Sudah hampir setahun tidak menulis blog. Sejak terakhir saya menulis ini memang project yang berdatangan cukup padat, baik project penetration testing maupun non-pentest. Project non-pentest ini ada beberapa, di antaranya adalah:
Security Audit
Nama projectnya memang security audit, simple. Tapi yang dikerjakan ada 3 bagian, yaitu penetration testing, Security Program Management (SPM), dan User Access Review. Untuk pentest mungkin pembaca sudah familiar jika pembaca awam membaca postingan saya sebelum-sebelumnya. Untuk SPM akan saya jelaskan sedikit di bagian yang lain. User access review merupakan aktivitas melakukan pengujian terhadap akses user di sistem. Misalnya kita cek apakah akses user terhadap menu di aplikasi sudah sesuai dengan rolenya (atau sudah sesuai dengan user access matrix tidak). Kita juga cek mana saja user yang aksesnya berlebih atau overlap. Assessment ini kami lakukan di salah satu perusahaan BUMN yang terbesar di industrinya.
Untuk pentestnya sendiri juga cukup banyak aplikasi yang harus dites, baik aplikasi berbasis web maupun desktop (native). Selain itu kami juga lakukan pentest dan configuration review terhadap perangkat jaringan dan server. Project ini berlangsung sekitar 3 bulan. Cukup lama karena memang yang dicek banyak. Alhamdulillah project telah selesai dengan hasil yang memuaskan.
Security Program Management (SPM)
SPM adalah salah satu layanan yang diberikan EY di bidang information security. Saat ini namanya ganti jadi Cyber Program Management (CPM). SPM ini adalah framework dari EY yang digunakan untuk melihat maturity perusahaan terkait keamanan informasi ini sekarang seperti apa. Jika pembaca pernah baca tentang CMMI, kurang lebihnya seperti itu. Selain melihat kondisi sekarang maturitynya seperti apa, framework ini juga digunakan untuk menyusun rencanan masa depan berupa inisiatif-inisiatif kemanan informasi dan roadmap implementasinya.
Gambar di atas merupakan framework SPM (bisa dilihat di link ini juga. Jika kita lihat, domainnya cukup banyak dan komprehensif. Semua aspek keamanan informasi tercakup di framework tersebut. Perlu saya tekankan bahwa keamanan informasi tidak hanya bicara masalah teknis, misalnya red team(pentest) dan blue team(mainan firewall, siem, IDS/IPS,dll). Di sini kita berbicara enterprise information security dimana aspek-aspek yang masih berhubungan dengan kemanan informasi juga dinilai. Sebagai contoh disitu kita berbicara masalah strategy (planning), kebijakan dan prosedur, awareness, operations, architecture, security services, data infrastructure, metrics, reporting, dan lain-lain. Cukup detil dan banyak sekali pertanyaan yang bakal diberikan ke client. Kurang lebih ada sekitar 300an pertanyaan yang mencakup semua domain tersebut.
Saya melakukan assessment ini terhadap bank yang... yang bank besar pokoknya. Ada dua bank besar yang waktu itu menggunakan service ini. Ada lagi satu perusahaan terbesar di industri selain perbankan. Silakan PM saya kalau perusahaan anda ingin tahu sejauh apa implementasi kemanan informasinya. Atau ingin membuat strategi penerapan keamanan informasi. SPM ini sudah banyak digunakan di berbagai negara. Jadi ada banyak expert yang bisa bantu service ini. *loh promosi*.
Security Audit Guidelines
Sesuai judulnya, pada project ini saya dan tim membuat panduan audit dan pedoman teknis untuk melakukan audit keamanan informasi di lingungan sebuah kementerian yang menurut saya kritikal bidangnya. Kami membuat panduan umum dan teknis audit mengacu pada ISO 27K, NIST, CIS, dan best practices atau framework lain yang relevan. Melalui project ini, saya mendapatkan sebuah hikmah yaitu sebagai orang Indonesia kita harus cakap dalam menggunakan bahasa Indonesia yang baik dan benar. QA pada project ini cukup ketat karena penggunaan bahasa Indonesia yang tepat dan jelas sangat ditekankan. Alhasil, panduan umum dan teknis selesai dengan halaman yang sangat tebal karena memang kami membuatnya cukup detil.
