1. ISO
27001
ISO/IEC 27001 adalah
standar SMKI yang diterbitkan pada Oktober 2005 oleh International Organization
for Standarization dan International Electrotechnical Commission. Standar ini
menggantikan BS-77992:2002. ISO/IEC 27001: 2005 mencakup semua jenis organisasi
(seperti perusahaan swasta, lembaga pemerintahan, dan juga lembaga nirlaba).
ISO/IEC 27001: 2005
berisi penjelasan tentang syarat-syarat untuk membuat, menerapkan,
melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan
SMKI dalam konteks resiko bisnis organisasi. SMKI yang baik akan membantu
memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan
melindungi proses bisnis yang penting agar terhindar dari resiko
kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi
(Syafrizal, 2009). Implementasi SMKI juga akan memberikan jaminan pemulihan
operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak
lama.
Dalam ISO 27001 ada 11
aspek atau yang biasa disebut sebagai clauses, dimana di dalamnya terbagi lagi
menjadi 133 kontrol yang harus ada dalam setiap perusahaan dalam usahanya
mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah
hal-hal berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai
alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep
keamanan informasi.
2. Bayesian
network
Bayesian network atau
bayesian belief network dikenal juga dengan sebutan belief networks, causal
probabilistic networks, causal nets, graphical probability networks, dan
probabilistic infuence diagrams (Olmus, 2004). Bayesian network (BN) adalah
sebuah probabilistic graphical model (PGM) dengan busur berarah yang digunakan
untuk merepresentasikan pengetahuan tentang hubungan kebergantungan
(dependency) atau kebebasan (independency) diantara variabel-variabel dari
domain persoalan yang dimodelkan. BN terdiri dari dua bagian utama, yaitu
bagian struktur graf dan himpunan parameter. Kedua bagian BN tersebut
dijelaskan sebagai berikut:
a. Struktur
graf
Struktur graf BN disebut
dengan directed acyclic graph (DAG) yaitu graf berarah tanpa siklus. DAG
terdiri dari simpul dan busur. Simpul merepresentasikan variabel acak, dan
busur merepresentasikan adanya hubungan kebergantungan langsung (dapat pula
diinterpretasikan sebagai pengaruh (sebab akibat) langsung, di antara variabel
yang dihubungkannya. Tidak adanya busur menandakan adanya kebebasan kondisional
di antara variabel. Struktur BN disebut juga sebagai representasi kualitatif
yang menyatakan keterhubungan di antara variabel-variabel yang dimodelkan.
b. Himpunan
parameter
Himpunan parameter
mendefinisikan distribusi probabilitas kondisional untuk setiap variabel.
Setiap variabel acak direpresentasikan oleh sebuah simpul. Pada setiap simpul
terdapat tabel yang berisikan distribusi probabilitas kondisional yang disebut
dengan conditional probability table (CPT). Pada setiap sel dari tabel tersebut
berisikan probabilitas kondisional dari nilai-nilai simpul yang diwakilinya
jika diketahui setiap kombinasi nilai semua simpul parent kecuali pada akar
(root). Himpunan parameter disebut juga sebagai representasi kuantitatif yang
menyatakan nilai probabilistik pada variabel-variabel yang dimodelkan
c. Cosine similarity
Cosine similarity adalah
salah satu metode perhitungan similarity yang paling populer untuk diterapkan
pada dokumen teks. Kelebihan utama dari metode cosine similarity adalah tidak
terpengaruh pada panjang pendeknya suatu dokumen. Karena yang diperhitungkan hanya
nilai term dari masing-masing dokumen. Karakteristik tersebut sangat sesuai
dengan penelitian ini, dimana daftar threat merupakan dokumen yang sangat
pendek namun terdiri dari term-term yang utama sedangkan dokumen ISO/IEC 27001
terdiri dari kalimat-kalimat yang panjang. Persamaan dari cosine similarity
adalah:
3. SiPKoKI
SiPKoKI (Sistem Pemilihan
Kontrol Keamanan Informasi) adalah sebuah sistem yang akan memberikan
rekomendasi kepada user apabila data-data gangguan keamanan dimasukkan. SiPKoKI
mempunyai mekanisme yang digambarkan dengan skema sebagaimana pada Gambar
a. User
input
Untuk mendapatkan
rekomendasi yang sesuai dengan kondisi di lapangan, user terlebih dahulu harus
memasukkan beberapa parameter yang diperlukan oleh SiPKoKI. Diantaranya adalah:
- daftar
threat yang pernah terjadi di perusahaan,
- nilai
conditional probability table dari masing-masing threat ke dalam struktur
bayesian
network SipKoKI,
- term
yang dianggap mewakili kata-kata pada nama threat pada poin pertama. SiPKoKI
mengijinkan user untuk memasukkan term lebih dari satu guna memberikan gambaran
yang
lebih jelas mengenai threat yang terjadi.
