PERTEMUAN 5_RISK MANAGEMENT

Ø  Risk management merupakan proses mengidentifikasi dan mengontrol resiko yang dihadapi sebuah organisasi. Risk managemen dibagi menjadi 3 tahapan yaitu:

1.     Risk identification (mengidentifikasi resiko)

2.     Risk assesmen (penilaian resiko)

3.     Risk control (pengontrolan resiko)

Ø  Di dalam risk menagemen terdapat tiga hal yang perlu diperhatikan yaitu:

1.     Know yourself : memahami teknologi dan system dalam organisasi yang kita Kelola

2.     Know the enemy : melakukan identifikasi, memeriksa dan memahami threat atau memahami ancaman yang mungkin timbul

3.     Role of communicaties of interest (peran komunitas atau pihak terkait) : terdapat 3 komunitas yaitu keamanan informasi, manajemen dan user, serta teknologi user

Ø  Peran communitiez of interest

3 pihak diantaranya Devisi Keamanan Informasi, Devisi Management, Devisi Teknologi Informasi harus bekerja sama. Adapun hal yang dilakukan dari ketiga pihak dalam melakukan management review yaitu:

1.     Mereview dan kelengkapan inventory

2.     Mereview dan memverifikasi threat sekaligus mekanisme memitigasinya

3.     Mereview efektifitas biaya dari setiap mekanisme control

4.     Memverifikasi efektivitas mekanisme control yang telah diterapkan

Ø  Risk identification

Di dalam risk identification terdapat dua kegiatan yang dilakukan yaitu organization assets dan threats/vulnerability

Ø  Risk identification step



Ø  Asset identification and valuation

Iterative process; proses; dimulai dengan identifikasi asset, termasuk semua elemen system organisasi (people, prosedures, data and information, software, hardware, networking). Asset kemudian diklasifikasikan dan dikategorikan

Ø  People, procedure, and data identification

Mengidentifikasi asset untuk sumber daya manusia (Human Resources), dokumentasi, dan data informasi yang lebih sulit daripada mengidentfikasi asset perangkat keras dan perangkat lunak. People dengan pengetahuan, pengalaman, dan penilaian harus diberi tugas, serta set harus dicatat menggunakan proses penanganan data yang andal.

Ø  Atribut yang harus dipertimbangkan yaitu :

·       Name

·       IP address

·       Media access control (MAC) address

·       Element type – server, desktop, dll

·       Serial number

Ø  Risk assessment (penilaian resiko)



Penilaian resiko mengevaluasi risiko relative untuk setiap kerentanan dan memeberikan peringkat risiko atau skor untuk setiap asset informasi.

Ø  Valuation dari informasi asset

Menggunakan info dari identifikasi asset, kemudian tetapkan weighted scire untuk nilainya

·       1-100

·       100-stop company operations

 

Solution

Diketahui :

Value of information = 50

Vulnerability likelihood = 1.0

Current control = 0%

Knowledge accuracy = 90%

Uncertainty = 10%

Risk = likelihood of occurrence of vulnerability * value of the information asset - % of risk mitigated by current controls + uncertainly of current knowledge of vulnerability

Assets A = (50*1.0) – (50*1.0)*0% + (50*1.0)*10%

= 50 – 0 + 5

55 (jadi skor vulnerabilitynya yaitu 55)

 

  

Komentar

Posting Komentar

Postingan populer dari blog ini

PERTEMUAN 14 - VULNERABILITY ANALISIS

Gambar
  A.     Vulnerability Vulnerability adalah suatu kecacatan pada system atau infrastruktur yang memungkinkan terjadi adanya akses yang tanpa izin dan mau mengexploitasi system akibat dari adanya kecacatan sistem tersebut. Vulnerability atau bug ini dapat terjadi di saat developer itu menjalankan suatu kesalahan pada logika koding ataupun menerapkan sebuah validasi yang tidaklah sempurna. B.     Kerentanan yang ada dalam system 1.      Misconfiguration (kesalahan konfigurasi) Biasanya terjadi karena adanya kesalahan konfigurasi, biasanya kesalahan itu terjadi karena kelalaian (human error) si programmer itu sendiri karena kurangnya atau memahami dokumentasi pada suatu sistem yang digunakan. 2.      Default Instalasi Perangkat yang terinfeksi mungkin tidak berisi informasi berharga apa pun, tetapi perangkat tersebut terhubung ke jaringan atau sistem yang memiliki informasi rahasia yang akan mengakibatkan pelanggara...
Baca selengkapnya

PERTEMUAN 2 - Keamanan Informasi

Gambar
A.     Pengertian Keamanan Informasi Keamanan informasi merupakan segala sesuatu yang dilakukan untuk mencegah terjadinya pencurian data atau informasi dari pihak yang tidak bertanggung jawab.    B.     Komponen Keamanan Informasi Keamanan informasi memiliki beberapa komponen diantaranya :   PEOPLE PROCESS TECHNOLOGY Who we are? What we do? What we use to improve what we do Owners Mengacu pada work practice dan work flow Remote access service Employee Helpdesk Wireless connectivity Management Service management Data/voice network Customers/client Change request process dll dll dll     C.     Klasifikasi Keamanan Informasi a.      Fisik (physical security) Memfoku...
Baca selengkapnya

PERTEMUAN 8 - PART 2 KRIPTOGRAFI

Gambar
A.     Kriptografi Kunci-Simetri Merupakan algoritma yang biasa disebut dengan algoritma klasik karena memakai kunci yang sama untuk kegiatan enkripsi dan deskripsi. ·        Kriptosistem Konvensional (Kunci Simetrik) B.     Kriptografi Kunci-Asimetris Merupakan algoritma yang disebut dengan algoritma kunci public. Kunci public orang dapat mengenkripsi pesan tetapi tidak dapat mendeskripsinya. Hanya orang yang memiliki kunci rahasia yang dapat mengenkripsi pesan tersebut. ·        Kriptografi Public Key (Asimetrik) C.     Fungsi Hash Merupakan suatu fungsi matematika yang mengambil masukan Panjang variable dan mengubahnya ke dalam urutan biner dengan Panjang yang tetap. Fungsi hash biasa disebut hash satu arah, massage, digest, fingerprint, fungsi kompresi, messege authentication code (MAC).   D.     Kriptografi Berdasarkan Algoritma Ø   ...
Baca selengkapnya