ke dalam tingkat tinggi, sedang, dan rendah. Faktor yang menjadi bahan pertimbangan antara lain : a. Motivasi dan kapabilitas sumber ancaman b. Sifat kerentanan c. Keberadaan dan efektifitas kontrol saat ini Tabel 12. Kategori Kemungkinan Terjadi Skor Kategori Ke- Indikator Keterangan

16 46 mungkinan Kejadian 3 Tinggi 2 Sedang 1 Rendah Kemungkinan terjadi 1 kali dalam satu kuartal Kemungkinan terjadi < 4 kali dalam setahun Kemungkinan terjadi < 1 kali setahun Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, hal ini terjadi karena pengendalian untuk mencegah kerentanan yang dilakukan tidak efektif atau masih kurang. Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan masih bisa melakukan kontrol yang mungkin dapat menghambat keberhasilan dari kerentanan. Sumber ancaman mempunyai motivasi rendah, kontrol digunakan dapat mencegah atau secara signifikan mengurangi suatu kerentanan yang akan terjadi Analisa Dampak (Impact Analysis) Tahap selanjutnya dari penilaian risiko adalah menentukan dampak yang terjadi ketika ancaman terhadap kerentanan yang ada berhasil dieksploitasi. Penilaian dampak didasarkan pada pertimbangan kepekaan dan kekritisan aset informasi yang ada. Dampak akibat suatu insiden merupakan hal yang merugikan dari salah satu atau beberapa 3 prinsip dasar keamanan yaitu integritas, ketersediaan, dan kerahasiaan. Berdasarkan wawancara dan dokumen IT Helpdesk Incident Management Policy and Procedure (Lampiran 9), dampak terjadinya insiden dapat dikategorikan menjadi tiga, yaitu besar, sedang, dan kecil. Tingkat dampak terjadinya insiden beserta indikatornya dapat dilihat pada Tabel 12.

17 47 Skor Tingkat Dampak 3 Tinggi 2 Sedang Tabel 13. Kategori Dampak Indikator Insiden melibatkan manajemen tingkat atas PT. XYZ, seperti Kepala Grup/Kepala Divisi Pengguna yang terkena gangguan satu divisi Resolution time paling lambat 24 jam Merupakan aplikasi yang berhubungan dengan revenue generator Insiden menyebabkan informasi atau data yang mendukung kegiatan operasional tidak tersedia Pengguna yang terkena gangguan 1 departemen Potensi dan mungkin menjadi sorotan publik Mempengaruhi kegiatan operasional dan berkaitan dengan servis/layanan Resolution time 48 jam Keterangan Kehilangan kepercayaan publik mengenai produk dan layanan perusahaan Ketidaknyamanan terhadap pelanggan 24 jam Direct loss > Rp Reputasi terkena dampak buruk dan dibutuhkan usaha dan biaya untuk perbaikan Ketidaknyamanan terhadap pelanggan 6 jam Direct loss antara Rp Rp Insiden menyebabkan ketidaknyamanan, Reputasi sedikit terpengasakan gangguan, atau keruruh, dapat diabaikan. yang tidak disengaja oleh Ketidaknyamanan terhadap pengguna atau tingkat administrator pelanggan 2 jam 1 Rendah dan berdampak minor pa- Direct loss Rp da sistem Pengguna yang terkena gangguan 5 orang Mempengaruhi kegiatan supporting operasional Tidak urgent Kerugian biaya sebagai bagian dari dampak risiko akibat terjadinya insiden, dilakukan dengan mempertimbangkan beberapa variabel quantifiable yang relevan

