LAMPIRAN 1. List Aset Divisi IT Security. No. IP Address Status Application Function Log Processing, 1 x.x.x.x

Transkripsi

1 LAMPIRAN 1 List Aset Divisi IT Security No. IP Address Status Application Function Log Processing, 1 x.x.x.x IT Security 2 x.x.x.x Pooling Log SOC Firewall Smart- 3 x.x.x.x Console 4 x.x.x.x SEP Server IPS Appication (Site Protector Lampiran 1 5 x.x.x.x IPS) 6 x.x.x.x Database IPS 7 x.x.x.x Collector IPS 01 8 x.x.x.x Collector IPS 02 9 x.x.x.x Collector IPS x.x.x.x DEVELOPMENT APP Server (IdM Reporting) 11 x.x.x.x PRODUCTION APP Server 12 x.x.x.x PRODUCTION APP Server 13 x.x.x.x PRODUCTION DB Server 14 x.x.x.x PRODUCTION APP Server 15 x.x.x.x PRODUCTION DB Server (db clustering) 16 x.x.x.x PRODUCTION APP & DB Server 17 x.x.x.x PRODUCTION IdM Reporting DB 18 x.x.x.x DEVELOPMENT Staging Server 19 x.x.x.x PRODUCTION Back-Up DB 20 x.x.x.x FTP SERVER EX- TERNAL - Billing dan VPN Client 21 x.x.x.x NAT outgoing Network BoD 22 x.x.x.x Primary DNS External xyz.com DNS Primary / FTP External 23 x.x.x.x Secondary DNS External xyz.com DNS Secondary 24 x.x.x.x Proxy External - WLAN GUEST xix

2 No. IP Address Status Application Function Firewall Perimeter Checkpoint 32 x.x.x.x XYZKP-PF01 33 x.x.x.x PRODUCTION Firewall Perimeter FW-External 34 x.x.x.x ROUTER IT - VPN ASA x.x.x.x Firewall Perimeter Checkpoint XYZKP-PF02 36 x.x.x.x IPS G x.x.x.x IPS G x.x.x.x Mail GW Mail Gateway1 39 x.x.x.x Mail GW Mail Gateway2 40 x.x.x.x Web GW Web Gateway S x.x.x.x Web GW Web Gateway S x.x.x.x Router BOD1 router 43 x.x.x.x Router BOD2 router 44 x.x.x.x VPN GW VPN3000 (Maintenance oleh IT- LAN) 45 x.x.x.x VPN GW ASA5500 (Maintenance oleh IT- LAN) 46 x.x.x.x IPS G x.x.x.x IPS G x.x.x.x IPS G x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x IPS G x.x.x.x IPS G x.x.x.x IPS GX x.x.x.x IPS GX x.x.x.x Firewall Datacenter DC Firewall - Net- Screen 62 x.x.x.x Firewall Datacen- DC Firewall - Net-

3 No. IP Address Status Application Function ter Screen 63 x.x.x.x NTP 64 x.x.x.x Radius 65 x.x.x.x VPN WLAN C2960G L2 66 x.x.x.x Switch C3560G L2 67 x.x.x.x Switch 68 x.x.x.x Loadbalancer proxy AppDirector 69 x.x.x.x Loadbalancer proxy AppDirector_peer 70 x.x.x.x SEP-Desktop Desktop Antivirus 71 x.x.x.x SEP-Desktop Desktop Antivirus 72 x.x.x.x SEP-Desktop Desktop Antivirus 73 x.x.x.x SEP-Desktop Desktop Antivirus 74 x.x.x.x SEP-Desktop Desktop Antivirus 75 x.x.x.x SEP-Desktop Desktop Antivirus 76 x.x.x.x SEP-Desktop Desktop Antivirus 77 x.x.x.x SEP-Desktop Desktop Antivirus 78 x.x.x.x PRODUCTION 79 x.x.x.x PRODUCTION 80 x.x.x.x PRODUCTION 81 x.x.x.x PRODUCTION

4 LAMPIRAN 2 Lampiran 2 Data Hasil Monitoring, Virus Terdeteksi, dan Vulnerability Assessment A. Data Hasil Monitoring oleh Security Operation Center Tahun 2010 Februari 2012 (Gambar 10) Kategori Jumlah event Kategori Jumlah event Kategori Jumlah event Denial of Service Denial of Service Denial of Service Unauthorized Access Attempt Worm Worm Network Unauthorized Access Attempt Unauthorized Access Attempt Worm Protocol Signature Protocol Signature Protocol Signature Network Pre-attack Probe Suspicious Activity Suspicious Activity Suspicious Activity Pre-attack Probe Pre-attack Probe Network NT Registry 5877 NT Policy Issues NT Policy Issues Information Gathering 2148 Cross-site Scripting Information Gathering Web Scan 1868 NT Registry Cross-site Scripting Cross-site Scripting 1824 Information Gathering NT Registry Daemons 1583 SQL Injection Host Sensor SQL Injection 782 Daemons SQL Injection Backdoors 510 UDP Web Scan text-data-file-contents 324 Web Scan UDP once-only 224 XPath Injection Backdoors xx

5 Kategori Jumlah event Kategori Jumlah event Kategori Jumlah event 208 Backdoors Daemons UDP 149 FTP XPath Injection Browser FTP NT Patches 40 once-only NT Patches NT Policy Issues 31 NT Patches XPath Injection 25 IP Spoofing once-only DNS 24 text-data-file-contents CGI-Bin IP Spoofing 18 SNMP-Suspicious-Get Browser Directory Indexing 16 Browser NT Services 8152 Shares 13 Host Sensor Information Leakage 6371 FTP 8 Directory Indexing IP Spoofing 6298 NT Services text-data-file-contents 6158 CGI-Bin SNMP-Suspicious-Get 5973 Information Leakage 7400 Path Traversal 4987 Path Traversal 5371 Directory Indexing 3730 DNS 4351 NT Critical Issues 2680 Shares 3106 Shares 2296 NT Critical Issues 2448 Buffer Overflow 1138 Buffer Overflow 694 DNS 630 RPC 4

6 B. DataVirus Terdeteksi Tahun 2010 Februari 2012 (Gambar 11) Tahun Virus (Januari - Februari) Server Desktop C. Data Hasil Vulnerability Assessment Tahun 2010 Februari 2012 (Gambar 12) Tahun Jumlah IP Tinggi Sedang Rendah Total

7 ada pada sistem dapat diidentifikasi. Untuk masalah virus, worm, dan malware lainnya dilakukan scanning serta update antivirus minimal 3 kali sehari. 5. Apa yang menentukan suatu serangan sehingga dapat dikategorikan sebagai High, Medium, atau Low? Berdasarkan pertimbangan dampak kerugian berupa materi dan non materi dari masing-masing serangan, contohnya data hilang atau rusak, data dicuri, tidak dapat diakses nya suatu aplikasi, atau rusaknya device. 6. Dari serangan-serangan yang ada pada nomer 1, bagaimana bapak mengkategorikan tingkat risiko sebagai High, Medium, atau Low? Mohon penjelasannya. High Tingkat risiko dianggap sebagai high apabila serangan berhasil masuk dan mendapatkan full control terhadap suatu sistem atau aplikasi. Kemudian serangan dapat menguasai user account management (create, delete, modify, dan disable). Dapat menghabiskan resource sistem sampai melumpuhkan operasional perusahaan. Risiko tinggi dianggap memiliki dampak ancaman yang tinggi karena melibatkan high level management, kerugian finansial yang besar, image perusahaan yang berdampak pada kepercayaan customer, jumlah karyawan yang besar terkena imbasnya (minimal 1 divisi), menyebabkan sistem atau aplikasi tidak dapat digunakanlebih dari 1x24 jam dan merupakan aplikasi yang berhubungan dengan revenue generator. Medium Tingkat risiko dianggap sebagai medium apabila menghabiskan bandwidth/performa jaringan atau resource dari sistem. Penyerang melakukan serangan tetapi tidak berhasil. Risiko yang dianggap medium apabila karyawan yang terkena imbasnya kira-kira 1 departemen, mengganggu ketersediaan data atau informasi. Sistem tidak dapat digunakan 5-8 jam. Low Tingkat risiko dianggap sebagai low apabila tidak mengancam confidentiality, integrity, dan availability dari data. Risiko yang rendah hanya mempengaruhi kegiatan operasional dari beberapa karyawan, nyaris tidak berpengaruh pada sistem, biasanya disebabkan oleh kesalahan yang tidak disengaja oleh user atau admin yang berdampak minor. Sistem atau aplikasi tidak dapat digunakan hanya 30 menit - 1 jam saja. Aplikasinya hanya berupa aplikasi yang men-support kegiatan operasional.

8 7. Berasal dari mana serangan tersebut terjadi? Dari beberapa kasus dilihat serangan berasal dari eksternal maupun internal perusahaan. Internal misalnya dari karyawan, eks-karyawan, atau vendor. 8. Cara apa saja yang digunakan untuk mendeteksi vulnerability yang ada pada sistem IT Security? Selama ini vulnerability dideteksi dengan menggunakan beberapa tools, seperti Nessus dan Acunetix. Scanning ini dilakukan seminggu sekali untuk IP public dan enam bulan sekali untuk IP private. Selain itu juga dilakukan penetration test secara berkala. 9. Bagaimana menanggulangi apabila ditemukan vulnerability? Melakukan hardening seperti menutup port, melakukan patching, update versi software. 10. Vulnerability apa saja yang ditemukan dalam 2 tahun belakangan ini? ` Biasanya berupa perbedaan versi software seperti Apache atau PHP mengakibatkan penyerang dapat masuk dengan bypass autentikasi, adanya password yang masih default untuk root account, port yang terbuka. 11. Selain vulnerability yang berasal dari sistem, apakah ada vulnerability lain yang berasal dari internal perusahaan? Sebutkan. Ada beberapa case yang terjadi disebabkan oleh karyawan PT. XYZ yang berstatus terminated tapi masih memiliki akses dibeberapa aplikasi penting IT Security. Hal ini menyebabkan penyalahgunaan hak akses dan memungkinkan terjadinya pencurian data. Kemudian ada case lain berupa penyalahgunaan root account oleh vendor yang juga memungkinkan terjadinya pencurian data.

9 Nama Jabatan : Dimas Febriawan : Tim Security Operation Center Dalam kegiatan monitoring setiap harinya terdapat serangan-serangan yang ditujukan ke jaringan Perusahaan. Ada beberapa hal yang ingin saya diketahui : 1. Siapa yang melakukan serangan? Dari internal maupun eksternal. Biasanya internal kalaupun ada dari vendor atau dari pihak ketiga yang memang mengetahui ada kelemahan di sistem tertentu. Kalau dari eksternal biasanya hacker. 2. Kenapa serangan dapat terjadi? serangan yang terjadi pada umumnya terkait dengan pencurian data, serangan dilakukan atas dasar coba-coba untuk melihat seberapa kuat pertahanan keamanan yang ada, ingin merubah informasi pada web atau aplikasi. 3. Kapan serangan biasanya terjadi? Hampir setiap hari terjadi serangan tetapi sebagian besar sudah diblock oleh firewall sehingga tidak menimbulkan dampak yang signifikan. 4. Bagaimana cara mereka melakukan serangan? Biasanya pertama dengan melakukan scanning, kemudian mulai melakukan attempt. lalu dengan penanaman script oleh internal (eks-karyawan) 5. Bagaimana insiden dapat menyebar luas? Dalam suatu insiden pasti menargetkan aset-aset Perusahaan yang dapat diakses oleh publik. Selain itu kalau berupa virus penyebarannya terjadi meliputi jaringan perusahaan sehingga akhirnya melumpuhkan perangkat-perangkat yang ada. 6. Apakah hal ini terjadi karena sistem keamanan Perusahaan masih kurang baik? Seberapa besar pun pertahanan keamanan sistem informasi pasti masih tetap terjadi serangan baik dari dalam maupun luar perusahaan. Karena biasanya teknologi maupun kemampuan hacker itu terus berkembang, sehingga walau prosedur-prosedur keamanan telah diimplementasi tetap akan selalu ada kelemahan. 7. Langkah-langkah apa yang diambil untuk menentukan apa yang terjadi dan untuk mencegah terjadi insiden di masa depan? Dengan melakukan monitoring terhadap serangan dengan menggunakan tools security yang ada serta melakukan pentest untuk melihat kemungkinan adanya vulnerability 8. Apakah dampak dari terjadinya insiden?

