Kegiatan ini dilaksanakan pada:

• Tanggal : 28 September s.d. 1 Oktober 2021
• Tempat : Zoom Meeting

Cybersecurity Risk Management

Cybersecurity

Apa itu keamanan siber? Banyak sumber yang saya baca baik dari praktisi keamanan informasi maupun dari literatur buku, kalau boleh saya resume intinya sebenarnya sama yaitu perlindungan sistem siber terhadap ancaman siber. Seperti yang dijelaskan sebelumnya, saya coba singgung sedikit, sistem siber itu merupakan sistem yang memanfaatkan ruang siber, dapat mencangkup infrastruktur informasi, orang-orang dan entitas lain yang terlibat dalam proses bisnisnya atau perilaku sistem lainnya. Kemudian apa yang dimaksud dengan ancaman siber? Ancaman siber adalah ancaman yang muncul di ruang siber oleh karena itu ini merupakan jenis ancaman yang dihadapi oleh sistem siber. Ancaman siber itu tidak selalu berbahaya, mungkin saya berikan contoh yang berbahaya misalkan serangan dos/ddos dan serangan injeksi yang didalangi oleh niat buruk. Kemudian, untuk ancaman yang tidak berbahaya misalkan sistem service atau aplikasi yang tidak dapat berjalan karena adanya kesalahan konfigurasi atau pemrograman, atau juga bisa putusnya koneksi internet yang disebabkan kabel komunikasi yang sudah kurang bagus untuk media transmisi. Dapat juga perangkat keras lainnya yang sudah tidak layak pakai. Keamanan siber itu tidak ditentukan dari jenis aset yang harus dilindungi, melainkan jenis ancaman terhadap aset. Aset disini tergantung pada organisasi dan ruang siber yang dimaksud ya, walaupun keamanan siber sering kali dikaitkan tentang perlindungan aset informasi atau aset infrastruktur. Selanjutnya mari kita coba kaitkan antara keamanan siber dengan keamanan informasi, perlindungan infrastruktur dan keselamatan (safety).

Hubungan Keamanan Siber dan Keamanan Informasi

Mari kita coba definisikan dahulu apa itu keamanan informasi, kalau kita coba lihat di ISO/IEC 27000, kita akan menemukan definisi keamanan informasi yaitu penjagaan kerahasiaan, integritas dan ketersediaan informasi. Kemudian dalam memastikan dan memelihara keamanan informasi, perlu adanya perlindungan dari ancaman dan sumber ancaman dalam bentuk apa pun, termasuk misalkan ancaman fisik, ancaman dari manusia dan yang terkait dengan teknologi. Karena ancaman yang dapat terjadi itu bisa menargetkan aset inforamsi, maka keamanan informasi ini merupakan bagian penting dari keamanan siber. Keamanan siber ini tidak terbatas hanya pada perlindungan aset informasi saja, namun juga dapat menyangkut perlindungan infrastruktur.

Nah disini ada diagram ven yang mungkin dapat mewakili gambaran hubungan antara keamanan siber dan keamanan informasi. Sumber ini saya ambil coba dari website ciso platform. Dari diagram ven ini kita bisa lihat keamanan informasi adalah tentang melindungi informasi baik analog maupun digital, yang umumnya berfokus pada kerahasiaan, integritas, ketersediaan (CIA). Sedangkan cybersecurity adalah tentang bagaimana mengamankan hal-hal yang rentan melalui ICT. ICT itu information, communication and technologies. Cybersecurity juga mempertimbangkan atau melihat di mana data disimpan dan teknologi yang digunakan untuk mengamankan data. Bagian dari cybersecurity tentang perlindungan information, communication and technologies yaitu perangkat keras dan perangkat lunak yang dikenal dengan ICT security. Baik coba saya ulangi, pada diagram di ini dapat dilihat bahwa diagram venn sebelah kanan mewakili keamanan cyber (hal-hal yang rentan melalui ICT, termasuk informasi, baik fisik maupun digital, dan non-informasi seperti mobil, lampu lalu lintas, peralatan elektronik, dll. ), sedangkan sisi kiri mewakili keamanan informasi (yang terdiri dari informasi baik digital maupun analog). Jika kita coba perhatikan bahwa it security adalah perlindungan teknologi informasi. Secara praktis, tidak ada perbedaan dalam keamanan ICT dan keamanan TI. Sedangkan keamanan siber (set kanan) mencakup segala sesuatu dan semua orang yang dapat diakses melalui dunia maya. Jadi, bisa dikatakan bahwa segala sesuatu di dunia ini rentan melalui ICT. Namun, menurut definisi keamanan siber, kita harus melindungi mana yang harus dilindungi, karena tantangan keamanan yang ditimbulkan oleh penggunaan tik. Baik dari sini semoga dapat menambah wawasan kita bersama hubungan antara keamanan siber atau cybersecurity dengan information security.

