terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

Transkripsi

1 L8 Langkah 1 Tipe dampak Rendah Sedang Tinggi Reputasi / Kepercayaan Pelanggan Reputasi Reputasi sedikit Reputasi rusak, dan Reputasi telah terpengaruh; sedikit diperlukan beberapa hancur atau rusak. dibutuhkan usaha untuk upaya dan biaya memperbaikinya. untuk memperbaikinya. Kehilangan 0-5% kehilangan 5-15% kehilangan Diatas 15% pelanggan pelanggan pelanggan Keuangan Biaya Biaya operasional per Biaya operasional Biaya operasional operasional tahun dibawah 5% per tahun antara 5- per tahun lebih dari 15% 15_% Kehilangan pendapatan Kurang dari 5% kehilangan pendapatan per tahun. Diantara 5-20% Diatas 20% 1 kali kerugian Dibawah 1M Berkisar 1-5M Diatas 5M keuangan Produktivitas Jam kerja Dibawah 10% Jam kerja staff meningkat antara 10- Jam kerja staff meningkat lebih

2 L9 30% dari 30 % Denda / hukuman Denda Denda dibawah 100juta Denda berkisar 100juta-1 M Denda lebih besar dari 1M Investigasi Tidak ada permintaan Pemerintah atau Pemerintah atau dari pemerintahan atau organisasi investigasi organisasi organisasi investigasi lainnya meminta investigasi lainnya lain informasi atau melakukan catatan (low profile) investigasi profile tinggi dalam investigasi praktek organisasi. Langkah 2 Aset dan pertanyaan nya Sistem Sistem sistem apa saja yang - Messaging system - Server Jawaban dibutuhkan semua orang di perusahaan untuk mendukung pekerjaan mereka? Informasi Informasi apa saja yang dibutuhkan semua orang di perusahaan untuk mendukung pekerjaan mereka? - Data pelanggan/ pemasok - Detail project - Data karyawan - Data penagihan

3 L10 - Data asuransi Aplikasi dan pelayanan Aplikasi dan servis apa saja yang dibutuhkan semua orang di perusahaan - - Telepon - Internet untuk mendukung pekerjaan mereka? Aset lain -Internet Service Provider Aset aset lain yangberhubungan dengan aset ini? Orang -Bpk. Piter Yanuar Siapa yang mempunyai keahlian atau kemampuan special yang vital bagi organisasi dan susah untuk dgantikan? Keahlian dan pengetahuan Apa keahlian atau kemampuan yang mereka miliki? - Mengelola windows server, , network CISCO. - Mengelola sistem finger print untuk absen. - Hardware support (trouble shoot). Sistem yang berhubungan Sistem apa yang digunakan oleh orang - Messaging system - server yang bersangkutan? Aset yang berhubungan Sistem laen yang digunakan?

4 L11 Langkah 3a 1. Kesadaran Keamanan dan Pelatihan Pernyataan Banyak Sedang Tidak ada Para staff memahami peran keamanan dan tanggung jawab mereka, dimana hal ini didokumentasikan dan diverifikasi. Staff mempunyai keahlian yang cukup untuk mendukung semua pelayanan, mekanisme, dan teknologi, termaksud operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi. Kesadaran akan keamanan, pelatihan, dan pengingat periodik tersedia untuk semua personil. Hal ini didokumentasikan dan disesuaikan secara periodik. Angggota staf mengikuti praktek keamanan dengan baik seperti : 1. Informasi keamanan dimana mereka memiliki tanggung jawab 2. Tidak mengumumkan informasi yang sensitive kepada orang lain 3. Mempunyai kemampuan yang memadai dalam menggunakan perangkat keras dan perangkat lunak teknologi informasi

5 L12 4. Menggunakan password dengan baik 5. Memahami dan mematuhi kebijakan dan peraturan keamanan 6. Mengenali dan melaporkan kejadian-kejadian 2. Strategi Keamanan Strategi bisnis organisasi selalu mempertimbangkan segi keamanan. Strategi dan kebijakan keamanan dipertimbangan dari segi bisnis dan tujuan organisasi. Strategi keamanan, tujuan dan sasaran organisasi didokumentasikan dan dikaji secara rutin, diperbaharui dan dikomunikasikan dalam organisasi. 3. Manajemen Keamanan Manajemen mengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggung jawab dijelaskan kepada semua staff organisasi. Semua staff disetiap tingkatan melaksankan tugas dan tanggung jawab mereka dalam keamanan informasi. Ada prosedur yang telah didokumentasi untuk otorisasi dan pengawasan semua staff yang bekerja dalam penyediaan informasi atau penyajian informasi. Kebijakan perekrutan dan penghentian bagi setiap staff

