Incident Response

incident response

Dalam administrasi jaringan ada satu bidang ilmu yang sering dilupakan, yaitu incident response. Biasanya admin jaringan lebih fokus pada pengembangan jaringan, optimasi jaringan, monitoring, maintenance jaringan dll. Seringkali ditemukan institusi yang tidak memiliki prosedur dalam penanganan insiden. Akibatnya ketika terjadi insiden maka  institusi tersebut tidak siap. Kesiapan institusi dalam penanganan insiden dapat meminimalisir kerugian atau kerusakan yang ditimbulkan dari insiden, selain itu meminimalisir waktu dan biaya dalam penanganan insiden.

Minimal dibutuhkan sebuah SOP atau rencana untuk penanganan insiden. SOP ini tidak boleh dirancang hanya oleh satu orang, melainkan harus dipersiapkan bersama-sama oleh berbagai macam bagian dari institusi, contohnya melibatkan pihak pimpinan, bagian keuangan, bagian sistem informasi dll. Kesalahan lainnya adalah SOP baru disusun pada saat insiden berlangsung. Secara umum ada 6 tahap yang dilakukan pada saat penanganan insiden:

  1. Preparation
  2. Identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lesson Learned

Pada tahap Preparation (persiapan) harus ditentukan siapa yang bertanggungjawab untuk menangani insiden. Kemudian harus disiapkan kontak person atau POC (Person of contact) dari masing-masing bagian dalam institusi, misalnya dari bagian SDM, Hukum, IT, Security, Public Relations, dll. Selanjutnya harus disiapkan peralatan (jump kit) yang diperlukan dalam penanganan insiden. Misalnya hardware, software, daftar kontak, perlengkapan kantor, dll. Selain itu perlu dibuat cheklist pekerjaan yang harus dilakukan pada saat insiden serta bagaimana cara komunikasi dengan kontak atau POC yang telah ditentukan.

Langkah berikutnya pada tahap persiapan ini adalah threat modelling atau identifikasi ancaman apa saja yang mungkin terjadi. Pada keamanan jaringan misalnya hacking, serangan Dos dll. Idealnya pada tahapan ini juga diidentifikasi kemungkinan insiden lainnya seperti kebakaran, pencurian, gempa dll. Tahap berikutnya adalah pembentukan tim insiden response. Nama-nama anggota tim ini harus diumumkan ke publik, agar dapat memudahkan dalam penanganan insiden. Tahapan persiapan terakhir adalah latihan, atau drill. Pada tahap ini dilakukan simulasi penanganan insiden.

Tahapan berikutnya akan saya paparkan pada tulisan berikutnya. bersambung ..

Referensi

http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103


Silahkan tuliskan tanggapan, kritik maupun saran