Hubungan Keamanan Siber dan Perlindungan Infrastruktur Kritis

Baik, kemudian adakah hubungannya antara keamanan siber dengan perlindungan infrastruktur kritis ? Atau yang biasa kita kenal sebagai Critical Infrastructure Protection (CIP). Berikut terdapat gambaran diagmra venn terkait hubungan antara cybersecurity, CIP dan information security. Keamanan infrastruktur, khususnya Critical Infrastructure Protection (CIP) dan Critical Information Infrastructure Protection (CIP), itu berfokus pada pencegahan gangguan, penonaktifan, penghancuran, atau pengendalian infrastruktur yang membahayakan (definisi ini saya cuplik dari iso/iec 27032 - guidelines for cybersecurity). Kalau saya boleh bagi informasi pada rancangan perpres perlindungan IIV (Infrastruktur Informasi Vital), sektor IIV itu disebutkan ada 9 sektor, di antaranya ada:

• administrasi pemerintahan,
• energi dan sumber daya mineral,
• transportasi,
• keuangan,
• kesehatan, teknologi informasi dan komunikasi,
• pangan,
• pertahanan, dan
• sektor lain yang ditetapkan presiden. Jika dilihat dari sektor-sektor yang telah disebutkan, hampir semua infrastruktur penting yang memanfaatkan teknologi informasi dan ruang siber, sehingga masuk ke dalam sistem siber. Oleh karenanya, keamanan sistem tersebut melibatkan perlindungan dari ancaman siber.

Hubungan Keamanan Siber dan Keselamatan (safety)

Kemudian, selanjutnya apakah ada hubungannya cybersecurity ini dengan keselamatan, terlebih dahulu mari kita coba definisikan dahulu kata keselamatan yang akan kita bahas, keselamatan disini saya mencoba mencari literatur dari buku cyber-risk management yang menyebutkan definisi dari IEC/TR 65108-0 (IEC adalah organisasi standardisasi internasional yang menyusun dan menerbitkan standar-standar internasional untuk seluruh bidang elektrik, elektronik dan teknologi yang terkait atau bidang teknologi elektro (electrotechnology)) yang mendefinisikan sebagai perlindungan kehidupan dan kesehatan dengan pencegahan cedera fisik yang disebabkan oleh kerusakan properti atau lingkungan. Salah satu perbedaan utama antara keselamatan dan keamanan siber adalah bahwa untuk saat ini keselamatan berfokus pada insiden sistem yang dapat membahayakan lingkungan sekitar, sedangkan keamanan siber berfokus pada ancaman yang menyebabkan kerusakan melalui ruang siber. Perbedaan lebih lanjut adalah bahwa aset yang terkait dengan keselamatan biasanya terbatas pada aspek kehidupan dan kesehatan manusia, serta aset lingkungan, sedangkan aset yang terkait dengan keamanan siber dapat berupa apa saja yang perlu dilindungi. Perbedaan antara keamanan dan keamanan siber ini tidak berarti bahwa masalah keamanan berada di luar cakupan keselamatan. Justru terdapat alasan bahwa insiden keselamatan dapat berdampak pada keamanan, dengan cara yang sama seperti insiden keamanan dapat berdampak pada keselamatan. Misalnya kita ambil contoh, serangan siber pada sistem kontrol distribusi listrik yang menyebabkan pemadaman listrik, hal ini dapat berakibat sangat fatal bagi keselamatan pasien rumah sakit, misalkan sedang operasi atau sedang menggunakan alat kesehatan yang membutuhkan pasokan listrik. Dan insiden keselamatan, seperti ledakan gas, dapat merusak sistem informasi dan menonaktifkan kontrol keamanan, sehingga membuat sistem rentan terhadap ancaman dunia maya. Oleh karena itu, ketika berusaha memastikan keamanan siber, kita perlu mempertimbangkan insiden keamanan yang dapat menghasilkan kerentanan atau yang dapat dieksploitasi oleh sumber ancaman.