Third Party Security Asssessment (TPSA)
Ini project pertama saya yang membuat saya bisa terhubungan dengan EY Global (negara lain). Pada project ini saya berkoordinasi dengan EY Singapore dan India. Klien dari project ini adalah sebuah bank yang sangat besar yang pusatnya di UK. Intinya, project ini adalah untuk menilai sejauh mana vendor / third party / pihak ketiga dari bank tersebut dalam menerapkan keamanan informasi di perusahaannya. Sebagai assessor, kami dituntut untuk bisa menemukan dan menganilisis risiko-risiko yang ditemukan pada vendor tersebut. Ada beberapa vendor yang kami tangani yaitu vendor di bidang ATM switching, call center, security service, record management, dan lain-lain. Hikmah dari project ini adalah saya jadi bisa belajar banyak proses bisnis vendor-vendor yang tentunya bidang bisnisnya beda. Hikmah lainnya adalah saya jadi harus komunikasi baik lewat email maupun telpon dengan bahasa Inggris. Lumayan latihan conversation gratisan.
ISO2700X Maturity Assessment
Ini adalah project kedua saya yang membuat saya bisa terhubung dengan EY Global lain yang berbeda dari project TPSA. Saya berkoordinasi dengan EY China dan Prancis. Kliennya adalah perusahaan asuransi yang sangat besar yang pusatnya di Eropa. FYI, tipikal project seperti TPSA dan ISO 27K ini adalah project Global, jadi dilakukan juga di negara-negara lain yang memang disitu ada cabangnya. Sesuai dengan namanya, saya melakukan penilaian terhadap maturity keamanan informasi berdasarkan ISO2700X. Untuk pembaca yang belum tahu, ISO 2700X adalah standar ISO untuk kemanan informasi. Saya tulis "X" karena angka di belakangnya ada banyak. Detilnya ada di sini. Dalam project ini saya menggunakan ISO27001 dan ISO27002. Dalam project ini saya menilai sejauh mana penerapan kemanan informasi dan memberikan rekomendasi untuk bisa naik ke level yang disepakati.
Compliance Review - Peraturan Bank Indonesia
Berhubung judulnya ada Bank Indonesia, jadi project ini hanya melibatkan EY Indonesia. Pada project ini kami melakukan kajian kepatuhan (compliance review) atas produk baru dari bank dan payment gateway yang akan launch untuk publik agar sesuai dengan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank. Selain itu untuk produk yang berkaitan dengan transaksi keuangan, kami juga mengacu ke Surat Edaran BI No. 11-10-2009 / PBI No. 11/11/PBI/2009 tentang Alat Pembayaran Menggunakan Kartu (APMK). Sebagai catatan bahwa PBI terkait APMK diganti ke PBI No 14/2/PBI/2012. Beberapa jenis produk yang kami cek adalah terkait debit card, payment gateway, digital banking. Dalam project ini tetap kami lakukan DC/DRC review. Lumayan lah sambil jalan-jalan ke DC/DRC :)
Jadi seperti itulah gambaran umum project yang saya kerjakan FY16 ini. Sebenarnya saya masih mengerjakan juga beberapa project pentest yang kliennya bank. Saat ini tim sedang mengerjakan pentest di perusahaan non bank juga. Project semakin banyak, baik yang teknikal dan non-teknikal. Hikmahnya adalah kami jadi cepat belajar dan menambah banyak pengalaman dalam waktu yang singkat karena beberapa project sebenarnya paralel. Selain menjalankan rutinitas dalam mengerjakan project yang silih berganti datangnya, saya bersama tim juga sedang mengembangkan working paper agar lebih baik lagi. Diharapkan dengan adanya project-project yang telah saya kerjakan, bisa membantu saya dan tim dalam mengembangkan bisnis baru dan menciptakan peluang-peluang yang masih relevan dengan keamanan informasi.
Proses round table pada PMDP telah selesai, tinggal menunggu hasil apakah tahun ini saya promote ke senior atau tidak. Semoga tahun ini naik biar bisa cepet... ehhh cepet apa ya haha.
