Kajian Ketahanan Siber - Manajemen Kerentanan
  • Cover
  • Tim Redaksi
  • Kata Pengantar
  • Kata Sambutan
    • Sambutan Kepala Badan Siber dan Sandi Negara - Letjen TNI (Purn) Hinsa Siburian
    • Sambutan Deputi Bidang Operasi Keamanan Siber dan Sandi - Mayjen TNI Dominggus Pakel, S.Sos. M.M.S.I
  • Prakata
    • Prakata - Direktur Operasi Keamanan Siber - Andi Yusuf, M.T.
    • Direktur Politeknik Siber dan Sandi Negara - Marsekal Pertama TNI R. Tjahjo Khurniawan S.T, M.Si
  • Ringkasan Eksekutif
  • BAB I. Latar Belakang
    • A. Lanskap Keamanan Siber Indonesia
    • B. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
    • C. Urgensi Manajemen Kerentanan di Indonesia
  • BAB II. Dasar Hukum Keamanan Sistem Elektronik
    • Dasar Hukum Keamanan Sistem Elektronik
  • BAB III. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • A. Kerangka Kerja Manajemen Kerentanan di Indonesia
    • B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional
    • C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional
  • BAB IV. Benchmark Organisasi dan Tata Kelola Terkait Manajemen Kerentanan
    • A. Benchmark Organisasi dalam Praktik Manajemen Kerentanan
    • B. Standar Internasional dan Panduan Praktik Tata Kelola Manajemen Kerentanan
  • BAB V. Siklus Manajemen Kerentanan di Indonesia
    • A. Gambaran Umum Program Manajemen Kerentanan
    • B. Tahap Identifikasi
    • C. Tahap Prioritisasi
    • D. Tahap Penanganan
    • E. Tahap Verifikasi
    • F. Tahap Evaluasi
  • BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • Strategi Penerapan Manajemen Kerentanan pada Organisasi
    • A. Tahap Identifikasi
    • B. Tahap Prioritisasi
    • C. Tahap Penanganan
    • D. Tahap Verifikasi
    • E. Tahap Evaluasi
  • BAB VII. Pengembangan Bakat Terkait Manajemen Kerentanan
    • A. Peta Okupasi
    • B. Kursus/sertifikasi Terkait
    • C. Kode Etik Pegiat Keamanan Siber
  • BAB VIII. Kesimpulan dan Rekomendasi
    • A. Kesimpulan
    • B. Rekomendasi
  • Daftar Pustaka
Powered by GitBook
On this page
  • 1. Identifikasi Aset
  • 2. Identifikasi Kerentanan
  • 3. Laporan Kerentanan
  1. BAB VI. Strategi Penerapan Manajemen Kerentanan pada Organisasi

A. Tahap Identifikasi

1. Identifikasi Aset

Langkah identifikasi pertama yang harus dilakukan TTIS adalah melakukan identifikasi aset yang dimiliki. Identifikasi aset dapat dilakukan dengan langkah-langkah sebagai berikut:

a) Menyusun kebijakan terkait proses identifikasi aset.

b) Menyusun risk register aset yang dimiliki.

c) Melakukan identifikasi aset perangkat keras dan perangkat lunak. Informasi yang dikumpulkan merupakan informasi yang relevan untuk digunakan seperti:

- Aset internal dan eksternal;

- Lingkungan aset yang bersifat production, testing, dan development;

- Pemilik perangkat TI dan informasi;

- Spesifikasi perangkat keras dan lunak;

- Dokumentasi proses bisnis;

- Analisis dampak gangguan terhadap aset.

d) Apabila memungkinkan, identifikasi aset juga dapat dilakukan secara otomatis menggunakan agent yang dipasang dalam perangkat host atau jaringan.

e) Mengelompokkan aset berdasarkan klasifikasi dan tingkat kategori keamanan menurut aspek CIA.

f) Melakukan pembaruan secara berkala pada inventaris aset. Pembaruan ini bisa dilaksanakan tiap jangka waktu tertentu sesuai kebutuhan organisasi.

