Sunday, December 29, 2024

Log Review - Risk Management

Security Control Assement 

Goals nya :

- Memastikan efektivitas mekanisme security

- Mengevaluasi kualitas dan ketelitian proses manajemen risiko

- Menghasilkan report kelebihan dan kekurangan dari implementasi security infrastruktur   

Risk Reporting : tugas utama yang harus dilakukan pada akhir analisis risiko. 

Akurat, tepat waktu, komprehensif dari seluruh organisasi, jelas dan presisi untuk membantu mengambil keputusan dan update secara berkala.

Risk Register : dokumen seluruh inventori yang sudah teridentifikasi resikonya dari organisasi/sistem/  project individu.

Risk Register termasuk :     

- identifikasi resiko

- evaluasi severity dan prioritas resiko

- cara meresponse untuk mengurangi resiko

- tracking progress dari mitigasi resiko

Risk Analysis : diberikan kepada top manajemen dengan kebutuhan yg rinci untuk memutuskan mana resiko yg harus :

- Dimitigasi

- Ditransfer

- Dikurangi

- Dihindari

- Ditransfer

- Diterima


CMM (Capability Maturity Model) model untuk menilai tingkat kematangan proses organisasi, khususnya dalam keamanan informasi. Ada 5 level:

  1. Initial: Tidak terorganisasi, reaktif.
  2. Repeatable: Proses mulai terdokumentasi, tapi masih bergantung pada individu.
  3. Defined: Proses terstandarisasi dan dipahami organisasi.
  4. Managed: Proses dimonitor dengan metrik.
  5. Optimizing: Fokus pada inovasi dan perbaikan berkelanjutan.


Risk Framework : guideline bagaimana resiko dinilai, diperbaiki, dan dimonitor.

Framework Risk Management Framework (RMF) dari NIST memiliki 7 langkah utama yang digunakan untuk mengelola risiko keamanan informasi secara sistematis. Berikut adalah penjelasan singkatnya:

  1. Prepare

    • Persiapan organisasi untuk mengelola risiko, termasuk menetapkan konteks, sumber daya, dan prioritas.

  2. Categorize

    • Mengklasifikasikan sistem informasi berdasarkan dampaknya terhadap organisasi (low, moderate, high).

  3. Select

    • Memilih kontrol keamanan yang sesuai dari NIST SP 800-53 berdasarkan kategori risiko.

  4. Implement

    • Mengimplementasikan kontrol keamanan yang telah dipilih dan memastikan kontrol tersebut berfungsi.

  5. Assess

    • Menilai efektivitas kontrol keamanan melalui pengujian dan validasi.

  6. Authorize

    • Memutuskan apakah sistem dapat dioperasikan berdasarkan hasil asesmen.

  7. Monitor

    • Memantau secara berkelanjutan kontrol keamanan untuk mendeteksi perubahan atau ancaman baru.



-
Subscribe to: Posts (Atom)

Mobile Device Deployment - CISSP (Domain 3)

Mobile Device Deployment Policies Mobile Device Deployment Policy harus diarahkan secara luas terkait penggunaan perangkat yang diizinkan da...