10 Dampaknya bermacam-macam tergantung dari serangan. Sebagai contoh salah satu website perusahaan pernah terdeface, kinerja jaringan melambat termasuk aplikasi, server, , semua perangkat operasional juga terganggu. Pernah juga terjadi pencurian pulsa. Pengubahan billing. 9. Berapa perkiraan biaya kerugian bila terjadi insiden? Untuk estimasi cost nya tidak tahu pasti karena informasi tersebut dipegang oleh pemiliki masing-masing aplikasi dan manajemen perusahaan. Tapi sebagai gambaran, pernah terjadi kasus aplikasi berjalan lambat selama 2 hari dikarenakan adanya virus sehingga perhitungan poin reward customer tidak akurat. Insiden ini menyebabkan kerugian dengan estimasi 1,5-2 milyar.

11 LAMPIRAN 4 Lampiran 4 Nama : Kuesioner Pengukuran Kontrol Sebelum dan Sesudah Penerapan Manajemen Risiko Jabatan : Tim Security Operation Center Petunjuk Pengisian: 1. Beri tanda V untuk tindakan yang telah dilakukan dalam kegiatan operasional sehari-hari dan tanda X untuk tidakan yang tidak pernah dilakukan. Penanganan Insiden Secara Umum Tindakan Deteksi dan Analisa 1 Menentukan apakah insiden telah terjadi 1.1 Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada 1.2 Mencari informasi yang saling berhubungan 1.3 Melakukan pengkajian (Contoh: Mesin pencari, Sumber pengetahuan) 1.4 Segera setelah tim yang menangani yakin bahwa insiden telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. 2 Mengklasifikasi insiden menggunakan beberapa kategori yang ada (Contoh: Dos, Malicious Code, Penyalahgunaan Hak Akses) 3 Mengikuti sesuai daftar kategori insiden yang ada: Apabila insiden tidak termasuk dalam kategori manapun, dapat mengikuti daftar yang umum. Ya / Tidak xxii

12 Penanganan Insiden Denial of Service Tindakan Deteksi dan Analisa 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. 1.1 Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Membendung, Penghapusan, dan Pemulihan 3 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. 4 Menahan insiden memberhentikan serangan DoS apabila serangan belum berhenti. 4.1 Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. 4.2 Apabila belum tertahankan, jalankan filter berdasarkan sifat dari serangan jika memungkinkan. 4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan dengan memfilter serangan. 4.4 Apabila belum tertahankan relokasi target. 5 Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi dan kurangi semua kerentanan yang digunakan. 6 Pemulihan dari Insiden 6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan sediakala. 6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. 6.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Kegiatan Pasca Insiden 7 Membuat laporan lanjutan 8 Mengadakan meeting yang membahas insiden tersebut Ya / Tidak

13 Penanganan Insiden Unauthorized access Tindakan Deteksi dan Analisa 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. 1.1 Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Membendung, Penghapusan, dan Pemulihan 3 Melakukan penahanan pada awal kejadian 4 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. 5 Mengkonfirmasi penahanan kejadian 5.1 Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (Termasuk memeriksa sistem lain untuk tanda-tanda intrusi) 5.2 Melaksanakan tindakan penahanan tambahan jika perlu 6 Menanggulangi insiden 6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. 6.2 Menghapus semua komponen insiden dari sistem 7 Pemulihan dari insiden 7.1 Mengembalikan sistem yang terkena ke keadaan operasional semula 7.2 Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal 7.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Kegiatan Pasca Insiden 8 Membuat laporan lanjutan Ya / Tidak

14 9 Mengadakan meeting yang membahas insiden tersebut Penanganan Insiden Malicious Code Tindakan Deteksi dan Analisa 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis. 1.1 Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara teknis saat ini dan yang berpotensi terkena dampak dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis and sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Membendung, Penghapusan, dan Pemulihan 3 Menahan insiden 3.1 Mengidentifikasi sistem yang terinfeksi 3.2 Disconnect semua sistem yang terinfeksi dari jaringan 3.3 Mitigasi kerentanan yang dimanfaatkan oleh malicious code 3.4 Apabila diperlukan, halangi mekanisme transmisi untuk malicious code 4 Menanggulangi insiden 4.1 Disinfeksi, mengkarantina, menghapus, dan mengganti file yang terinfeksi 4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi 5 Pemulihan dari insiden 5.1 Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi normal 5.2 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. Kegiatan Pasca Insiden 6 Membuat laporan lanjutan 7 Mengadakan meeting yang membahas insiden tersebut Ya / Tidak

15 LAMPIRAN 5 Lampiran 5 Hasil Kuesioner Kuesioner dibagikan kepada 7 orang dari tim Security Operation Center dimana selama ini mereka yang berperan dalam kegiatan operasional dalam penanganan insiden. Untuk kuesioner penanganan insiden malicious code ditujukan kepada 1 orang dari tim Antivirus. Kuesioner dibagian 2 kali yaitu untuk pengukuran sebelum dan sesudah mitigasi risiko. Pre Implementasi Penanganan Insiden Secara Umum Deteksi dan Analisa Ya Tidak 1 Menentukan apakah insiden telah terjadi Menganalisa sesuatu yang akan datang berdasarkan indikasi 7 0 yang ada 1.2 Mencari informasi yang saling berhubungan Melakukan pengkajian (Contoh: Mesin pencari, Sumber pengetahuan) 1.4 Segera setelah tim yang menangani yakin bahwa insiden telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. 2 Mengklasifikasi insiden menggunakan beberapa kategori yang ada (Contoh: Dos, Malicious Code, Penyalahgunaan Hak Akses) 3 Mengikuti sesuai daftar kategori insiden yang ada: Apabila insiden tidak termasuk dalam kategori manapun, dapat mengikuti daftar yang umum xxiii

16 Penanganan Insiden Denial of Service Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi 7 0 bukti yang ada. 4 Menahan insiden memberhentikan serangan DoS apabila serangan 0 7 belum berhenti. 4.1 Mengidentifikasi dan mengurangi semua kerentanan yang digunakan Apabila belum tertahankan, jalankan filter berdasarkan sifat dari 0 7 serangan jika memungkinkan. 4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan 0 7 dengan memfilter serangan. 4.4 Apabila belum tertahankan relokasi target Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi - - dan kurangi semua kerentanan yang digunakan. 6 Pemulihan dari Insiden 6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan 0 7 sediakala. 6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. 6 1 Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut 0 7 Penanganan Insiden Unauthorized access

17 Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Melakukan penahanan pada awal kejadian Memperoleh, mempertahankan, mengamankan, dan mendokumentasi 7 0 bukti yang ada. 5 Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan 7 0 apakah penahanan sudah cukup (Termasuk memeriksa sistem lain untuk tanda-tanda intrusi) 5.2 Melaksanakan tindakan penahanan tambahan jika perlu Menanggulangi insiden 6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi Menghapus semua komponen insiden dari sistem Pemulihan dari insiden 7.1 Mengembalikan sistem yang terkena ke keadaan operasional semula Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal 7.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut 0 7 Penanganan Insiden Malicious Code

18 Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Menahan insiden Mengidentifikasi sistem yang terinfeksi Disconnect semua sistem yang terinfeksi dari jaringan Mitigasi kerentanan yang dimanfaatkan oleh malicious code Apabila diperlukan, halangi mekanisme transmisi untuk malicious 1 code 4 Menanggulangi insiden 4.1 Disinfeksi, mengkarantina, menghapus, dan mengganti file yang 1 terinfeksi 4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi 1 5 Pemulihan dari insiden 5.1 Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi 1 normal 5.2 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. 1 Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan 1 8 Mengadakan meeting yang membahas insiden tersebut 1

19 Post Implementasi Penanganan Insiden Secara Umum Deteksi dan Analisa Ya Tidak 1 Menentukan apakah insiden telah terjadi Menganalisa sesuatu yang akan datang berdasarkan indikasi 7 0 yang ada 1.2 Mencari informasi yang saling berhubungan Melakukan pengkajian (Contoh: Mesin pencari, Sumber pengetahuan) 1.4 Segera setelah tim yang menangani yakin bahwa insiden telah terjadi, mulai mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. 2 Mengklasifikasi insiden menggunakan beberapa kategori yang ada (Contoh: Dos, Malicious Code, Penyalahgunaan Hak Akses) 3 Mengikuti sesuai daftar kategori insiden yang ada: Apabila insiden tidak termasuk dalam kategori manapun, dapat mengikuti daftar yang umum

20 Penanganan Insiden Denial of Service Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Memperoleh, mempertahankan, mengamankan, dan mendokumentasi 7 0 bukti yang ada. 4 Menahan insiden memberhentikan serangan DoS apabila serangan 7 0 belum berhenti. 4.1 Mengidentifikasi dan mengurangi semua kerentanan yang digunakan Apabila belum tertahankan, jalankan filter berdasarkan sifat dari 7 0 serangan jika memungkinkan. 4.3 Apabila belum tertahankan, hubungi pihak ISP untuk pertolongan 0 7 dengan memfilter serangan. 4.4 Apabila belum tertahankan relokasi target Penghapusan insiden: Apabila step 4.1 belum dilakukan, identifikasi - - dan kurangi semua kerentanan yang digunakan. 6 Pemulihan dari Insiden 6.1 Mengembalikan sistem yang terkena seperti sistem yang dapat dioperasikan 7 0 sediakala. 6.2 Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. 6 1 Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut 7 0 Penanganan Insiden Unauthorized access

21 Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Melakukan penahanan pada awal kejadian Memperoleh, mempertahankan, mengamankan, dan mendokumentasi 7 0 bukti yang ada. 5 Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan 7 0 apakah penahanan sudah cukup (Termasuk memeriksa sistem lain untuk tanda-tanda intrusi) 5.2 Melaksanakan tindakan penahanan tambahan jika perlu Menanggulangi insiden 6.1 Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi Menghapus semua komponen insiden dari sistem Pemulihan dari insiden 7.1 Mengembalikan sistem yang terkena ke keadaan operasional semula Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal 7.3 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan Mengadakan meeting yang membahas insiden tersebut 7 0 Penanganan Insiden Malicious Code