Semoga bermanfaat :)
Eryk Budi Pratama, S.Kom, CEH, CHt.- Pembuatan pedoman dan petunjuk teknis audit keamanan informasi di salah satu kementerian
- Security Program Management (SPM) assessment. Sekarang namanya Cyber Program Management (CPM)
- Third Party Security Assessment (TPSA)
- ISO 2700X Maturity Assessment
- Compliance Review - Peraturan Bank Indonesia
Security Audit
Nama projectnya memang security audit, simple. Tapi yang dikerjakan ada 3 bagian, yaitu penetration testing, Security Program Management (SPM), dan User Access Review. Untuk pentest mungkin pembaca sudah familiar jika pembaca awam membaca postingan saya sebelum-sebelumnya. Untuk SPM akan saya jelaskan sedikit di bagian yang lain. User access review merupakan aktivitas melakukan pengujian terhadap akses user di sistem. Misalnya kita cek apakah akses user terhadap menu di aplikasi sudah sesuai dengan rolenya (atau sudah sesuai dengan user access matrix tidak). Kita juga cek mana saja user yang aksesnya berlebih atau overlap. Assessment ini kami lakukan di salah satu perusahaan BUMN yang terbesar di industrinya.
Untuk pentestnya sendiri juga cukup banyak aplikasi yang harus dites, baik aplikasi berbasis web maupun desktop (native). Selain itu kami juga lakukan pentest dan configuration review terhadap perangkat jaringan dan server. Project ini berlangsung sekitar 3 bulan. Cukup lama karena memang yang dicek banyak. Alhamdulillah project telah selesai dengan hasil yang memuaskan.
Security Program Management (SPM)
SPM adalah salah satu layanan yang diberikan EY di bidang information security. Saat ini namanya ganti jadi Cyber Program Management (CPM). SPM ini adalah framework dari EY yang digunakan untuk melihat maturity perusahaan terkait keamanan informasi ini sekarang seperti apa. Jika pembaca pernah baca tentang CMMI, kurang lebihnya seperti itu. Selain melihat kondisi sekarang maturitynya seperti apa, framework ini juga digunakan untuk menyusun rencanan masa depan berupa inisiatif-inisiatif kemanan informasi dan roadmap implementasinya.
Gambar di atas merupakan framework SPM (bisa dilihat di link ini juga. Jika kita lihat, domainnya cukup banyak dan komprehensif. Semua aspek keamanan informasi tercakup di framework tersebut. Perlu saya tekankan bahwa keamanan informasi tidak hanya bicara masalah teknis, misalnya red team(pentest) dan blue team(mainan firewall, siem, IDS/IPS,dll). Di sini kita berbicara enterprise information security dimana aspek-aspek yang masih berhubungan dengan kemanan informasi juga dinilai. Sebagai contoh disitu kita berbicara masalah strategy (planning), kebijakan dan prosedur, awareness, operations, architecture, security services, data infrastructure, metrics, reporting, dan lain-lain. Cukup detil dan banyak sekali pertanyaan yang bakal diberikan ke client. Kurang lebih ada sekitar 300an pertanyaan yang mencakup semua domain tersebut.
Saya melakukan assessment ini terhadap bank yang... yang bank besar pokoknya. Ada dua bank besar yang waktu itu menggunakan service ini. Ada lagi satu perusahaan terbesar di industri selain perbankan. Silakan PM saya kalau perusahaan anda ingin tahu sejauh apa implementasi kemanan informasinya. Atau ingin membuat strategi penerapan keamanan informasi. SPM ini sudah banyak digunakan di berbagai negara. Jadi ada banyak expert yang bisa bantu service ini. *loh promosi*.
Security Audit Guidelines
Sesuai judulnya, pada project ini saya dan tim membuat panduan audit dan pedoman teknis untuk melakukan audit keamanan informasi di lingungan sebuah kementerian yang menurut saya kritikal bidangnya. Kami membuat panduan umum dan teknis audit mengacu pada ISO 27K, NIST, CIS, dan best practices atau framework lain yang relevan. Melalui project ini, saya mendapatkan sebuah hikmah yaitu sebagai orang Indonesia kita harus cakap dalam menggunakan bahasa Indonesia yang baik dan benar. QA pada project ini cukup ketat karena penggunaan bahasa Indonesia yang tepat dan jelas sangat ditekankan. Alhasil, panduan umum dan teknis selesai dengan halaman yang sangat tebal karena memang kami membuatnya cukup detil.
