Persiapan Incident Response Plan
Perlindungan untuk kemungkinan perencanaan semua dilakukan oleh sebuah organisasi/perusahaan untuk mempersiapkan hal-hal yang tidak terduga. Penanganan Insiden (Incident Response/IR) adalah salah satu kemungkinan perencanaan yang berfokus pada mendeteksi atau mencoba untuk menganalisis dan mengevaluasi tingkat ancaman dari hal-hal yang tidak terduga. Bila memungkinkan, proses IR seharusnya memuat dan menyelesaikan insiden tersebut berdasarkan rencana IR. Ketika insiden yang tidak dapat diselesaikan muncul, element lain dari kemungkinan proses perencanaan diaktifkan, dengan menggunakan proses eskalasi yang didokumentasikan seperti yang tercantum dalam seluruh rencana. Proses penanganan insiden (IR process) dibuat dalam beberapa tahap :
1. Persiapan (Preparation)
2. Mendeteksi dan menganalisis (Detection and analysis)
3. Penahanan (containment)
4. Pemberantasan (eradication)
5. Pemulihan atau pembaruan (recovery)
6. Kegiatan pasca insiden (Postincident activity)
Karena proses penanganan insiden begitu kompleks, pada dokumen ini hanya akan membahas mengenai tahap persiapan awal dari penanganan insiden dengan tujuan agar suatu organisasi/perusahaan dapat membuat suatu perencanaan penanganan insiden yang dapat dilakukan secara efektif untuk menangani suatu insiden atau masalah.
Ketika CPMT (Contingency Planning Management Team) menyelesaikan setiap komponen dari analisis dampak bisnis, kita dapat memulai untuk mentransfer informasi yang diambil dari suatu organisasi/perusahaan ke berbagai subordinat komite. Untuk membantu perencanaan subordinat, setiap komite penanganan insiden, komite pemulihan bencana, dan komite kelanjutan bisnis mendapatkan informasi mengenai serangan yang akan mereka hadapi, prioritas dari serangan, dan skenario penyelesaian
serangan. Pada kenyataannya, setiap komite mendapat sebanyak mungkin rencana secara keseluruhan sebagai yang disiapkan oleh CPMT. Setelah anggota komite mempunyai informasi ini, mereka mulai dengan rencana yang lebih rendah. Pada kasus penanganan insiden, kelompok terbagi menjadi beberapa tingkatan umum, yaitu :
1. Membentuk komite perencanaan penanganan insiden
2. Membuat kebijakan penanganan insiden
3. Mengatur SIRT
4. Membuat perencanaan penanganan insiden
5. Membuat prosedur penanganan insiden
Untuk memperoleh gambaran dari cara perencanaan penanganan insiden yang ditunjukkan pada organisasi/perusahaan lain, dua contoh dari IR planning life cycle ditunjukkan pada gambar 3-1 dan 3-2. Gambar 3-1 menunjukkan bagaimana U.S. National Institute of Standards and Technology (NIST) mendefinisikan proses perencanaan penanganan insiden. Seperti yang dapat dilihat dari gambar, dokumen ini mengikuti pendekatan NIST secara lebih dekat. Gambar 3-2 menyediakan perspektif yang lebih luas, menunjukkan bagaimana pendekatan Computer Emergency Response Team Coordinating Center (CERT/CC) pada perencanaan penanganan insiden sesuai dengan model penanganan insiden secara keseluruhan.
Gambar 3-2 : The CERT Incident Handling Life Cycle
Pengaturan proses perencanaan penanganan insiden dimulai dengan menentukan orang-orang (staf) untuk pembentukan komite perencanaan penanganan insiden. Banyak upaya pengorganisasian awal dilakukan oleh tim CP, tetapi tim penanganan insiden perlu ditata sebagai entitas yang terpisah, dan proses dimulai dengan mengidentifikasi dan melibatkan kumpulan pemegang kepentingan / pemegang saham, yang berarti mewakili individu dengan saham di operasi sukses dan tanpa gangguan dari infrastruktur informasi organisasi.