18 48 dengan dampak terjadinya insiden yaitu biaya perbaikan waktu kerja karyawan, dan jumlah karyawan yang terkena dampak insiden. Salah satu contoh estimasi kerugian yang dapat disajikan, berupa direct loss adalah: Aplikasi i-sev merupakan aplikasi elektronik voucher PT. XYZ untuk melakukan top up pulsa yang ditembakkan langsung ke nomer pelanggan. Aplikasi ini merupakan salah satu aplikasi perting sebagai aplikasi revenue generator bagi PT. XYZ. Rata-rata transaksi yang berlangsung per hari nya mencapai ±3000 untuk seluruh Indonesia. Apabila terjadi serangan DoS atau Virus yang dapat menyebabkan terjadi nya system down dalam kurun waktu 24 jam, dengan asumsi rata-rata pulsa yang diisi Rp per transaksi. Jumlah transaksi perhari dikali rata-rata pengisian pulsa. Maka estimasi total kerugian yang dialami PT. XYZ sebesar Rp. 150 juta Penentuan Risiko (Risk Determination) Berdasarkan tingkat risiko ini dapat ditentukan jenis perlakuan atau tindakan yang harus dilakukan. Mengacu pada wawancara pada Lampiran 3, kategori tingkat risiko dapat dilihat pada Tabel 14. Skor Tingkat Risiko 7-9 Tinggi Tabel 14. Tingkat Risiko Deskripsi Tindakan yang diperlukan Penyerang telah berhasil mengeksploitasi kerentanan keamanan jaringan. Memungkinkan penyerang untuk mendapatkan akses remote ke jaringan atau sistem. Risiko harus mendapat perlakuan berupa perbaikan dan tindakan korektif terhadap kontrol sesegera mungkin. Sistem yang ada mungkin dapat beroperasi, namun tindakan korektif sangat krusial dibutuhkan.

19 49 Skor Tingkat Risiko Deskripsi Tindakan yang diperlukan Memungkinkan penyerang dapat memperoleh akses administratif untuk sistem tersebut. 4-6 Sedang 1-3 Rendah Penyerang meluncurkan serangan baik secara manual atau menggunakan alat otomatis, tetapi serangan itu tidak berhasil. Serangan dilakukan dengan menggunakan program atau teknik eksploitasi terhadap aplikasi rentan atau jasa di jaringan. Tidak ada ancaman tunggal dengan kerahasiaan, integritas dan ketersediaan aset informasi. Risiko harus mendapat perlakuan untuk perbaikan, mencegah, dan menguranginya. Dapat diberikan tambahan kontrol yang sesuai dalam jangka waktu yang wajar. Risiko dapat diterima Untuk kedepannya akan dilakukan eskalasi lebih lanjut terhadap kontrol. Tabel 15 menggambarkan risiko-risiko yang mungkin terjadi akibat adanya ancaman pada tahap Identifikasi Ancaman, besarnya risiko, dan kontrol yang ada pada saat ini.

20 50 Tabel 15. Analisa Risiko Risiko Bandwidth habis Serangan virus pada workstation Defacing Website Website tidak dapat diakses Tingkat Dampak (1-3) Ancaman Dampak Kemungkinan Kejadian (1-3) 2 Virus/worm Kinerja jaringan lambat Pertukaran informasi terganggu Produktivitas karyawan berkurang 1 Virus/worm Kinerja perangkat lambat Produktivitas karyawan berkurang 3 Unathorized Access 3 Denial of Service Buruknya reputasi perusahaan Buruknya reputasi perusahaan Tingkat Risiko (1-3) Kontrol Saat Ini 3 6 Update antivirus untuk semua server dan workstation Scanning virus secara berkala Monitoring anomali yang terjadi 3 3 Update antivirus untuk semua server dan workstation Scanning virus secara berkala 3 9 Monitoring anomali yang terjadi Patching terhadap vulnerability 3 9 Monitoring anomali yang terjadi Unauthorized Access Patching terhadap vulnerability

21 51 Risiko Data pelanggan berubah atau hilang System down, hang, crash Aset (server) rusak Tidak dapat Login ke sistem Tingkat Dampak (1-3) 3 Unathorized Access Ancaman Dampak Kemungkinan Kejadian (1-3) Virus/Worm 3 Denial of Service 3 Denial of Service 2 Denial of Service Unathorized Access Data tidak tersedia/tidak valid Hilangnya kepercayaan pelanggan Data tidak dapat diakses Produktivitas karyawan berkurang Tingkat Risiko (1-3) Kontrol Saat Ini 3 9 Membatasi jumlah admin Penggunaan password yang kompleks 2 6 Melakukan backup secara berkala Filter pada firewall Data tidak tersedia 1 3 Melakukan back-up secara berkala Filter pada firewall Produktivitas karyawan berkurang 1 2 Filter pada firewall Penggunaan password yang kompleks