Third Party Security Asssessment (TPSA)
Ini project pertama saya yang membuat saya bisa terhubungan dengan EY Global (negara lain). Pada project ini saya berkoordinasi dengan EY Singapore dan India. Klien dari project ini adalah sebuah bank yang sangat besar yang pusatnya di UK. Intinya, project ini adalah untuk menilai sejauh mana vendor / third party / pihak ketiga dari bank tersebut dalam menerapkan keamanan informasi di perusahaannya. Sebagai assessor, kami dituntut untuk bisa menemukan dan menganilisis risiko-risiko yang ditemukan pada vendor tersebut. Ada beberapa vendor yang kami tangani yaitu vendor di bidang ATM switching, call center, security service, record management, dan lain-lain. Hikmah dari project ini adalah saya jadi bisa belajar banyak proses bisnis vendor-vendor yang tentunya bidang bisnisnya beda. Hikmah lainnya adalah saya jadi harus komunikasi baik lewat email maupun telpon dengan bahasa Inggris. Lumayan latihan conversation gratisan.
ISO2700X Maturity Assessment
Ini adalah project kedua saya yang membuat saya bisa terhubung dengan EY Global lain yang berbeda dari project TPSA. Saya berkoordinasi dengan EY China dan Prancis. Kliennya adalah perusahaan asuransi yang sangat besar yang pusatnya di Eropa. FYI, tipikal project seperti TPSA dan ISO 27K ini adalah project Global, jadi dilakukan juga di negara-negara lain yang memang disitu ada cabangnya. Sesuai dengan namanya, saya melakukan penilaian terhadap maturity keamanan informasi berdasarkan ISO2700X. Untuk pembaca yang belum tahu, ISO 2700X adalah standar ISO untuk kemanan informasi. Saya tulis "X" karena angka di belakangnya ada banyak. Detilnya ada di sini. Dalam project ini saya menggunakan ISO27001 dan ISO27002. Dalam project ini saya menilai sejauh mana penerapan kemanan informasi dan memberikan rekomendasi untuk bisa naik ke level yang disepakati.
Compliance Review - Peraturan Bank Indonesia
Berhubung judulnya ada Bank Indonesia, jadi project ini hanya melibatkan EY Indonesia. Pada project ini kami melakukan kajian kepatuhan (compliance review) atas produk baru dari bank dan payment gateway yang akan launch untuk publik agar sesuai dengan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank. Selain itu untuk produk yang berkaitan dengan transaksi keuangan, kami juga mengacu ke Surat Edaran BI No. 11-10-2009 / PBI No. 11/11/PBI/2009 tentang Alat Pembayaran Menggunakan Kartu (APMK). Sebagai catatan bahwa PBI terkait APMK diganti ke PBI No 14/2/PBI/2012. Beberapa jenis produk yang kami cek adalah terkait debit card, payment gateway, digital banking. Dalam project ini tetap kami lakukan DC/DRC review. Lumayan lah sambil jalan-jalan ke DC/DRC :)
Jadi seperti itulah gambaran umum project yang saya kerjakan FY16 ini. Sebenarnya saya masih mengerjakan juga beberapa project pentest yang kliennya bank. Saat ini tim sedang mengerjakan pentest di perusahaan non bank juga. Project semakin banyak, baik yang teknikal dan non-teknikal. Hikmahnya adalah kami jadi cepat belajar dan menambah banyak pengalaman dalam waktu yang singkat karena beberapa project sebenarnya paralel. Selain menjalankan rutinitas dalam mengerjakan project yang silih berganti datangnya, saya bersama tim juga sedang mengembangkan working paper agar lebih baik lagi. Diharapkan dengan adanya project-project yang telah saya kerjakan, bisa membantu saya dan tim dalam mengembangkan bisnis baru dan menciptakan peluang-peluang yang masih relevan dengan keamanan informasi.
Proses round table pada PMDP telah selesai, tinggal menunggu hasil apakah tahun ini saya promote ke senior atau tidak. Semoga tahun ini naik biar bisa cepet... ehhh cepet apa ya haha.
Semoga bermanfaat :)
IT Advisory Consultant - Cyber Security - Ernst&Young (EY)