IndoCisc
msgbartop
Security News
msgbarbottom

02 Oct 09 Definisi Security Metrics

Membaca satu bab tentang definisi security metric dari buku SECURITY METRICS ternyata pusing juga :). Pertanyaan pertama sebelum masuk ke definisi security metric “Mengapa kita harus pusing2 dengan security metrics? why do we care? ”

the answer is:

Jika seorang manager bertanya “Apakah sistem dari organisasi kita sudah aman?”. bagaimanakah mendefinisikan aman tersebut?.

Untuk menjawab pertanyaan manager diatas, jika tanpa metric kita bisa saja menjawab “Sistem kita baik2 saja seperti yang Anda lihat sekarang”

Definisi metric menurut The National Institute of Standards and Technology (NIST) :

metrics as tools designed to facilitate decision-making and improve performance and accountability through collection, analysis, and reporting of relevant performance-related data. Metrics are simply a standard or system of measurement. In this case, it is a standard for measuring security, specifically measuring an organization’s security posture. Although there are some published standards for measuring security, ideally security metrics should be adjusted and tuned to fit a specific organization or situation.

Menurut buku security metric ini, metric yang baik diantaranya memiliki kriteria (sebenarnya ada 4, baru mengerti 2):

Consistently measured, informasinya harus berdasarkan pengukuran bukan hanya berdasarkan kriteria subjektif belaka.

Expressed as a cardinal number or percentage, informasi yang diberikan olehmetric harus digambarkan secara kuantitatif baik berupa poin (angka) atau persentase. tidak berupa level “high”, “medium” atau “low”.

Berikut contoh pengukuran metrics:

  • Total jumlah koneksi secara remote dalam periode satu bulan (VPN, ISDN, dial-up, remote desktop)
  • Jumlah maksimum koneksi remote secara simultan yang dilakukan user.
  • Jumlah server linux telah mematuhi XX% dari standar keamanan server linux
  • dsb…

Jadi, dengan menggunakan metric, jawaban untuk pertanyaan manager tadi adalah: “Saya rasa Aman. Lihatlah hasil analisa risiko yang kita peroleh sebelum mengimplementasikan firewall dalam sistem kita. Nilainya menurun 10 poin. Sekarang organisasi kita lebih aman daripada sebelumnya (hanya contoh)”

Kesimpulannya metric digunakan untuk:

  • membantu mendefinisikan aman
  • mengukur compliance sistem terhadap suatu standar tertentu

masih banyak lagi sih tapi hesti.. hese ngarti :)

Filed in Foundations
« Wardriving Setup (2)
Installing Google Skipfish on GNU/Linux Debian Lenny »


Leave a Comment

sidebartop

Authors

sidebarbottom
sidebartop

Recent Comments

sidebarbottom
sidebartop

Categories

sidebarbottom
© IndoCisc / Design: Smashing Wordpress Themes