Setelah ketiga data
tersebut dimasukkan oleh user maka SiPKoKI akan menyimpannya ke dalam database
untuk kemudian dijadikan dasar perhitungan dan rekomendasi yang tepat
berdasarkan dokumen ISO 27001.
b. Preprocessing
dokumen ISO 27001
Dokumen ISO 27001 harus
dipecah menjadi 133 dokumen berformat .txt terlebih dahulu sebelum diproses
oleh SiPKoKI. Hal ini karena SiPkoKI akan melakukan perhitungan kesesuaian data
term semua threat yang dimasukkan oleh yser dengan masing-masing kontrol
ISO pada tiap dokumen. Nilai cosine similarity yang paling besar antara dokumen
dengan threat kemudian akan dijadikan kontrol rekomendasi.
c. Bayesian
network inference
Perhitungan resiko (risk
assesement) pada SiPKoKI dilakukan dengan mekanisme bayesian network inference,
dimana masing-masing threat dengan nilai prior dan conditional probability-nya
akan memberikan kontribusi terhadap hasil akhir perhitungan resiko gangguan
keamanan.
d. Melakukan
pencarian term dan bobot TF
Pada langkah satu telah
disebutkan bahwa user memasukkan term yang dianggap mewakili masing-masing
threat. Dengan menggunakan term yang dimasukkan user tersebut maka SiPKoKI
melakukan pencarian bobot term frequency (TF) pada masing-masing dokumen
kontrol ISO 27001.
e. Perhitungan
cosine similarity
Dengan menggunakan term
dan TF yang diperoleh pada langkah empat, maka nilai cosine similarity dapat
dihitung. Perhitungan dilakukan dengan menggunakan persamaan (1). Hasil
perhitungan cosine similarity akan memiliki nilai dengan rentang 0 sampai
dengan 1.
f. Memberikan
rekomendasi
Berdasarkan nilai cosine
similarity yang terbesar dari langkah ke lima, maka SiPKoKI akan menampilkan
nama kontrol ISO 27001 yang paling sesuai dengan data yang dimasukkan oleh
user.
4. Pembentukan
Struktur Bayesian network
Sebelum SiPKoKI menjadi
sebuah sistem yang siap digunakan, ada satu hal mendasar yang menjadi titik
fokus penelitian ini, yaotu pembentukan master struktur bayesian network
(MSBN). Hal ini penting un tuk dilakukan karena MSBN inilah yang akan menjadi
dasar bagi user memasukkan input data threat ke dalam SiPkoKI. Menurut (Chain,
2001) ada 12 (dua belas) langkah yang diperlukan untuk membentuk sebuah sistem
pendukung pengambilan keputusan menggunakan struktur bayesian network yang
valid. Langkah-langkah tersebut adalah:
- Memastikan
tujuan dan relevansi dipilihnya bayesian network.
- Memastikan
siapa stakeholder yang berkepentingan.