22 Rekomendasi Kontrol Rekomendasi kontrol didapat dari hasil penilaian risiko dengan tujuan untuk mengurangi tingkat risiko pada sistem TI. Beberapa hal yang dapat direkomendasikan adalah : a. Menetapkan kebijakan terkait ancaman yang ada, termasuk yang berhubungan dengan information sharing. Saat ini PT. XYZ telah memiliki kebijakan keamanan, tetapi sebaiknya kebijakan tersebut lebih ditingkatkan. b. Mengembangkan prosedur untuk penanganan insiden. Prosedur penanganan insiden tersebut menyediakan langkah-langkah rinci untuk menanggapi insiden. Prosedur harus mencakup semua tahapan proses respon insiden. Prosedur harus didasarkan pada kebijakan penanganan insiden dan rencana. Selanjutnya rekomendasi ini akan dilanjutkan pada proses mitigasi risiko, dimana prosedur dan teknis keamanan sebagai kontrol yang direkomendasikan akan dievaluasi, diprioritaskan, dan diimplementasikan Dokumentasi Hasil Setelah penilaian risiko selesai, hasilnya harus didokumentasikan dalam bentuk laporan. Dokumentasi menggambarkan keseluruhan proses penilaian risiko, mulai dari ancaman dan kerentanan, pengukuran risiko, dan rekomendasi kontrol untuk diimpelementasikan. Dari hasil laporan dapat membantu manajemen untuk membuat

23 53 keputusan tentang perubahan kebijakan, prosedural, anggaran, maupun sistem operasional. Dokumentasi terdapat pada Lampiran Mitigasi Risiko Mitigasi risiko merupakan proses kedua dari manajemen risiko dengan penambahan kontrol yang direkomendasikan pada proses penilaian risiko Kebijakan Keamanan Kebijakan berisi beberapa poin seperti maksud dan tujuan, ruang lingkup, peran dan tanggung jawab dari pihak yang bersangkutan. Penyusunan kebijakan keamanan mengambil referensi dari ISO/IEC ISO/IEC terdiri 15 domain yang mencakup 3 aspek yaitu aspek organisasi, aspek fisik, dan aspek teknis. Dalam pembuatan kebijakan diambil domain yang menyangkut aspek teknis saja karena domain yang lain dinilai kurang relevan dalam keseluruhan pembahasan tesis ini. Kebijakan 1. Penggunaan dan Internet Mail Address Kebijakan 2. Pemilihan dan Perlindungan Password Kebijakan 3. Penggunaan Jaringan dan Internet Kebijakan 4. Pengendalian Virus Kebijakan 5. Pengelolaan Akses User Kebijakan 6. Jumlah Optimum Administrator Kebijakan 7 Infrastruktur Jaringan Kebijakan 8 Pemantauan Keamanan Informasi Kebijakan 9 Remote Access

24 54 Kebijakan 10 Akses Pihak Ketiga Prosedur Operasi Standar (SOP) Prosedur didasarkan pada kebijakan yang merupakan gambaran dari proses teknis yang dilakukan untuk penanganan insiden. SOP dapat digunakan sebagai alat instruksional dan didistribusikan kepada seluruh anggota Divisi IT Security. SOP perlu diperbarui dari waktu ke waktu dan dapat berubah sesuai dengan ancaman baru atau tren dalam keamanan informasi. Dokumen SOP (Lampiran 7) berisikan : 1. Pendahuluan yang berisikan tujuan dokumen, siapa saja yang terlibat, ruang lingkup, dan referensi. 2. Manajemen insiden yang berisikan proses penanganan bila terjadi insiden, cara melakukan penilaian (assessment), klasifikasi serangan, cara penahanan dan pemulihan insiden. 3. Alur proses penanganan insiden secara umum dan insiden terkait tren yang terjadi selama 3 tahun terakhir. Gambar 13, merupakan proses alur penanganan insiden secara umum, Gambar 14 adalah alur penanganan untuk insiden dengan kategori DoS, Gambar 15 adalah alur penanganan untuk insiden dengan kategori virus/worm, dan Gambar 16 adalah alur penanganan untuk insiden dengan kategori unauthorized access.

