Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • 1. Validasi Perbaikan
  • 2. Pelaporan
  • a) Laporan kepada CSIRT Nasional
  • b) Laporan kepada customer dan publik
  1. BAB V. Siklus Manajemen Kerentanan di Indonesia

E. Tahap Verifikasi

1. Validasi Perbaikan

Setelah proses remediasi atau mitigasi dilakukan, perlu pengujian kembali kerentanan yang ditemukan melalui kegiatan validasi. Validasi perbaikan bertujuan untuk memastikan bahwa kerentanan sudah berhasil ditangani dan tidak menimbulkan masalah baru (ISO, 2019). Ketika melakukan validasi ternyata perbaikan gagal, maka tahapan remediasi atau mitigasi harus diulang kembali.

2. Pelaporan

Pelaporan adalah salah satu komponen penting dari rangkaian proses manajemen kerentanan. Pemanfaatan manajemen kerentanan dapat memberikan beragam jenis laporan sesuai dengan kebutuhan penerima laporan. Dalam sebuah laporan dapat berisikan penjelasan data-data yang terkandung dalam laporan, bagaimana nilai-nilai data pada laporan diperoleh atau dihitung dan pendefinisian pengguna yang menggunakan laporan (Kissoon, 2022). Dalam pelaporan, Tim CSIRT menganalisis dan menginterpretasikan data tentang kerentanan terbaru yang ditemukan. Data tersebut dilaporkan untuk digunakan dalam pengambilan keputusan strategis. Laporan ini memuat informasi terkait nama kerentanan, waktu ditemukannya kerentanan, deskripsi terkait kerentanan, remediasi dan tindak lanjut yang sudah dilakukan dan tujuan penerima laporan dengan cara dan format yang dapat dipahami (FIRST, 2023).

Dalam langkah pelaporan, pengiriman laporan dilakukan kepada pihak terkait baik dalam internal organisasi dan pihak eksternal yang terkena dampak kerentanan tersebut. Pihak internal organisasi utamanya ditujukan kepada pimpinan organisasi dan dilakukan sesegera mungkin setelah kerentanan ditemukan. Selain itu, laporan juga dapat dikirimkan terhadap pihak eksternal sebagai berikut (Guidelines for Cyber Security Incidents, 2024):

a) Laporan kepada CSIRT Nasional

BSSN sebagai CSIRT Nasional memiliki kanal aduan siber untuk menerima laporan kerentanan dan memberikan asistensi penanganan kerentanan. CSIRT sektoral dan/atau CSIRT organisasi dihimbau untuk melakukan koordinasi terkait laporan tersebut kepada BSSN. Laporan ini juga digunakan oleh BSSN untuk mengidentifikasi dan menganalisis tren kerentanan yang terdapat di Indonesia.

b) Laporan kepada customer dan publik

Pelaporan kerentanan kepada customer dan publik dalam kurun waktu tertentu setelah ditemukan kerentanan menunjukkan komitmen organisasi terhadap penanganan kerentanan tersebut. Kerentanan yang menyangkut perangkat keras, perangkat lunak, maupun informasi terkait customer dan publik harus segera dilaporkan untuk dapat dilakukan tindak lanjut terhadap pihak yang terdampak.

CSIRT dihimbau untuk dapat berbagi informasi dengan organisasi lain dengan aman [29]. Proses pengiriman laporan memerlukan saluran komunikasi yang aman untuk menjamin aspek kerahasiaan, integritas, autentikasi, dan nirsangkal. Selain itu, proses pengiriman laporan juga harus mempertimbangkan kebijakan keamanan organisasi yang berlaku. Saluran komunikasi yang digunakan disesuaikan dengan kebutuhan organisasi dan pemilik sistem. Semua informasi yang didistribusikan harus diberi klasifikasi informasi sesuai dengan kebijakan berbagi informasi.

Pengguna laporan ditentukan berdasarkan tahap identifikasi yang terdiri dari identifikasi kerentanan (VA/PT) dan laporan kerentanan (Call Center, Vulnerability Disclosure Program, Vendor Advisory dan Threat Inteligence Feeds) sebagaimana digambrkan dalam tabel 3.

Tabel 3. Penerima laporan

No.

Identifikasi VM

Feedback Laporan

Keterangan

1

VA/PT

Pelaksana VA/PT

Laporan yang dikirimkan merupakan validasi atas temuan kerentanan dan remediasi terhadap kerentanan yang ditemukan.

2

Call Center/VDP

Pelapor

Laporan yang dikirimkan merupakan validasi atas temuan kerentanan dan pemberian reward atau bounty

3

Vendor Advisory

Pemilik Sistem dan eksternal terdampak

Laporan ditujukan terhadap organisasi atau individu yang memiliki kesamaan aset terdampak

4

Cyber Threats Inteligence Feeds

Pemilik Sistem

Laporan ditujukan terhadap organisasi atau individu yang memiliki kesamaan aset terdampak

Klasifikasi informasi laporan mengacu pada konsep Traffic Light Protocol (TLP). TLP merupakan standar klasifikasi informasi yang dikeluarkan oleh FIRST (CISA, 2024). TLP ini digunakan untuk memfasilitasi pembagian informasi sensitif agar dapat didistribusikan dan dimanfaatkan secara tepat dan aman. TLP memiliki 4 (empat) label yaitu TLP:RED, TLP:AMBER+STRICT, TLP:AMBER, TLP:GREEN, dan TLP:CLEAR[30].

1) TLP:RED

TLP ini digunakan untuk laporan yang memerlukan tindak lanjut dengan informasi sangat sensitif, seperti yang berkaitan dengan privasi, reputasi, atau proses bisnis organisasi. Laporan dengan klasifikasi TLP ini hanya boleh disampaikan kepada penerima yang dituju.

2) TLP:AMBER+STRICT

TLP ini diterapkan pada laporan yang memerlukan tindak lanjut dengan informasi yang berisiko terhadap privasi, reputasi, dan proses bisnis organisasi jika dibagikan di luar organisasi. TLP ini umumnya digunakan untuk kebutuhan internal organisasi guna mendukung operasional dan kepentingan organisasi tersebut.

3) TLP:AMBER

TLP ini diberlakukan untuk laporan yang memerlukan tindak lanjut dengan informasi yang menimbulkan risiko terkait privasi, reputasi, dan proses bisnis organisasi jika dibagikan di luar organisasi dan kepada klien lain yang terkait dengan organisasi. TLP ini biasanya digunakan untuk internal organisasi dan klien terkait untuk mencegah dampak yang lebih meluas.

4) TLP:GREEN

TLP ini dipakai untuk laporan yang berguna dalam rangka peningkatan kesadaran keamanan dalam suatu komunitas. TLP ini dapat digunakan untuk berbagi informasi antar organisasi dalam komunitas yang sama namun dibagikan melalui saluran komunikasi tertentu.

5) TLP:CLEAR

TLP ini digunakan untuk laporan yang tidak mengandung informasi sensitif dan dapat didistribusikan sesuai prosedur publik. Dokumen dengan TLP ini dapat disebarluaskan secara bebas tanpa pembatasan khusus.

[29] https://www.first.org/standards/frameworks/csirts/csirt_services_framework_v2.1 :: 6.5

[30] https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage

PreviousD. Tahap PenangananNextF. Tahap Evaluasi

Last updated 3 months ago

Gambar 17. Traffic Light Protocol (TLP)