- Memulai
konsultasi dengan stakeholder.
- Membangun
desain awal bayesian network
- Melakukan
diskusi lebih lanjut dengan stakeholder berdasar desain bayesian network.
- Memastikan
solusi dari diskusi pada langkah 5.
- Melakukan
workshop dengan stakeholder mengenai sudut pandang bayesian network yang
dibentuk.
- Melengkapi
struktur bayesian network berdasarkan langkah 7.
- Membentuk
Master Struktur Bayesian Network (MSBN)
- Mengumpulkan
nilai CPT.
- Membuat
sistem berdasarkan MSBN
- Meminta
pendapat stakeholder mengenai sistem yang telah dibangun.
Berdasarkan ke dua belas
langkah tersebut penelitian ini melakukan 5 (lima) langkah untuk mendapatkan
master Struktur Bayesian Network (MSBN). Lima langkah tersebut dijabarkan sebagai
berikut:
a. Menentukan
daftar threat
Dalam penelitian ini
daftar threat yang digunakan sebagai dasar adalah katalog Magerit dan ISO/IEC
27005 (Rahmad, 2010).
b. Membentuk
MSBN
Setelah memiliki daftar
threat sebagaimana Tabel 1 maka langkah selanjutnya adalah membentuk notasi
grafis untuk network bayesian yang mewakili kondisi di lapangan. Tidak semua
threat pada Tabel 1 akan muncul pada notasi grafs MSBN yang terbentuk. Hal ini
karena setiap perusahaan memiliki daftar threat sendiri yang unik.
c. Pengumpulan
data prior
Setelah diperoleh MSBN
yang akan digunakan dalam proses inferfensi, maka langkah selanjutnya adalah
mengumpulkan data prior dari masing-masing threat yang digunakan.
d. Menentukan
nilai CPT
Conditional probability
table (CPT) adalah tabel probabilitas untuk masing-masing node. Nilai tersebut
diperlukan untuk melakukan perhitungan akhir nilai probabilitas suatu kejadian
yang terekam dalam bentuk bayesian network.
e. Validasi
struktur bayesian network
Setelah seluruh tahapan
tersebut dilakukan langkah selanjutnya adalah melakukan validasi. Validasi
dilakukan dengan mempresentasikan MSBN pada SiPKoKI kepada stakeholder yang
memasukkan nilai prior dan CPT. Dengan seluruh nilai prior dan CPT yang telah dimasukkan,
SiPKoKI akan menghasilkan nilai resiko. Nilai resiko ini yang akan divalidasi
oleh stakeholder. Jika ada yang dianggap masih kurang sesuai, maka akan
dilakukan revisi terhadap nilai prior dan CPT.
5. Program
SiPKoKI
Terdapat enam menu dalam
SiPKoKI yaitu network, threats, attack types, assets, links dan inference. Lima
menu pertama merupakan menu dimana user harus memasukkan data sesusia yang
terjadi di lapangan. Sedangkan menu SIPKoKI yang menghasilkan rekomendasi
terdapat pada menu inference.
6. Hasil
dan Pembahasan
Untuk melihat sejauh mana
keberhasilan sistem yang dibuat, maka dilakukan serangkaian ujicoba terhadap
hasil rekomendasi SiPKoKI. Berdasarkan data yang dimiliki oleh Puskom ITS
terdapat 8 (delapan) jenis asset yang perlu dilakukan perhitungan resiko dan
juga dicari rekomendasinya. Untuk itu ujicoba dan pembahasan dibagi berdasarkan
masing-masing asset, dimana pada masing-masing asset akan membahas mengenai
tiga hal yaitu hasil perhitungan resiko, hasil rekomendasi SiPKoKI dengan term
standar, dan terakhir hasil rekomendasi SiPKoKI dengan term yang diperbaiki
(extended term).
a. Relevansi
Hasil Perhitungan Resiko
Relevansi hasil
perhitungan resiko untuk kasus Puskom ITS disajikan pada Tabel 2. Dengan
menggunakan data threat dan CPT yang diberikan oleh pakar Puskom ITS SiPKoKI
melakukan perhitungan probability resiko terhadap masing-masing aset. Setelah
didapatkan nilai probability kemudian dilanjutkan dengan memetakiannya ke dalam
matriks resiko sehingga didapatkan estimasi resiko. Hasil relevansi antara
estimasi resiko dan resiko yang dihitung oleh SiPKoKI didapatkan dari pakar.