25 55 Tim Security Operation Center IT Network System Expert Menemukan insiden Membuat laporan Awal Analisis awal Insiden potensial? Ya Tidak Eskalasi lebih dalam Lain-lain Klasifikasi Top 3 Insiden (A, B, C) Membuat laporan Akhir Log events Gambar 13. Alur Proses Penanganan Insiden Secara Umum Keterangan gambar diatas ; 1. Tim SOC melakukan monitoring secara terus menerus setiap harinya. Ketika menemukan suatu event yang dianggap sebagai insiden tim SOC akan melaporkan kepada IT Network Sistem Expert. Selain itu tim SOC juga melakukan analisis awal dengan mencari informasi dan data-data yang saling terkait dengan insiden.

26 56 2. Berdasarkan hasil analisis kemudian ditentukan apakah insiden tersebut dikatakan potensial atau tidak. Jika tidak tim SOC akan membuat laporan akhir. Namun apabila insiden tersebut potensial, akan dilakukan serta melakukan eskalasi lebih dalam dan pengkajian misalnya dengan membaca informasi ataupun berdiskusi mengenai insiden tersebut. 3. Kemudian dilakukan klasifikasi kategori insiden, apakah insiden merupakan top 3 insiden yang terjadi pada PT. XYZ atau bukan. Jika ya, maka dilakukan penanganan sesuai jenis insiden dan jika bukan maka tim SOC akan memberikan log dari event tersebut. Terakhir tim SOC membuat laporan akhir kepada IT Network Sistem Expert. Selanjutnya dibahas secara rinci untuk penanganan masing-masing insiden terkait 3 serangan terbesar yang terdeteksi pada Divisi IT Security:

27 Gambar 14. Alur Penanganan Denial of Service 57

28 58 Keterangan gambar diatas : 1. Tim SOC menemukan insiden DoS kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan tersebut. Apabila serangan belum berhenti, dilakukan filtering berdasarkan karakteristik serangan. Bila serangan masih juga belum berhenti dapat dilakukan relokasi target. 3. Ketika serangan telah berhenti, sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat serangan maka proses diulangi dengan melakukan identifikasi serta mitigasi terhadap kerentanan yang berhasil dieksploitasi. Namun apabila sudah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera.

29 59 Tim Antivirus IT Network System Expert User Insiden berupa virus/worm Membuat laporan Awal Membuat tiket pada portal Melakukan prioritas berdasarkan dampak bisnis Estimasi teknis & Eskalasi lebih dalam Identifikasi sistem yang terinfeksi Belum Memutuskan sistem dari jaringan Mitigasi kerentanan yang di eksploitasi Quarantined/ delete file Konfirmasi sistem telah normal? Pembahasan insiden dalam meeting Sudah Membuat laporan akhir, update portal Gambar 15. Alur Penanganan Virus/Worm

30 60 Keterangan gambar diatas ; 1. Tim antivirus menemukan insiden berupa virus atau worm kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan identifikasi terhadap sistem yang terinfeksi. Apabila dianggap berbahaya maka dilakukan pemutusan sistem dari jaringan. Tim antivirus juga harus melakukan mitigasi terhadap kerentanan yang dieksploitasi oleh malware. 3. Tim antivirus melakukan aksi untuk membersihkan, mengkarantina atau mendelete file yang terinfeksi. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat virus/worm maka proses diulangi dengan melakukan identifikasi sistem yang terinfeksi. Namun apabila sudah bersih dari virus/worm maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera..