Pemegang kepentingan atau saham ini digunakan untuk mengumpulkan informasi penting tentang peran dan tanggung jawab dari tim SIRT. Tipe-tipe pemegang kepentingan atau saham sering termasuk dalam :
1. Communities of interest :
- General management : kelompok ini perlu memahami apa itu SIRT dan apa yang dilakukannya. Kelompok ini juga perlu melakukan pra-otorisasi interaksi antara SIRT dan fungsi bisnis utama, dan tindakan tertentu yang diperlukan untuk menangkap penyebaran dan dampak dari insiden.
- IT Management : kelompok ini perlu untuk mengerti detail permintaan SIRT yang akan ditempatkan pada IT, dan akses dan sumber daya apa yang mereka butuhkan untuk merespon insiden secara baik dan berhasil. Kelompok ini butuh untuk menyetujui aksi SIRT ketika beberapa aksi berdampak pada sistem, fungsi network, dan koneksi yang sedang berjalan dalam suatu organisasi/perusahaan.
- InfoSec Management : kelompok ini perlu mengerti kebutuhan sumber daya yang dibutuhkan SIRT atau kemudahan akses yang mereka butuhkan dalam waktu yang singkat.
2. Organizational Departments, seperti :
- Departemen hukum (The Legal Department) butuh untuk mereview prosedur SIRT dan mengerti langkah-langkah yang akan dilakukan SIRT untuk memastikan mereka berada dalam pedoman hukum dan etika dari kota, negara, dan yurisdiksi federal Anda. Departemen Hukum dapat memberikan panduan pada pengembangan kontrak dan perjanjian tingkat layanan untuk layanan tambahan dan berulang, perjanjian yang tidak diungkapkan untuk mitra bisnis dan asosiasi non-karyawan lainnya, dan dalam meninjau kebijakan dan dokumen rencana untuk masalah pertanggungjawaban.
- Departemen HR (The Human Resources Department) membantu InfoSec memperoleh personil untuk melengkapi tim SIRT. Individu dengan pengalaman penanganan insiden mungkin saat ini tidak dipekerjakan oleh organisasi. Pengembangan deksripsi pekerjaan dan wawancara dan akhirnya memperkerjakan kandidat akan menguntungkan dari koordinator dekat dengan HR.
- Departemen PR (The Public Relations Department) perlu diberitahu tentang informasi apa yang dapat dan harus diungkapkan kepada publik jika dan ketika suatu insiden terjadi. Pemberitahuan publik yang telah ditetapkan dapat disusun dan ditinjau oleh Public Relation untuk memastikan jumlah yang tepat dari informasi yang tersedia ke lembaga yang tepat, penegak hukum, dan media ketika diperlukan.
- Bergantung pada pengaturan dari suatu organisasi/perusahaan, beberapa kelompok dengan keamanan informasi yang tumpang tindih akan membutuhkan konsultasi, misalnya:
Physical security
Audit dan manajemen resiko
Asuransi
3. Other interest groups, seperti :
- Pengguna akhir umum perlu mengetahui apa yang terjadi ketika SIRT dilakukan dan bagaimana menanggapi pertolongan terbaik dalam pengembangan dan pengujian prosedur dan kebijakan. Pemegang kepentingan atau saham yang paling familiar dengan fungsi bisnis, dapat memberikan wawasan tambahan ke area-area tersebut.
- Pemegang kepentingan atau pemegang saham lain, termasuk rekan bisnis utama, kontraktor, agensi karyawan sementara, dan dalam beberapa kasus konsultan.
- Department PR perlu memberitahu informasi yang dapat dan harus diungkap ke public ketika insiden terjadi, informasi public dapat di susun dan di review oleh PR untuk memastikan informasi di berikan ke lembaga penegak hukum dan media sesuai kebutuhan.