PERANCANGAN SISTEM KEAMANAN TEKNOLOGI INFORMASI BERDASARKAN PENILAIAN RISIKO DAN INDEKS KEAMANAN INFORMASI DALAM MEMITIGASI CYBERSECURITY THREAT
Dalam laporannya (Goddijn, 2020) mengatakan bahwa tahun 2020 telah menjadi tahun perubahan, dimana setiap aspek kehidupan sehari-hari telah tersentuh perubahan sebagai dampak dari pandemi, dari bagaimana melakukan pekerjaan hingga apa yang dilakukan pada waktu luang. Beberapa peneliti yang mengikuti penelitian tentang pelanggaran data mengetahui bahwa pelaporan pelanggaran telah menjadi popular tahun ini dan mendominasi siklus berita, sementara pada saat yang sama, sumber daya teknologi informasi tetap digunakan. Didalam tulisannya (Henriquez, 2020) dikatakan bahwa jumlah rekor kebocoran keamanan siber yang terekspos telah meningkat secara mengejutkan menjadi 36 miliar pada tahun 2020. Ada 2.935 pelanggaran yang dilaporkan secara publik pada tiga kuartal pertama tahun 2020, dengan tiga bulan Q3 menambahkan 8,3 miliar catatan tambahan. Hal ini menjadi tahun terburuk dalam catatan keamanan teknologi informasi. Menurut Ella H.M (Gobel, 2020), menyatakan bahwa proses mitigasi perlu dilakukan secara berkelanjutan agar setiap ancaman yang ada dapat segera diantisipasi. Ancaman tersebut tidak hanya berasal dari pihak luar perusahaan, tapi juga bisa dari kalangan internal. Bekerja sesuai standar prosedur operasional dan mengingatkan kepada setiap karyawan tentang integritas menjadi hal penting. PT. XYZ Tbk merupakan sebuah perusahaan yang bergerak dalam bidang industry ritail pada produk aksesoris teknologi dan mobile selular. Dalam perkembangannya PT. XYZ Tbk telah mengembangkan bisnisnya dalam menjangkau kebutuhan masyarakat, tidak hanya dalam produk teknologi namun juga menjual produk kecantikan, roti, produk digital seperti E-Voucher, hingga farmasi. Pada PT. XYZ Tbk sudah mengimplementasikan sistem keamanan teknologi informasi dengan menggunakan network firewall sebagai perangkat penghubung ke internet. Perusahaan juga telah menerapkan kebijakan akses jarak jauh melalui VPN dengan mekanisme autentifikasi 2 faktor secara aktif kepada seluruh karyawan selama masa pandemi. Alasan perusahaan menerapkan kebijakan ini adalah sebagai upaya dalam mengoptimalkan kinerja karyawan pada masa pandemi. Selain itu perusahaan juga telah menerapkan pusat menejemen antivirus untuk mengkontrol perlidungan di sisi pengguna. Saat ini PT. XYZ Tbk telah menjadi salah satu perusahaan terbesar dan terdepan pada industri distributor perangkat mobile, dimana didalamnya terdapat suatu ekosistem teknologi informasi yang mencakup > 50 anak perusahaannya. Namun sistem keamanan teknologi informasi yang telah diterapkan belum dapat memberikan solusi terbaik dalam melakukan deteksi dan pencegahan serangan siber. Berdasarkan data yang didapat dari Staff IT Security salah satu member dari departemen IT Infrastruktur PT. XYZ Tbk pada bulan Oktober 2020, ancaman keamanan dalam bentuk email bermuatan spam dan virus dalam 1 bulan terdapat 241.200 trafik masuk dimana ditemukan didalamnya 46.470 email spam dan 86 email bermuatan virus sedangkan pada trafik keluar dengan jumlah trafik 266.760 didapati 14.493 merupakan email spam. Hal ini merupakan angka yang sangat tinggi. Selain itu terdapat 143.537 serangan siber dalam bentuk brute force terhadap salah satu server yang ada pada perusahaan. Serangan ini dilakukan dengan cara mencoba login terhadap aplikasi dan server menggunakan username dan password random dengan jumlah percobaan berulang. Ancaman keamanan lainnya adalah terdapat 3.812 aktifitas virus dan malware yang terbagi menjadi 3 kategori yaitu 916 High, 2.865 Medium dan 31 Low pada perangkat