Cyber-Risk Management

Dunia maya atau ruang siber memiliki dampak yang cukup besar terhadap jenis dan sifat ancaman serta risiko yang mungkin muncul, serta pada prosedur dan teknik untuk melakukan manajemen risiko dan penilaian risiko. Salah satu aspek mencolok dari ruang siber adalah bahwa ruang siber ini sangat luas jangkauannya. Ini berarti bahwa kemungkinan sumber ancaman dapat berada di mana saja, yang berpotensi menyebabkan kerusakan di dalam sistem siber. Aspek penting lainnya adalah bahwa sebagian besar ancaman dunia maya bersifat berbahaya; ancaman ini disebabkan oleh attacker atau musuh dengan motif dan niat tertentu. Di sisi lain, ada juga ancaman siber yang tidak berbahaya. Manajemen risiko di ruang siber ini berkaitan dengan risiko yang disebabkan oleh ancaman dunia maya, yang mungkin dapat kita defenisikan risiko siber merupakan risiko yang disebabkan oleh ancaman siber. Risiko siber itu tidak sama dengan risiko apa pun yang dapat dihadapi oleh sistem siber, dimana risiko siber ini terbatas pada risiko yang disebabkan oleh ancaman dunia maya. Coba kita ambil contoh, misalkan risiko server kita rusak akibat banjir, banjir ini bukan risiko siber kecuali jika ancaman siber ini merupakan faktor penyebabnya. Kita coba ambil contoh lagi misalkan serangan virus melalui dunia maya dan downnya sistem kita karena serangan dos maupun ddos, ini merupakan contoh dari risiko siber. Selanjutnya, untuk memahami sifatnya tentang risiko siber dan cara mengelolanya, kita akan coba membedakan antara risiko siber yang berbahaya dan risiko siber yang dan tidak berbahaya. Kita akan mengatakan bahwa risiko siber berbahaya jika (setidaknya sebagian) disebabkan oleh ancaman jahat atau ada niat jahat. Misalkan ada insiden akses tidak sah ke beberapa data sensitif, kemudian diketahui potensi terjadinya insiden ini disebabkan oleh peretas, ini merupakan risiko siber yang berbahaya. Sedangkan jika diketahui potensi kejadian yang disebabkan oleh pegawai yang lalai yang menyebabkan data secara tidak sengaja terekspos ke website yang dikelola, ini merupakan risiko siber dan tidak berbahaya. Pada diagram venn ini memberikan gambaran bahwa risiko siber adalah gabungan dari risiko siber berbahaya dan tidak berbahaya, serta tisiko siber hanyalah sebagian dari risiko yang dapat dihadapi oleh sistem siber. Kemudian adapun irisannya mewakili risko siber yang dapat disebabkan oleh ancaman jahat atau tidak jahat.

Manajemen Risiko Siber

Baik, kita menganjak ke manajemen risiko siber, pada dasarnya fundamental yang dipakai sama, yaitu communication dan consultation of cyber-risk, kemudian risk assessment of cyber-risk dan monitoring and review of cyber-risk. Kita akan coba membahas bersama masing-masing tahap ini.

Communication and Consultation of Cyber-Risk

Proses komunikasi dan konsultasi ini sudah banyak dijelaskan diberbagai literatur, untuk manajemen risiko secara umum sama-sama cocok untuk domain risiko siber yang mungkin ini lebih sempit lagi. Namun mungkin ada isu-isu tertetnu yang di dunia maya yang memerlukan perh atian khusus. Pertama, karena sifat ruang siber luas ya, sistem siber ini berpotensi memiliki pemangku kepentingan di mana-mana. Pemangku kepentingan ini mungkin konsumen atau penyedia layanan dalam sistem siber. Hal ini penting untuk diidentifikasi untuk mempertimbangkan semua pemangku kepentingan, baik individu maupun organisasi, saat menentukan sumber informasi ini yang relevan dan kita dapat mengindentifikasi siapa yang mungkin terpengaruh oleh risiko siber. Dan disini kita juga membutuhkan rencana dan prosedur untuk menyediakan, membagikan, memperoleh dan menggunakan informasi yang relevan. Kedua, karena di dunia maya ini kemungkinan besar musuh ada di mana-mana, dan setiap insiden besar di suatu tempat di dunia mungkin berdampak besar pada sistem kita. Hal ini memang diperlukan pemantauan dan pengawasan terkait update informasi yang berkembang di luaran sana misalkan. Kemudian agar proses menjadi efisien, perlu untuk menetapkan klasifikasi dan kategorisasi informasi. Ini bertujuan untuk kita dapat mewakili informasi yang relevan dan mudah memahaminya, kita dapat menggunakan standar atau repositori yang telah ditetapkan, misalkan kita update informasi tentang ancaman siber, kerentanan dan insiden pada sumber terbuka, misalkan Mitre Attack Paterns (http://capec.mitre.org) atau juga bisa melihat di vulnerability lists (http://cwe.mitre.org/) . Disini kita bisa melihat beberapa kemungkinan serangan, keparahan kerentanan dan konsekuensi insiden. Ada juga beberapa organisasi yang rutin juga mempublikasikan statistik insiden siber dan risiko siber, seperti OWASP, PwC, Sophos, Symantec, Verizon. Mencari sumber informasi seperti ini bertujuan untuk mengupdate gudang informasi terkini kita mengenai, misalnya, ancaman siber, kerentanan dan insiden, profil musuh yang potensial dan terkonfirmasi, strategi dan mekanisme terkini untuk mitigasi risiko siber, dan sebagainya. Jika kita punya akun twitter (sekarang X), mungkin bisa follow twitter ID SIRTII (@Id_SIRTII), saya biasanya mengetahui update terkini juga dari twitter ID SIRTII tersebut. Apa yg sedang trending atau himbauan keamanan. Kemudian bagi sebagian organiasi ini dirasa perlu untuk menetapkan prosedur komuniasi untuk menangani insiden yang lebih besar. Komunikasi yang efisien, misalnya melalui tim hubungan masyarakat dari tim insiden itu sendiri.

