A. Cara untuk melakukan Risk Assesment

Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment. Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat, jika sudah ada.

Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar-standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:

a.    Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003)

b.    ISO/IEC27005 - Information Security Risk Management

c.    Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004

d.    NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.

Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.

Untuk melakukan risk assessment terdiri atas tiga dasar kegiatan, antara lain:

1.        Menentukan lingkup dan metodologi penilaian

Langkah pertama dalam menilai risiko adalah untuk mengidentifikasi sistem yang sedang dipertimbangkan, bagian dari sistem yang akan dianalisis, dan metode analitik seperti tingkat detail dan formalitas. Penilaian ini dapat difokuskan pada daerah tertentu di mana tingkat risiko diketahui tinggi. Mendefinisikan ruang lingkup dan batas dapat membantu memastikan biaya efektif penilaian. Faktor yang mempengaruhi ruang lingkup mencakup tahap siklus hidup sistem, misalnya sistem baru yang dikembangkan lebih rinci dan cocok daripada sistem yang ada sehingga sistem yang ada akan mengalami upgrade. Faktor lain adalah kepentingan relatif dari sebuah sistem harus dianalisis lebih dalam dan menyeluruh.

Metodologi penilaian dapat formal atau informal, rinci atau disederhanakan, tinggi atau rendah, kuantitatif (computationally based) atau kualitatif (based on descriptions or rankings), atau kombinasi dari keduanya. Tidak ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan.

Batas, ruang lingkup, dan metodologi yang didefinisikan akan memiliki konsekuensi besar dalam hal (1) jumlah total usaha yang dihabiskan pada manajemen risiko dan (2) jenis dan kegunaan dari penilaian ini hasil. Batas dan ruang lingkup harus dipilih dengan cara yang akan menghasilkan hasil yang jelas, spesifik, dan berguna untuk sistem dan lingkungan di bawah pengawasan.

Read More

Kirimkan Ini lewat EmailBlogThis!Bagikan ke XBerbagi ke Facebook

Tabel 1.1 Perbedaan antara Virus, Worm, Trojan, Malware dan Spyware

No.	Karakteristik	Virus	Worm	Trojan	Malware	Spyware
1.	Definisi (pengertian)	Sebuah program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain	Sebuah program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem komputer.	Sebuah bentuk perangkat lunak yang mencurigakan (malicious software/malware) yang dapat merusak sebuah sistem atau jaringan.	Perangkat lunak yang diciptakan untuk menyusup atau merusak sistem komputer, peladen atau jejaring komputer tanpa izin termaklum (informed consent) dari pemilik.	Perangkat lunak yang mengumpulkan dan mengirim informasi tentang pengguna komputer tanpa diketahui oleh si pengguna itu.
2.	Sifat dan tujuan	Dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.	Seperti virus yaitu menggandakan diri. Biasanya worm dibuat untuk merusak sistem komputer tertentu yang sudah menjadi target dari jarak jauh ( remote).	Memiliki kemampuan untuk menggandakan diri seperti virus. Selain itu trojan juga dapat mengendalikan program tertentu dan dapat mengelabuhi sistem dengan menyerupai aplikasi biasa.	Untuk membobol atau merusak suatu software atau operating sistem.	Sifat spyware tidak merusak data dan biasanya sengaja dipasang atau di install oleh seseorang yang membutuhkan informasi dari komputer yang ditujunya.
3.	Contoh dan jenis-jenisnya	Rain, Ohe half, Die hard, XM/Laroux, Win95/CIH	I-worm/Happy99(Ska), I-Worm/ExploreZIP, Sobig, Nimda, Code Red, Sircam.	Win-Trojan/Back Orifice, Win-Trojan/SubSeven, Win- Trojan/Ecokys(Korean)	Virus, Worm, Wabbit, Keylogger, Browser Hijacker, Trojan Horse, Spyware, Backdoor, Dialer, Exploit dan rootkit .	Keylogger, PC recorder, Parental Control Software, Detective software dan internet monitoring software.
4.	Dampak yang ditimbulkan	Memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan. Virus yang ganas akan merusak perangkat keras.	Dapat menyebabkan hilangnya data file, mengenkripsi file atau file email di komputer yang sudah terinfiltrasi worms.	Trojan dapat menciptakan sebuah "backdoor" pada PC yang mana seorang hacker dapat menggunakannya untuk masuk ke Sistem tersebut. Dari sana, hacker dapat menikmati akses gratis dari sistem komputer tersebut dan menyebabkan segala macam kekacauan.	Dapat membajak browser, mengarahkan surfing lewat browser, merambah ke iklan pop-up yang berbahaya, seperti situs web Music yang dikunjungi, dan umumnya dengan program terkunci otomatis.	Dapat menyebabkan komputer berjalan lambat atau crash.
5.	Antivirus (cara menangkalnya)	KasperSky, AVG, AntiVir, PCMAV, Norton, Norman, McAfee, dll.	NOD32 Antivirus, dll.	Trojan Remover, dll.	Norman Malware Cleaner, dll.	Spyware Doctor with Antivirus, dll.