kerja karyawan, hal ini diketahui melalui pusat menejemen antivirus yang telah di terapkan perusahaan. CIS Benchmark adalah praktik panduan konfigurasi keamanan terbaik berbasis konsensus yang dikembangkan dan diterima oleh pemerintah, bisnis, industri, dan akademisi. Saat ini, selama 20 tahun, CIS memiliki hak istimewa untuk bekerja dengan beberapa pemikir terbaik di bidang keamanan siber dan profesi TI (cisecurity.org, 2020). Data menunjukan bahwa terdapat kekurangan dalam pemenuhan standar kemanan konfigurasi sistem dan aplikasi, berdasarkan contoh yang diambil dari salah satu server pada PT. XYZ Tbk, terdapat 34 standar konfigurasi keamanan yang tidak diterapkan dengan pesentase nilai keamanan konfigurasi 46%, angka ini jauh dibawah skala keamanan yang direkomendasikan yaitu minimum 80% dari skala 1 % – 100 %. Salah satu penyebab terjadinya pelanggaran keamanan siber adalah karena adanya vulnerability pada sistem dan aplikasi, hal ini tentu akan menjadi jalan bagi Penyerang untuk melakukan serangan siber terhadap sistem dan aplikasi yang berjalan. Salah satu contoh vulnerability assessment yang dilakukan terhadap salah satu server perusahaan menujukan adanya vulnerability dengan tingkat severity yang High sebanyak 2 dan tingkat Medium sebanyak 7, Low 2 serta info 54, dimana severity High dan Medium termasuk dalam vulnerability kemanan yang berbahaya. Berdasarkan data pada bulan Oktober 2020, beberapa ancaman dan serangan kejahatan keamanan siber dampaknya telah dirasakan pada proses operasional bisnis perusahaan seperti terganggunya sistem komunikasi bisnis (email), terhentinya proses transaksi akibat penurunan kemampuan hingga terjadinya kebocoran informasi. Saat ini langkah penanganan yang telah dilakukan oleh perusahaan adalah dengan melakukan pencarian dan bloking secara manual sumber Penyerang dan melakukan reset ulang terhadap sistem yang mengalami penurunan kemampuan akibat masalah keamanan, hal ini tentu merugikan perusahaan karna adanya downtime sistem layanan. Seluruh langkah manual ini tentu tidak menjadi solusi dalam pencegahan dan antisipasi selain itu langkah ini hanya bersifat tindakan perbaikan, dalam penanganannya langkah yang dilakukan memakan cukup banyak waktu dalam menemukan sumber masalah yang terjadi. Penanganan masalah yang dirasa tidak maksimal dipengaruhi beberapa faktor seperti tidak adanya sistem deteksi intrusi terhadap serangan siber yang terjadi pada sistem perusahaan, tidak adanya sistem vulnerability management terhadap celah keamanan yang terdapat pada sistem perusahaan, tidak adanya sistem yang memonitor integritas sebuah dokumen dan data pada server perusahaan, serta tidak adanya sistem yang melakukan audit terhadap standar keamanan konfigurasi server pada perusahaan, selain itu tidak adanya sistem filterisasi pada sistem email membuat tingkat traffic email spam menjadi terus meningkat. Hal ini menjadi bukti bahwa adanya ancaman kejahatan siber, sehingga menjadi motivasi bahwa sangat penting untuk melakukan analisa risiko dan evaluasi kepatuhan kerangka keamanan siber sebagai langkah mitigasi terhadap celah keamanan teknologi. Langkah ini sesuai dengan big project perusahaan yaitu melakukan transformasi digital 4.0 tentu menjadi sebuah langkah strategis untuk dapat melakukan analisa risiko dan pengukuran kematangan sistem keamanan terhadap teknologi informasi perusahaan. Menurut Peter Marelas (Marelas, 2020). Saat ini organisasi berada di bawah tekanan yang terus meningkat untuk melindungi aplikasi dan layanan penting mereka dari penyerang. Penyerang sering kali mengincar aset terpenting yaitu data. Perusahaan harus menerapkan pertahanan untuk mencegah datanya