Cyber-Risk Assessment

Seperti yang saya jelaskan sebelumnya, ada dua hal yang membedakan penilaian risiko dalam konteks sistem siber dari kasus umum. Pertama, potensi jangkauan yang luas dari dunia maya menggambarkan bahwa juga asal usul ancaman ini tersebar luas, mungkin global. Kedua, jumlah potensi sumber dan ancaman ancaman, baik yang berbahaya maupun yang tidak berbahaya, sangat besar. Jika digabungkan, ini berarti bahwa area pencarian dan jumlah sumber informasi yang berpotensi yang relevan tentang risiko siber sangat besar. Oleh karena itu kita membutuhkan prosedur dan teknik agar memberikan bimbingan dan arahan yang baik. Flow yang tampil saat ini menunjukkan spesialisasi proses penilaian risiko pada sistem siber. Perbedaan yang paling jelas dari kasus umum adalah bahwa langkah identifikasi risiko dibagi menjadi dua langkah terpisah: langkah 2a berfokus pada risiko siber yang berbahaya dan langkah 2b berfokus pada risiko siber non-jahat. Ini dibuat karena sifat ancaman, sumber ancaman, dan kerentanan, serta cara mendekati identifikasinya, sangat tergantung pada apakah kita berurusan dengan niat jahat atau tidak. Musuh manusia yang dengan sengaja dan aktif berusaha menyebabkan kerusakan sulit diprediksi, dan konsekuensi dari insiden yang ditimbulkannya bisa sulit diperkirakan. Kita coba analogikan seperti menilai permainan. Ada dua lawan dengan tujuan yang berlawanan. Musuh (sumber ancaman berbahaya) yang aktif mencari untuk menyakiti aset, dan pemain pertahan (pemilik sistem atau pihak atas nama siapa kita melakukan penilaian) yang mencoba untuk mencegah hal ini terjadi. Tujuan dari langkah 2a adalah untuk mengidentifikasi risiko berdasarkan cara potensial di mana permainan tersebut dapat dimainkan. Motif, niat, kemampuan, keterampilan, sumber daya, dan sebagainya dari musuh adalah proses penting dalam konteks ini. Oleh karena itu, titik awal yang baik dalam mengidentifikasi risiko siber yang disebabkan oleh ancaman berbahaya adalah mengidentifikasi dan karakterisasi sumber ancaman potensial. Kemudian untuk memahami bagaimana ancaman non-jahat muncul, seperti kecelakaan dan kegagalan, ini adalah jenis tantangan yang berbeda. Biasanya hanya ada sedikit kebutuhan untuk menangkap maksud atau motif dari ancaman semacam ini. Selain itu, karena ada banyak cara yang hampir tidak terbatas untuk hal-hal yang tidak disengaja dapat terjadi, dengan mudah menjadi berlebihan jika kita mulai dengan mengidentifikasi sumber dan ancaman ancaman. Dalam melakukan langkah 2b disarankan untuk memulai dari aset dan cara-cara di mana mereka dapat dirugikan. Dengan cara ini, kita akan memastikan bahwa kita benar-benar fokus pada apa yang ingin kita lindungi, dengan cara yang efektif dan efisien. Dengan kata lain, dengan terlebih dahulu menanyakan apa yang salah dan kemudian bertanya bagaimana caranya, kita membantu diri kita sendiri untuk menjaga fokus yang benar. Sebaliknya, jika kita mulai dengan menanyakan bagaimana sesuatu bisa terjadi secara tidak sengaja atau tidak sengaja dan apa yang mungkin menjadi penyebabnya, kita akan segera menemukan diri kita bergerak ke segala arah. Baik, kita coba lanjutkan membahas tentang step by stepnya.

1. Context Establishment for Cyber-Risk

Yang membedakan penetapan konteks penilaian risiko siber dari kasus umum adalah bahwa kita perlu memahami dan mendokumentasikan bagaimana sistem siber yang bersangkutan memanfaatkan dan berinteraksi dengan dunia maya. Ini memberikan dasar kita untuk memahami bagaimana dan di mana ancaman dunia maya muncul, serta aset mana yang relevan untuk kita dijadikan fokus. Aset khas yang menjadi perhatian dalam pengaturan penilaian risiko siber ini adalah informasi dan infrastruktur informasi, termasuk perangkat lunak, layanan, dan jaringan. Namun, untuk memahami implikasi yang lebih luas dari ancaman dan insiden siber, kita perlu memperhitungkan aset yang dapat dirugikan sebagai konsekuensi kedepannya. Kekhawatiran yang relevan dalam hal ini adalah, misalnya, reputasi, citra, pangsa pasar, pendapatan, dan kepatuhan hukum. Terkait kepatuhan hukum ini, misalnya, perlindungan data dan privasi. Selain itu, meskipun ruang siber dan sistem siber biasanya terkait dengan yang virtual dan yang tidak berwujud, penting untuk tidak membatasi fokus pada aspek-aspek tersebut saja. Ancaman dan insiden dunia maya juga dapat menyebabkan kerusakan fisik, termasuk membahayakan kehidupan, kesehatan, dan lingkungan.