6 L13 yang terlibat dalam permasalahan keamanan informasi. Organisasi mengelola risiko keamanan informasi termasuk: 1. Penilaian risiko untuk keamanan informasi 2. Mengambil langkah-langkah untuk mengurangi risiko keamanan informasi. Manajemen menerima dan bertindak atas laporan rutin dari informasi yang berhubungan dengan keamanan. 4. Peraturan dan Kebijakan Keamanan Organisasi memiliki dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala Tersedia proses dokumentasi dari kebijakan keamanan untuk manajemen termasuk: 1. Penciptaan 2. Administrasi 3. Komunikasi Organisasi mempunyai proses dokumentasi dari evaluasi dan memastikan pemenuhan dari kebijakan keamanan informasi, penerapan hukum dan peraturan dan kebutuhan asuransi. Organisasi menyeragamkan penyelenggaraan kebijakan keamanan.

7 L14 5. Manajemen Keamanan Kolaboratif Organisasi memiliki kebijakan dan prosedur dalam melindungi informasi ketika bekerja dengan organisasi lain, termasuk: 1. Melindungi informasi milik organisasi lain 2. Memahami kebijakan dan prosedur keamanan organisasi lain 3. Akses akhir ke informasi dihentikan bagi orang luar Dokumen informasi organisasi untuk melindungi kebutuhan-kebutuhan dan dengan tegas memberitahukan kesemua aspek. Organisasi mempunyai mekanisme formal untuk mengverifikasi ke semua pihak organisasi, mengoutsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. Organisasi memiliki kebijakan dan prosedur untuk bekerja sama dengan organisasi yang lain, seperti : 1. Memberikan kesadaran keamanan dan pelatihan pelayanan 2. Mengembangkan kebijakan keamanan untuk

8 L15 organisasi 3. Mengembangkan rencana kemungkinan untuk organisasi 6. Rencana Kemungkinan atau Pemulihan dari Bencana Sebuah analisa dari operasional, aplikasi-aplikasi dan data penting sudah dilaksanakan Perusahaan telah melakukan dokumentasi, peninjauan kembali, dan pengujian 1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana 3. Kemungkinan rencana untuk menanggapi keadaan darurat Kemungkinan, pemulihan bencana, dan rencana kontinuitas bisnis mempertimbangkan kebutuhan akses dan kontrol fisik dan elektronik. Seluruh staf harus: 1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis 2. Memahami dan mampu menjalankan tanggung jawab mereka 7. Kontrol Akses Fisik

9 L16 Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan, dan daerah apapun yang dibatasi telah didokumentasikan dan diuji. Adanya kebijakan dan prosedur yang didokumentasi untuk mengelola pengunjung. Adanya kebijakan yang didokumentasi dan prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras(komputer, perangkat komunikasi, dll) dan perangkat lunak media Workstation dan komponen lain yang memungkinkan akses kepada informasi yang sensitif dijaga secara fisik untuk mencegah terhadap akses yang tidak sah. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Kebutuhan organisasi akan kontrol akses fisik dikomunikasikan secara formal terhadap semua kontraktor dan penyedia layanan yang mengontrol akses fisik ke bangunan, area kerja, perangkat keras teknologi informasi dan media perangkat lunak. Perusahaan secara resmi melakukan verifikasi bahwa kontraktor dan penyedia layanan telah memenuhi

10 L17 persyaratan untuk melakukan kontrol akses fisik. 8. Memantau dan Mengaudit Keamanan Fisik Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Catatan pemeliharaan disimpan ke dokumen perbaikan dan modifikasi dari fasilitas fisik komponen. Tindakan individu atau grup, berkaitan dengan semua media yang dikontrol secara fisik, dapat dipertanggung jawabkan. Audit dan pemantauan dilakukan secara rutin ada catatan untuk memeriksa kejanggalan, dan diambil tindakan korektif yang diperlukan. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk pemantauan keamanan fisik secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang memantau akses fisik ke lokasi dan bangunan, tempat kerja, perangkat keras teknologi informasi, media perangkat lunak. Perusahaan secara resmi melakukan verifikasi bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan fisik.

