Studi Klasifikasi Keamanan Data untuk Enterprise Imran, Budi

advertisement
Studi Klasifikasi Keamanan Data
untuk Enterprise
Imran, Budi Rahardjo
Laboratorium Sistem Kendali dan Komputer (LSKK)
Kelompok Keahlian Teknologi Informasi
Sekolah Teknik Elektro dan Informatika
Institut Teknologi Bandung
[email protected], [email protected]
Abstraksi
Perkembangan teknologi informasi (TI) yang cukup pesat, ternyata berbanding lurus dengan meningkatnya ancaman terhadap
kerahasiaan, keutuhan dan ketersediaan (CIA: Condifentiality, integrity, availability) dari data. Dalam mengelola data yang
melimpah yang merupakan aset yang dipergunakan dalam aktifitas rutin dalam mencapai tujuan, enterprise harus mengetahui
data apa yang akan diamankan dan parameter keamanannya karena setiap data berbeda tingkat keamanannya, sehingga
perlu dilakukan klasifikasi data (data classification). Klasifikasi data dilakukan dengan menentukan level dari data
berdasarkan nilai dari data, tingkat resiko yang akan ditimbulkan jika kehilangan data tersebut dan aspek lain sesuai dengan
proses bisnis dari enterprise. Proses pengamanan data dilakukan sesuai dengan level dari data tersebut. Data yang sifatnya
rahasia mendapat tingkat pengamanan yang tinggi, data yang diperuntukkan internal institusi mendapat tingkat pengamanan
yang sedang dan data untuk konsumsi publik mendapat tingkat pengamanan yang rendah.
Kata kunci : klasifikasi data, teknologi informasi, CIA.
1. PENDAHULUAN
2. PEMBAHASAN
Di era globalisasi, kompetisi antara institusi baik yang profit
maupun yang non profit terpola dalam bingkai yang sangat
ketat. Untuk menjaga eksistensi enterprise, data seharusnya
mendapatkan perhatian karena merupakan salah satu aset
yang paling berharga. Dengan data yang akurat, lengkap, up
to date (terbaru) dan terjaga kerahasiaan, keutuhan dan
ketersediaannya sehingga suatu enterprise dapat
mewujudkan visi dengan aktualisasi misi.
2.1 Keamanan Data
Keamanan data (Data security) sudah selayaknya mendapat
perhatian yang utama dalam kegiatan suatu institusi, dengan
data yang aman maka aktifitas suatu institusi tidak akan
mengalami gangguan karena masalah data.
Penelitian keamanan data ini menggunakan pendekssatan
klasifikasi data yaitu dengan mengelompokkan sdata
kedalam beberapa level sesuai dengan nilai, tingkat resiko
dan proses bisnis dari enterprise. Beberapa standar yang
menjadi acuan dalam penelitian ini NIST Special
Publication 800-30 untuk analisis resiko dan model Clark
Wilson pengamanan data ditiap level.
Untuk keamanan data dan informasi, diperlukan penerapan
dan pemeliharaan suatu program keamanan dengan
memastikan tiga aspek, yaitu : confidentiality, integrity and
availability dari sumber daya informasi enterprise[9].
2.1.1 Kerahasian (Confidentiality)
Kerahasiaan harus didefinisikan dengan baik dan melalui
suatu prosedur untuk menjaga kerahasiaan melalui
identifikasi dan otentikasi pengguna. Identifikasi yang baik
dari pengguna sistem memastikan efektifitas dari kebijakan
yang menentukan hak akses terhadap suatu data item.
2.1.2 Keutuhan (Integrity)
Keutuhan data harus mendapat perlindungan dari
pengubahan tidak sah yang disengaja. Tantangan dari
program keamanan adalah memastikan bahwa data dijaga
dan berada pada kondisi yang diharapkan pengguna.
Unsur penting dari integrity adalah melindungi proses atau
program yang digunakan dari proses modifikasi data yang
tidak sah.