2a. Identification of Malicious Cyber-Risk

Untuk mengidentifikasi ancaman yang berbahaya, kita dapat mencoba menganalogikan permainan seperti catur.

Seperti yang diilustrasikan pada diagram ini, ada dua pemain, yaitu lawan (lawan atau sumber ancaman) dan pemain bertahan yang kita nilai. Pemain bertahan ini diwakili oleh target dan satu set aset. Peran kita sebagai penilai risiko adalah untuk mengamati dan menilai permainan ini. Secara khusus, kita mencoba untuk memperkirakan apa yang mungkin terjadi di masa depan dari pergerakan musuh dan memberikan saran tentang bagaimana kita melawan pergerakan ini. Apa yang dapat kita harapkan dari lawan bergantung pada motif dan kemampuan lawan, serta pada helper/ backup person dan sumber daya yang dimiliki bagi lawan. Strategi serangan musuh biasanya bergantung pada kekuatan dan kelemahan pemain bertahan. Seperti yang digambarkan oleh elips paling bawah (risk model), kita sebagai penilai seharusnya memberikan output model risiko yang diperoleh dengan mendokumentasikan dan menilai bagaimana dan sejauh mana relevansi musuh dapat mengeksploitasi kelemahan ini.

Baik, untuk lebih jelasnya, pada gambar ini, pada saat identifikasi pertama kita akan mendeskripsikan target dan aset yang dipilih. Karena permainan ini tergantung pada siapa yang dihadapi defender, oleh karena itu kita bisa mulai dengan mengidentifikasi dan mendokumentasikan properti dari musuh potensial, yaitu sumber ancaman berbahaya. Ketika sumber ancaman telah diidentifikasi dan didokumentasikan, kita melanjutkan dengan menyelidiki masing-masing dari mereka sejauh mana dan dengan cara apa mereka dapat membahayakan aset. Kemudian kita melanjutkan identifikasi ancaman berbahaya dan kerentanan yang dapat dieksploitasi oleh ancaman ini (disebut kerentanan berbahaya) untuk mengidentifikasi insiden. Kemudian setelah proses ini dilalui, kitamendokumentasikan hasilnya dalam model risiko yang menghasilkan output identifikasi yang mungkin berisikan representasi informasi risiko, seperti ancaman, kerentanan, insiden, risiko, dan bagaimana keterkaitan semua itu. Untuk lebih detailnya mungin kita akan bahas satu persatu ya.

2a.1. Malicious Threat Source Identification

Pada langkah ini, kita perlu memahami siapa yang mungkin atau ingin memulai serangan, apa yang memotivasi mereka, apa kemampuan dan niat mereka, bagaimana serangan dapat diluncurkan, dan sebagainya. Kita juga perlu mempertimbangkan bahwa meskipun sumber ancaman berbahaya sering kali manusia, mereka mungkin juga bukan manusia, seperti virus komputer. Ada motif dan maksud di balik sumber ancaman ini karena sumber ancaman tersebut diluncurkan dengan sengaja dan untuk suatu tujuan. Pada prinsipnya kita dapat memilih untuk melihat aktor manusia di awal sebagai sumber ancaman, tetapi ini tergantung pada target dan ruang lingkup kita serta hubungannya dengan ancaman yang dimaksud. Biasanya, jika malware telah dikembangkan secara khusus untuk menyerang target, maka kita dapat memandang pengembang malware tersebut sebagai sumber ancaman awal; jika tidak, kita bisa menganggap malware itu sendiri sebagai sumber ancaman.

2a.2. Malicious Threat Identification

Pada langkah ini, kita mengidentifikasi ancaman berbahaya yang mungkin dimulai dengan cara tertentu yang dapat membahayakan aset yang diidentifikasi. Dalam melakukan ini, kita dapat melibatkan orang-orang yang memiliki pengetahuan langsung tentang aset yang diidentifikasi. Informasi dapat dikumpulkan, misalnya, melalui kuesioner, wawancara, lokakarya, dan sesi curah pendapat. Kita dapat menggunakan deskripsi target penilaian secara aktif, dengan menyelidiki di mana dan bagaimana serangan dapat diluncurkan. Contoh katalog dan reposiroty yang berguna dan berkaitan dengan keamanan siber dan ancaman siber yang disediakan oleh MITERE dan OWASP.

