Strategi dan Penerapan Manajemen Risiko Keamanan Informasi PSE Layanan Publik

Yudho Giri [email protected]

Fakultas Ilmu KomputerUniversitas Indonesia

1

2

e-KTP Simulator SIM Pajak Sisminbakum e-Procurement (SPSE, SePP) JDIH SIMDA / SIPKD National Single Window RKAKL / RKAD SPAN SIK (Sistem Informasi Kesehatan)Sumber: Buku Petunjuk Penyusunan Rencana Induk TIK hal 1.

Untuk dapat beroperasi, organisasi perlumerancang dan menciptakan lingkunganyang aman sehingga proses dan prosedurkegiatan dapat berlangsung dengan baik

Lingkungan yang memelihara C-I-A dari data organisasi

Tujuan ini dapat dicapai dengan menerapkanprinsip-prinsip Manajemen Risiko

3

Keamanan Informasi dibentuk utamanyaadalah untuk mengelola Risiko TI.

Mengelola risiko adalah salah satu tupoksidari setiap manajer dalam organisasi.

Program manajemen risiko, terdiri daribeberapa proses: Identifikasi Risiko,Kajian/Penilaian Risiko,Pengendalian Risiko

Perlu melihat Selera Risiko, yaitu sejauhmana organisasi mau menerima risiko Keseimbangan antara pengamanan keamanan

dan aksesibilitas yang tidak terbatas4

“Jika dirimu mengenali musuh dan dirimusendiri, kau tidak perlu takut akan hasil dariratusan pertempuran.” – Sun Tzu

5

Mengidentifikasi dan memahami informasidan bagaimana informasi itu diproses, disimpan, dan dikirimkan

Dengan pengetahuan ini, kita dapatmelakukan program manajemen risiko yang mendalam.

Manajemen risiko adalah proses

Pengaman dan kendali yang digunakan bukanmerupakan perangkat yang ‘pasang-dan-lupakan’

6

Mengidentifikasi dan memahami ancamanyang dihadapi oleh aset informasi di organisasi

Identifikasi seluruh ancaman yang menimbulkanrisiko terhadap organisasi dan pengamananinformasi aset yang dilakukan

Manajemen risiko

Proses mengkaji risiko terhadap informasi di organisasi dan menentukan bagaimana risikotersebut akan dikendalikan atau dimitigasi

7

PP 82 Tahun 2012 Pasal 13

PSE WAJIB menerapkan manajemen risiko terhadapkerusakan atau kerugian yang ditimbulkan

PP 60 Tahun 2008 tentang Sistem PengendalianIntern Pemerintah

8

9

Rencanakan dan Organisasikan Susun Kategori Komponen Sistem Lakukan Inventarisasi Aset Identifikasi Ancaman Identifikasi Aset yang Rentan Susun Peringkat Dampak/Nilai setiap Aset Kaji Kemungkinan dari Kerentanan Hitung Faktor Risiko setiap aset Tinjauan awal kemungkinan Kendali Dokumentasikan

10

Dimulai dengan proses Evaluasi Diri Manajer mengidentifikasi aset informasi di

organisasi▪ Klasifikasikan ke dalam beberapa kelompok

▪ Susun prioritas sesuai dengan tingkat ke-penting-annya

Aset apa saja? Orang, SOP, data/informasi, perangkat lunak,

perangkat keras, dan perangkat jaringan Tentukan atribut dari masing-masing aset

informasi yang ingin dicatat (bergantungpada kebutuhan organisasi)

11

Nama, Alamat IP Alamat MAC, tipe aset Nomor serial, nama pembuat Model atau part number Versi perangkat lunak, update revision Lokasi fisik, lokasi logik Entitas pengendali

12

Orang

Nama/nomor/ID posisi, nomor, ID

Nama/nomor/ID supervisor

Level tingkat keamanan

Keahlian

Prosedur

Deskripsi

Tujuan

Elemen SW/HW terkait

Lokasi penyimpanan

Data

Klasifikasi

Pemilik/pembuat/pengelola

Ukuran data

Struktur data

Online atau Offline

Lokasi

Prosedur Backup

13

Skema klasifikasi akan mengelompokkanaset berdasarkan sensitivitas dan kebutuhanpengamanan

Setiap kategori kemudian diberikan tingkatpengamanan yang dibutuhkan untuk masing-masing aset informasi

14

15

Organisasi menghadapi berbagai jenisancaman

Setiap ancaman memberikan tantangan unikbagi pengamanan informasi

Sebelum ancaman dapat dikaji pada proses Identifikasi Risiko

Masing-masing perlu dikaji untuk menentukanpotensi dampak terhadap aset informasi