2. Identifikasi Kerentanan

Dalam pelaksanaan identifikasi kerentanan, TTIS dapat membagi proses tersebut menjadi tiga tahap yaitu tahap Pra Pelaksanaan, Pelaksanaan, dan Pasca Pelaksanaan. Tiap tahapan dilakukan agar proses identifikasi kerentanan berjalan secara efektif dan sistematis. Tahap Pra Pelaksanaan memiliki tujuan sebagai berikut:

a) Menentukan tim penguji dan waktu identifikasi kerentanan pada sistem elektronik. Tim penguji terdiri dari Ketua dan anggota tim penguji. Ketua tim bertugas untuk mengoordinasikan pelaksanaan identifikasi kerentanan dan anggota tim penguji.

b) Menentukan ruang lingkup identifikasi kerentanan pada sistem elektronik. Ruang lingkup sistem elektronik yang diuji merupakan kesepakatan antara pemilik sistem elektronik dan penguji.

c) Penandatanganan perjanjian kerahasiaan antara pemilik sistem elektronik dan tim penguji sebagai dasar hukum yang mengikat kedua belah pihak.

d) Menentukan jenis identifikasi kerentanan. Jika membutuhkan pengujian untuk keperluan identifikasi kerentanan harian, maka dapat menggunakan VA. Sedangkan PT dapat dipilih ketika menguji sistem baru, perubahan konfigurasi yang cukup banyak, atau dilakukan setahun sekali.

e) Menentukan kebutuhan dan metode identifikasi kerentanan pada sistem elektronik. Metode yang dapat dipilih adalah metode black-box, gray-box, atau white-box. Dari metode yang ditentukan, akan diidentifikasi kebutuhan tools dan informasi apa saja yang dibutuhkan.

f) Memastikan kesiapan pengujian. Sistem elektronik dipastikan sudah siap untuk dilakukan pengujian dengan memerhatikan risiko yang mungkin berdampak.

Pada Tahap Pelaksanaan, dilakukan serangkaian metodologi pengujian keamanan pada ruang lingkup yang telah ditentukan sebelumnya. Tahap pelaksanaan identifikasi kerentanan pada sistem elektronik dilaksanakan dengan memperhatikan hal-hal berikut:

a) Dilaksanakan kick-off meeting pada awal pelaksanaan sesuai dengan waktu yang telah disepakati. Kick off meeting menjadi penanda dimulainya proses identifikasi kerentanan pada sistem elektronik yang ditentukan.

b) Pencarian kerentanan dilaksanakan sesuai dengan metodologi dan ruang lingkup yang telah ditentukan. Penguji dapat menggunakan metodologi yang sudah ada seperti OWASP, OSSTMM, NIST, PTES, atau ISSAF.

c) Penguji melakukan eksploitasi pada kerentanan yang ditemukan. Kerentanan yang teridentifikasi maka harus dilakukan pembuktian (Proof of Concept).

d) Tim penguji melakukan dokumentasi pada kerentanan yang ditemukan.

Tahap terakhir pada proses identifikasi kerentanan adalah tahap pasca pelaksanaan. Pada tahap ini, dilakukan evaluasi hasil temuan serta penutupan proses pengujian. Tahap pasca pelaksanaan bertujuan untuk memastikan bahwa semua kerentanan yang ditemukan telah didokumentasikan dengan baik, solusi telah disiapkan, dan rekomendasi mitigasi diberikan kepada pemilik sistem. Berikut adalah langkah-langkah yang dapat dilakukan pada tahap pasca pelaksanaan:

a) Melakukan reviu dan penilaian kerentanan yang telah ditemukan dan pengklasifikasian kerentanan seperti kritis, tinggi, sedang, rendah, atau hanya sebatas informasi. Penilaian tingkat kerentanan dapat menggunakan alat seperti CVSS.

b) Menyiapkan laporan yang mencakup deskripsi kerentanan, dampak yang mungkin terjadi jika kerentanan tersebut tereksploitasi, serta rekomendasi remediasi kerentanan.

c) Memaparkan hasil temuan kerentanan dan memastikan bahwa kerentanan kritis tersampaikan kepada pemilik sistem elektronik untuk dilakukan tindakan remediasi secepatnya.

d) Menyerahkan laporan akhir temuan hasil pencarian kerentanan yang telah disahkan kepada pemilik sistem, disertai dengan saran perbaikan dan rekomendasi jangka panjang untuk meningkatkan keamanan sistem.

Setelah seluruh tahapan ini dilalui, TTIS dapat menyusun strategi untuk meminimalkan risiko serupa di masa mendatang dengan memperbarui kebijakan keamanan dan melaksanakan pengujian berkala.

3. Laporan Kerentanan

TTIS perlu memiliki jalur komunikasi atau kontak yang dapat dihubungi oleh pihak eksternal dalam melaporkan kerentanan dari sistem yang dikelola. Jalur komunikasi laporan kerentanan dapat berupa call center atau dapat berbentuk penyelenggaran program Pengungkapan Kerentanan. Pada struktur TTIS, fungsi ini diampu oleh Unit Penanganan Kerentanan. Penjelasan tentang laporan kerentanan dapat merujuk pada subbagian tentang laporan kerentanan.

PreviousStrategi Penerapan Manajemen Kerentanan pada OrganisasiNextB. Tahap Prioritisasi

Last updated 3 months ago