2a.3. Malicious Vulnerability Identification

Pada langkah ini, kita untuk mengidentifikasi kerentanan yang dapat dieksploitasi oleh ancaman ini, kita dapat fokus pada yang teridentifikasi. Selain itu, kita mencoba menyelidiki kontrol dan mekanisme pertahanan yang ada untuk menentukan kekuatan mereka sehubungan dengan ancaman dan aset yang teridentifikasi. Seperti sebelumnya, kita dapat berkonsultasi dengan pengguna sistem dan personel lain, serta sumber informasi terbuka. Untuk ancaman atau kerentanan tertentu, kita juga dapat melakukan berbagai jenis pengujian keamanan, seperti pentest dan scanning vulerability. Pengujian ini dapat berfungsi sebagai sarana kita untuk memeriksa apakah atau seberapa mudah sumber ancaman tertentu benar-benar dapat meluncurkan serangannya. Kita juga dapat melakukan pengujian untuk menyelidiki tingkat keparahan kerentanan yang diketahui, mencari potensi kerentanan, dan mencari kemungkinan insiden yang dapat ditimbulkan oleh ancaman tersebut.

2a.4. Malicious Incident Identification

Pada langkah ini, kita melanjutkan ke identifikasi insiden dengan menyelidiki bagaimana ancaman berbahaya dapat menyebabkan kerusakan pada aset yang diidentifikasi dengan kerentanan yang teridentifikasi. Kita dapat menggunakan sebagian besar teknik yang disebutkan sebelummya juga untuk tujuan ini. Selain itu, event log juga dapat memberikan informasi tentang insiden yang terjadi, dan berbagai cara pengujian membantu penyelidikan jenis insiden yang dapat ditimbulkan oleh ancaman dan kerentanan.

2b. Identification of Non-Malicious Cyber-risk

Biasanya tidak ada maksud atau motif di balik risiko ini dan ada begitu banyak kemungkinan yang membuat kita mudah kewalahan dalam memprediksinya. Oleh karena itu, biasanya tidak praktis untuk memulai dengan mengidentifikasi dan mendokumentasikan sumber ancaman.

Sebagai gantinya, seperti yang diilustrasikan gambar ini, direkomendasikan mulai dari barang berharga yang akan dipertahankan, yaitu aset yang diidentifikasi, dan kemudian mengarah ke luar ke arah panah. Untuk setiap aset, pertanyaan awalnya adalah dengan cara apa aset tersebut dapat dirugikan secara langsung di setiap kemungkinan sesuai dengan sebuah insiden. Selanjutnya, kita melanjutkan dengan mencoba mengidentifikasi kerentanan dan ancaman yang dapat menyebabkan insiden ini, dengan fokus hanya pada bagian dan aspek target yang tentunya relevan dengan insiden yang diidentifikasi. Kemudian, mengidentifikasi sumber ancaman tidak berbahaya yang dapat menyebabkan ancaman tersebut. Proses asset-driven ini, seperti yang digambarkan oleh gambar memungkinkan kita untuk mengabaikan semua bagian dari target (daerah dengan shading cahaya) yang tidak relevan dengan aset yang bersangkutan. Dengan memulai dan secara ketat berfokus pada aset, kita memastikan bahwa kita hanya menangani bagian dan aspek yang relevan dari target (area dengan naungan yang lebih gelap). Dengan kata lain, kita menggunakan aset untuk membuat identifikasi risiko dunia maya yang tidak berbahaya seefisien mungkin.

Selanjutnya diilustrasikan oleh gambar ini, di mana langkah awal adalah identifikasi insiden menggunakan aset dan deskripsi target dari penetapan konteks sebagai masukan. Untuk setiap insiden, dan seperti yang diilustrasikan oleh langkah-langkah berikutnya pada gambar, kita kemudian melanjutkan melalui kerentanan dan ancaman ke identifikasi sumber ancaman. Kita mendokumentasikan hasil selama proses untuk menghasilkan model risiko yang merupakan output dari identifikasi risiko. Juga di sini kita dapat mengulangi bolak-balik, dan menyimpang dari urutan yang disajikan bila perlu. Berikutnya ini kita akan coba menggambarkan isi dari setiap langkahnya.

2b.1. Non-Malicious Incident Identification

Untuk mengidentifikasi insiden, kita dapat memulai dengan menyelidiki bagaimana aset diwakili dan bagaimana mereka terkait dengan target penilaian. Untuk insiden sehubungan dengan aset informasi, misalnya, kita dapat menyelidiki bagaimana informasi disimpan dan diproses dalam sistem dan di dunia maya, aplikasi dan pengguna mana yang memiliki akses untuk membaca atau mengubah informasi, bagaimana informasi tersebut dikirimkan, dan sebagainya. Untuk aset tidak berwujud, seperti reputasi, kita perlu memahami bagaimana ini terkait dengan bagian atau aspek mana dari target penilaian. Kecelakaan dan tindakan yang tidak diinginkan sering berulang dan diketahui; karena itu kita dapat menggunakan log, monitored data, dan data historis lainnya untuk mendukung identifikasi.