1
2.1.3 Ketersediaan (Availability)
Ketersediaan data merupakan jaminan dari sistem komputer
untuk dapat diakses oleh pengguna yang berhak kapan saja
diperlukan. Aspek yang mempengaruhi ketersediaan ssdata
yaitu :
1. Denial of service, merupakan kegitan yang dilakukan
yang menggunakan layanan komputasi dengan
membebani sistem sehingga tidak dapat dipakai oleh
pengguna yang berhak. Sebagai contoh, Internet worm
membebani sekitar 10% dari sistem jaringan komputer,
menyebabkan sistem tidak me-responsive kebutuhan
pengguna.
2. Hilangnya kemampuan pengolahan data sebagai akibat
bencana alam
(seperti : kebakaran, banjir, badai
dan gempa bumi) atau tindakan manusia (seperti :
pengeboman atau serangan).
2.2 Pergeseran Persfektif Keamanan Data
Untuk mencapai dan mendukung suatu level keamanan
yang secara langsung mendukung misi dari enterprise,
manajemen harus melakukan pergeseran sudut pandangan
enterprise terhadap keamanan dari sudut pandang
information technology based, security centric, technology
solution menjadi enterprise based, risk management,
continuity and resilience yang terorganisir. Untuk
mewujudkannya diperlukan pendekatan khusus, reaktif
terhadap keamanan, proses yang terpusat, strategis dan
adaptif.
Tabel 1. Shifting security perspectives (pergeseran
perspektif keamanan)[1].
Area
Shifting from
Shifting to
Security scope
Technical
Organizational
Ownership of
security
Information technology
Organization
Focus of security
Discontinuous and
intermittent
Integrated
Funding for security
Expense
Investment
Security drivers
External
Internal
Security approach
Ad hoc
Managed
2.3 Klasifikasi Data
Saat ini enterprise mengelola data yang melimpah, dari data
laporan keuangan, file personil, hasil riset dan arsip
pelanggan ke rancang-bangun dan kode pengembangan
perusahaan yang berkisar sepuluh sampai beratus-ratus
terabytes, dan mengisi dengan berjuta-juta dari file yang
berbeda secara konstan tumbuh. Dengan pertumbuhan data
yang berkisar 50% tiap tahun terus meningkat, dengan
peningkatan ini sulit untuk mengetahui data apa yang ada
tersedia, data apa yang kritis bagi bisnis dan bagaimana
terbaik untuk mengatur keseluruhan aset informasi.
Masalahnya adalah bahwa kebanyakan enterprise tidak
menghubungkan informasi dengan proses bisnis mereka,
hanya menghasilkan sesuatu yang kurang bermanfaat yang
memenuhi sumber daya penyimpanan.
Manfaat dari Klasifikasi Data
Pada inti nya, proses klasifikasi data membolehkan
enterprise untuk mengelola informasinya sesuai dengan
kebutuhan bisnis. Kemampuan enterprise ini dapat
digolongkan ke dalam empat kategori yang utama:
1. Pemenuhan persyaratan
Klasifikasi data digunakan untuk mematuhi hukum,
khususnya privacy, dimana diperlukan perlindungan atas
informasi-informasi pribadi. Banyak enterprise melihat
klasifikasi data sebagai pemenuhan persyaratan dari audit.
2. Peningkatan keamanan dan mengurangi resiko
Manfaat lain dari klasifikasi data adalah peningkatan
keamanan dan mengurangi resiko karena mendukung
prinsip-prinsip kerahasiaan, integritas, dan ketersediaan
sehingga dapat melindungi data. Implementasi dari suatu
klasifikasi data dapat menjadi dasar dalam mengamankan
data yang digunakan untuk mencegah penyingkapan data
yang potensial dan membantu dalam pertahanannya.
Persyaratan keamanan juga mengharuskan enterprise
mengatur penyimpanan dan pemusnahan dari tipe data
tertentu atau menyimpan dalam lokasi yang terpisah.
Tumpukan data yang tidak teratur yang terus meningkat,
akan
mustahil
untuk
mengaturnya
tanpa
mengimplementasikan suatu klasifikasi data.
Kombinasi klasifikasi yang universal dengan fleksibel,
perpindahan data berdasarkan kebijakan memberikan solusi
pada beberapa area :
 kebijakan kontrol arsip yang cerdas untuk
menyesuaikan aturan, pemenuhan dan kebutuhan
penguasa perusahaan lain;
 fleksibel, dua arah pergerakan data antara yang
berdasarkan dengan umur dan attribut data penting lain;
 peningkatan prosedur backup yang memenuhi nilai dari
data pada stategi backup untuk membantu mengurangi
masalah backup window.