31 61 Tim Security Operation Center IT Network System Expert User Insiden berupa unauthorized access Laporan Awal Membuat tiket pada portal Melakukan prioritas berdasarkan dampak bisnis Estimasi teknis & Eskalasi lebih dalam Initial containment Mengumpulkan data-data Belum Penanganan sudah cukup? Belum Tindakan tambahan Sudah Mitigasi kerentanan yang di eksploitasi Hapus komponen insiden dari sistem Mengembalikan sistem seperti semula Konfirmasi sistem telah normal? Melakukan monitoring tambahan Pembahasan insiden dalam meeting Sudah Membuat laporan akhir, update portal Gambar 16. Alur Penanganan Unauthorized Access

32 62 Keterangan gambar diatas ; 1. Tim SOC menemukan insiden unauthorized access kemudian membuat tiket insiden pada portal internal serta melaporkan kepada IT Network Sistem Expert. Selanjutnya dilakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. Selain itu juga dilakukan pengumpulan data mengenai insiden tersebut dan eskalasi lebih mendalam mengenai insiden tersebut. 2. Kemudian dilakukan penanganan awal misalnya dengan men-disable user account yang digunakan pada waktu serangan terjadi. Apabila serangan telah teratasi dapat dilakukan identifikasi serta mitigasi kerentanan yang dieksploitasi oleh serangan tersebut. Namun bila serangan belum juga teratasi maka IT Network Security Expert dapat memberikan saran mengenai tindakan tambahan. 3. Setelah itu, komponen-komponen yang terkait dengan insiden dapat dihapus dari sistem dan sistem yang terkena serangan dapat dikembalikan dan dioperasikan seperti sediakala. Selanjutnya dilakukan konfirmasi kepada user. Apabila masih terdapat serangan maka proses diulangi dengan melakukan identifikasi awal. Namun apabila sudah berjalan normal maka akan dibuat laporan akhir dan dibahas dalam meeting oleh IT Network Security Expert dan dilakukan update database portal internal sehingga apabila lain waktu ditemukan insiden yang sama dapat dilakukan penanganan dengan segera Rekomendasi Penanggulangan Insiden 1. Pencegahan

33 63 Blokir suspicious files Konfigurasi server dan client untuk memblokir attachment dengan ekstensi file yang berkaitan dengan malicious code (misalnya.pif,.vbs, bisa juga.rar atau.zip agar lebih ketat) dan kombinasi ekstensi file yang mencurigakan (misalnya.txt.vbs.,.htm.exe.). Namun cara ini mungkin juga memblokir aktifitas yang sah. Beberapa perusahaan mengubah ekstensi file terlebih dahulu sebelum dikirim kemudian penerima harus men-save dan merename file terlebih dahulu sebelum dijalankan. Mengurangi sharing file pada Windows karena banyak worm yang menyebar melalui sharing file pada host yang menjalankan windows. Sebuah infeksi tunggal dapat dengan cepat menyebar ke ratusan atau ribuan host melalui unsecured share. Menetapkan prosedur kepada semua user dari sistem, aplikasi, domain, sampai workstation untuk mengubah password mereka secara periodik. Hal ini merupakan cara pencegahan unauthorized access. Meningkatkan Pengetahuan Keamanan Informasi (Security Awareness) Divisi IT Security telah mengadakan pelatihan security awareness yang dilakukan satu kali dalam setahun yang diikuti oleh seluruh karyawan PT. XYZ. Hal ini dimaksudkan agar setiap karyawan menyadari aturan perilaku dan tanggung jawab mereka dalam melindungi misi Perusahaan. Untuk meningkatkan security awareness sebaiknya tidak hanya melalui pelatihan saja satu kali setahun saja, tetapi dapat dilakukan dalam sesi-sesi kecil per-divisi atau grup dengan materi yang menyeluruh mengenai