2b.2. Non-Malicious Vulnerability Identification

untuk identifikasi kerentanan, kita dapat menyelidiki bagian teknis dari target penilaian, serta budaya, rutinitas, kesadaran, dan sebagainya dari organisasi dan personel yang bersangkutan. properti sistem yang relevan mungkin perlu diselidiki lebih lanjut, misalnya, kontrol akses yang bebas, mekanisme keamanan atau penghalang yang hilang atau yang dapat dilewati, dan antarmuka aplikasi terbuka untuk insiden yang tidak disengaja atau tidak diinginkan terjadi. isu-isu yang relevan mengenai organisasi dan personel termasuk, misalnya, pelatihan, rutinitas dan prosedur, dan tekanan waktu. sumber terbuka, seperti standar ISO 27005 [32], ISO 27005 (Annex D) dapat menjadi salah satu sumber untuk menentukan kerentanan.

2b.3. Non-Malicious Threat Identification

Dalam identifikasi ancaman ini, kita dapat menggunakan deskripsi target untuk secara sistematis menelusuri penggunaan dan proses sistem yang bersangkutan, baik teknis maupun non-teknis. Kejadian yang tidak diinginkan mana yang dapat menyebabkan insiden yang teridentifikasi karena kerentanan yang teridentifikasi, dan bagaimana caranya? Kita juga perlu hati-hati mempertimbangkan antarmuka ke dunia maya untuk mengidentifikasi ancaman tidak berbahaya yang muncul di luar sistem. Sistem siber memanfaatkan layanan dan infrastruktur eksternal, dan kecelakaan atau kejadian tidak diinginkan lainnya yang membahayakan layanan atau infrastruktur tersebut dapat menyebabkan insiden. Misalnya, jika server file cloud mati, mungkin sistem yang bergantung padanya juga gagal. Sumber relevan tentang ancaman tipikal termasuk, misalnya, standar ISO 27005 dan panduan penilaian risiko NIST [54], yang memberikan contoh representatif dari ancaman tidak berbahaya. Kita bisa terbantu oleh ISO/IEC 27005 (Annex C) untuk menjadi sumber relevan tentang ancaman tidak berbahaya ini.

2b.4. Non-Malicious Threat Source Identification

Untuk setiap ancaman yang teridentifikasi, kita coba mengidentifikasi sumber ancaman dengan cara yang sama. Siapa pengguna sistem, dan bagaimana mereka dapat menyebabkan kejadian yang tidak diinginkan atau tidak disengaja? Kita juga perlu mempertimbangkan sumber ancaman non-manusia, seperti kegagalan perangkat keras atau komponen teknis lainnya, keausan, alam, dan sebagainya. Event log dan data historis dapat membantu identifikasi sumber ancaman ini, seperti halnya sumber terbuka seperti standar ISO dan panduan NIST yang disebutkan di atas, yang keduanya menyediakan daftar kategori.

3. Analysis of Cyber-risk

Ada dua aspek khusus yang membedakan analisis risiko siber dengan analisis risiko pada umumnya. Pertama, untuk ancaman jahat yang di baliknya ada niat dan motif manusia, mungkin sulit untuk memperkirakan kemungkinan terjadinya. Kedua, karena sifat sistem siber, kita memiliki beberapa opsi untuk pencatatan, pemantauan, dan pengujian yang dapat memfasilitasi analisis. Selain itu ada berbagai sumber daya terbuka yang dapat kita manfaatkan. Terdapat berbagai sumber daya terbuka yang dapat dimanfaatkan untuk analisis, misalkan repositori attack dan vulnerabilities mitre, 10 top security risk OWASP. Cara lain untuk membantu estimasi konsekuensi termasuk, misalnya, pengujian keamanan seperti pentest dan pengujian perangkat lunak. Ini membantu kita sebagai penilai risiko untuk menilai tingkat keparahan kerentanan, dan untuk mengeksplorasi kemungkinan hasil serangan. Dalam beberapa kasus, kita mungkin dapat memperkirakan kemungkinan insiden secara langsung, tetapi kadang kita perlu menganalisis penyebab risiko, yaitu ancaman dan kerentanan siber. Dengan melakukan ini kita bisa mendapatkan pemahaman yang lebih baik tentang penyebab paling penting dari risiko dunia maya. Pemahaman seperti ini berguna khususnya selama identifikasi perawatan risiko. Untuk analisis ancaman berbahaya, kita dapat menggunakan teknik pemodelan ancaman untuk menggambarkan aspek-aspek seperti prasyarat serangan, keterampilan penyerang atau pengetahuan yang diperlukan, sumber daya yang dibutuhkan, motif penyerang, peluang serangan, dan sebagainya (mitre common attack pattern dan owasp). Deskripsi serupa dapat dibuat untuk kerentanan, seperti kemudahan penemuan dan kemudahan eksploitasi. Dalam analisis ini, tujuannya adalah untuk memperkirakan kemungkinan munculnya ancaman dunia maya dan tingkat keparahan kerentanan yang dapat dieksploitasi oleh ancaman tersebut. Jika digabungkan, perkiraan ini akan menjadi dasar untuk mencapai tujuan utama penilaian risiko, yaitu untuk memperkirakan tingkat risiko. Baik tentang siapa atau apa sumber ancaman, bagaimana mereka menyebabkan ancaman, dan kerentanan mana yang dieksploitasi ancaman juga memfasilitasi estimasi konsekuensi insiden.