11 L18 9. Manajemen Sistem dan Jaringan Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Ada dokumentasi dan rencana keamanan yang teruji untuk menjaga sistem dan jaringan. Sensitifitas informasi dilindungi oleh tempat penyimpanan yang aman (misalnya, back-up disimpansecara off situs, proses untuk membuang informasi sensitif). Integritas dari perangkat lunak yang diinstal diverifikasi secara teratur. Seluruh sistem selalu diperbaharui dengan merevisi, menambal, dan rekomendasi dalam laporan keamanan. Ada dokumentasi dan rencana back-up data yang teruji untuk mem backup, perangkat lunak dan data. Semua staf memahami tanggung jawab mereka terhadap rencana back-up. Perubahan perangkat keras dan perangkat lunak teknologi informasi yang direncanakan, dikontrol, dan didokumentasikan. Anggota staf TI mengikuti prosedur penerbitan, mengubah, dan mengakhiri pengguna 'password, account, dan hak istimewa.

12 L19 1. Identifikasi pengguna secara unik diperlukan untuk semua pengguna sistem informasi, termasuk pihak ketiga pengguna 2. Penetapan account dan penetapan password telah dihapus dari sistem. Hanya layanan yang penting yang dijalankan oleh sistem semua layanan yang tidak penting dihapus dari sistem. Peralatan dan mekanisme untuk keamanan sistem dan jaringan digunakan, ditinjau secara rutin dan diperbarui atau diganti. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Keamanan organisasi yang terkait dengan system manajemen sistem dan manajemen jaringan dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan yang mengelola sistem dan jaringan. Organisasi secara resmi menverifikasi kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk manajemen keamanan sistem dan jaringan. 10. Memantau dan Mengaudit Keamanan Teknologi informasi

13 L20 Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Alat untuk memantau dan mengaudit sistem dan jaringan secara rutin digunakan oleh organisasi. Aktivitas yang tidak biasanya terhubung dengan prosedur dan kebijakan yang tepat. Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk pemantauan keamanan teknologi informasi secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang memonitor sistem dan jaringan. Organisasi secara resmi menverifikasi bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan teknologi informasi. 11. Pengesahan dan Otorisasi Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Kontrol akses yang tepat dan pengesahan pengguna (misalnya, perizinan file, konfigurasi jaringan) konsisten

14 L21 dengan kebijakan ini digunakan untuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan. Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok. Metode atau mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif belum diakses, diubah, atau hancur dalam bentuk yang dilarang. Metode atau mekanisme secara berkala ditinjau dan diverifikasi. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk mengendalikan akses ke sistem informasi dan komunikasi secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan layanan otentikasi dan otorisasi. Organisasi secara resmi menverifikasi kontraktor dan penyedia layanan telah memenuhi persyaratan untuk otentikasi dan otorisasi. 12. Manajemen Kerentanan Jika staf dari organisasi Anda bertanggung jawab

15 L22 untuk kawasan ini: Berikut adalah dokumentasi prosedur untuk mengelola kerentanan, termasuk: 1. Memilih alat evaluasi kerentanan, daftar, dan skrip 2. Menjaga metode serangan dan pengetahuan tentang kerentanan selalu up to date 3. Meninjau sumber informasi tentang pengumuman kerentanan, peringatan keamanan, dan pemberitahuan 4. Mengidentifikasi komponen infrastruktur untuk dievaluasi 5. Menjadwalkan evaluasi kerentanan 6. Menafsirkan dan menanggapi hasil 7. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data Prosedur manajemen kerentanan diikuti dan ditinjau serta diupdate secara berkala. Penilaian kerentanan teknologi yang dilakukan secara periodik, dan kerentanan yang dialamatkan ketika mereka teridemtifikasi. Jika staf dari pihak ketiga yang bertanggung jawab

16 L23 untuk kawasan ini: Persyaratan manajemen kerentanan organisasi dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan teknologi yang mengelola kerentanan. Organisasi secara resmi menverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk manajemen kerentanan. 13. Enkripsi Jika Staff dari organisasi bertanggung jawab di area ini: Kontrol keamanan sesuai yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi (misalnya, data enkripsi, infrastruktur kunci publik, teknologi jaringan maya pribadi). Enkripsi protokol di pakai ketika mengelola sistems, router dan firewall. Jika staff dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi untuk melindungi informasi sensitif secara resmi di komunikasikan kepada