34 64 keamanan informasi. Misalnya masalah attachment pada , pergantian password, serta sharing file. Selain itu juga dapat dilakukan workshop, melalui situs Web, dan stiker. 2. Deteksi Manajemen Patch Secara rutin Divisi IT Security melakukan vulnerability assessment secara periodik. Hal ini dilakukan untuk mengurangi potensi terjadinya insiden keamanan. Dari hasil penilaian kerentanan yang telah diinformasikan kepada penanggung jawab masing-masing perangkat seharusnya dilakukan eskalasi terhadap kerentanan yang ada. Manajemen patch sangat penting untuk mengurangi kerentanan yang ada pada aplikasi. Divisi IT Security juga bertanggung jawab untuk melakukan manajemen patch, misalnya dengan memperoleh, menguji, dan mendistribusikan patch untuk para administrator yang sesuai dan pengguna diseluruh Perusahaan. Terkadang manajemen patch sering dibutuhkan saat mencoba untuk melakukan pemulihan dari insiden dengan skala besar. Penggunaan SIEM (Security Incident Event Management) lebih ditingkatkan. Terkadang sulit untuk mengidentifikasi suatu event sebagai insiden yang potensial. Semua yang mengeluarkan log harus dimonitor dengan baik. Mulai dari log aplikasi, perangkat (firewall, IPS, appliance), sistem operasi, maupun database. SIEM bekerja untuk meningkatkan keamanan informasi pada infrastruktur jaringan perusahaan dengan efisien dan dapat mendeteksi

35 65 kejadian yang mencurigakan. SIEM bertugas untuk memberikan deteksi awal dan peringatan terhadap event keamanan Pengukuran Akhir Pengukuran akhir dilakukan setelah 3 bulan implementasi proses mitigasi risiko, yaitu Maret May Pada tahap ini dilakukan kembali pengukuran dengan menggunakan kuesioner dari NIST SP800-61rev1 (Lampiran 4) untuk mengetahui peningkatan keamanan informasi setelah melalui tahap mitigasi risiko. Kuesioner ditujukan kepada Tim SOC dan Tim Antivirus yang berperan langsung dalam kegiatan operasional. Tabel 16, Tabel 17, Tabel 18, dan Tabel 19 merupakan merupakan kontrol yang diterapkan saat ini berdasarkan hasil kuesioner. Tabel 16. Kontrol untuk Penanganan Insiden Secara Umum Tahap Kontrol Deteksi dan analisa Mengetahui insiden telah terjadi Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada Mencari informasi yang saling berhubungan Melakukan pengkajian Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. Mengklasifikasi insiden menggunakan beberapa kategori yang ada Tabel 17. Kontrol untuk Penanganan Insiden Denial of Service Tahap Kontrol Deteksi dan analisa Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut.

36 66 Tahap Penahanan, Penghapusan, dan Pemulihan Kontrol Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Menahan insiden memberhentikan serangan DoS apabila serangan belum berhenti. Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. Apabila belum tertahankan, jalankan filter berdasarkan sifat dari serangan jika memungkinkan. Apabila belum tertahankan relokasi target. Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan sediakala. Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut Tabel 18. Kontrol untuk Penanganan Unauthorized access Tahap Kontrol Deteksi dan analisa Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, dan Pemulihan Melakukan penahanan pada awal kejadian Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah

37 67 Tahap Kontrol cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi) Melaksanakan tindakan penahanan tambahan jika perlu Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. Menghapus semua komponen insiden dari system Mengembalikan sistem yang terkena ke keadaan operasional semula Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut Tabel 19. Kontrol untuk Penanganan Virus/worm Tahap Kontrol Deteksi dan analisa Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Penahanan, Penghapusan, dan Pemulihan Mengidentifikasi sistem yang terinfeksi Disconnect semua sistem yang terinfeksi dari jaringan Mitigasi kerentanan yang dimanfaatkan oleh malicious code

38 68 Tahap Kontrol Apabila diperlukan, halangi mekanisme transmisi untuk malicious code Disinfeksi, mengkarantina, menghapus, dan mengganti file yang terinfeksi Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Kegiatan Pasca Insiden Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut Dari hasil kuesioner terlihat setelah mitigasi risiko, kontrol untuk mengendalikan insiden bertambah. Kemudian pada Lampiran 10 dapat dilihat jumlah insiden yang terjadi setelah proses mitigasi risiko yaitu bulan Maret May 2012 adalah 115 insiden. Seiring dengan meningkatnya kontrol dan berkurangnya jumlah insiden, berarti keamanan informasi Perusahaan juga semakin meningkat. 4.5 Pembahasan Berdasarkan NIST SP terdapat 9 tahapan dalam penilaian risiko. Tahap pertama adalah karakterisasi sistem yang bertujuan untuk menjelaskan informasi yang berhubungan dengan sistem yang digunakan untuk mengkarakterisasi sistem TI dan perusahaan. Pada tahap ini terdapat list aset yang dimiliki Divisi IT Security berupa hardware, software, dan aplikasi. Perangkat yang dimiliki berupa server, router, switch, dan perangkat-perangkat keamanan jaringan. Terdapat 48 aplikasi yang dimi-

