Materi saya kali ini adalah mengenai Incident Handling atau Penanganan Insiden. Hal ini di maksudkan sebagai tindakan yang dilakukan dalam rangka keamanan sistem informasi. Banyaknya kejahatan dalam dunia cyber, menuntut para pekerja sebagai keamanan sistem dapat bekerja secara optimal dalam menangani suatu insiden yang terjadi pada suatu sistem.
Mungkin kita pernah mendengar kasus peretasan situs presiden SBY yaitu www.presidensby.info yang memuat mengenai kegiatan presiden, situs presiden hanya menampilkan layar hitam dan tulisan seperti gambar di bawah ini
berkat kerja dari ahli cyber, kasus ini pun terungkap. Dan ternyata pelaku peretasan situs ini dilakukan oleh seorang hacker muda yang menggunakan warnet sebagai tempat untuk melakukan peretasan.
Kini situs yang sudah diretas ini sudah kembali normal dan berganti nama.
Hal ini menunjukkan, penanganan insiden yang baik, dapat membuat kasus ini terungkap.
Materi kita pada tulisan ini mengenai Incident Handling.
Apa yang di maksud dengan insiden ?
Insiden merupakan bagian dari kehidupan elektronik di mana ada insiden di sengaja atau tidak disengaja.
insiden disengaja terjadi karena kelalaian kita yang menginginkan suatu insiden dan Insiden yang tidak disengaja atau gangguan yang datangnya dari luar tanpa kita tahu.
Insiden sering terjadi pada waktu yang kurang "pas" misalnya : admin sedang tidak ada atau sedang ada
deadline.
Definisi menurut para ahli
David Theunissen " Corporate Incident Handling Guidelines"
Incident is " The act of violating or threatening to violate an explicit or implied security policy " atau dapat di artikan, Insiden adalah " Tindakan melanggar atau mengancam untuk melanggar kebijakan keamanan tersurat maupun tersirat "
Kevin Mandia da Chris Prosise " Incident Response " :
Incidents are events that interrupt normal operating procedure and precipitate some level of crisis
atau insiden adalah peristiwa yang menggangu prosedur operasi normal dan memicu beberapa tingkat krisis.
Contoh Insiden disini adalah wabah virus, Spam mail, mailbomb, privilege attack atau serangan hak istimewa, rookit, intrusion, melakukan DoS attack atau aksi dengan mengirim sebanyak-banyaknya saluran atau sumber lain dengan pesan yang bertujuan menggagalkan akses pemakai lain, Unauthorized acces atau akses yang tidak diizinkan dan kemungkinan skenario lain di masa depan.
Tujuan dari Incident Handling adalah
1. Memastikan bahwa insiden terjadi atau tidak terjadi
kita perlu memastikan apa insiden terjadi sebagai langkah awal
2. Melakukan pengumpulan informasi yang akurat
melalui penanganan insiden diharapkan pengumpulan informasi yang akurat
3. Melakukan pengambilan dan penaganan bukti-bukti (menjaga chain of custody)
bukti-bukti dari insiden itu perlu agar tidak mengira-ngira insiden yang terjadi
4. Menjaga agar kegiatan berada dalam kerangka hukum (misalnya masalah privacy, legal action)
agar penanganan insiden mengikuti aturan hukum, supaya tidak melanggar dalam penanganan insiden
5. Meminimalkan gangguan terhadap operasi bisnis dan jaringan.
dengan penanganan insiden diharapkan gangguan terhadap operasi bisnis menjadi lebih kecil
6. Membuat laporan yang akurat beserta rekomendasinya.
melalui incident handling, laporan lebih akurat beserta apa yang akan dilakukan selanjutnya.
Metodologi atau tata cara yang digunakan dalam Incident Handling adalah
Pertama,
Pre-incident preparation atau persiapan pra-insiden, persiapan yang baik menentukan persiapan-persiapan apa saja yang dibutuhkan dalam menghadapi insiden.
Kedua,
Detection Of Incidents atau mendeteksi insiden apa yang terjadi
Ketiga,
Initial Response atau awal respon kita pada insiden ini
Keempat,
Response Strategy Formulation atau perumusan strategi dalam menghadapi respon yang ada
Kelima,
Duplication (forensic backups) atau melakukan duplikasi atau penggandaan backups data forensik
Keenam,
Investigation atau penyelidikan insiden yang terjadi
Ketujuh,
Security Measure Implementation atau keamaman yang seperti apa yang akan di implementasi atau diterapkan
Delapan,
Network Monitoring atau memonitoring jaringan, melihat apa-apa saja dan peristiwa yang terjadi pada jaringan
Sembilan,
Recovery atau pemulihan, melakukan pemulihan terhadap insiden yang terjadi
terakhir,
Follow-up atau tindak lanjut terhadap insiden misalnya melakukan pemblokiran terhadap pelaku yang melakukan insiden.
Permasalahan Insident Handling
1. Teknis
beberapa permasalahan dari segi teknis dalam insident handling adalah
- Apa saja yang perlu dilaporkan ? atau apakah ada informasi yang confidential atau yang bersifat rahasia seperti nomor ip, userid, password, data. files. Permasalahan lain Terlalu banyak atau sedikit data yang dilaporkan .
- Ketersedian Sistem masalah tiket atau help desk apakah 24 jam ?
- Data - Data log atau catatan sering tidak tersedia sehingga menyulitkan penanganan insiden
2. Non Teknis
beberapa permasalahan dari segi non teknis dalam insident handling adalah
- Hubungan antara kebijakan dan prosedur (Policy and Procedure) dan SOP yang sering kali tidak dimiliki
oleh institusi
- Ketersedian SDM atau Kualifikasi apa yang dibutuhkan ?
SDM yang kurang memenuhi kualifikasi menyulitkan penanganan insiden.
Tidak ada komentar:
Posting Komentar