3. Pemanfaatan perangkat keras yang lebih baik dan
penghematan biaya.
Klasifikasi data dapat menghemat biaya dengan
memindahkan data yang kurang penting dari penyimpanan
data utama yang mahal ke penyimpanan data sekunder yang
tidak terlalu mahal. Implementasinya menggunakan level
infrastruktur penyimpanan dengan menempatkan data yang
bernilai pada disk yang terbaik dan mengatur data yang
kurang berharga untuk berada pada disk yang lebih murah.
4. Meningkatkan performance dan efisiensi.
Hasil studi menunjukkan bahwa dengan data yang tidak
tersusun, hampir 80% dari data yang pertahankan oleh
enterprise tidak pernah disentuh. Data ini mungkin
2
disimpan pada high performance storage arrays, di backup
tiap malam dan disimpan pada remote site.
Data yang bernilai rendah sering mengkonsumsi sebagian
besar dari media penyimpanan dari suatu enterprise yang
seharusnya lebih efektif untuk menyimpan informasi yang
kritis. Klasifikasi data juga dapat meningkatkan
performance menjadi lebih efektif dalam melakukan
prosedur keamanan data seperti encryption. Masalah pada
encryption adalah waktu pengolahan yang memperlambat
performance bagi pengguna. Tanpa klasifikasi data proses
encryption akan mengenkripsi semua data yang mungkin
tidak diperlukan oleh pengguna, dengan klasifikasi data
proses encryption hanya dilakukan pada data yang relevan
sehingga menghemat waktu dan tenaga.
Definisi-definisi berikut menguraikan beberapa level
pengklasifikasian data pada bidang pemerintahan, yang
dikelompokkan dari level terendah hingga level tertinggi.
1 Public Document. Informasi di dalam ranah publik:
laporan tahunan, pendapat media pers yang telah
disetujui karena penggunaan yang publik. Keamanan
pada tingkatan ini adalah minimal.
2 Internal Use Only. Informasi tidak untuk konsumsi
umum di luar organisasi
di mana penyingkapan
akan mempengaruhi organisasi atau manajemen, tetapi
tidak mengakibatkan kerugian keuangan atau kerusakan
serius pada kredibilitas.
3 Moderate. Prosedur-prosedur operasional rutinitas
pekerjaan, perencanaan proyek, desain-desain dan
spesifikasi operasional yang ditempuh oleh organisasi.
Keamanan pada tingkatan ini adalah lebih tinggi.
4 Highly Confidential. Informasi yang dianggap kritis
terhadap kelangsungan operasional organisasi dan
berakibat serius jika diketahui.
5 Paling Rahasia (Top Secret). Ini merupakan level yang
tertinggi dari pengklasifikasian informasi. Penyingkapan
tidak sah dari informasi paling rahasia dapat
menyebabkan masalah fatal terhadap tingkat keamanan
organisasi. Keamanan pada tingkatan ini adalah yang
paling tinggi.
Pada sektor swasta, umumnya menggunakan terminologi
klasifikasi berikut ini :
1. Publik. Informasi ini tidak bersifat rahasia. Informasi
pada kategori ini tidak perlu untuk disebarluaskan,
namun jika harus disingkapkan seharusnya tidak
memberi dampak serius atau negatif terhadap
perusahaan.
2. Sensitif. Informasi pada level sensitif memerlukan satu
tingkat perlindungan yang lebih tinggi. Informasi ini
perlu dilindungi dari hilangnya kerahasiaan dan
integritas akibat pengubahan yang tidak sah.
3. Privat. Informasi dalam kategori ini memiliki sifat
privat, yang digunakan hanya untuk kepentingan
enterprise. Penyingkapan informasi tersebut dapat
berpengaruh buruk terhadap enterprise maupun
karyawan. Sebagai contoh, tingkatan gaji dan informasi
medis pasien.
4. Konfidensial. Informasi dalam kategori konfidensial
dianggap sangat sensitive dan ditujukan untuk
digunakan untuk kepentingan internal enterprise.