22 Deteksi dan Analisa Ya Tidak 1 Memprioritaskan penanganan insiden berdasarkan pengaruh bisnis Mengidentifikasi sistem/resource mana yang terkena dan memprediksikan sistem/resource mana yang akan terkena selanjutnya. 1.2 Melakukan estimasi terhadap pengaruh secara tehnis saat ini dan yang akan berpotensi terkena dari insiden tersebut. 1.3 Mencari kolom yang sesuai didalam prioriti acuan, berdasarkan pengaruh secara tehnis dan sistem/resource yang terkena. 2 Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar Membendung, Penghapusan, dan Pemulihan Ya Tidak 3 Menahan insiden Mengidentifikasi sistem yang terinfeksi Disconnect semua sistem yang terinfeksi dari jaringan Mitigasi kerentanan yang dimanfaatkan oleh malicious code Apabila diperlukan, halangi mekanisme transmisi untuk malicious 1 code 4 Menanggulangi insiden 4.1 Disinfeksi, mengkarantina, menghapus, dan mengganti file yang 1 terinfeksi 4.2 Mengurangi kerentanan dieksploitasi untuk host lain dalam organisasi 1 5 Pemulihan dari insiden 5.1 Mengkonfirmasikan bahwa sistem yang terkena telah berfungsi 1 normal 5.2 Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan. 1 Kegiatan Pasca Insiden Ya Tidak 7 Membuat laporan lanjutan 1 8 Mengadakan meeting yang membahas insiden tersebut 1

23 LAMPIRAN 3 Lampiran 3 Hasil Wawancara 2 April 2012 Nama Jabatan : Dimas Febriawan : Tim Security Operation Center 1. Serangan apa saja yang terdeteksi selama 2 tahun belakangan ini dan dianggap paling berbahaya? Virus/worm, denial of service, hacking attempt, unauthorized access, network anomaly, pre attack probe. Ada juga - spam tetapi sudah ada anti-spam pada server. Terkadang terdeteksi aktifitas scanning terhadap IP address public perusahaan. Pernah juga ada bug pada sistem yang mengakibatkan aplikasi sampai tidak jalan. Lalu pernah ditemukan script yang ditanam pada sistem yang biasanya dilakukan oleh admin atau eks-admin. 2. Dari serangan-serangan diatas, mana yang dianggap paling kritikal? Kenapa? Pertama virus/worm, unauthorized access, dan denial of service. Virus/worm dikategorikan kritikal karena salah satunya dapat mengganggu kinerja karyawan yang diakibatkan oleh jaringan yang terganggu, selain itu juga dapat merusak data, merusak hardisk, dan lainlain. Kemudian unauthorized access karena bisa mencuri data-data confidential perusahaan, dan denial of service karena mengganggu layanan perusahaan misalnya pengisian pulsa atau registrasi simcard. 3. Bagaimana cara mendeteksi serangan dan penanggulangan serangan tersebut? Melakukan monitoring 24 jam dari security device log dari IDS, IPS, firewall dan IT security tools. Penanggulangan apabila terjadi serangan dilakukan dengan berkoordinasi dengan tim terkait misalnya PIC dari aplikasi atau vendor. 4. Tindakan apa yang dilakukan untuk pencegahan insiden? Konfigurasi firewall sebagai pengamanan dilakukan pada jaringan dengan memfilter semua trafik yang masuk. Monitoring juga dilakukan tim SOC setiap waktu 24 jam sehari 7 hari dalam seminggu. Setiap periode tertentu juga dilakukan vulnerability assessment dimana semua kerentanan yang xxi

24 LAMPIRAN 6 Lampiran 6 KEBIJAKAN KEAMANAN INFORMASI PT. XYZ Kebijakan 1. Penggunaan dan Internet Mail Address Kebijakan 2. Pemilihan dan Perlindungan Password Kebijakan 3. Penggunaan Jaringan dan Internet Kebijakan 4. Pengendalian Virus Kebijakan 5. Pengelolaan Akses User Kebijakan 6. Jumlah Optimum Administrator Kebijakan 7. Infrastruktur Jaringan Kebijakan 8. Pemantauan Keamanan Infrastruktur Jaringan Kebijakan 10. Akses Pihak Ketiga xxv

25 PT. XYZ Kode Dokumen Nomor Revisi Tanggal Revisi Halaman 1 PENGGUNAAN DAN INTERNET MAIL ADDRESS TUJUAN Memberikan panduan dalam pengelolaan dan penggunaan sistem Perusahaan. RUANG LINGKUP Kebijakan ini berlaku terhadap semua penggunaan sistem dan internet mail address Perusahaan termasuk semua pihak yang bekerja untuk dan atas nama Perusahaan yang diserahi fasilitas dan Internet mail address Perusahaan. Baik pesan yang tersimpan dalam komputer pengguna maupun di server. DEFINISI Sistem Internet Mail Address Distribution List (DL) Informasi Sensitif Fasilitas untuk dapat mengirim pesan , dimana umumnya terdiri dari komponen sbb: client browser, mail server, mailbox, distribution list, dan lainlain. Fasilitas untuk dapat mengirim dan menerima ke dan dari sistem lain di luar sistem Perusahaan. Sekumpulan pengguna yang dikelompokkan menjadi satu grup dan memiliki nama grup yang unik atau berbeda satu dengan lainnya. Informasi dianggap sensitif jika dapat merusak reputasi atau posisi pasar Peru-

26 Perusahaan PERATURAN TERKAIT sahaan atau pengguna. PT. XYZ 1. Penyediaan Sistem dan Internet Mail Address 1.1. Direktorat Information Technology adalah satu-satunya organisasi di dalam Perusahaan yang berwenang dalam ketersediaan layanan, memasang, mengoperasikan, memelihara, dan mengatur fasilitas sistem dengan atau tanpa internet mail address dalam rangka kepentingan Perusahaan Direktorat Information Technology harus menetapkan, mendokumentasikan, dan menginformasikannya kepada pengguna standar sistem dan internet mail address yang disediakan untuk pengguna dan disertai dengan informasi prosedur bisnis untuk menjamin keamanan dan pemeliharaan sistem dan internet mail address Direktorat Information Technology harus memberlakukan dan mendokumentasikan kriteria dan prosedur bisnis yang mengatur penyediaan dan pencabutan fasilitas dan internet mail address Pengguna Direktorat Information Technology harus menetapkan, menginformasikan kepada pengguna, dan mendokumentasikan tentang kriteria dan penggunaan Distribution List serta mengatur penyediaan dan pencabutan Distribution List. 2. Penggunaan dan Internet Mail Address 2.1. Sistem Perusahaan tidak boleh dengan sengaja dipergunakan untuk: Melakukan pekerjaan yang tidak mendukung kepentingan bisnis Perusahaan Menyebabkan terganggunya sumber daya bagi pihak lain yang memiliki kepentingan bisnis yang sama atau lebih tinggi Melakukan penerobosan keamanan atau tindakan melanggar hukum lainnya Melakukan hal-hal yang melanggar norma yang berlaku

27 2.2. Direktorat Information Technology harus menetapkan, menginformasikan kepada pengguna, dan mendokumentasikan tentang kriteria dan prosedur penggunaan sistem dan internet mail address. 3. Pengawasan dan Perlindungan Pesan Pesan-pesan yang disimpan, dikirim, atau diterima menggunakan sumber daya dan sistem Perusahaan dianggap sebagai dokumen milik perusahaan Sistem Perusahaan tidak dimaksudkan sebagai sarana pengiriman, penyimpanan dan komunikasi yang terjamin kerahasiaannya Direktorat Information Technology harus memberlakukan dan mendokumentasikan prosedur pengawasan dan pengamanan sistem dan internet mail address untuk mencegah pesan tidak sampai di alamat tujuan atau hilangnya informasi penting dalam Direktorat Information Technology harus melindungi pesan dari akses yang tidak sah, modifikasi, atau denial of service Sistem harus menggunakan digital signature untuk memastikan validitas dan integritas kepada penerima dan juga sebagai pertimbangan hukum. STANDAR TERKAIT ISO 27002:2005 Pasal Electronic messaging RUSecure Policy KEBIJAKAN TERKAIT mengenai Peraturan Penggunaan dan Internet Mail Address, tanggal 7 Desember 2005

28 PT. XYZ Kode Dokumen Nomor Revisi Tanggal Revisi Halaman 2 PEMILIHAN DAN PERLINDUNGAN PASSWORD TUJUAN Kebijakan ini dimaksudkan untuk mengatur kriteria pemilihan account dan password yang harus dipatuhi pemilik account dan password Perusahaan. RUANG LINGKUP Kebijakan ini berlaku untuk semua account dan password yang digunakan untuk mengakses sistem ataupun sumberdaya infomasi Perusahaan dan mencakup pembuatan, pendistribusian, pengamanan, penghentian, dan reklamasi. DEFINISI Perusahaan PT. XYZ PERATURAN TERKAIT 1. Kriteria dan Pemilihan Account 1.1. Fungsi di perusahaan yang ditunjuk sebagai fasilitator sistem ataupun sumberdaya informasi perusahaan harus menetapkan, mendokumentasikan, dan mempublikasikan standar penamaan Account sistem informasi Perusahaan sedemikian rupa hingga dapat mencegah seorang pengguna memiliki account redundan untuk suatu sistem Fungsi di perusahaan yang ditunjuk sebagai fasilitator sistem ataupun sumberdaya informasi perusahaan harus memberlakukan dan mendokumentasi-

29 kan prosedur pemberian, pemeliharaan keakuratan, dan pencabutan account sistem Perusahaan. 2. Kriteria Password yang Diharuskan 2.1. Terdiri dari paling tidak 8 (delapan) karakter dengan menggabungkan semua hal berikut: Kombinasi huruf besar dan huruf kecil Alfabet dan angka yang paling tidak terdiri dari satu angka Karakter khusus, misalnya!@#$, dan seterusnya 2.2. Bersifat cukup sulit untuk ditebak namun cukup mudah untuk diingat oleh pemilik 2.3. Bukan merupakan kata atau akronim dari nama diri atau kerabat, tanggal lahir, alamat rumah, kata-kata dalam kamus, jabatan kerja, lokasi kerja, dan lain sebagainya Tidak sama baik seutuhnya atau parsial dengan account pengguna Tidak sama dengan 8 (delapan) password yang telah diganti sebelum penggantian terakhir. 3. Pemeliharaan Password 3.1 Pengguna wajib menjaga kerahasiaan password. Tidak berbagi atau memberitahukan password kepada siapapun juga tanpa pengecualian. Pelanggaran akan hal ini menjadi resiko dan tanggung jawab sepenuhnya dari pemilik account. 3.2 Sistem komputer harus mendukung dan memiliki fasilitas untuk memaksa pengguna mengubah password pada saat logon pertama kali, atau pertama kali sejak dilakukan reset terhadap passwordnya. 3.3 Pengguna harus mengganti harus password secara berkala paling lambat satu kali setiap dua bulan. 3.4 Sistem administrator harus memastikan dalam menyimpan dan mengirimkan password harus terlindungi melalui enskripsi atau hash. 3.5 Administrator Sistem harus mengganti password secara berkala paling lambat satu kali setiap bulan.