jatuh ke tangan yang salah. Namun, penting juga bagi perusahaan untuk bersiap menghadapi saat data mereka tidak dapat diakses, atau dalam skenario terburuk, dienkripsi dan ditahan untuk uang tebusan. Dalam perspektif menejemen keamanan teknologi dan informasi pernilaian risiko dan pengukuran kesiapan keamanan merupakan salah satu bagian penting. Dalam penelitiannya (Yildirim, 2017), menyatakan bahwa Perusahaan perlu untuk menerapkan Manajemen Risiko dalam keamanan informasi untuk tujuan meminimalkan tingkat risiko keamanan dan memberikan kelangsungan bisnis. Setiap infrastruktur penting harus menerapkan proses manajemen risiko yang efektif untuk melindungi pemangku kepentingan dari kerugian finansial, organisasi, dan reputasi (Kure et al., 2018) . Terdapat beberapa metode pengukuran risiko yang telah dikembangkan namun terdapat tiga metode yang sering digunakan yaitu NISTSP 800-30, OCTAVE, dan ISO/IEC 27005. Dari ketiga metode tersebut NIST-SP 800-30 dan ISO/IEC 27005 merupakan kerangka kerja yang memiliki cakupan yang luas dan dilakukan secara manual, sehingga penggunaan metode tersebut relatif membutuhkan waktu yang lebih lama, bahkan dapat membutuhkan waktu satu hingga dua tahun dalam perhitungan kuantitatif. Sedangakan metode OCTAVE merupakan strategi keamanan informasi yang berbasis risiko dan perencanaan berdasarkan Operationally Critical Threat, Asset, dan Vulnerability Evaluation. Terdapat tiga varian OCTAVE yang bisa digunakan. varian tersebut adalah OCTAVE method, OCTAVE-S, dan OCTAVE Allegro. Dalam penelitiannya (Al-Matari et al., 2021) menyatakan bahwa kematangan sistem didalam organisasi memainkan faktor utama dalam menyediakan keamanan siber. Untuk menilai tingkat kematangan keamanan organisasi, auditor keamanan siber dapat menerapkan model keamanan yang diusulkan sesuai dengan standar, alat, dan Teknik. Model kedewasaan kemampuan keamanan siber banyak digunakan di banyak organisasi untuk melindungi aset mereka dari ancaman apapun (Abdullahi Garba et al., 2020). Dalam melakukan perhitungan kematangan keamanan teknologi informasi, ada beberapa metode yang dapat digunakan seperti Capability Maturity Model Integrate (CMMI) dan Indeks KAMI-BSSN. CMMI memiliki ukuran indeks berdasarkan 5 level yaitu level 1 Initial, level 2 Managed, level 3 Defined, level 4 Quantitatively Managed, dan level 5 Optimizing, dengan kerangka proses berdasarkan cybersecurity framework yang digunakan misalnya COBIT dan NIST. Sedangkan Indeks KAMI-BSSN merupakan tools yang dapat digunakan untuk perhitungan kematangan keamanan teknologi informasi yang berfokus pada kerangka kerja ISO/IEC 27001. Indeks KAMI-BSSN terbagi menjadi tujuh kategori yaitu Tata Kelola, Pengelolaan Risiko, Kerangka Kerja, Pengelolaan Aset, Aspek Teknologi dengan suplemen Pengamanan Keterlibatan Pihak Ketiga Penyedia Layanan, Pengamanan Layanan Infrastruktur Awan dan Perlindungan Data Pribadi. Setiap kategori pada indeks KAMI terdiri atas beberapa pertanyaan yang telah diberikan nilai bobot. Nilai indeks keamanan dihitung dengan menjumlahkan setiap nilai total dari masingmasing kategori. Nilai indeks keamanan selanjutnya di representasikan kedalam tingkat kematangan atau maturity level 1 – 4 dengan deskripsi yaitu level 1 = Tidak Layak, level 2 = Pemenuhan Kerangka Dasar, Level 3= Cukup Baik, atau level 4 = Baik. Penelitian ini menganalisa tingkat risiko sistem keamanan teknologi informasi menggunakan metode OCTAVE Allegro. Metode ini dipilih karena framework ini fokus pada aset informasi yang dimiliki oleh organisasi atau perusahaan dalam konteks bagaimana aset tersebut digunakan, penyimpanannya, perpindahan, pemrosesan serta bagaimana ancaman (threats), kerentanan (vulberability) dan gangguan dapat terjadi pada aset tersebut. Metode OCTAVE Allegro memiliki kelebihan yang menarik dibanding dengan metode lainnya seperti menggunakan pendekatan berbasis lokakarya untuk mengumpulkan informasi dan membuat keputusan, metode ini berusaha untuk mengidentifikasi sumber daya manusia yang mungkin merupakan aset penting sehubungan dengan masalah TI. Hal inilah yang tidak didapati pada metode lainnya. Selain itu penelitian ini juga melakukan evaluasi keamanan teknologi dan informasi berdasarkan standar ISO/IEC 27001 menggunakan alat indeks KAMI BSSN sehingga menghasilkan nilai indeks keamanan teknologi informasi. Alat tersebut dapat melakukan gap analisis keamanan teknologi dan informasi serta memitigasi risiko ancaman pada sistem informasi yang sudah berjalan. Berdasarkan tingkat risiko aset dan nilai indeks kematangan keamanan inilah dibangun rekomendasi solusi terhadap celah keamanan teknologi dan informasi yang ada pada perusahaan berdasarkan prioritas risiko keamanan teknologi dan informasi. Hasil temuan gap keamanan teknologi dan informasi ini dijadikan sebagai landasan dasar dalam pengambilan keputusan perusahaan dalam implementasi rekomendasi yang diberikan. Hasil implementasi dari rekomendasi solusi standar keamanan teknologi dan informasi ini diuji menggunakan tehnik hacking dengan melakukan serangan keamanan siber untuk mengetahui tingkat performa hasil rekomendasi solusi yang ditawarkan. Tahap akhir dari penelitian ini adalah melakukan evaluasi menggunakan pengolahan data statistic parametrik dan non-parametrik terhadap kondisi terbaru kesiapan keamanan teknologi dan informasi dengan melakukan uji statistic terhadap data populasi sebelum dan sesudah implementasi untuk mendapatkan hasil nilai p-Value pada uji hipotesa yang digunakan dalam pengambilan keputusan untuk pemecahan rumusan masalah penelitian. Terdapat 3 kontribusi yang diberikan oleh penelitian ini, yang belum pernah dilakukan pada penelitian-penelitian sebelumnya, yaitu: 1. Hasil dari model yang diusulkan dapat dijadikan sebagai model pendukung keputusan keamanan siber dalam perancangan sistem keamanan teknologi infomasi dengan tepat dan efektif bagi organisasi. 2. Model yang diusulkan dapat dikembangkan terhadap metode management risiko dan cybersecurity framework lainnya sesuai kebutuhan bisnis. 3. Penelitian ini memberikan pembuktian secara nyata terhadap suatu hasil dari metode analisa yang digunakan, sehingga dapat diukur efektifitas metode analisa didalam operasional bisnis yang nyata.
DAFTAR PUSTAKA
Abdullahi Garba, A., Musa Bade, A., Yahuza, M., & Nuhu, Y. (2020). Cybersecurity capability maturity models review and application domain. International Journal of Engineering & Technology, 9(3), 779–784. https://doi.org/10.14419/ijet.v9i3.30719
Achmadi, D., Suryanto, Y., & Ramli, K. (2018, September 27). On Developing Information Security Management System (ISMS) Framework for ISO 27001- based Data Center. 2018 International Workshop on Big Data and Information Security (IWBIS).
al Fikri, M., Putra, F. A., Suryanto, Y., & Ramli, K. (2019). Risk assessment using NIST SP 800-30 revision 1 and ISO 27005 combination technique in profitbased organization: Case study of ZZZ information system application in ABC agency. Procedia Computer Science, 161, 1206–1215. https://doi.org/10.1016/j.procs.2019.11.234
Al-Matari, O. M. M., Helal, I. M. A., Mazen, S. A., & Elhennawy, S. (2021). Adopting security maturity model to the organizations’ capability model _ Elsevier Enhanced Reader. Egyptian Informatics Journal, 22(2), 193–199. https://doi.org/https://doi.org/10.1016/j.eij.2020.08.001.