▪ Proses ini disebut Kajian Ancaman

16

1717

Dimulai dengan meninjau setiap asetinformasi dan ancamannya

Pada akhir proses Identifikasi Risiko, akandidapat daftar aset dan kerentanannya

Daftar ini diperlukan untuk tahap manajemenrisiko selanjutnya yaitu Penilaian/KajianRisiko

18

19

Bertujuan untuk mengevaluasi risiko daridaftar kerentanan hasil tahap sebelumnya

Likelihood (Kemungkinan/Peluang) Probabilitas bahwa kerentanan tertentu

dieksploitasi Jika kerentanan ditangani penuh oleh kendali

yang ada, maka dapat disisihkan Jika hanya ditangani sebagian, hitung

prosentase dari kerentanan yang telahditangani

20

21

Tingkatan Konsekuensi

Table 8-7 Likelihood levels for organizational threatsTingkatan Kemungkinan

Kombinasi kemungkinan x konsekuensimemungkinkan organisasi menentukanancaman mana yang paling membahayakan

22

23

Implementasi mekanisme kontrol yang terintegrasi dengan prosedur kegiatan rutin

Sebuah risiko dapat memiliki beberapaalternatif kontrol. Dapat dipilih > 1 kontrol.

Prinsip

Kendalikan penyebab untuk memperkecilkemungkinan/peluang (likelihood)

Kendalikan akibat untuk memperkecil dampak

24

Avoid Menerapkan pengaman yang akan

menghilangkan/mengurangi risiko yang tersisaterhadap kerentanan tertentu

Transfer Memindahkan risiko ke aset lain, proses lain, atau

organisasi lain Mitigate Mengurangi dampak jika kerentanan dieksploitasi

Accept Memahami konsekuensi dan menerima risiko tanpa

kendali atau mitigasi25

Avoid Penerapan kebijakan

Penerapan pendidikan dan pelatihan

Menghadapi ancaman

Implementasi kendali dan pengaman teknis Transfer Outsourcing ke organisasi lain

Asuransi

Kontrak layanan dengan penyedia jasa

26

Mitigasi Menerapkan perencanaan dan persiapan

Tergantung kepada kemampuan untuk mendeteksidan merespon serangan secepat mungkin

Contoh: DRP, IRP, BCP Accept Tidak melakukan apapun untuk melindungi, dan

menerima kehilangan jika terjadi

Biaya untuk melindungi aset tidak seimbangdengan pengeluaran untuk tindakan pengamanan

27

Meski kerentanan telah dikendalikan sebanyakmungkin, seringkali masih ada risiko yang tersisa

Tujuan Keamanan Informasi bukan menjadikanrisiko tersisa ke angka nol, namun menyelaraskandengan selera risiko organisasi

Sampaikan ke pengambil keputusan risiko yang tersisa dan ketika mereka dapat menerimanya, maka tercapailah tujuan utama program Keamanan Informasi.

28

OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) www.cert.org/octave/

FAIR (Factor Analysis of Information Risk) fairwiki.riskmanagementinsight.com

RiskIT (ISACA) www.isaca.org

Risk Governance, Risk Response, Risk Evaluation COSO ERM (Enterprise Risk Management) www.coso.org

29

30

Manajemen Risiko Keamanan Informasi Keputusan No. 85/KEP/BSN/4/2013 www.27000.org/iso-27005.htm Lima tahap metodologi Manajemen Risiko Penilaian Risiko

Penanganan Risiko

Penerimaan Risiko

Komunikasi Risiko

Monitoring dan Review Risiko

31

32

Yudho Giri Sucahyo, S.Kom, M.Kom, Ph.D, CISA, CEP, CSRS S1 dan S2, Fakultas Ilmu Komputer – UI S3 School of Computing, Curtin University of Technology, Australia Staf Pengajar Fakultas Ilmu Komputer Universitas Indonesia Staf Pengajar MM-FEUI dan MAKSI-FEUI Certified Information Systems Auditor (CISA) Certified e-Business Professional on Project Management (CEP) Certified Sustainability Reporting Specialist (CSRS) ISACA Academic Advocate Anggota Dewan Pertimbangan ILUNI-UI Anggota Senat Akademik UI Anggota Lab e-Government FASILKOM-UI Senior Consultant Pusat Ilmu Komputer UI Anggota Tim Pokja EvaTIK DeTIKNas (2007-2009) Ketua Pengelola Nama Domain Internet Indonesia (PANDI) Wakil Ketua Internet Society Indonesia Chapter (ISOC-ID) E-mail: [email protected], [email protected]

33