30 3.6 Password tidak boleh ditulis secara utuh, atau ditulis di tempat yang mudah dikenali misalnya pada meja kerja, monitor komputer, file dengan diberi nama yang tendensius, dinding ruang kerja, kalender, dan lain sebagainya 3.7 Tidak menggunakan password yang digunakan di sistem perusahaan untuk menjadi password bagi sistem yang bukan milik Perusahaan 3.8 Tidak diperbolehkan mengakses sistem perusahaan dari tempat publik, seperti warung internet, tempat training umum, pusat bisnis di perhotelan, dan sejenisnya. 3.9 Password yang dimasukkan atau disimpan di dalam sistem komputer perusahaan harus dilindungi sedemikian rupa sehingga jika dapat diterobos dan diakses oleh yang tidak berhak, maka password tidak dapat digunakan oleh penerobos Password sangat penting seperti password account Root tidak boleh digunakan dalam operasi normal, melainkan agar diciptakan account kunci lain yang memiliki kewenangan setara atau hampir setara dengan Root yang merupakan turunan dari account Root untuk kegiatan operasi normal Password default harus segera mungkin diganti. STANDAR TERKAIT ISO 27002:2005 Pasal User password management, Password use, Password management sistem KEBIJAKAN TERKAIT -

31 PT. XYZ Kode Dokumen Nomor Revisi Tanggal Revisi Halaman 3 PENGGUNAAN JARINGAN DAN INTERNET TUJUAN Kebijakan ini dimaksudkan untuk mengatur penyediaan dan penggunaan sistem akses jaringan informasi dan internet yang dikelola Direktorat Information Technology (IT). RUANG LINGKUP Kebijakan ini berlaku terhadap semua penyediaan, penggunaan dan pengelolaan jaringan informasi dan internet perusahaan yang berada dalam pengendalian Direktorat IT. DEFINISI Perusahaan PERATURAN TERKAIT PT. XYZ 1. Penyediaan Fasilitas Sistem Jaringan dan Internet 1.1 Perusahaan menyediakan sistem akses jaringan informasi dan internet untuk kepentingan bisnis Perusahaan. 1.2 Direktorat IT adalah satu-satunya organisasi di dalam Perusahaan yang berwenang menyediakan, memasang, memelihara, dan mengatur sistem akses jaringan informasi dan internet perusahaan. 1.3 Direktorat IT harus memberlakukan dan mendokumentasikan standar sistem akses jaringan informasi dan internet perusahaan. 1.4 Direktorat IT harus memberlakukan dan mendokumentasikan prosedur bisnis untuk mengatur penyediaan, pengawasan, perlindungan keamanan, dan pencabutan sistem akses jaringan informasi dan internet perusahaan. 1.5 Direktorat IT melakukan proses otorisasi untuk menentukan siapa saja yang diperbolehkan mengakses jaringan.

32 1.6 Direktorat IT harus memastikan penggunaan akses jaringan informasi dan internet perusahaan tidak mengganggu ketersediaan sistem yang memiliki kepentingan bisnis yang lebih tinggi. 2. Penggunaan Sistem Akses Jaringan dan Internet 2.1 Sistem jaringan informasi dan internet perusahaan tidak boleh dengan sengaja digunakan untuk: Melakukan pekerjaan yang tidak mendukung kepentingan bisnis Perusahaan Menyebabkan terganggunya sumber daya bagi pihak lain yang memiliki kepentingan bisnis yang sama atau lebih tinggi Melakukan penerobosan keamanan atau tindakan melanggar hukum lainnya Melanggar norma yang berlaku Merugikan pihak lain STANDAR TERKAIT ISO 27002:2005 Pasal Policy on use of network services, Network connection control KEBIJAKAN TERKAIT Dokumen Internet Access Classification Standards Tanggal 9 Februari mengenai Kebijakan Internet Access PT. XYZ Tanggal 16 Februari 2010

33 PT. XYZ Doku- Kode men 4 Nomor Revisi Tanggal Revisi Halaman PENGENDALIAN VIRUS TUJUAN Kebijakan ini dimaksudkan untuk mengatur langkah-langkah pencegahan, pendeteksian, dan penanggulangan serangan virus. RUANG LINGKUP Kebijakan ini berlaku untuk semua sistem komputer yang terhubung ke dalam sistem jaringan informasi perusahaan ataupun sistem jaringan yang digunakan di dalam lingkungan perusahaan. DEFINISI Istilah Perusahaan PERATURAN TERKAIT Definisi PT. XYZ 1. Umum 1.1. Perusahaan harus menetapkan kebijakan formal melarang penggunaan perangkat lunak tanpa izin Perusahaan harus memberlakukan dan menginformasikan kepada Pengguna langkah-langkah pencegahan, pendeteksian, dan pembersihannya virus menggunakan anti-virus Perusahaan. 2. Pencegahan 2.1. Perusahaan harus memberlakukan penggunaan piranti anti virus untuk setiap pengguna atau perangkat yang terhubung ke infrastrukutur jaringan Pengguna sistem jaringan perusahaan harus memastikan bahwa anti virus dalam sistem komputer yang digunakannya berfungsi efektif.

34 2.3. Pengguna yang bekerjasama dengan mitra dari kalangan luar Perusahaan yang datang membawa komputer dan akan bekerja dalam sistem jaringan perusahaan, harus memastikan bahwa mitra kerjanya mengefektifkan piranti anti virus yang memadai dalam komputernya Tidak dibenarkan berbagi folder dengan akses WRITE kecuali ada kebutuhan bisnis yang sangat penting atau untuk kalangan yang sangat terbatas Pengguna sistem jaringan prusahaan harus memastikan bahwa dokumen elektronik yang akan dikirimkan melalui jaringan bersih dari virus. 3. Pendeteksian 3.1. Melakukan instalasi dan update anti-virus secara berkala serta melakukan scanning secara rutin terhadap semua server dan desktop; scanning dilakukan harus mencakup: a. Memeriksa lampiran surat elektronik terhadap virus sebelum digunakan pada mail server. b. Memeriksa setiap file yang diterima melalui jaringan terhadap virus sebelum digunakan Melakukan tinjauan rutin terhadap konten software dan data dari sistem pendukung business process yang kritis. 4. Pembersihan 4.1. Pihak yang menemukan atau mencurigai adanya serangan virus dalam sistem jaringan perusahaan yang digunakannya harus segera memutuskan hubungan untuk sementara waktu dari sistem jaringan perusahaan dan segera melaporkannya kepada IT Helpdesk Setiap virus yang tidak dapat dibersihkan oleh anti-virus dikatakan sebagai insiden dan harus dilaporkan kepada IT Helpdesk. STANDAR TERKAIT ISO 27002:2005 Pasal Control against malicious code. KEBIJAKAN TERKAIT

35 - PT. XYZ Doku- Kode men 5 Nomor Revisi Tanggal Revisi Halaman PENGELOLAAN AKSES USER TUJUAN Kebijakan ini dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memiliki otorisasi dan tidak memiliki kepentingan bisnis. RUANG LINGKUP Kebijakan ini berlaku terhadap unit ataupun fungsi yang diberikan kewenangan untuk mengelola sistem atau sumberdaya informasi perusahaan serta unit ataupun fungsi yang ditunjuk oleh perusahaan berdasarkan penugasan sebagai pemilik sistem atau sumberdaya informasi perusahaan. DEFINISI Perusahaan Sistem PERATURAN TERKAIT PT. XYZ Aplikasi, Sistem Operasi, Basis Data, Sistem Jaringan, dan lain-lain 1. Setiap permintaan user-id akses terhadap sistem atau sumberdaya informasi perusahaan harus disetujui oleh manajemen minimal setingkat Division Head dari unit pemohon. 2. Pemilik sistem atau sumberdaya informasi perusahaan diharuskan menyampaikan pemberitahuan sesegera mungkin ke unit pengelola sistem atau sumberdaya informasi perusahaan terkait dengan adanya perubahan kebijakan terhadap sistem

36 atau sumberdaya informasi perusahaan seperti adanya pemblokiran, penonaktifan serta perubahan kewenangan terhadap suatu akses user, 3. Setiap user-id akses yang terdaftar dalam sistem atau sumberdaya informasi perusahaan akan diberlakukan kebijakan seperti di bawah ini; a. Pemblokiran akses terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya informasi perusahaan dalam kurun waktu 1 bulan. Dan akan diaktifkan kembali jika ada pemberitahuan secara tertulis dari pemilik user-id akses dengan diketahui oleh Manajer atau Division Head atasannya. b. Penghapusan secara permanen terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya informasi perusahaan dalam kurun waktu 3 bulan. 4. Penggunaan user-id harus unik dan tidak boleh redundant untuk memungkinkan pengguna dihubungkan ke tanggung jawabnya. Penggunaan grup-id hanya dapat diijinkan untuk alasan operasional atau bisnis perusahaan. 5. Pemilik user-id harus menandatangani pernyataan tertulis yang menyatakan bahwa mereka memahami kondisi akses tersebut. STANDAR TERKAIT ISO 27002:2005 Pasal User registration, Privilage management, Review of user access rights KEBIJAKAN TERKAIT -

37 PT. XYZ Kode Dokumen Nomor Revisi Tanggal Revisi Halaman 6 JUMLAH OPTIMUM ADMINISTRATOR TUJUAN Kebijakan ini dimaksudkan agar supaya jumlah administrator yang secara optimum memenuhi kebutuhan administrasi sistem dan memenuhi standar pengendalian dan pemantauan penggunaan account berkemampuan tinggi. RUANG LINGKUP Seluruh sistem yang digunakan dalam rangka kepentingan bisnis perusahaan. DEFINISI Perusahaan PT. XYZ Administrator Semua yang menggunakan account Root atau account berkemampuan tinggi setara atau hampir. Contoh Sistem Administrator, Database Administrator, Network Administrator, Application Administrator PERATURAN TERKAIT 1. Jumlah Administrator untuk sistem harus memenuhi secara memadai kebututuhan administrasi sistem bersangkutan dan mematuhi standar keamanan informasi yang dianut oleh perusahaan. 2. Jumlah Administrator untuk sebuah sistem tidak boleh satu orang dan tidak melebihi tiga orang.

38 3. Nama-nama Administrator dan Sistem harus dilaporkan secara berkala setidaknya sekali setiap 6 bulan atau adanya perubahan administrator dengan ditandatangani oleh Division Head terkait ke fungsi yang ditunjuk atau ditetapkan oleh perusahaan untuk mengelola keamanan informasi perusahaan. STANDAR TERKAIT - KEBIJAKAN -

39 PT. XYZ Doku- Kode men 7 Nomor Revisi Tanggal Revisi Halaman INFRASTRUKTUR JARINGAN TUJUAN Kebijakan ini dimaksudkan untuk menetapkan aturan dalam penggunaan, perluasan dan pemeliharaan infrastruktur jaringan perusahaan. Kebijakan ini diperlukan untuk dapat mempertahankan integritas, ketersedian dan kerahasiaan informasi perusahaan. RUANG LINGKUP Kebijakan ini meliputi seluruh infrastruktur jaringan perusahaan tidak terbatas hanya kepada perangkat-rangkat jaringan seperti komputer, printer, server, router, hub, firewall serta pengkabelan yang terhubung ke dalam jaringan LAN dan WAN serta Sistem Transmisi ( Radio, Fiber Optic, Satelit dll) yang dimiliki perusahaan. DEFINISI Perusahaan PT. XYZ LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelompok komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut. WAN (Wide Area Network) Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah secara

40 PERATURAN TERKAIT geografis 1. Setiap fungsi di perusahaan yang memiliki dan bertanggungjawab terhadap infrastruktur jaringan perusahaan secara berkesinambungan melakukan pengembangan dan peningkatan infrastruktur jaringan perusahaan lebih lanjut. 2. Infrastruktur jaringan perusahaan harus dirancang untuk dapat memenuhi kebutuhan bisnis perusahaan saat ini serta fleksibel dalam pengembangan lebih lanjut. Pengaturan infrastruktur jaringan perusahaan dilakukan dengan memperhatikan dan menerapkan aspek-aspek keamanan baik dalam kontrol akses ataupun pembatasan-pembatasan melalui pemberian privilege. 3. Infrastruktur jaringan perusahaan harus disegmentasi secara fisik ataupun logik berdasarkan fungsi dan sumber yang mengakses. Setiap segmentasi infrastruktur jaringan perusahaan tersebut harus menerapkan kontrol akses dan pembatasanpembatasan autorisasi serta hak akses yang jelas yang dimaksudkan untuk melindungi kerahasiaan dan integritas data. 4. Penyambungan kabel jaringan dan atau pemasangan perangkat ke infrastruktur jaringan perusahaan harus dilakukan melalui persetujuan dari fungsi terkait yang bertanggung jawab pada pengelolaan infrastruktur jaringan perusahaan tersebut. 5. Teknologi keamanan jaringan seperti otentikasi, enkripsi, dan control koneksi jaringan harus diterapkan untukkeamanan jaringan. 6. Perangkat-perangkat keamanan infrastruktur jaringan perusahaan harus dipasang dan dikonfigurasi dengan mengikuti kaidah-kaidah keamanan yang telah ditetapkan. 7. Perubahan terhadap konfigurasi perangkat yang telah terhubung ke infrastruktur jaringan perusahaan harus melalui pemberitahuan dan persetujuan dari fungsi terkait. 8. Seluruh koneksi dari infrastruktur jaringan perusahaan ke jaringan lain pihak ketiga atau kebalikannya harus melalui persetujuan fungsi yang bertanggungjawab terhadap insfrasturktur jaringan perusahaan tersebut.

