Hubungan Contingency Plan (CP) – IT Risk Management – Information Security

1. Contingency Plan

Melakukan perencanaan untuk menghadapi kemungkinan hal yang tidak diinginkan  terjadi adalah suatu proses yang kompleks dan sangat menantang. Sama seperti dalam bidang lainnya, perencanaan menghadapi kejadian yang tidak diinginkan akan terus berkembang dengan pendekatan melalui metodelogi yang menempatkan tantangan terhadap organisasi atau perusahaan ketika berhadapan dengan kejadiaan kecelakaan, bencana alam, ataupun krisis lainnya secara sistematis. Rencana atau langkah angkah yang harus diikuti jika sesuatu hal yang tidak diinginkan terjadi disebut contingency plan. Untuk membuat sebuah Contingency Plan (CP), sebuah perusahaan atau organisasi harus mempertimbangkan dengan serius hal – hal berikut ini:

• Usaha yang panjang dan kompleks ketika mengatur proses perencanaan.
• Mempersiapkan rencana yang detil dan komplit.
• Berkomitmen untuk mempertahankan rencana tersebut pada kondisi yang siap di setiap waktu.
• Melatih kegunaan rencana dengan teliti dan tekun seperti yang biasa dilakukan oleh organisasi militer, dan
• Mempertahankan proses yang diperlukan untuk menjaga kesiapan rencana di setiap waktu.

Membuat sebuah rencana untuk menghadapi hal hal yang tidak diinginkan adalah sebuah konsep dari IT Risk Managemen, dalam hal ini rencana tersebut di sebut dokumen contingency planning. Latar belakang sebuah perusahaan membuat perencanaan untuk menghadapi hal hal yang tidak diinginkan ini adalah karena sudah terbukti bahwa perusahaan yang mempunyai dokumen contingency planning dapat kembali melakukan kegiatan yang normal dalam waktu singkat walaupun kantor mereka hancur lebur. Didalam dokumen contingency planning ini juga sudah termasuk business continuity dan disaster recovery. Dalam dokumen ini bersisi tentang petunjuk kerja atau prosedur atau step step yang harus dilakukan apabila ada sebuah ancaman terjadi. Sehingga semua orang dalam perusahaan sudah tidak bingung lagi apa yang harus dilakukan apabila ada bencana yang benar benar terjadi.

 Information Security

Menurut Committee on National Security Systems (sebuah departemen di negara Amerika yang bertanggung jawab terhadap system keamanan dunia maya), information security atau keamanan system informasi adalah perlindungan informasi dan elemen elemennya termasuk system dan perangkat kerasnya. Jika dihubungkan dengan goal dari information security, yaitu confidentiality, integrity dan availability (dikenal dengan segitiga CIA), maka information security adalah sebuah perlindungan informasi dari confidentiality, integrity dan availability pada saat informasi tersebut sedang di proses, di transmisikan, ataupun dalam penyimpanannya. Dalam hal ini, yang dimaksud segi tiga CIA adalah:

• Confidentiality, yaitu proses untuk mengamankan dan memastikan bahwa hanya orang yang berhak saja yang dapat mengakses informasi tertentu. Informasi ini berkaitan dengan data personal dan dan bersifat rahasia. Data personal lebih berkaitan dengan data pribadi, sedang data yang bersifat rahasia lebih berkaitan dengan data yang dimiliki oleh suatu organisasi.
• Integrity, yaitu sebuah jaminan bahwa semua data tersedia dalam keadaan utuh dan lengkap sesuai apa adanya. Menjamin bahwa data tersebut tidak dapat dimodifikasi oleh orang yang tidak berhak.
• Availability, yaitu usaha supaya data akan dapat diakses setiap saat, tanpa delay, dan tersedia dengan utuh tanpa cacat.