Jika menurut pakar estimasi yang diberikan sesuai maka akan dikategorikan ke
dalam kategori ‘relevan’.
b. Relevansi
Rekomendasi Kontrol ISO 27001
SiPKoKI menghasilkan dua
jenis rekomendasi kontrol keamanan informasi berbasis ISO 27001. Rekomendasi
yang pertama adalah yang dihasilkan oleh term standar sedangkan yang kedua
adalah extended term yang dimasukkan ke dalam sistem. Berdasarkan kedua jenis
term tersebut, untuk masing-masing asset diperoleh nilai relevansi yang
berbeda.
Penentuan klasifikasi
relevansi didasarkan pada hasil penelitian (Brewer, 2010). Penelitian (Brewer,
2010) menghasilkan analisis terhadap kegunaan masing-masing kontrol ISO 27001
dengan kejadian di lapangan. Dari uji relevansi terhadap penelitian (Brewer,
2010). Sebaran nilai relevansi dari 8 buah asset yang dimiliki.
c. Nilai
Cosine similarity SiPKoKI
Untuk menghasilkan
kontrol rekomendasi, SiPKoKI menggunakan nilai cosine similarity sebagai dasar
pertimbangan. Nilai cosine similarity tertinggi antara term pada threat dan
term dokumen ISO 27001 akan menjadi prioritas pertama rekomendasi. Dari nilai
cosine yang dihasilkan, didapatkan perbedaan yang cukup signifikan apabila term
yang digunakan adalah term standar dan extended term. Hasil cosine similarity
tersebut
7. Kesimpulan
Dari hasil penelitian ini
dapat disimpulkan bahwa:
- SiPKoKI
dapat membantu melakukan perhitungan probability resiko dari data yang
dimasukkan.
- SiPKoKI
dapat membantu pihak internal perusahaan memilih kontrol keamanan
informasi
berbasis ISO 27001 yang sesuai dengan kejadian di lapangan.
8. Pustaka
- Brewer,
D., (2010). Insight into the ISO/IEC 27001 Annex A. Report. Gamma Secure
System
Limited.
- Chain,
J., (2001). Planning improvements in natural resources management. Published by
the
Centre for Ecology & Hydrology Crowmarsh Gifford, Wallingford, Oxon, OX10
8BB, UK.
August 2001. ISBN 0903741009.
- Rahmad
B., dkk., (2010). Threat Scenario Dependency-Based Model of Information
Security
Risk
Analysis, International Journal of Computer Science and Network Security,
IJCSNS vol.10
No.8, August 2010.
- Syafrizal,
M., (2009). Information Security Management System (ISMS) Menggunakan
Standar
ISO/IEC 27001:2005. Jurnal DASI Vol. 10 No.1 Maret 2009.
- Olmus,
H. dan Erbas, SO., Determining The Conditional Probabilities In Bayesian
networks,
Hacettepe Journal of Mathematics and Statistics Volume 33 (2004), halaman 69 –
76.
- http://webcache.googleusercontent.com/search?q=cache:XFJI0Ov9aD8J:ejournal.narotama.ac.id/files/5.%2520Sistem%2520Pemilihan%2520Kontrol%2520Keamanan%2520Informasi%2520Berbasis%2520ISO%252027001.pdf+&cd=1&hl=id&ct=clnk&gl=id
Tidak ada komentar:
Posting Komentar