Penyingkapan yang tidak sah dapat berdampak serius
dan negatif terhadap enterprise. Sebagai contoh,
informasi tentang pengembangan produk baru, rahasia
perniagaan
dan
negosiasi-negosiasi
kerjasama
diangggap konfidensial.
2.4 Rancangan Siklus Klasifikasi Keamanan
Data
Tahap Persiapan
Menentukan
kebijakan
keamanan data
(data security
policy)
Monitoring & Evaluasi
Risk Analisis
NIST
SP 800-30 US
Rekomendasi
kepada enterprise
Menetapkan
klasifikasi data
Melakukan CBA
Mengamankan tiap level
Gambar 1. Rancanan siklus klasifikasi kemanan data.
2.4.1 Tahap persiapan
Untuk memulai proses, enterprise seharusnya membentuk
tim atau minimal menunjuk orang sebagai information
security officer (ISO) yang bertanggung jawab terhadap
proses implementasi klasifikasi dan keamanan data.
Sebelum implementasi dari program dimulai, ISO harus
menanyakan beberapa permasalahan penting dan
memperoleh jawabannya[9].
Apakah ada eksekutif yang mensponsori proyek ini?
Dukungan eksekutif yang dihormati enterprise yang dapat
menjelaskan posisi ISO atau manager proyek kepada para
eksekutif lainnya dan pimpinan departemen akan membantu
kelancaran proyek.
Apa yang dilindungi dan dari apa?
ISO harus mengembangkan matriks tentang analisis
ancaman dan resiko untuk menentukan apa yang
mengancam informasi enterprise. Matriks ini memberikan
masukan untuk analisis dampak bisnis dan merupakan
3
permulaan dari rencana untuk menentukan klasifikasi nyata
dari data.
Apakah ada peraturan sebagai bahan pertimbangan?
Peraturan akan memberikan dampak pada rencana
klasifikasi data, jika tidak pada klasifikasi data, minimal
pada kontrol yang digunakan untuk melindungi atau
menyediakan untuk informasi yang diatur.
Apakah bisnis telah memilki tanggungjawab kepemilikan
terhadap data?
Pemilik data bukan departemen TI tetapi maneger bisnis.
Keputusan mengenai siapa yang mempunyai akses apa,
klasifikasi data yang seharusnya ditetapkan dan hal lainnya
hanya ditentukan oleh pemilik data. TI menyediakan
teknologi dan proses untuk mengimplementasikan
ketentuan dari pemilik data, tetapi tidak dilibatkan dalam
proses pengambilan keputusan.
Apakah sumber daya yang tersedia cukup untuk lakukan
proyek awal?
Jika menginginkan proyek ini sukses. ISO seharusnya tidak
melakukannya sendiri, sponsor eksekutif dapat menjadi
nilai yang luar biasa dalam memperoleh sumber daya
seperti tenaga dan pembiayaan untuk proyek ini dimana
ISO tidak dapat melakukannya. Menetapkan proses,
prosedur dan tools untuk implementasi yang baik,
merumuskan klasifikasi data dengan baik memerlukan
biaya, waktu dan personil yang berdedikasi.
2.4.2 Menentukan kebijakan
Salah satu aspek yang penting dalam menetapkan rencana
klasifikasi data adalah kebijakan keamanan data. Kebijakan
ini memberikan otoritas kepada ISO untuk memulai proyek,
mencari executive sponsorship, memperoleh dana dan
dukungan lain untuk usaha itu. Kebijakan enterprise
terhadap keamanan data berfokus pada :
 Memberikan gambaran bahwa data merupakan aset dari
unit bisnis;
 Menyampaikan bahwa para manager adalah pemilik dari
data dan informasi;
 Menetapkan system informasi yang melindungi
informasi enterprise;
 Menjelaskan peran dan tanggungjawab semua pihak
yang dilibatkan dalam hal kepemilikan dan klasifikasi
data;
 Mendefinisikan dan menetapkan klasifikasi dan
kriterianya masing-masing;
 Menentukan ruang lingkup dari masing-masing
klasifikasi.
