Yang pertama,
“Hasil dari audit menyatakan 100 aset masuk kategori kritikal, 350 masuk kategori medium, dan 500 masuk kategori minimum. Khusus untuk kritikal solusinya adalah harus segera di patch, jika tidak maka akan beresiko di hack dan merugikan perusahaan anda”.
Yang kedua,
“Hasil dari audit menyatakan resiko total loss yang akan dialami oleh perusahaan anda sebesar 3.5 Milyar. Dengan mekanisme kontrol yang telah diimplementasikan saat ini resiko total loss tersebut menjadi 1.5M, namun mekanisme kontrol dapat ditingkatkan dengan menambah investasi implementasi monitoring menggunakan SOC sehingga resiko total loss bisa diminimalisir hingga 500 juta”
Auditor yang berpengalaman biasanya akan menjawab pernyataan kedua lebih baik untuk diformulasikan dan disampaikan kepada stakeholder. Dengan demikian para stakeholder tersebut memiliki fondasi kuat untuk menentukan action apa yang perlu segera dilakukan dalam meningkatkan postur keamanan perusahaannya sehingga dapat meminimalisir resiko atas insiden keamanan.
Bukan berarti mereka hanya mikirin masalah duit ya, namun memang semakin tinggi posisi dalam perusahaan mereka menjadi penentu kebijakan yang berhubungan dengan monetary, funding, dan investasi.
Para stakeholder umumnya memegang peranan penting dalam menentukan budget perusahaan dialokasikan untuk apa agar dapat meningkatkan profitabilitas. Ada banyak sekali hal yang harus menjadi pertimbangan mereka seperti peningkatan Sumber Daya Manusia, peningkatan teknologi, peningkatan alur mekanisme operasional sehingga lebih efektif, peningkatan strategi penjualan, dsb.
IT security tentu saja termasuk didalamnya. Dampak dari insiden IT security akan mengganggu banyak aspek dalam perusahaan seperti misalnya resiko terjadinya ransomware dapat menggangu operasional perusahaan sehingga berhenti, data-data penting hilang, dsb sehingga menjadi loss bagi perusahaan.
Potensi loss-nya itu harus menjadi pertimbangan didalam kepala para stakeholder sehingga ujung-ujungnya adalah berapa banyak budget yang harus mereka persiapkan agar loss tersebut diminimalisir atau bahkan klo bisa dihilangkan sama sekali.
Sebagai pihak auditor maka sudah seharusnya mampu memberikan pernyataan hasil yang lebih komprehensif kepada para stakeholder tersebut. Disinilah letak pentingnya kemampuan mengkuantifikasi resiko bagi seorang auditor.
Pertanyaannya, bagaimanakah caranya mengkuantifikasi resiko dari kualifikasi resiko agar dapat diformulasikan dan dipertanggungjawabkan kepada pihak stakeholder?
Kualifikasi dan Kuantifikasi
Tulisan ini sejatinya adalah lanjutan dari tulisan sebelumnya.
MR Sahputra
“Vijay, katakanlah saya memiliki sebuah data lake berisi ragam informasi terkait vulnerability dan juga trend vulnerability. Saya ingin mengkuantifikasi resiko dari data-data tersebut untuk kemudian diformulasikan dan divisualisasikan kepada stakeholder terutama manajemen di sisi client sehingga mereka bisa melihat seberapa besar resiko atas aset-aset mereka dari serangan siber dan bagaimana langkah-langkah yang harus dilakukan dari sekian banyak opsi untuk segera menurunkan tingkat resiko tersebut?”
Karena akan dimasukan kedalam sebuah aplikasi maka dalam mengkuantifikasi resiko saya harus menemukan cara dimana didalamnya melibatkan scientific calculations, jadi bukan hanya main perasaan saja atau kalkulasi tanpa ada dasar kuat sebelumnya. Harus ada perhitungan matematis berdasarkan fakta yang dijadikan rujukan sehingga bisa mengeluarkan formulasi resiko dalam bentuk angka.
Proses pencarian tersebut pada akhirnya membawa saya pada framework FAIR (Factor Analysis of Information Risk).
FAIR adalah sebuah framework yang dikembangkan oleh Jack A. Jones untuk mengkuantifikasi resiko teknologi informasi.
Pada dasarnya framework tersebut dapat diimplementasikan untuk beragam hal diluar teknologi informasi karena FAIR memberikan paradigma tersendiri dalam hal resiko, namun karena pembuatnya memiliki latar belakang cukup kuat dalam resiko dunia IT Security maka sangat cocok untuk di implementasikan pada penilaian resiko IT Security.