17 L24 semua kontraktor dan penyedia layanan yang menyediakan teknologi enkripsi. Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk menerapkan teknologi enkripsi. 14. Arsitektur dan Desain keamanan Jika Staf dari organisasi bertanggung jawab di area ini: Desain dan arsitektur sistem yang baru dan sistem yang di revisi mempertimbangkan hal berikut: 1. Strategi keamanan, kebijakan, dan prosedur 2. Sejarah keamanan yang disetujui bersama 3. Hasil penilaian risiko keamanan Organisasi mempunyai diagram up-to-date yang menunjukkan arsitektur keamanan dari perusahaan dan topologi jaringan Jika staf dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi yang berhubungan dengan keamanan secara resmi di komunikasikan kepada semua kontraktor dan penyedia layanan yang mendesain sistem

18 L25 dan jaringan. Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk desain dan arsitektur keamanan. 15. Manajemen Insiden Jika Staff dari organisasi bertanggung jawab di area ini: Prosedur yang di dokumentasikan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. Prosedur manajemen insiden secara periodik di tes, di verifikasi dan di perbarui. Ada kebijakan dan prosedur yang di dokumentasikan untuk bekerjasama dengan lembaga penegak hukum. Jika staf dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi untuk menangani insiden secara resmi di komunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan pelayanan manajemen insiden.

19 L26 Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk mengelola insiden-insiden. Langkah 3b Area Apa yang sekarang sudah dilakukan dengan baik oleh organisasi di area ini? Apa yang sekarang kurang dilakukan dengan baik oleh organisasi di area ini? 1. Kesadaran keamanan dan pelatihan -Adanya update keamanan dan penggunaan firewall -Penilaian terhadap keamanan dan audit keamanan 2. Strategi -Sudah mempertimbangkan -Kurangnya pembahasan keamanan 3. Manajemen keamanan 4. Peraturan dan kebijakan keamanan 5. Manajemen keamanan dampak yang akan terjadi dari segi keamanan di perusahaan -Adanya pembuatan dokumentasi tentang kesadaran keamanan -Adanya pelaksanaan terhadap peraturan keamanan -Sudah adanya prosedur dan kebijakan untuk melindungi yang detail dalam hal ini -Masih kurang pihak yang mengelola keamanan

20 L27 kolaboratif informasi dalam bekerjasama dengan mitra 6. Rencana kemungkinan/ Pemulihan dari bencana 7. Kontrol akses fisik 8. Memantau dan mengaudit keamanan fisik 9. Manajemen sistem dan jaringan 10. Memantau dan mengaudit keamanan teknologi informasi -Adanya penilaian tetap terhadap rencana cadangan -Pembatasan pemakaian terhadap pengguna yang dapat mengakses ruangan server. (terbatas hanya untuk administrator) -Adanya pemantauan terhadap setiap akses menuju dan mendekati ruang server. Dan juga pemantauan untuk setiap akses yang tidak sah. -Adanya pemantauan setiap ancaman yang terdapat pada sistem dan jaringan -Adanya update keamanan secara rutin -Belum melakukan pengujian terhadap rencana cadangan 11. Pengesahan -Melakukan penilaian secara

21 L28 dan Otorisasi periodik terhadap teknologi 12. Manajemen Kerentanan informasi -Melakukan penilaian terhadap kerentanan keamanan dan menerapkan perbaikan terhadap alat alat yang diperlukan untuk pencegahan risiko teknologi informasi. -Belum dikomunikasikan secara resmi kepada semua penyedia layanan teknologi yang mengelola kerentanan 13. Enkripsi -Adanya penilaian keamanan untuk sistem yang utama dengan berbagai keamanan seperti adanya penggunaan firewall, sertifikat, encryption 2048 bits 14. Desain dan arsitektur -Adanya update terhadap infrastruktur jaringan perusahaan keamanan 15. Manajemen insiden -Adanya prosedur yang didokumentasikan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. -Belum ada kebijakan dan prosedur yang didokumentasikan untuk bekerjasama dengan lembaga penegak hukum.