2.4.3 Melakukan analisis resiko
Resiko adalah kemungkinan dampak negatif terhadapa
enterprise yang akan terjadi dari suatu sumber ancaman dan
kelemahan dari sistem.
Ada 9 langkah utama dalam melakukan penilaian terhadap
resiko yang dapat dilihat pada flowchart berikut ini[8] :
Masukan
Aktifitas pengukuran resiko
- Hardware
- Software
- Interface
- Data & informasi
- Misi sistem
Langkah 1
Karekteristik
sistem
keluaran
- Batasan sistem
- Fungsi sistem
- Data kritis
- Data sensitif
- Sejarah serangan
- Media massa
Langkah 2
Identifikasi
Ancaman
Statement
ancaman
- Laporan
- Komentar audit
- Test keamanan
Langkah 3
Identifikasi
Kelemahan
Daftar kelemahan
yang potensial
- Kontrol sekarang
- Rencana kontrol
Langkah 4
Analisis Kontrol
Daftar kontrol
sekarang dan
rencana
Langkah 5
Penentuan
kemungkinan
Rating dari
Kemungkinan
- Motivasi sumber
ancaman
- Kapasitas ancaman
- Kelemahan
- kontrol
- Analisis dampak misi
- Penilaian aset kritis
- ancaman
- dampak terbesar
- rencana kontrol
Langkah 6
Impact Analysis
CIA
Rating dari dampak
Langkah 7
Penentuan resiko
Tingkat resiko
Langkah 8
Rekomendasi kontrol
Langkah 9
Dokumentasi hasil
rekomendasi
Laporan
penilaian resiko
Gambar 2. Aktivitas penilaian resiko.
Hasil analisis resiko ini akan dijadikan acuan untuk :
 menentukan setiap data masuk dalam level klasifikasi
yang mana;
 bahan pertimbangan untuk menentukan tindakan
pengamanan dari setiap ancaman;
 mengantisipasi kelemahan system.
2.4.4 Menetapkan data pada masing-masing level
Setelah penilaian resiko dilakukan, maka harus dibuat :
 matriks yang menunjukkan ancaman setiap data;
 matriks yang menunjukkan kelemahan dari sistem;
 matriks yang menunjukkan nilai dari data;
 matriks yang menunjukkan nilai efektifitask kontrol;
 matrik yang menunjukkan tingkat resiko;
 menentukan level klasifikasi masing-masing data sesuai
dengan matriks hasil penilaian resiko;
Formulasi dalam menentukan tingkat resiko :
(1)
(2)
(3)
(4)
4
Keterangan :
 ERci = Exposure rating of confidentiality or integrity (1
-5)
 ERa = Exposure rating of availability (1-5)
 EF = Exposure faktor (20%, 40%, 60%, 80%, 100%)
 Va = Value asset (nilai aset)
 V = Vulnerability (Kelemahan 1, 3, 5)
 CE = Control effectiveness (efektifitas kontrol 0 - 5)
 VR = Vulnerability Rating (Tingkat kelemahan 0 - 10)
 IR = Impact rating (tingkat dampak 1 - 10)
 RL = Risk level (Tingkat resiko 1 – 100)
Data & Informasi
Risk Analysis
perancangan arsitektur pengamanan data sesuai dengan
level klasifikasinya.
2.4.8 Melakukan pengawasan dan evaluasi
Untuk menjaga kesinambungan sistem klasifikasi data,
maka perlu diterapkan pengawasan proses yang
berkelanjutan. Departemen/unit pengawasan internal
mengorganisir kegiatan ini untuk memastikan pemenuhan
dengan kebijakan dan prosedur ditetapkan.
Pemilik informasi secara periodik meninjau ulang data
untuk memastikan bahwa klasifikasinya masih sesuai,
memastikan hak akses sesuai tanggungjawab dan
pekerjaanya dan kontrol keamanan pada setiap level
klasifikasi ditinjau untuk memastikan kesesuaian dengan
yang telah didefinisikan.
3. PENUTUP
Nilai Aset
Nilai Ancaman
Nilai
Kelemahan
Dampak
Nilai
Kontrol
Kemungkinan
Matriks Tingkat Resiko
Matriks Klasifikasi Data
Gambar 3. Flowchart klasifikasi data.