Saya sangat menyarankan pembaca untuk mencari dan membaca bukunya: “Measuring And Managing Information Risk”, dimana didalamnya bukan saja mengajarkan bagaimana tata cara menggunakan framework FAIR namun juga disertai banyak sekali informasi serta contoh-contoh kasus yang akan mengubah paradigma pembaca terkait resiko dan bagaimana manajemen resiko.
Note: Tidak harus beli bukunya, dengan sedikit googling bisa dapat dengan mudah pdf-nya 🤫🤭.
Selain membaca buku tersebut, ada beberapa tulisan lain terkait FAIR yang dapat menjadi rujukan, salah satunya adalah tulisan dari Mario Platt.
Mario menggunakan contoh resiko ransomware melalui seri tulisan berikut ini,
Quantitative Risk Management with FAIR — Evaluate Loss Event Frequency
Quantitative Risk Management with FAIR — Evaluate Loss Magnitude
The assumptions to this scenario are:
- All 30 Desktop PCs are infected with Ransomware.
- The 3 teams completely lose the ability to be productive whilst recovery is on-going
- Incident response takes 7h to fully understand the scenario and operational implications. 3 Incident Managers are dedicated to this, each costing £80/hour
- 5 days worth of Forensics and Emergency Responders are required. 2 resources at a cost of £2000/daily are assigned
- Rebuilding 30 Desktops takes 3h per Desktop. 3 IT technicians are assigned to the activity. 90h worth of effort divided by 3 technicians, is 30h which divided by 8 working hours is circa 4 days worth of effort, and a cost of 90h x £30 =£2700
- Restoring the available backups to Collaboration drives is unsuccessful. An incomplete data set is re-built with the help of external parties and best efforts and a significant amount of data is unrecoverable.
- PR costs will amount fo 20 days worth of a PR specialist, costing £450/day
- 7h of initial incident response + 4 days (32h) of Desktop restore implies neither of the 3 teams can perform any work whilst recovery is on-going. They then recover to a 60% capacity as long term absence of data takes additional operational toll. As the teams cost £8000/hour, this implies a direct impact £312.000. We then have a situation where the teams are only 50% productive (as some capacity is used on rebuilding incomplete dataset) for 22 working days, which results in an additional impact of £704.000
Tulisan dari Mario cukup jelas sehingga tidak perlu diulas lebih jauh lagi dan saya sangat menyarankan pembaca yang tertarik untuk mempelejari FAIR membaca terlebih dahulu tulisan Mario sebagai perkenalan sebelum mempelajari lebih dalam dari buku diatas.
In my humble opinion, framework FAIR itu sendiri akan sangat bermanfaat bagi para IT security auditor. Dari sudut pandang saya pribadi, framework FAIR akan meningkatkan kualitas seorang security auditor sehingga dapat mengkomunikasikan dengan lebih baik lagi hasil teknis audit keamanan bagi para stakeholder. Sehingga bukan hanya sekedar CVSS lagi yang ditampilkan kepada mereka, namun sebuah laporan komprehensif menyangkut bisnis perusahaan yang dapat segera ditindaklanjuti dengan justifikasi kuat berdasarkan perhitungan matematis yang dapat dipertanggungjawabkan.
Sebagaimana disampaikan oleh rekan saya — Matdhule, dalam acara ECHO talk beberapa bulan lalu.
Consultant are being paid for consulting, and solving problems
Bukan malah menambah masalah client dengan jargon-jargon tidak dikenal.
Bagi tim IT security perusahaan pun framework FAIR dapat dimanfaatkan untuk mengkomunikasikan hasil audit IT security. Sebagaimana kita ketahui bahwa dalam sebuah perusahaan ada jenjang karir, mulai dari tim teknis, manajemen, middle-management, hingga higher management.
Telah disinggung diatas bahwa semakin tinggi posisi dalam perusahaan maka individu ataupun tim bertanggung jawab atas keputusan yang akan mempengaruhi kelangsungan hidup perusahaan. Katakanlah sebuah posisi middle-management dengan menggunakan framework FAIR dapat membantu pihak eksekutif diatasnya dalam mengkomunikasikan esensi dari audit IT security sehingga membantu mereka menentukan investasi barang atau jasa bagi perusahaan dalam rangka menentukan meningkatkan postur IT security perusahaan. Dengan demikian keputusan investasinya pada IT security tidak akan sia-sia.
So, happy quantifying your IT security risk 😊
Member discussion