Jenis-jenis ancaman

Menurut Whitman dalam bukunya Principles of Incident Response and Disaster ecovery, faktor faktor atau ancaman ancaman yang dapat mengganggu tujuan dari information ecurity ini adalah:

1. Kesalahan manusia (Acts of human error or failure): ancaman karena kesalahan manusia di mana kejadian tersebut bukan disengaja atau tanpa maksud jahat.
2. Compromises to intellectual property (IP): ancaman dari pelanggaran dalam penggunaan HAKI seperti hak cipta, rahasia dagang, merek dagang, hak paten. Pelanggaran HAKI yang paling umum adalah pembajakan perangkat lunak.
3. Pelanggaran yang disengaja (Deliberate acts of trespass): mengakses secara tidak sah ke informasi yang bersifat rahasia dan pribadi. Contohnya seorang hacker menggunakan perangkat lunak untuk mendapatkan akses ke informasi secara ilegal.
4. Tindakan untuk tujuan pemerasan: menuntut kompensasi untuk mengembalikan rahasia informasi yang diperoleh oleh penyerang.
5. Tindakan disengaja untuk sabotase atau vandalisme: Upaya untuk menghancurkan aset atau merusak citra organisasi.
6. Tindakan pencurian yang disengaja: mengambil barang orang lain secara illegal.
7. Serangan dengan perangkat lunak: perangkat lunak yang berbahaya yang dirancang untuk merusak, menghancurkan, atau menolak layanan ke system, termasuk virus, worm, trojan horse, backdoors, serangan DoS, dan distributed denial of service (DDoS).
8. Kejadian alam: Tak terduga dan sering tidak dapat diramalkan, termasuk kebakaran, banjir, gempa bumi, petir, badai, letusan gunung berapi, serangan serangga.Dapat juga mempengaruhi personil serta peralatan.
9. Penyimpangan dalam kualitas pelayanan, oleh penyedia layanan. Produk atau jasa terhenti atau tidak dapat berjalan sebagai mana mestinya. (listrik, air, bandwidth jaringan, dll).
10. Kerusakan atau kesalahan teknis dari peralatan: Cacat bawaan peralatan yang menyebabkan sistem bekerja tidak sesuai dengan diharapkan, menyebabkan layanan tidak dapat diberikan dengan baik atau kurangnya ketersediaan.
11. Kesalahan dan kegagalan Software:. Termasuk bug dan kondisi tertentu yang belum teruji. Mungkin termasuk cara pintas (shortcut) yang sengaja dibuat oleh programmer untuk alasan tertentu tetapi lupa untuk di hapus.
12. Teknik dan peralatan yang telah usang: infrastruktur yang sudah ketinggalan jaman menyebabkan sistem tidak dapat diandalkan dan tidak dapat dipercaya.

3. Overview threats and risk management

 CIA Triad dalam konteks Keamanan informasi memiliki tiga tujuan utama: – Menjaga kerahasiaan, Integritas, dan Ketersediaan sumber daya informasi.

KERAHASIAAN

Mekanisme kerahasiaan menegakkan kerahasiaan data Anda.

• Akses mekanisme kontrol: Mencegah individu yang tidak sah mengakses sistem.
• File system kontrol keamanan: Mencegah individu yang berwenang untuk menggunakan sistem dari melebihi otoritas mereka dan membaca informasi rahasia mereka yang seharusnya tidak dapat diakses.
• Kriptografi: Dapat digunakan untuk mengenkripsi isi file sensitif dan melindungi mereka dari mata-mata, bahkan ketika kontrol akses dan mekanisme sistem keamanan file gagal. KLASIFIKASI INFORMASI PEMERINTAH Struktur • Unclassified: Informasi ini mungkin akan bebas berbagi dengan publik tanpa risiko kerusakan pada keamanan nasional. Informasi ini tunduk pada pengungkapan publik di bawah Freedom of Information Act (FOIA). Contoh jenis informasi ini adalah sebagian dari Code of Federal Regulations.

INTEGRITAS

Mekanisme kontrol akses: Mencegah individu yang tidak sah mengakses sistem dan memodifikasi data.

