RISK MANAGEMENT

 



Risk management adalah proses mengidentifikasi dan mengontrol ancaman atau resiko yang dihadapi dalam sebuah organisasi. Ancaman atau resiko ini dapat berasal dari berbagai sumber, termasuk ketidakpastian keuangan, kewajiban hukum, kesalahan manajemen strategis, kecelakaan dan bencana alam. 

A. Risk management dibagi menjadi 3 tahapan yaitu :

1. Risk identification (mengidentifikasi resiko) : 
  • Identify,Inventory & categorize Assets
  • classify,Values, & Prioritize Assets
  • Identify & Prioritize threats
  • Specify Assets Vulnerabilities
2. Risk assesmen (penilaian resiko) : 
  • Determine loss frequency (likelihood)
  • Evaluate loss magnitude (impact)
  • Calculate risk
  • Assess risk acceptability
3. Risk control (pengontrolan resiko) :
  • Select control strategies
  • Justify controls
  • Implement,Monitor, & access controls

B. 3 Hal dalam Management Resiko
  • Know yourself : Memahami teknologi dan sistem dalam organisasi yang kita kelola.
  • Know the enemy : lakukan identifikasi,memeriksa dan memahami threat/ memahami ancaman yang mungkin timbul.
  • Role of communicaties of interest (peran komunitas/pihak terkait) : terdapat 3 komunitas yaitu; keamanan informasi,manajemen &user, teknologi user.

Risk identification (identifikasi resiko) adalah proses pemeriksaan situasi dan kondisi asset yang berhubungan dengan keamanan informasi pada sebuah organisasi.
Dalam Risk identification terdapat 2 kegiatan yang dilakukan yaitu :
  • Organization assets
  • Threats/vulnerability
People,Procedure and Data idetification 
dalam menentukan aset informasi, ada beberapa atribut aset :
1. atribut aset untuk orang: nama posisi, nomor atau ID (hindari menggunakan nama orang dan tetap pada mengidentifikasi posisi, peran atau fungsi); supervisor; tingkat izin keamanan; keterampilan khusus.
2. atribut aset untuk prosedur : tujuan yang dimaksudkan, hubungan dengan elemen perangkat lunak, perangkat keras dan jaringan; lokasi penyimpanan untuk referensi; lokasi penyimpanan untuk pembaruan.
3. atribut aset untuk data : Klasifikasi; pemilik, pencipta, dan pengelola; ukuran struktur data yang digunakan (berurutan atau relasional); online atau offline; lokasi; prosedur pencadangan digunakan.

Hardware,Software and Network asset Odentification
atribut aset yang harus dipertimbangkan adalah :
- Name
- IP Address
- Media access control (MAC) address
- Element type-server,desktop,dll
- Serial number

Data Classification and Management 
Klasifikasi informasi adalah sebagai berikut :
1. Confidental : digunakan untuk informasi perusahaan yang paling sensitif yang harus di kontrol dengan ketat,bahkan di dalam perusahaan.
2. Internal : digunakan untuk semua informasi internal yang tidak memenuhi kriteria ketegori rahasia. Informasi internal hanya boleh dilihat oleh karyawan perusahaan,kontraktor resmi, dan pihak ketiga lainnya.
3. Eksternal : semua informasi yang telah disetujui oleh manajemen untuk dipublikasikan.

Security Clereances
Security clereances (izin keamanan) adalah struktur keamanan personel di mana setiap pegguna aset informasi diberi tingkat otorisasi yang mengidentifikasi tingkat informasi rahasia yang "didelete" untuk diakses. Sebelum mengakses kumpulan data,karyawan harus memenuhi persyaratan yang perlu diketahui. Tingkat perlindungan ekstra memastikan kerahasiaan informasi terjaga.

Management of Classified Data
  • Managemen dari klasifikasi data : storage (penyimpanan),distribution (distribusi),transportation, dan destruction (pemusnahan).
  • informasi yang tidak dirahasiakan atau publik harus ditandai dengan jelas.
  • Clean desk policy : kebijakan organisasi yang menetapkan karyawan harus memeriksa area kerja mereka dan memastikan bahwa semua informasi,dokumen dan bahan rahasia diamankan pada akhir setiap hari kerja.
  • Dumpster diving : serangan informasi yang melibatkan pencarian melalui tempat sampah dan daur ulang  organisasi target untuk informasi sensitif.
LikeLihood
kemungkinan serangan atau vulnerability bisa mempunyai efek terhadap asset.
Nilai yang diberikan 0.1-1 . Data yang tersedia untuk beberapa faktor :
  • Likelihood on fire- kemungkinan jika terjadi kebakaran.
  • Likelihood of receiving infecting email -  kemungkinan terjadinya saat menerima email yang sudah terinfeksi malware.
  • Number of network attacks.


Komentar

Posting Komentar

Postingan populer dari blog ini

KRIPTOGRAFI PART 2

Gambar
1. Algoritma Simetris Adalah algoritma yang biasa disebut dengan algoritma klasik karena memakai kunci yang sama untuk kegiatan enkripsi dan deskripsinya. Kunci enkripsi = kunci dekripsi. Bila pengirim menggunakan algortima ini, si penerima harus mendekripsikan pesan tersebut. Keamanan dari pesan tergantung dari kunci, Jika kunci diketahui oleh orang lain maka orang tersebut akan dapat melakukan enkripsi dan dekripsi. Contoh algoritma simetris AES (Advanced Encryption Standard) DES (Data Encryption Standard) Blowfish IDEA (Intercational Data Encryption Algorithm) OTP GOST Serpent RC2,RC4,RC5,RC6 dll. 2. Algoritma Asimetris Algoritma Asimetris disebut dengan algoritma kunci public. yang dimana kunci enkripsi tidak sama dengan kunci dekripsi. Algoritma ini kunci terbagi menjadi 2 : kunci umum (public key) dan kunci rahasia (private key). Contoh algoritma asimetris ECC (Ellyptic Curve Cryptography) RSA ElGamal Rabin Diffie-Hellman Key Exchange DSA dll. 3. Hash Function fungsi hash biasa d
Baca selengkapnya