41 9. Seluruh akses ke dan dari infrastruktur jaringan pihak ketiga harus dikontrol melalui perangkat-perangkat keamanan infrastruktur jaringan informasi. 10. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memperluas atau mentransmisikan kembali layanan-layanan yang ada pada jaringan perusahaan dalam bentuk apapun. Pemasangan perangkat-perangkat infrastruktur jaringan seperti router, hub, switch ataupun Wireless Access Point harus dengan persetujuan fungsi terkait. 11. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memasang perangkat keras ataupun perangkat lunak yang menyediakan network services tanpa persetujuan dari fungsi terkait. 12. Setiap perangkat yang terpasang pada infrastruktur jaringan perusahaan hanya membuka port aplikasi yang bersesuaian dengan layanan yang diberikan. Sedangkan port-port lainya harus ditutup atau tidak diaktifkan. 13. Pengkabelan infrastruktur jaringan perusahaan dipasang dengan memenuhi kaidah-kaidah instalasi yang ada. Kabel listrik harus dipisahkan dari kabel komunikasi untuk mencegah interferensi. 14. Dokumentasi infrastruktur jaringan perusahaan harus terus diperbaharui dan selalu tersedia bagi unit yang bertanggung jawab dalam memberikan dukungan teknis dan pemeliharaan infrastruktur jaringan dan harus tersedia pada level yang seminimum mungkin. STANDAR TERKAIT ISO 27002:2005 Pasal Cabling security, Pasal Network control, Pasal Security of network service KEBIJAKAN -

42 PT. XYZ Kode Dokumen Nomor Revisi Tanggal Revisi Halaman 8 PEMANTAUAN KEAMANAN INFORMASI TUJUAN Kebijakan ini dimaksudkan untuk mempertahankan lingkungan komputasi yang aman. Aktifitas yang terkait terhadap penggunaan sumberdaya informasi korporat harus dipantau untuk menjamin integritas, kerahasiaan dan ketersedian informasi ataupun data perusahaan dapat dipelihara. Pemantauan keamanan adalah suatu metoda yang digunakan untuk mengkonfirmasikan bahwa kebijakan-kebijakan yang telah dibuat sesuai dan efektif dalam implementasinya. Selain itu memastikan jika ada anomali yang terjadi dan dapat menekan potensi dampak-dampak negatif yang mungkin muncul akibat adanya pelanggaran tersebut. RUANG LINGKUP Kebijakan ini meliputi semua fungsi yang bertanggungjawab atas instalasi, konfigurasi dan atau pengoperasian dari infrastruktur jaringan perusahaan serta fungsi yang terkait dengan penyediaan dan pengelolaan infrastruktur keamanan informasi perusahaan. DEFINISI Perusahaan PT. XYZ LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelompok komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang

43 sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut. WAN (Wide Area Network) PERATURAN TERKAIT Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah secara geografis 1. Pemantauan keamanan harus dilakukan terhadap infrastruktur jaringan perusahaan untuk mendapatkan notifikasi sedini mungkin terhadap gangguan yang diakibatkan oleh ekploitasi dari teknologi yang digunakan ataupun aktifitas intrusi dari pihak-pihak yang tidak bertanggungjawab. Pemantauan tersebut meliputi ; 1.1 lalulintas trafik Internet, interkoneksi dengan pihak ketiga dari dan ke infrastruktur perusahaan 1.2 lalulintas trafik 1.3 lalulintas trafik LAN dan WAN 1.4 parameter-parameter keamanan sistem operasi, platform aplikasi dan database serta perangkat jaringan 2. Seluruh sumberdaya informasi perusahaan yang meliputi platform sistem operasi, aplikasi dan database serta perangkat jaringan ataupun sistem lain harus menyediakan kapabilitas pencatatan atau logging. Adapun jenis informasi yang harus disimpan dalam log tersebut adalah : 2.1 Seluruh perubahan terhadap parameter keamanan dan konfigurasi sistem, user profile dan password. 2.2 Seluruh perubahan yang dilakukan oleh user-id yang memiliki kewenangan khusus seperti sistem administrator, proses ataupun program. 2.3 Seluruh aktifitas untuk merubah ataupun menghapus log

44 2.4 Seluruh pelanggaran keamanan, termasuk di dalamnya aktifitas untuk mencoba akses ke sistem dengan melakukan beberapa kali login dengan menebak kemungkinan passwordnya. 2.5 Melakukan pencatatan terhadap user-id dari pengguna yang melakukan aktifitas dalam suatu sistem, waktu aktifitas dilakukan (log on log off), sumberdaya yang diakses, aktifitas yang dilakukan, serta network address dan protokol dari pengguna yang mengakses. 3. Proses audit log yang terdapat pada sistem operasi dan perangkat lunak aplikasi harus diaktifkan pada seluruh sistem produksi. 4. Fungsi-fungsi peringatan dini (alarm & alert) dan audit log pada perangkatperangkat perimeter jaringan dan perangkatperangkat keamanan jaringan harus diaktifkan. 5. Seluruh log harus dilindungi dari segala kemungkinan modifikasi ataupun usaha penghapusan dan hanya bisa diakses oleh individu yang mempunyai autorisasi terhadap log tersebut. 6. Seluruh log harus disimpan dalam periode waktu tertentu untuk diperlukan dalam review ataupun keperluan investigasi lebih lanjut. 7. Seluruh log dan atau data yang dihasilkan dari pemantauan keamanan harus direview secara berkala oleh sistem administrator dan atau fungsi yang ditunjuk. Berikut ini adalah log atau data yang harus direview secara berkala, yaitu : 7.1 Log dari sistem instrusi 7.2 Log dari perangkat jaringan 7.3 Log dari perangkat keamanan jaringan 7.4 Log user account 7.5 Log sistem error 7.6 Log aplikasi 7.7 Log backup dan restorasi 8. Pemeriksaan secara berkala perlu dilakukan terhadap beberapa hal di bawah ini ; 8.1 Efektifitas password yang digunakan

45 8.2 Perangkat-perangkat infrastruktur jaringan yang terhubung ke infrastruktur jaringan perusahaan yang tidak memiliki autorisasi 8.3 Perangkat-perangkat yang digunakan secara bersama (file sharing, printer sharing) yang tidak memenuhi kriteria keamanan. 8.4 Pemasangan personal modem 8.5 Lisensi Sistem Operasi dan Perangkat lunak yang digunakan STANDAR TERKAIT ISO 27002:2005 Pasal Audit logging, Pasal Monitoring system use, Protection of log information, Pasal Reporting information security events, Pasal Reporting security weaknesses KEBIJAKAN -

46 PT. XYZ Doku- Kode men 9 Nomor Revisi Tanggal Revisi Halaman REMOTE ACCESS TUJUAN Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote. RUANG LINGKUP Kebijakan ini berlaku bagi seluruh karyawan perusahaan ataupun pihak ketiga yang memiliki kewenangan dan fasilitas untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote. DEFINISI Perusahaan PT. XYZ Enkripsi Suatu mekanisme yang gunakan untuk mengkonversi data ke dalam suatu bentuk form atau yang disebut chipertext sehingga tidak dengan mudah dapat dimengerti oleh pihak yang tidak berwenang VPN Jaringan yang dibangun berdasarkan infrastruktur jaringan publik dengan menerapkan mekanisme enkripsi di kedua sisi untuk dapat terhubung ke jaringan internal perusahaan dengan tetap memperta-

47 hankan keamanan data yang dilewatkan pada infrastruktur jaringan publik tersebut. PERATURAN TERKAIT 1. Merupakan tanggungjawab dari karyawan perusahaan ataupun pihak ketiga yang diberi kewenangan untuk dapat mengakses sistem ataupun sumberdaya informasi perusahaan secara remote untuk memastikan bahwa fasilitas tersebut diberikan dengan pertimbangan seperti karyawan ataupun pihak ketiga bekerja dengan terhubung langsung dengan fasilitas jaringan perusahaan di lokasi kantor. 2. Seluruh pengguna yang akan melakukan akses sistem atau sumber daya informasi perusahaan secara remote harus telah memiliki izin akses dengan menandatangani serta melengkapi formulir perjanjian akses secara remote. 3. Akses secara remote ke sistem atau sumberdaya informasi perusahaan hanya diizinkan melalui fasilitas yang telah disediakan oleh perusahaan melalui persetujuan dari fungsi di Direktorat di perusahaan yang memiliki kewenangan terhadap sistem atau sumberdaya informasi yang diakses. 4. Fasilitas remote access untuk informasi bisnis hanya dapat berlangsung setelah berhasil melakukan identifikasi dan otentikasi. 5. Untuk mengamankan remote access dibutuhkan pengaturan yang mencakup penyediaan peralatan komunikasi yang sesuai. 6. Seluruh pengaksesan secara remote terhadap sistem atau sumberdaya informasi perusahaan melalui jaringan publik Internet diharuskan untuk menggunakan metode enkripsi untuk melindungi kerahasiaan data dalam sesi komunikasi 7. Seluruh akses secara remote ke sistem atau sumberdaya informasi internal perusahaan dibedakan atas tiga tipe klasifikasi akses yang harus mengikuti kriteria persyaratan minimal berikut ini ; 7.1 Akses Administratif yang termasuk ke dalam tipe akses administratif adalah pengguna sistem secara remote yang mempunyai kewenangan untuk melaku-

48 kan aktifitas-aktifitas fungsi administratif kesistiman. Seluruh sesi komunikasi data antara pengguna dengan sistem yang diakses harus menerapkan enkripsi (end-to-end). 7.2 Akses End-user yang termasuk ke dalam tipe akses end-user adalah aktifitas-aktifitas bagi pengguna yang dapat mengakses, mendownload serta mengupload data ke system informasi perusahaan. Seluruh pengguna aplikasi bisnis perusahaan termasuk dalam tipe akses ini dan sangat direkomendasikan untuk menerapkan enkripsi dalam sesi komunikasi data yang dilakukan antara pengguna dan perimeter jaringan internal perusahaan. 7.3 Akses General User yang termasuk ke dalam kategori tipe akses ini adalah seluruh pengguna yang hanya dapat mengakses informasi-informasi perusahaan yang disediakan melalui portal intranet perusahaan serta aktifitas dalam mengirim dan menerima . Tipe akses ini membutuhkan standar minimal kontrol keamanan dan pengguna dapat menggunakan komputer ataupun peralatan mobile yang lainnya seperti mobile phone. 8. Penerapan perangkat keamanan jaringan seperti firewall harus digunakan untuk koneksi VPN melalui Internet dan melakukan enkripsi terhadap trafik VPN serta membuat filtering dengan membatasi layanan yang diperlukan saja. 9. Penggunaan modem yang dihubungkan ke komputer kerja yang terhubung ke infrastruktur jaringan perusahaan untuk keperluan akses ke sistem atau sumberdaya informasi perusahaan tidak dibenarkan. STANDAR TERKAIT ISO 27002:2005 Pasal Mobile computing and communications, Pasal Teleworking KEBIJAKAN TERKAIT -