22 L29 Langkah 4 Keterangan: Merah = Kurang Baik Kuning = Cukup Baik Hijau = Baik Seberapa efektif organisasi mengimplementasi pelatihan di area ini? Merah Kuning Hijau Tidak ada 1. Kesadaran keamanan dan pelatihan 2. Strategi keamanan 3. Manajemen keamanan 4. Peraturan dan kebijakan keamanan 5. Manajemen keamanan kolaborasi 6. Rencana kemungkinan/ pemulihan dari bencana 7. Kontrol akses fisik 8. Memantau dan mengaudit keamanan fisik 9. Manajemen system dan jaringan 10. Memantau dan mengaudit kemanan teknologi informasi 11. Pengesahan dan Otorisasi 12. Manajemen Kerentanan 13. Enkripsi 14. Desain dan arsitektur kemanan 15. Manajemen insiden

23 L30 Langkah 5 Pertanyaan yang dipertimbangkan : Aset akan mempunyai dampak buruk dalam organisasi jika : Asset jatuh ketangan orang yang tidak berwenang? Asset dimodifikasi tanpa otorisasi? Asset hilang atau rusak? Akses ke asset terputus? Aset kritikal Database Active Directory Catatan Karena database ini menyediakan sejenis indeks (yang berisi data-data) sebagai sumber informasi yang digunakan oleh semua karyawan untuk mengirim dan menggunakan telepon. Server Karena tersebut digunakan oleh perusahaan untuk berkomunikasi dengan pelanggan maupun dengan pemasok. Database Server Karena database ini digunakan untuk menyimpan catatan transaksi dari aplikasi yang digunakan oleh divisi tertentu. File Server Karena file ini berfungsi sebagai penyedia layanan untuk menyimpan dokumen-

24 L31 dokumen yang bisa dipanggil kembali atau di share. Langkah 6, 7, 8 Aset kritikal Apa kritikal sistemnya? Database Active Directory Rasional untuk pemilihan Kenapa sistem ini kritikal di perusahaan? Karena database ini menyediakan sejenis index (yang berisi datadata) sebagai sumber informasi yang digunakan oleh semua karyawan untuk mengirim dan menggunakan telepon. Deskripsi Siapa yang memakai sistem ini? Semua orang yang ada diperusahaan. Langkah 9, 10, 11 Aset yang berhubungan Aset mana yang berhubungan dengan sistem ini? Kebutuhan keamanan Apa kebutuhan keamanan dalam sistem ini? Kebutuhan keamanan yang paling penting Apa kebutuhan keamanan yang paling penting dalam sistem ini?

25 L32 Informasi : Data pelanggan, data pemasok, detail proyek, data karyawan, data penagihan, dan data asuransi. Layanan dan aplikasi : dari Microsoft Exchange Server, database dan internet connectivity. Kerahasiaan Integritas Ketersediaan Lainnya Kerahasiaan Integritas Ketersediaan Lainnya

26 Kertas kerja profil risiko - Pelaku yang menggunakan akses jaringan Langkah 12 Langkah 22 Langkah 24 Langkah 26 Langkah 27 Hasil Dampak Kepercayaan Operasional Reputasi Keuangn Prdktvtas Denda Kslamtan Banyak Sedang Tidak ada Pelatihan Strtgi Kamnan M. Keamnan Kbjkn & Prtrn M.Kamn Kola Rnca Kmgkn Kntrl Aks Fis Pmntan& audt M.Sst & Jrngn Pntau & adt TI Pngshn & otrs M. Krntanan Enskrpsi Arst & dsain Mnj. Insiden Menerima Menunda Mngurangi Aset Akses Aktor Motif Nilai Penying kapan Modifik asi Penghan curan Ganggu an Penying kapan Modifik asi Penghan curan Ganggu an I-----I-----I I-----I-----I I-----I-----I I-----I-----I R S R R R S Ix----I-----I K K K M K K K K K K K K K - - x S S S S S R I----xI-----I K K K M K K K K K K K K K - - x S T T S S R I----xI-----I K K K M K K K K K K K K K - - x S T S S S R I----xI-----I K K K M K K K K K K K K K - - x Database Active Direcctory Jaringan Pihak Dalam Sengaja Tdk Sengaja L33

27 Kertas kerja profil risiko - Pelaku yang menggunakan akses jaringan Langkah 12 Langkah 22 Langkah 24 Langkah 26 Langkah 27 Aset Akses Aktor Motif Hasil Dampak Nilai Kepercayaan Operasional Database Active Direcctory Jaringan Pihak Luar Tdk Sengaja Sengaja Penying kapan Modifik asi Penghan curan Ganggu an Penying kapan Modifik asi Penghan curan Ganggu an Reputasi Keuangn Prdktvtas Denda Kslamtan Banyak Sedang Tidak ada Pelatihan Strtgi Kamnan M. Keamnan Kbjkn & Prtrn M.Kamn Kola Rnca Kmgkn Kntrl Aks Fis Pmntan& audt M.Sst & Jrngn Pntau & adt TI Pngshn & otrs M. Krntanan Enskrpsi Arst & dsain Mnj. Insiden Menerima Menunda Mngurangi I-----I-----I I-----I-----I I-----I-----I I-----I-----I I-----I-----I I-----I-----I I-----I-----I I-----I-----I L34