• File system kontrol keamanan: Kontrol hak para pengguna data. Mereka mungkin memberikan sejumlah besar izin pengguna untuk membaca data tetapi hanya beberapa yang dapat memodifikasi data.
• Kriptografi: Sistem menggunakan tanda tangan digital untuk mengkonfirmasi bahwa pesan tidak berubah dalam perjalanan.

KETERSEDIAAN

• Ketersediaan membutuhkan kompromi.
• Jika kerahasiaan dan integritas mekanisme dilakukan secara ekstrim, mereka mungkin mencegah pengguna resmi dari mengakses data dan menggunakannya secara sah.
• Selain itu, hacker bisa melakukan serangan yang dirancang khusus untuk mencegah orang yang berwenang dari mengakses sumber daya komputasi.
• Jenis serangan, yang dikenal sebagai denial-of-service attack (DoS), adalah sangat umum. Bahkan, serangkaian dipublikasikan dengan baik dari serangan DoS. Pada bulan Februari 2000, hampir menutup beberapa situs Web e-commerce, termasuk Yahoo!, Amazon.com, dan eBay.

IDENTIFIKASI, OTENTIKASI, DAN OTORISASI

Idetifikasi

• Mekanisme Identifikasi memungkinkan pengguna untuk mengidentifikasi diri mereka ke sumber daya. Mereka tidak memberikan bukti identitas, mereka hanya menyediakan sarana bagi pengguna untuk mengakui identitasnya.
• Mekanisme identifikasi yang paling umum sekarang digunakan adalah username (atau ID login), sering terdiri dari kombinasi huruf dari nama pengguna pertama dan terakhir.
• Sistem harus memiliki cara untuk mengidentifikasi pengguna individu untuk mencapai akuntabilitas.

Otentikasi

• Mekanisme Otentikasi:
• Seorang pengguna mengetahui: Ini bagian dari informasi pribadi hanya diketahui pengguna. Ia paling umum mengambil bentuk sebuah password yang diberikan ke system dalam kombinasi dengan username. Dengan menyediakan username, pengguna mengidentifikasi dirinya ke sistem. Namun, banyak orang mungkin tahu (atau menjadi bisa menebak) nama pengguna.
• Sesuatu pengguna adalah: Karakteristik fisik adalah unik kepada pengguna. Pengguna mungkin akan diminta untuk menyerahkan pembacaan sidik jari, retina scan, atau iris scan atau mungkin diminta untuk berbicara frase menjadi perangkat voiceprint. Ini jenis pengukuran, berdasarkan fitur biologis tubuh pengguna, yang dikenal sebagai pengukuran biometrik.
• Sesuatu pengguna memiliki: elemen ini bergantung pada kepemilikan fisik perangkat, seperti beberapa bentuk kunci, kartu akses, atau perangkat fisik lainnya yang entah bagaimana berinteraksi dengan sistem keamanan untuk membuktikan identitas pengguna.

Otorisasi

Setelah pengguna telah mengidentifikasi dirinya sendiri dan telah puas kepada mekanisme otentikasi yang berlaku, sistem harus memiliki beberapa cara untuk memutuskan apa tingkat akses yang akan diberikan. Proses ini dikenal sebagai otorisasi, yang mengontrol hak istimewa yang tepat diberikan kepada pengguna sistem.

Jadi Hal utama dalam IT Risk Management adalah:

1. Membuat sebuah rencana untuk menghadapi hal hal yang tidak diinginkan adalah sebuah konsep dari IT Risk Managemen.
2. Information security adalah sebuah perlindungan informasi dari confidentiality, integrity dan availability pada saat informasi tersebut sedang di proses
3. Risk merupakan kondisi yang dipengaruhi oleh Treat dan Vulnerability

Sumber:

1. Whitman, M.E., Mattoro, H.J. (2013). Principles of Incident Response and Disaster Recovery, chapter 1.