49 PT. XYZ Doku- Kode men 10 Nomor Revisi Tanggal Revisi Halaman AKSES PIHAK KETIGA TUJUAN Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi oleh pihak ketiga untuk dapat mengakses sistem atau sumberdaya informasi perusahaan dan ataupun menghubungkan sistem atau perangkat pihak ketiga ke infrastruktur jaringan perusahaan baik secara lokal ataupun remote. RUANG LINGKUP Kebijakan ini berlaku bagi seluruh pihak ketiga yang memiliki fasilitas untuk dapat mengakses sumberdaya informasi perusahaan dan atau menghubungkan perangkat dan sistem pihak ketiga ke infrastruktur jaringan perusahaan. Yang termasuk ke dalam cakupan kebijakan pihak ketiga ini tidak hanya akses secara lokal tetapi berlaku juga untuk pengaksesan secara remote. DEFINISI Perusahaan Pihak ketiga PERATURAN TERKAIT PT. XYZ Individu, kelompok, vendor, agent, atau pihak lain yang tidak terdaftar sebagai internal Perusahaan 1. Pemberian fasilitas akses dan ataupun menghubungkan perangkat pihak ketiga ke infrastruktur jaringan perusahaan merupakan bagian dari kebutuhan bisnis perusahaan. 2. Permintaan untuk pihak ketiga agar dapat terhubung dan atau mengakses sistem atau sumberdaya informasi perusahaaan diharuskan memenuhi kriteria-kriteria di bawah ini ;

50 2.1 Permintaan akses pihak ketiga harus disetujui secara tertulis oleh fungsi yang bertanggungjawab dalam pengelolaan hak akses ke sistem atau sumberdaya informasi perusahaan. 2.2 Fungsi kerja perusahaan yang mengajukan pihak ketiga sebagai mitra bisnis perusahaan harus menyetujui untuk bertindak sebagai sponsor dari pihak ketiga dan bertanggungjawab terhadap seluruh aktifitas pihak ketiga dalam rangka akses ke sistem atau sumberdaya informasi perusahaan. 2.3 Kontrol-kontrol keamanan informasi perusahaan yang diterapkan harus disetujui dan didefinisikan di dalam kontrak kerjasama dengan pihak ketiga. 2.4 Akses pihak ketiga ke sistem atau sumberdaya informasi perusahaan belum akan disediakan sampai dengan kontrol keamanan informasi perusahaan diimplementasikan dan kontrak kerjasama yang ditandatangani mendefinisikan kebijakan akses pihak ketiga. 2.5 Cakupan fasilitas, layanan dan aplikasi serta data yang dapat diakses pihak ketiga terbatas kepada fasilitas yang dibutuhkan pihak ketiga dalam aktifitas yang sesuai dengan yang diajukan oleh fungsi yang menjadi sponsor pihak ketiga dan didasarkan kepada kontrak kerjasama antara perusahaan dan pihak ketiga. 3. Kontrol-kontrol keamanan informasi perusahaan yang didefinisikan dalam kontrak kerjasama perusahaan dengan pihak ketiga, meliputi ; 3.1 Deskripsi dari setiap fasilitas, layanan yang diberikan atau aplikasi yang dibutuhkan dan tipe data yang disediakan oleh perusahaan untuk pihak ketiga. 3.2 Penggunaan user-id dan password yang bersifat unik sebagai metode dan kontrol akses. 3.3 Mempersyaratkan pihak ketiga untuk memiliki daftar individu ataupun karyawan yang bersangkutan yang dapat menggunakan fasilitas yang diberikan. 3.4 Meminta komitmen pihak ketiga yang diberi akses agar menginformasikan ke perusahaan dalam bentuk tertulis jika terjadi pergantian pegawai yang menggunakan fasilitas akses tersebut karena alasan rotasi ataupun pember-

51 hentian karyawan dari pihak ketiga agar tetap dapat mempertahankan integritas serta mengamankan sumberdaya informasi yang diakses dari potensi penyalahgunaan akses. 3.5 Perusahaan mempunyai hak untuk memantau seluruh aktifitas pihak ketiga dalam menggunakan fasilitas akses perusahaan yang diberikan dan dapat juga menarik kembali atau mencabut fasilitas akses yang telah diberikan. 3.6 Penjelasan hak dan kewajiban perusahaan ataupun pihak ketiga terkait dengan penyediaan, instalasi dan pemeliharaan perangkat keras dan perangkat lunak serta infrastruktur dan komponen-komponen pendukung lainnya yang digunakan untuk akses pihak ketiga. 3.7 Pembatasan dalam penggandaan ataupun penyebarluasan informasi yang terkait dengan perusahaan. 3.8 Perusahaan mempunyai kewenangan dalam melakukan audit terhadap tanggungjawab yang tertuang dalam kontrak kerjasama. 3.9 Perusahaan dapat melakukan evaluasi terhadap sejauhmana penyalahgunaan infromasi yang terjadi selama tenggat kerjasama dengan pihak ketiga 3.10 Ukuran yang diperlukan untuk menjaga dan mempertahankan sumberdaya informasi perusahaan melawan penyebaran virus ataupun worm dari atau melalui pihak ketiga Pernyataan dari pihak ketiga mengenai akses pihak ketiga yang diberikan oleh perusahaan digunakan hanya untuk keperluan yang sesuai dengan kontrak kerjasama dan menyatakan melarang dengan keras terhadap penyalahgunaan fasilitas akses yang diberikan Menghubungi fungsi di perusahaan dan melakukan investigasi bersama jika pihak ketiga menemukenali hal-hal yang terkait dengan keamanan informasi perusahaan sebagai dampak pemberian fasilitas akses Pernyataan mengenai sangsi yang diberikan perusahaan kepada pihak ketiga jika terjadi penyalahgunaan terhadap Kebijakan Akses Pihak Ketiga 4. Jika pihak ketiga mempunyai akses secara langsung ataupun tidak langsung ke data atau informasi yang dimiliki oleh perusahaan, maka data dan informasi ter-

52 sebut tidak dibenarkan untuk didistribusikan ke pihak-pihak lain yang tidak berwenang. Data atau informasi perusahaan dalam bentuk dokumen perusahaan yang menyangkut informasi pelanggan perusahaan termasuk dan tidak hanya terbatas kepada nama, alamat, nomor telepon, informasi tagihan yang merupakan bagian dokumen informasi perusahaan harus dikontrol sebagai dokumen rahasia perusahaan dan tidak dibenarkan untuk dikeluarkan atau diinformasikan kepada individu ataupun pihak yang tidak berhak untuk mendapatkannya. 5. Pihak ketiga yang mempunyai fasilitas akses ke sistem atau sumber daya informasi perusahaan diberikan user-id dan password yang bersifat unik untuk menjamin akuntabilitas pihak ketiga yang mengakses informasi perusahaan. 6. Pihak ketiga bertanggungjawab sepenuhnya untuk menjamin kerahasiaan user-id yang telah diberikan serta password yang digunakan dan menjamin user-id tidak digunakan oleh individu atau pihak yang tidak berwenang. 7. Jika pihak ketiga sedang mengakses sumberdaya informasi perusahaan dengan menggunakan perangkat komputer atau peralatan lainnya yang dapat digunakan, tidak membiarkan ataupun meninggalkan perangkat yang digunakan oleh pihak ketiga tersebut tanpa pengawasan dari pihak ketiga yang berwenang. 8. Perangkat komputer ataupun peralatan lainnya yang digunakan oleh pihak ketiga dalam rangka mengakses sumberdaya informasi perusahaan diharuskan untuk ditempatkan dilokasi yang tidak memungkinkan informasi yang ditampilkan dilihat oleh pihak lain ataupun publik yang tidak berkepentingan ataupun tidak berhak untuk melihat dan memperoleh informasi tersebut. 9. Perangkat lunak ataupun perangkat keras yang selalu diperbaharui untuk mencegah penyebaran virus dan sejenisnya harus dipasang dan digunakan pada perangkat komputer pihak ketiga ataupun peralatan lainnya yang berhubungan dan digunakan untuk mengakses sumberdaya informasi perusahaan. 10. Melakukan peninjauan pihak ketiga dan mencatat semua insiden keamanan yang terjadi, masalah operasional, kegagalan, menelusuri kesalahan dan gangguan yang berhubungan dengan pelayanan yang disampaikan.

53 STANDAR TERKAIT ISO 27002:2005 Pasal Service delivery, Pasal Monitoring and review of third party services, Pasal Managing changes to third party services KEBIJAKAN TERKAIT -

54 LAMPIRAN 7 Lampiran 7 PT. XYZ Prosedur Operasional Standar xxv

55 1. Pendahuluan Dalam menghadapi insiden keamanan informasi yang luar biasa, sangat penting bagi PT.XYZ mengambil pendekatan proaktif untuk mengelola semua aspek keamanan perusahaan secara real time, dari satu lokasi dan terpusat. Tim IT Security memberikan kemampuan tersebut dengan memantau dan menanggapi insiden keamanan serta mengidentifikasi kerentanan secara proaktif. 1.1 Ruang Lingkup Dokumen ini bertujuan untuk: a) Menentukan tugas-tugas khusus bagi Tim dan prosedur untuk perencanaan sumber daya manusia nya dan pengaturan penjadwalan. b) Memberikan bimbingan teknis dan prosedural kepada team dalam operasi harian. c) Menyediakan metodologi dan langkah-langkah untuk manajemen intrusi dan manajemen kerentanan. 1.2 Referensi a) NIST, Keamanan Komputer Penanganan Insiden Panduan (SP ). b) ISO 27001: Kode Praktek untuk Manajemen Keamanan Informasi 1.3 Dokumen Review dan Pemeliharaan Dokumen ini perlu diperbarui dari waktu ke waktu dan dapat berubah sesuai dengan ancaman baru atau tren dalam keamanan informasi. Oleh karena itu, versi terbaru dari dokumen ini akan berlaku sampai diganti. Tanggung jawab untuk perubahan tersebutakan berada di bawah yurisdiksi tim IT Security.

56 2. Manajemen Insiden Insiden manajemen bertujuan untuk : a) Untuk memastikan respon yang tepat terhadap insiden keamanan potensial atau aktual. b) Untuk mengontrol dan mengelola insiden keamanan. c) Untuk meminimalkan hilangnya informasi dan gangguan pelayanan. 2.1 Prosedur Gambar: Proses Manajemen Insiden Proses manajemen insiden terdiri dari 6 tahap dimulai dari deteksi sampai pemulihan Detection Deteksi dilakukan dengan menggunakan security monitoring tools untuk melihat penyimpangan yang terjadi pada jaringan atau sistem. Bila terdeteksi ada penyimpangan maka dilanjutkan ke tahap selanjutnya yaitu assessment. Sebelumnya tim SOC harus membuat tiket pada portal internal Assessment Assessment dibagi menjadi 2 yaitu intial assessment dan deeper assessment.