28 Hasil Langkah 13 Aktor Ancaman Langkah 14 Alasan Langkah 15 Keterangan Aset Akses Aktor Motif Aktor mana yang memberikan ancaman terbesar ke sistem? Seberapa besar motif aktor? Seberapa besar keyakinan atas perkiraan ini? Seberapa sering ancaman terjadi? Berapa besar keakuratan data? Tinggi Sedang Rendah Banyak Sedang Tidak ada Banyak Sedang Tidak ada Penyingkapan _0_sekali dalam_1_tahun - - Database Active Directory Jaringan Pihak Dalam Tidak Sengaja Sengaja Modifikasi Tidak ada _0_sekali dalam_1_tahun - - Penghancuran _0_sekali dalam_1_tahun - - Gangguan _0_sekali dalam_1_tahun - - Penyingkapan Pihak dalam yang _0_sekali dalam_1_tahun - - bertindak secara Modifikasi sengaja, yaitu _1_sekali dalam_1_tahun - - hacking yang Penghancuran dilakukan karyawan _0_sekali dalam_1_tahun - - yang tidak puas. Gangguan _1_sekali dalam_1_tahun - - L35

29 Hasil Langkah 13 Aktor Ancaman Langkah 14 Alasan Langkah 15 Keterangan Aset Akses Aktor Motif Aktor mana yang memberikan ancaman terbesar ke sistem? Seberapa besar motif aktor? Seberapa besar keyakinan atas perkiraan ini? Seberapa sering ancaman terjadi? Berapa besar keakuratan data? Tinggi Sedang Rendah Banyak Sedang Tidak ada Banyak Sedang Tidak ada Penyingkapan _0_sekali dalam_1_tahun - - Database Active Directory Jaringan Pihak Luar Tidak Sengaja Sengaja Modifikasi Tidak ada _0_sekali dalam_1_tahun - - Penghancuran _0_sekali dalam_1_tahun - - Gangguan _0_sekali dalam_1_tahun - - Penyingkapan _0_sekali dalam_1_tahun - - Modifikasi Tidak ada _0_sekali dalam_1_tahun - - Penghancuran _0_sekali dalam_1_tahun - - Gangguan _0_sekali dalam_1_tahun - - L36

30 L37 Langkah 16 Pihak dalam yang menggunakan akses jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja Para karyawan dengan sengaja melakukan hacking karena merasa tidak puas. dapat menggunakan akses jaringan untuk mengancam sistem ini. Pihak luar yang menggunakan akses jaringan Berikan contoh bagaimana pihak luar yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Berikan contoh bagaimana pihak luar yang bertindak secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.

31 L38 Langkah 17 Kepentingan Sistem Sistem apa yang berhubungan paling dekat dengan aset kritis? - server -File server -Database server Langkah 18a Kepentingan Sistem Kelas komponen mana yang dibawah ini yang merupakan bagian dari kepentingan sistem? Langkah 18b Poin Akses Menengah Kelas komponen mana yang dibawah ini yang digunakan untuk Server Jaringan internal On-Site Workstations Lainnya Jaringan internal Jaringan eksternal Lainnya mengirimkan informasi dan aplikasi dari kepentingan sistem untuk orang? Kelas komponen mana yang dibawah ini yang dapat berfungsi sebagai poin akses menengah? Langkah 18c Akses Sistem terhadap Orang Kelas komponen mana yang dibawah ini merupakan orang yang dapat mengakses kepentingan On-Site Workstations Laptops PDAs/Wireless Home/External Workstations Lainnya

32 L39 sistem? Components Pertimbangkan akses poin baik internal maupun eksternal organisasi anda terhadap jaringan. Langkah 18d Lokasi Penyimpanan Data Kelas komponen mana yang Alat Penyimpanan Lainnya dibawah ini yang merupakan informasi dari kepentingan system yang disimpan untuk tujuan backup? Langkah 18e Sistem dan Komponen lainnya Kelas komponen lain apa yang mengakses informasi atau aplikasi dari kepentingan sistem? Kelas komponen apa dibawah ini yang dapat digunakan untuk mengakses informasi penting atau aplikasi dari kepentingan sistem? File server server Database server