4. Evaluation of Cyber-risk

Seperti evaluasi risiko pada umumnya, ada 4 opsional yang dapat dilakukan, di antaranya:

1. Konsolidasi risiko : tujuan dari konsolidasi hasil analisis risiko adalah untuk memastikan bahwa tingkat risiko yang benar ditetapkan untuk setiap risiko. Ini penting karena tingkat risiko mengarahkan identifikasi perawatan dan memberikan dukungan keputusan penting untuk pemangku kepentingan. Risiko di dunia maya yang perkiraannya tidak pasti dan di mana ketidakpastian ini dapat memengaruhi tingkat risiko atau pengambilan keputusan. Saat memperkirakan risiko tersebut, kita perlu mempertimbangkan baik ancaman jahat maupun ancaman tidak berbahaya secara bersamaan. Misalnya, insiden akses tidak sah ke beberapa data sensitif. Jika kejadian ini mungkin disebabkan oleh salah satu hacker atau beberapa informasi kebocoran disengaja, kita harus memastikan bahwa kita menjumlahkan likelihood masing-masing.
2. Evaluasi risiko : kita dapat memilih untuk mengevaluasi risiko siber berbahaya dan tidak berbahaya secara terpisah.
3. Agregasi risiko : kita dapat mencari situasi di mana ada satu risiko yang harus dievaluasi bersama-sama ketika hal ini dapat menghasilkan tingkat risiko gabungan yang lebih tinggi.
4. Pengelompokan risiko.

5. Treatment of Cyber-risk

Ada dua catatan khusus untuk treatment ini.

• Pertama, karena sifat sistem siber yang sangat teknis berarti sebagian besar opsi untuk penanganan risiko juga bersifat teknis. Selain itu kita perlu mempertimbangkan aspek sosioteknik dan keterlibatan manusia.
• Kedua, perbedaan antara risiko siber berbahaya dan tidak berbahaya berimplikasi pada bagaimana kita dapat menangani risiko dengan paling memadai.

Terdapat 4 aspek dalam kaitannya dengan pilihan dalam treatment ini yaitu:

1. Pengurangan risiko, kita mencari cara untuk menghilangkan sumber ancaman dan ancaman, mengurangi keparahan kerentanan, atau dengan cara lain mengurangi kemungkinan atau konsekuensi insiden.
2. Retensi risiko,
3. Penghindaran risiko,
4. Pembagian risiko.

Monitoring and Review of Cyber-risk

Terdapat 2 pemantauan dan peninjauan, yaitu:

1. Pemantauan dan tinjauan risiko siber (dengan memperhatian sistem yang bersangkutan);
2. Pemantauan dan tinjauan manajemen risiko (fokus pada implementasi dan pengoperasian manajemen risiko untuk sistem yang bersangkutan).

Pemantauan dan Tinjauan Risiko Siber

Pilihan untuk memantau dan mensurvei risiko dunia maya sangat banyak. Kita dapat, misalnya, menyimpan catatan jumlah dan frekuensi serangan atau virus yang terdeteksi, memantau lalu lintas jaringan untuk mendeteksi ketidakberesan, mengumpulkan informasi dari firewall dan sistem pendeteksi penyusupan. Tujuan pemantauan risiko, berguna untuk mengidentifikasi dan menentukan serangkaian indikator risiko dunia maya yang akan dipantau. Indikator tersebut dapat berupa frekuensi serangan yang terdeteksi, frekuensi serangan yang berhasil, akumulasi waktu berhentinya layanan tertentu selama periode waktu tertentu, atau frekuensi login yang ditolak karena kredensial yang tidak valid. Kita dapat melakukan kategorisasi untuk memaksimalkan dalam pemantauan ini.

Pemantauan dan Tinjauan Manajemen Risiko

Bertujuan untuk memastikan kerangka kerja dan proses, serta semua aktivitas, prosedur, peran, dan tanggung jawab terkait, tetap relevan, sesuai, dan memadai bagi organisasi. Karena dunia maya adalah lingkungan yang terus berkembang dan berubah dengan cepat, proses manajemen risiko dunia maya harus lebih dinamis daripada proses manajemen risiko konvensional. Harapannya, sebagian besar dapat terkomputerisasi, dan di masa depan diharapkan dapat secara real time.

Unduh Materi

password: nvCz81kd7sspcFN

---

Jika konten ini bermanfaat bagi Anda saya sangat mengapresiasi jika ditraktir kopi ☕ 🔻