39 69 liki oleh Divisi IT Security. Pada karakterisasi sistem juga ditampilkan user-user yang mendukung penggunaan sistem termasuk kepala divisi, manager, dan staff. Tahap kedua merupakan identifikasi ancaman yang terjadi selama tahun 2010 Februari Dimana serangan yang mendominasi selama kurun waktu tersebut adalah Denial of Service, Virus/worm, dan Unauthorized access. Data tersebut didapat melalui akses portal internal yang dimiliki oleh Divisi IT Security. Sedangkan sumber ancamannya berasal dari hacker, industrial espionage (misalnya kompetitor), internal perusahaan, maupun pihak ketiga seperti vendor atau mantan karyawan. Tahap ketiga merupakan identifikasi kerentanan. Berdasarkan wawancara terdapat beberapa kerentanan yang dapat diidentifikasi sebagai akibat kurangnya kebijakan yang mengatur keamanan informasi. Selain itu untuk mengetahui kerentanan pada sistem dilakukan vulnerability assessment secara periodik. Tahap keempat merupakan analisis pengendalian. Pada tahap ini dilakukan penyebaran kuesioner kepada tim Security Operation Center dan tim Antivirus. Kuesioner digunakan untuk mengetahui kontrol penanganan insiden yang ada pada saat ini. untuk tahap deteksi, penanganan, dan pasca insiden. Sedangkan untuk tahap pencegahan dilakukan dengan metode wawancara. Tahap kelima adalah penentuan kemungkinan yaitu dengan menentukan seberapa besar potensi kerentanan dapat mendatangan ancaman. Kategori ini dibagi menjadi 3 yaitu tinggi, sedang, dan kecil berdasarkan pertimbangan motivasi dan kapabilitas sumber ancaman, sifat dari kerentanan, dan efektifitas kontrol saat ini.

40 70 Tahap keenam adalah analisa dampak yang terjadi ketika ancaman terhadap kerentanan berhasil dieksploitasi. Tahap ini juga dibagi menjadi 3 kategori berdasarkan pertimbangan jumlah karyawan yang terkena dampak, waktu, dan biaya. Tahap ketujuh adalah penentuan risiko. Tingkat risiko dibagi menjadi 3 kategori yaitu tinggi, sedang, dan rendah. Pada tahap ini juga ditentukan masing-masing tingkat risiko terhadap ancaman-ancaman yang ada pada Tahap kedelapan adalah rekomendasi kontrol tambahan dari hasil penilaian risiko. Kontrol yang disarankan berupa tambahan kebijakan keamanan, prosedur operasi standar (SOP), serta beberapa tambahan untuk penanganan insiden baik untuk pencegahan maupun deteksi. Tahap terakhir adalah dokumentasi dari hasil penilaian risiko. Dokumentasi disajikan pada Lampiran 8. Selanjutnya dilakukan proses mitigasi untuk mengurangi risiko yang telah diidentifikasi saat penilaian dan merupakan kelanjutan dari tahap delapan pada penilaian risiko sebelumnya. Pertama, melalui peningkatan kebijakan keamanan berupa kebijakan yang menyangkut masalah teknis. Diantaranya kebijakan pemilihan dan perlindungan password, penggunaan jaringan dan Internet, pengendalian virus, pengelolaan akses user, dan remote akses. Kebijakan ini mengacu pada ISO/IEC Kedua, dengan pembuatan SOP untuk penanganan insiden. Dan yang ketiga dengan beberapa rekomendasi tambahan.

41 71 Untuk hasil akhir manajemen risiko dilakukan pengukuran kembali terhadap kontrol yang telah ditingkatkan pada tahap mitigasi risiko. Dari hasil pengukuran terlihat kontrol telah bertambah. Diharapkan seiring dengan bertambahnya kontrol maka keamanan informasi Divisi IT Security juga meningkat.