Bagian Komunikasi Publik BSSN. (2019). Indeks KAMI V 4.1. In BADAN SIBER DAN SANDI NEGARA. https://bssn.go.id/indeks-kami/
Borkar, A., Donode, A., & Kumari, A. (2017). A Survey on Intrusion Detection System (IDS) and Internal Intrusion Detection and Protection System (IIDPS). Proceedings of the International Conference on Inventive Computing and Informatics (ICICI 2017), 949–953. https://doi.org/10.1109/ICICI.2017.8365277
checkpoint.com. (2021). What is a Cyber Attack? Checkpoint.Com. https://www.checkpoint.com/cyber-hub/cyber-security/what-is-cyber-attack/ cisecurity.org. (2020, December 18). FAQ : What are CIS Benchmarks? Internet. https://learn.cisecurity.org/benchmarks
Corallo, A., Lazoi, M., & Lezzi, M. (2020). Cybersecurity in the context of industry 4.0: A structured classification of critical assets and business impacts. Computers in Industry, 114, 1–15. https://doi.org/10.1016/j.compind.2019.103165
Curtis, P. D., & Mehravari, N. (2015, August 27). Evaluating and Improving Cybersecurity Capabilities of the Energy Critical Infrastructure. 2015 IEEE International Symposium on Technologies for Homeland Security (HST).
Elky, S. (2006). An Introduction to Information System Risk Management. https://www.sans.org/reading-room/whitepapers/auditing/introductioninformation-system-risk-management-1204
Fauzi, R. (2018). Implementasi Awal Sistem Manajemen Keamanan Informasi pada UKM Menggunakan Kontrol ISO/IEC 27002. JTERA (Jurnal Teknologi Rekayasa), 3(2), 145–156. https://doi.org/10.31544/jtera.v3.i2.2018.145-156
Feradhita. (2019, April 25). Mengenal Brute Force Attack dan Cara Menghindarinya. Internet. https://www.logique.co.id/blog/2019/04/25/bruteforce-attack
Ganin, A. A., Quach, P., Panwar, M., Collier, Z. A., Keisler, J. M., Marchese, D., & Linkov, I. (2020). Multicriteria Decision Framework for Cybersecurity Risk Assessment and Management. Risk Analysis, 40(1), 183–199. https://doi.org/10.1111/risa.12891
Ghazouani, M., Medromi, H., & Sayouti, A. (2014). An integrated use of ISO27005, Mehari and multi-agents system in order to design a comprehensive Information Security Risk Management Tool. International Journal of Applied Information Systems (IJAIS), 7(2), 1–6. www.ijais.org
Gobel, T. (2020, August 13). News : Yang-Diadopsi-Xl-Axiata-Terkait-MitigasiPelanggaran-Data. Internet. https://cyberthreat.id/read/7980/Yang-DiadopsiXl-Axiata-Terkait-Mitigasi-Pelanggaran-Data Goddijn, I. (2020). 2020 Q3 Report Data Breach QuickView. https://pages.riskbasedsecurity.com/en/en/2020-q3-data-breach-quickviewreport-0
Gourisetti, S. N. G., Mylrea, M., & Patangia, H. (2020). Cybersecurity Vulnerability Mitigation Framework through Empirical Paradigm (CyFEr): Prioritized Gap Analysis. IEEE Systems Journal, 14(2), 1897–1908. https://doi.org/10.1109/JSYST.2019.2913141
Henriquez, M. (2020, December 3). The top 10 data breaches of 2020. Https://Www.Securitymagazine.Com/Articles/94076-the-Top-10-DataBreaches-of-2020. https://www.securitymagazine.com/articles/94076-the-top10-data-breaches-of-2020
Irena Gutandjala, I., Gui, A., Maryam, S., & Mariani, V. (2019). Information System Risk Assessment And Management (Study Case at XYZ University). 2019 International Conference on Information Management and Technology (ICIMTech), 6022–6607.
Kure, H. I., Islam, S., & Razzaque, M. A. (2018). An integrated cyber security risk management approach for a cyber-physical system. Applied Sciences (Switzerland), 8(6), 1–29. https://doi.org/10.3390/app8060898 212
Marelas, P. (2020, December 2). Protecting Critical Infrastructure from Cyberattacks. Internet. https://www.databreachtoday.asia/protecting-criticalinfrastructure-from-cyberattacks-a-15488 Nasional. (2016). Teknologi informasi – Teknik keamanan – Sisfem manajemen keamanan informasi – Persyaratan. Badan Standardisasi Nasional.
Khairur Razikin dan Benfano Soewito