Read More

Kirimkan Ini lewat EmailBlogThis!Bagikan ke XBerbagi ke Facebook

3.1 Manajemen Senior

Pada akhirnya, tanggung jawab bagi suatu keberhasilan organisasi terletak pada manajer senior. Mereka mendirikan organisasi program keamanan komputer dan tujuan dari program secara keseluruhan, sasaran, dan prioritas dalam mendukung misi dari organisasi. Pada akhirnya, Kepala Organisasi bertanggung jawab untuk memastikan bahwa sumber daya yang memadai dapat diterapkan pada program dengan berhasil. Para manajer senior juga bertanggung jawab untuk mengatur contoh yang baik bagi karyawan mereka dengan mengikuti semua penerapan keamanan yang berlaku.

3.2 Manajemen Keamanan Komputer

Manajer Program Keamanan Komputer dan staff pendukung mengarahkan organisasi dalam sehari-hari untuk mengelola program keamanan komputer. Individu ini juga bertanggung jawab untuk mengkoordinasikan semua interaksi yang berhubungan dengan keamanan diantara elemen organisasi yang terlibat dalam program keamanan komputer maupun eksternal organisasi.

3.3 Program dan Manajer Fungsional/Pemilik Aplikasi

       Program atau manajer fungsional atau pemilik aplikasi bertanggung jawab untuk sebuah program atau kegunaan. Misalnya, daftar gaji termasuk yang mendukung sistem komputer. Tanggung jawab mereka termasuk dalam menyediakan keamanan yang sesuai, termasuk manajemen, operasional dan kontrol secara teknis. Para pegawai ini biasanya dibantu oleh staf teknis yang mengawasi kerja secara aktual pada sistem. Dukungan semacam ini tidak berbeda untuk anggota staf lain yang bekerja dilain pelaksanaan masalah program. Juga, Program atau manajer fungsional atau pemilik aplikasi sering dibantu oleh petugas keamanan dalam mengembangkan dan menerapkan persyaratan keamanan.

3.4 Penyedia Teknologi

Sistem manajemen atau sistem administrator merupakan manajer dan teknisi yang merancang dan mengoperasikan sistem komputer. Mereka bertanggung jawab untuk melaksanakan teknis keamanan pada sistem komputer dan untuk menjadi terbiasa dengan teknologi keamanan yang berhubungan dengan sistem mereka. Mereka juga perlu memastikan kontinuitas dari layanan mereka untuk memenuhi kebutuhan manajer fungsional serta menganalisis kerentanan teknis dalam sistem mereka. Mereka sering disebut sebagai bagian terbesar dari organisasi Manajemen Sumber Daya Informasi (IRM).

Staf Telekomunikasi

Kantor ini biasanya bertanggung jawab untuk menyediakan layanan komunikasi, termasuk suara, data, video dan layanan fax. Mereka bertanggung jawab untuk sistem komunikasi yang mirip dengan yang pegawai manajemen sistem miliki untuk sistem mereka. Staf tidak dapat terpisah dari penyedia layanan teknologi yang lain atau kantor IRM

Manajer Keamanan Sistem

Petugas yang membantu pegawai sistem manajemen dalam upaya bertanggung jawab untuk keamanan sehari-hari. Meskipun biasanya bukan bagian dari kantor manajemen program keamanan komputer, petugas ini bertanggung jawab untuk mengkoordinasikan upaya-upaya keamanan dari sistem tertentu. Orang ini bekerja sama dengan personil sistem manajemen, manajer program keamanan komputer atau petugas keamanan manajer fungsional.

Help Desk

Helpdesk merupakan sistem manajemen untuk membantu menangani kebutuhan customer / user terkait dengan pertanyaan, pelayanan, support teknis, atau komplain terhadap produk & jasa tertentu dengan memanfaatkan sistem penomoran (request ticket) untuk memudahkan penelusuran terhadap tindakan penyelesaian yang dikoordinasi oleh suatu team.

Read More

Kirimkan Ini lewat EmailBlogThis!Bagikan ke XBerbagi ke Facebook