57 a. Initial assessment Periksa alert dari IDS Tentukan IP address dari alert apakah berasal dari inbound atau outbound Identifikasi port tujuan dan sumber traffic. Catat fitur dari event tersebut. Identifikasi bila memiliki dampak bagi perusahaan. Jika bukan merupakan kejadian potensial, event tersebut dapat digolongkan dalam kategori Rendah. Tiket pada portal dapat ditutup b. Deeper assessment Menyelidiki lebih lanjut untuk menvalidasi apakah insiden tersebut benarbenar terjadi Menggunakan informasi dari analisis awal sebagai referensi Menganalisis network packet dan pola dari event Beberapa hal yang harus diperhatikan adalah aktifitas sumber IP address yang terdeteksi, apakah firewall telah memblokir koneksi atau tidak, segmen yang ditargetkan jaringan. Jika diperlukan, tim SOC akan mendapatkan akses ke perangkat yang dimonitor untuk melihat log untuk memperoleh informasi detail Classification & Prioritization Ancaman Tingkat Risiko Keterangan Denial of Service High Menghabiskan resources sistem target sehingga layanan terganggu secara massal dan berdampak luas. Aksi 2 min pre alert, 15 min full alert, Ticket

58 Ancaman Tingkat Risiko Keterangan Medium Menghabiskan resources sehingga membuat layanan terganggu selama beberapa saat Scanning Medium Konsumsi bandwidth jaringan, dapat mengetahui kerentanan yang dimiliki suatu sistem dan mengeksploitasinya. Unauthorized High Penyerang mendapat akses sistem access ke aplikasi secara keseluruhan atau ke database yang utama. Medium Penyerang mendapat akses ke aplikasi tertentu yang tidak memiliki dampak signifikan Worm/virus High Menyebabkan performa keseluruhan jaringan lambat, pertukaran informasi Medium terganggu. Konsumsi bandwidth jaringan dan menghabiskan resource sistem Sistem Bugs High Major bugs, bisa menimbulkan ancaman lain pada sistem dan berdampak besar (seperti unauthorized access atau perubahaan data) Penanaman script pada sistem yang disengaja Medium Mengakibatkan sistem aplikasi mengganggu kegiatan operasional namun berdampak kecil. Low Minor bugs tidak menimbulkan dampak High Dapat mengakibatkan pencurian dan pengubahan data spam Low Diblokir oleh anti-spam, difilter di firewall. Aksi Portal Tiket Portal Tiket 2 min pre alert, 15 min full alert, Ticket Portal Tiket 2 min pre alert, 15 min full alert, Ticket Portal Tiket 2 min pre alert, 15 min full alert, Ticket Portal Tiket Portal Tiket 2 min pre alert, 15 min full alert, Ticket Portal Tiket

59 3..4 Notification Notifikasi pertama dilakukan dengan membuat tiket untuk log insiden tersebut. Kemudian diberitahukan kepada PIC dari sistem terkait untuk merekomendasikan solusi sementara. Bila dirasa perlu, dapat menginformasikan kepada IT Security Network Expert untuk memperoleh bantuan investigasi insiden tersebut Containment Strategi penahanan dirancang untuk mengontrol kejadian sebelum penyebaran insiden itu menguasai sumber daya. Tim IT Security akan memberikan pedoman atau rekomendasi kepada PIC seperti contoh berikut: a) Melakukan diskoneksi host yang terkena dampak dari jaringan b) Nonaktifkan fungsi tertentu c) Untuk sementara mematikan atau memblokir port tertentu melalui firewall d) Aktifkan aturan untuk drop paket pada Firewall atau Network / Host Sensor e) Blokir lalu lintas masuk atau keluar dari host tertentu. f) Memantau jaringan dan sistem terkait untuk tanda-tanda sisa aktivitas berbahaya 3..6 Remediation PIC dari setiap aplikasi bertanggung jawab untuk melakukan remediasi atau pemulihan. Tim SOC dan tim antivirus hanya akan memberikan pedoman dan rekomendasi kepada PIC untuk remediasi dengan mengarahkan penggunaan sumber daya yang tepat misalnya dengan melakukan patching, scanning, update antivirus, atau virus removal tools. Setelah tim IT Security menerima status pemulihan berhasil, tiket insiden akan ditutup.

60 Alur Penanganan Insiden Penanganan Insiden Secara Umum Tim Security Operation Center IT Network System Expert Menemukan insiden Membuat laporan Awal Analisis awal Insiden potensial? Ya Tidak Eskalasi lebih dalam Lain-lain Klasifikasi Top 3 Insiden (A, B, C) Membuat laporan Akhir Log events

61 2.2.2 Penanganan Insiden Denial of Service

62 2.1.4 Penanganan Insiden Unauthorized Access

63 2.1.6 Penanganan Insiden Virus/Worm

64 LAMPIRAN 8 Lampiran 8 Dokumentasi Hasil RINGKASAN EKSEKUTIF I. Pendahuluan - Tujuan Penilaian risiko ini bertujuan untuk meningkatkan keamanan informasi Perusahaan pada umumnya dan Divisi IT Security pada khususnya. Diharapkan melalui penilaian risiko ini dapat mengurangi terjadinya ancaman keamanan informasi pada Perusahaan. - Ruang Lingkup Fokus dari penilaian risiko ini adalah Divisi IT Security sebagai divisi yang bertanggung jawab terhadap keamanan informasi Perusahaan. II. Pendekatan Penilaian Risiko Teknik yang digunakan untuk pengumpulan data dan informasi yang berkaitan dengan penilaian risiko ini menggunakan beberapa cara, yaitu : - Dokumen perusahaan Data diperoleh dari dokumen internal yang ada pada Divisi IT Security. Terdapat dua jenis dokumen perusahaan yang akan digunakan, yaitu: Dokumen Data diperoleh dari dokumen-dokumen yang dimiliki oleh Divisi IT Security baik berupa kebijakan, laporan dan berkas tertulis. Portal Internal Data diperoleh dengan mengakses portal yang dimiliki oleh Divisi IT Security yang menyimpan data-data mencakup keamanan informasi. Data yang diambil melalui portal merupakan data selama 3 tahun yaitu Dimana portal berisikan hasil pengolahan dari log IDS/IPS serta insiden yang terjadi. - Melakukan pengamatan langsung ke lapangan Studi ini dilakukan untuk mendapatkan gambaran dan data yang objektif mengenai penggunaan Internet pada Divisi IT Security. - Studi pustaka Data tambahan diperoleh dari studi jurnal dan buku-buku yang berkaitan dengan pembahasan tesis ini. - Kuesioner Kuesioner akan dibagikan kepada tim Divisi IT Security. xxvi

65 III. Karakterisasi Sistem Tahap ini bertujuan untuk memaparkan segala informasi yang berhubungan untuk mengkarakterisasi sistem TI dan lingkungan operasional. Berikut adalah daftar hardware, software, dan aplikasi yang dimiliki. Jenis Tipe Jumlah (unit) Server IBM X IBM X3250 Router Cisco VPN 3000 Concentrator 5 Cisco 2800 Series Juniper M10i Switch Cisco Catalyst 2960 Series Cisco Catalyst 3560 Series Switches Extreme 6800 series Radware AppDirector Firewall Check Point Firewall 6 Netscreen ISG 2000 Cisco ASA 5500 Series IPS Proventia IPS 22 IDM Server 10 Proxy Gateway Ironport Web 4 Mail Gateway Ironport Mail 4 6 Sistem Operasi Window server 2003, enterprise (32 bit) 3 Window server 2008, enterprise (64 bit) 1 Windows Server 2008 Standard 2 Windows Server 2008 R2 Standard 7 Windows Server 2003 R2 37 Windows Server bit 8 Windows Server 2003 R2 64 bit 2 ESXi 1 Linux Redhat Enterprise Server BIT 20 Windows Server Solaris 8 Jumlah (unit)

66 Aplikasi Jumlah (unit) Log Processing, IT Security 1 Pooling Log SOC 1 Firewall SmartConsole 1 SEP Server 1 IPS Application (Site Protector IPS) 1 Database IPS 1 Collector IPS 3 Primary DNS External xyz.com 1 Secondary DNS External xyz.com 1 Firewall Perimeter 3 Mail Gateway 2 Web Gateway 2 Router 2 VPN Gateway 2 IPS G IPS G400 5 IPS GX Firewall Datacenter 2 NTP 1 Radius 1 VPN WLAN 1 C2960G L2 Switch 1 C3560G L2 Switch 1 Loadbalancer proxy 2 SEP-Desktop 8 IV. Laporan Ancaman Dari hasil penilaian risiko dapat diidentifikasi sumber ancaman, sebagai berikut : Sumber Serangan Aksi Serangan Hacker Hacking Denial of Service Scanning Unauthorized sistem access spam Industrial espionage Pencurian informasi Social engineering Internal perusahaan (karyawan) Worm/virus

67 Pihak ketiga (vendor, eks-karyawan) Unauthorized sistem access Sistem Bugs Penanaman script pada sistem V. Hasil Penilaian Risiko Dari hasil identifikasi didapat beberapa kerentanan, sebagai berikut : Kerentanan Sumber Ancaman Aksi Ancaman Virus disisipi pada software Belum adanya aturan pelarangan instalasi software yang tidak berhubungan dengan kegiatan operasional. Belum adanya aturan mengenai pertukaran data antar jaringan maupun removable media Umumnya sumber penyebaran virus terdapat pada removable media (flashdisk, external hardisk) Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan. Terjadinya penyebaran virus sehingga jaringan menjadi lambat atau mati. Merusak data-data perusahaan. Human error Karyawan yang ceroboh Terjadinya pengubahan data Perusahaan Terjadinya perubahan parameter pada sistem Data menjadi tidak valid Sistem ID Karyawan yang telah berhenti belum dihapus dari sistem Penggunaan account root oleh vendor pada saat fase development Unauthorized user oleh karyawan yang berhenti Unauthorized user oleh vendor Menyusup kedalam sistem secara ilegal Mengakses data milik perusahaan Menyusup kedalam sistem secara ilegal Mengakses data milik perusahaan Untuk kontrol yang ada pada saat sebelum mitigasi risiko adalah sebagai berikut : Kontrol untuk Pencegahan Insiden

68 Tahap Kontrol Pencegahan Dilakukan update antivirus minimal 3 kali sehari Dilakukan vulnerability assessment terhadap semua sistem yang dimiliki secara periodik Konfigurasi pada jaringan dengan memfilter trafik yang masuk Dilakukan monitoring selama 24 jam, 7 hari seminggu terhadap ancaman yang terjadi pada sistem Kontrol untuk Penanganan Insiden Secara Umum Tahap Kontrol Deteksi dan analisa Mengetahui insiden telah terjadi Menganalisa sesuatu yang akan datang berdasarkan indikasi yang ada Melakukan pengkajian Mendokumentasikan semua proses investigasi dan hasil pengumpulan bukti yang ada. Kontrol untuk Penanganan Insiden Denial of Service Tahap Kontrol Deteksi dan analisa Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar. Membendung, Penghapusan, dan Pemulihan Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Mengidentifikasi dan mengurangi semua kerentanan yang digunakan. Mengkonfirmasi sistem yang terkena dapat berfungsi secara normal. Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Kontrol untuk Penanganan Unauthorized access Tahap Kontrol Deteksi dan analisa Melaporkan insiden kepada internal staf yang ditunjuk dan juga kepada organisasi yang diluar.