2.4.5 Melakukan tindakan pengamanan
Hal terpenting yang perlu diperhatikan bahwa kontrol harus
didesain dan diimplementasikan untuk data dan informasi
serta software yang digunakan untuk mengelolanya,
memiliki porsi yang berbeda untuk setiap level klasifikasi.
2.4.6 Melakukan analisis manfaat dan biaya
Beberapa aspek yang diukur terkait dengan pembiayaan
antar lain :
 Exposure Factor (EF). Merepresentasikan kerugian
yang dipengaruhi oleh suatu peristiwa ancaman terhadap
suatu aset spesifik.
 Perkiraan Kerugian Tunggal (SLE). Suatu perkiraan
kerugian tunggal adalah nilai uang yang diberikan
terhadap suatu peristiwa tunggal. Rumusannya sebagai
berikut :
.
(5)
 Tingkat Kejadian Gabungan (ARO: Annualized Rate
of Occurrence). Tingkat Kejadian Gabungan adalah
suatu angka yang merepresentasikan perkiraan frekuensi
dari kejadian suatu ancaman.
 Perkiraan Kerugian Gabungan (ALE). Merupakan
perkiraan kerugian keuangan per tahun
yang
diakibatkan oleh suatu ancaman yang diperoleh dari
rumusan sebagai berikut:
(6)
2.4.7 Merekomendasikan kepada enterprise
Dokumentasi proses yang telah dilakukan dibuat dalam
bentuk draft untuk direkomendasikan kepada enterprise
yang dapat dijadikan acuan dalam melakukan implementasi
Rancangan siklus klasifikasi keamanan data dapat dijadikan
acuan oleh enterprise dalam melakukan proses klasifikasi
dan pengamanan data pada masing-masing level yang telah
diklasifikasikan sehingga kegiatan bisnis enterprise tersebut
dapat berjalan dengan lancar karena jaminan kemanan
datanya telah dilakukan. Proses ini harus terus dilakukan
dan dievaluasi secara kontinyu karena misi enterprise dan
data yang dikelola kemungkinanan akan mengalami
perubahan sesusai dengan kebijakan yang ditentukan.
Hasil pengujian yang dilakukan menunjukkan bahwa,
rancangan siklus klasifikasi keamanan data dapat
diimplementasikan pada model enterprise (Bank XYZ).
4. DAFTAR PUSTAKA
[1] Caralli, Richard A.(2004), Managing for Enterprise Security,
Networked Systems Survivability Program.
[2] Carlson, Tom (2001), Information Security Management
Understanding ISO 17799, CISSP Lucent Technologies Worldwide
Services.
[3] Gordon, Lawrence A.; Loeb, Martin P.; Lucyshyn, William and
Richardson, Robert (2006), Computer Crime and Security Survey,
CSI/FBI.
[4] Krutz, Ronald L. and Vines, Russell Dean (2001), The CISSP Prep
Guide—Mastering the Ten Domains of Computer Security, John Wiley
& Sons, Inc.
[5] Microsoft Solutions for Security and Compliance and Microsoft
Security Center of Excellence (2006), The Security Risk Management
Guide,
©
Microsoft
Corporation,
http://creativecommons.org/licenses/by-nc/2.5/.
[6] Peltier, Thomas R; Peltier, Justin; Blackley John (2005), Information
Security Fundamentals, CRC Press LLC.
[7] Simpson, Nik (2006), Building a Scalable Enterprise-Class Data
Classification
System,
http://www.scentric.com/pdf/Data_Classification_Systems.pdf.
[8] Stoneburner Gary, Goguen Alice and Feringa, Alexis (2002), Risk
Management Guide for Information Technology Systems,
Recommendations of the National Institute of Standards and
Technology.
[9] Tipton, Harold F. and Krause, Micki (2004), Information Security
Management Handbook, CRC Press LLC, Fifth Edition.
[10] _________ (2006), Information Breaches Survey 2006, The
Department of Trade and Industry U.K, Price waterhouse Coopers.
[11] _________(2005), Information Technology – Security Techniques –
Information Security Management System – Requirements,
International Standard ISO/IEC 27001, first edition.
5
6
Download