69 Membendung, Penghapusan, dan Pemulihan Memperoleh, mempertahankan, mengamankan, dan mendokumentasi bukti yang ada. Mengkonfirmasi penahanan kejadian Melakukan analisa lebih lanjut terhadap insiden tersebut dan menentukan apakah penahanan sudah cukup (termasuk memeriksa sistem lain untuk tanda-tanda intrusi) Melaksanakan tindakan penahanan tambahan jika perlu Mengidentifikasi dan mitigasi semua kerentanan yang telah dieksploitasi. Menkonfirmasikan bahwa sistem yang terkena telah berfungsi normal Apabila diperlukan, jalankan monitoring tambahan untuk melihat kemungkinan terjadinya aktititas yang sama yang akan terjadi dimasa depan Kegiatan Pasca Insiden Membuat laporan lanjutan Kemungkinan terjadinya insiden dapat dikategorikan menjadi 3 tingkat, sebagai berikut : Kategori Kemungkinan Kejadian Tinggi Sedang Rendah Indikator Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, hal ini terjadi karena pengendalian untuk mencegah kerentanan yang dilakukan tidak efektif atau masih kurang. Sumber ancaman mempunyai motivasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan masih bisa melakukan kontrol yang mungkin dapat menghambat keberhasilan dari kerentanan. Sumber ancaman mempunyai motivasi rendah, kontrol digunakan dapat mencegah atau secara signifikan mengurangi suatu kerentanan yang akan terjadi.

70 Dampak dari ancaman bila berhasil mengeksploitasi kerentanan yang ada dapat dikategorikan menjadi 3 tingkat, sebagai berikut : Tingkat Indikator Dampak Tinggi Insiden melibatkan manajemen tingkat atas PT. XYZ, seperti Kepala Grup/Kepala Divisi Pengguna yang terkena gangguan satu divisi Insiden menyebabkan pemberitaan di media massa Aplikasi atau sistem tidak dapat digunakan selama lebih dari 24 jam Merupakan aplikasi yang berhubungan dengan revenue generator Sedang Insiden menyebabkan informasi atau data yang mendukung kegiatan operasional tidak tersedia Pengguna yang terkena gangguan 1 departemen (15-20 orang) Potensi dan mungkin menjadi sorotan publik Aplikasi atau sistem tidak dapat digunakan selama 5 8 jam Mempengaruhi kegiatan operasional dan berkaitan dengan servis/layanan Rendah Insiden menyebabkan ketidaknyamanan, gangguan, atau kerusakan yang tidak disengaja oleh pengguna atau tingkat administrator dan berdampak minor pada sistem Pengguna yang terkena gangguan 5 orang Aplikasi atau sistem tidak dapat digunakan selama 30 menit 1 jam Mempengaruhi kegiatan supporting operasional Tingkat risiko dapat dibagi menjadi 3 tingkat, sebagai berikut : Tingkat Deskripsi Risiko Tinggi Penyerang telah berhasil mengeksploitasi kerentanan keamanan jaringan. Memungkinkan penyerang untuk mendapatkan akses remote ke jaringan atau sistem. Tindakan yang diperlukan Risiko harus mendapat perlakuan berupa perbaikan dan tindakan korektif terhadap kontrol sesegera mungkin. Sistem yang ada mungkin dapat beroperasi, namun tindakan korektif sangat krusial dibutuhkan.

71 Tingkat Risiko Deskripsi Tindakan yang diperlukan Memungkinkan penyerang dapat memperoleh akses administratif untuk sistem tersebut. Sedang Penyerang meluncurkan serangan baik secara manual atau menggunakan alat otomatis, tetapi serangan itu tidak berhasil. Serangan dilakukan dengan menggunakan program atau teknik eksploitasi terhadap aplikasi rentan atau jasa di jaringan. Rendah Tidak ada ancaman tunggal dengan kerahasiaan, integritas dan ketersediaan aset informasi. Risiko harus mendapat perlakuan untuk perbaikan, mencegah, dan menguranginya. Dapat diberikan tambahan kontrol yang sesuai dalam jangka waktu yang wajar. Risiko dapat diterima Untuk kedepannya akan dilakukan eskalasi lebih lanjut terhadap kontrol. Ancaman yang berhasil diidentifikasi sebelumnya memiliki tingkat kategori sebagai berikut : Ancaman Tingkat Risiko Keterangan Denial of Service High Menghabiskan resources sistem target sehingga layanan terganggu secara massal dan berdampak luas. Medium Menghabiskan resources sehingga membuat layanan terganggu selama beberapa saat Scanning Medium Konsumsi bandwidth jaringan, dapat mengetahui kerentanan yang dimiliki Unauthorized sistem access High Medium suatu sistem dan mengeksploitasinya. Penyerang mendapat akses ke aplikasi secara keseluruhan atau ke database yang utama. Penyerang mendapat akses ke aplikasi tertentu yang tidak memiliki dampak signifikan

72 Ancaman Tingkat Risiko Keterangan Worm/virus High Menyebabkan performa keseluruhan jaringan lambat, pertukaran informasi terganggu. Medium Konsumsi bandwidth jaringan dan menghabiskan resource sistem Sistem Bugs High Major bugs, bisa menimbulkan ancaman lain pada sistem dan berdampak besar (seperti unauthorized access atau perubahaan data) Medium Mengakibatkan sistem aplikasi mengganggu kegiatan operasional namun berdampak kecil. Low Minor bugs tidak menimbulkan dampak Dapat mengakibatkan pencurian dan pengubahan data Penanaman script pada High sistem yang disengaja spam Low Diblokir oleh anti-spam, difilter di firewall. Beberapa hal yang direkomendasikan adalah : Memblokir suspicious file yang berasal dari attachment pada Mengubah password secara periodik untuk semua perangkat Mengadakan security awareness Meningkatkan penggunaan SIEM (Security Incident Event Monitoring) Mengurangi sharing file terutama untuk perangkat yang menggunakan Windows Manajemen patch VI. Kesimpulan Dari hasil penilaian risikodapat disimpulkan terdapat beberapa ancaman dan kerentanan yang dimiliki oleh Divisi IT Security. Untuk mengatasi hal tersebut, sudah terdapat terdapat beberapa kontrol. Namun dengan penambahan kontrol lainnya diharapkan dapat meningkatkan keamanan informasi terutama pada Divisi IT Security.

73 LAMPIRAN 9 IT Helpdesk Incident Management Policy & Procedure Lampiran 9 xxvii

74 LAMPIRAN 10 Lampiran 10 Insiden 2010 Februari 2012 Nama Insiden Total HTTP_Auth_TooLong ISATOIMPROD Service is Down 1 CS02JKT-KPI-B05 to CP2-ETH5 (Trouble) 1 Smurf_Attack 23 Ping_sweep 391 Conficker Virus 10 TCP Connection Flood (TCP_Connections_Rate_Flood) 2 Conficker Virus 485 Traffic Spike 2 Worm Virut-Virux 247 Ping Flood (Ping_Flood) 13 Smurf_Attack 4 TCP Connection Flood (TCP_Connections_Rate_Flood) 2 P2P_Activity 1 ET SCAN Potential SSH Scan 4 Nmap_OS_Fingerprint 1 WEB-PHP Setup.php access 8 HTTP_GET_DotDot_Data 1 Hacking Attemp 5 UDP_Network_Scan 1 WEB-MISC backup access 9 ICMP Source Quench 8 RAR_Invalid_Magic_Bytes 2 FTP_Auth_Failed 2 WEB-CGI calendar access 4 HTTP_IE_URI_Arg_Injection 1 SQL probe response overflow attempt 1 WEB-MISC Quicktime User-Agent buffer overflow attempt 1 ET WEB_CLIENT Possible HTTP 404 XSS Attempt (External Source) 3 ET WEB_SERVER PHP Attack Tool Morfeus F Scanner 1 ET POLICY Inbound Frequent s - Possible Spambot In 3 WEBROOT DIRECTORY TRAVERSAL 11 xxviii

75 Nama Insiden Total WEB-PHP Setup.php access 2 ET SCAN Multiple FTP Administrator Login Attempts from Single Source - Possible Brute Force Attempt 2 ICMP PING NMAP 3 ET POLICY FTP Login Attempt (non-anonymous) 8 SQL probe response overflow attempt 1 ET SCAN Sipvicious Svmap or Svlearnfp Scan Detected 2 ET P2P Edonkey Server List 1 ET POLICY Suspicious inbound to mysql port TCP_Port_Scan 2 ET SCAN Potential VNC Scan SNMP_Crack 1 WEB-MISC /etc/passwd 1 WEB-MISC cat%20 access 1 CSS_String_Heap_Corruption 7 ICMP superscan echo 1 Trace_Route_UDP 1 TFTP Get 1 DOS ath 1 ET SCAN w3af User Agent [ Ticket # ISAT X] 1 ET POLICY Possible Spambot Host DNS MX Query High Count 2 ET POLICY Possible Trojan File Download - Rar Requested 1 WEB-IIS view source via translate header 1 _Name_Overflow 1 _Encap_Relay 1 ET WEB_CLIENT Possible HTTP 404 XSS Attempt 1 ET WEB_SERVER Possible SQL Injection Attempt SELECT FROM 1 ET WEB_SERVER MYSQL Benchmark Command in URI to Consume Server Resources 1 ET MALWARE Hex Encoded IP HTTP Request - Likely Malware 1 _Encap_Relay 2 _Name_Overflow 2 ET SCAN Cisco Torch SNMP Scan 1 ET SCAN LibSSH Based Frequent SSH Connections Likely BruteForce Attack! 1 FTP_User_Root 2 ET POLICY FTP Login Attempt (non-anonymous) 2 FTP_Auth_Failed 2 SQL probe response overflow attempt 1 ICMP PING Microsoft Windows 1

76 Nama Insiden Total Scanning Activity 4 WEB_SERVER PHP tags in HTTP POST 2 ET SCAN Havij SQL Injection Tool User-Agent Inbound 2 ET WEB_SPECIFIC_APPS phpmyadmin Remote Code Execution Proof of Concept (p=) 1 Acunetix Scanning Activity 1 Nikto Scanning Activity 1 Havij SQL Injection 2 ET SCAN ZmEu Scanner User-Agent Inbound 4 SCAN Tomcat Web Application Manager scanning 1 Acunetix Scanning Activity 1 SSH Brute Force Attack 1 Scanning Activity 2 w3af Scanning Activity 1 GPL SCAN superscan echo 1 ET WEB_SERVER Muieblackcat scanner 1 Havij SQL Injection Tool 1 GPL SCAN superscan echo 3 FTP Brute-Force 1 Grand Total 1348 Rata-rata jumlah insiden : 51 insiden/bulan Insiden Maret May 2012 Nama Insiden Total Worm Virut-Virux 31 Ping_sweep 10 Conficker Virus 55 Ping Flood (Ping_Flood) 9 Smurf_Attack 4 Suspicious SSH Login Failure 1 Scanning Activity 1 ET SCAN ZmEu Scanner User-Agent Inbound 1 backdoor shell 1 Nessus Scanning Activity 1 HTTP ATTACK (HTTP OPTIONS) 1 Grand Total 115 Rata-rata jumlah insiden : 38 insiden/bulan

77 DAFTAR RIWAYAT HIDUP Daftar Riwayat Hidup Nama : Carolina Rizki Putri Tempat, tanggal lahir : Jakarta, 11 Desember 1987 Jenis kelamin Alamat : Perempuan : Komp. Pamulang Estat blok G7 No.10 Pamulang Timur No. telepon/ / carolcorry@gmail.com Pendidikan Formal : 2010 sekarang Program Pascasarjana Magister Manajemen Sistem Informasi, Universitas Bina Nusantara Jurusan Teknik Informatika, Universitas Bina Nusantara SMU Labschool Kebayoran SLTP Bakti Mulya SD Dharma Karya UT Pengalaman Kerja : sekarang Security Analyst, PT. Scan Nusantara Technical Support, Project HARWAT SIM, PT. Scan Nusantara xxix