Salah satu tantangan terbesar dalam manajemen insiden atau incident management adalah ketidakpastian akan suatu insiden keamanan atau security incident yang sedang berlangsung dan kesenjangan komunikasi dalam penanganan insiden tersebut. Membangun Incident Response Plan (IRP) atau rencana respon insiden yang cepat, efektif, transparan, dan real-time  dapat membantu meminimalkan downtime dan dampak dari insiden tersebut. Hal ini juga memungkinkan penerapan business continuity plan  (BCP) atau rencana kesinambungan bisnis secara menyeluruh. Sederhananya, IRP dan BCP harus berjalan secara bersama-sama.

Apa itu Incident Response?

Incident Response atau respons insiden adalah pendekatan terstruktur untuk menangani berbagai jenis insiden keamanan, ancaman dunia siber, dan pelanggaran kerahasiaan data. Metodologi respons insiden bertujuan untuk mengidentifikasi, membendung, dan meminimalkan kerugian akibat serangan siber atau insiden yang terjadi. Oleh karena itu IRP yang dibangun dengan baik dapat memperbaiki potensi kerentanan saat ini untuk mencegah serangan di masa depan. 

Mengapa Incident Response itu penting?

Seperti yang kita ketahui bahwa sebuah insiden data breach dapat menyebabkan downtime operasional, turunnya reputasi, dan kerugian finansial bagi suatu perusahaan. Begitu juga untuk sistem yang memiliki kerentanan yang bertahan cukup lama, maka kerentanan tersebut semakin mematikan bagi sistem tersebut apabila terjadi sebuah insiden. Oleh karena itu untuk menghilangkan risiko-risiko bisnis yang ada, maka perusahaan memerlukan rencana respons insiden keamanan siber yang terencana, yang bertujuan untuk:

• Memulihkan operasional bisnis sehari-hari
• Meminimalkan kerugian finansial dan turunnya reputasi
• Memperbaiki kerentanan siber secara komprehensif dan cepat
• Memperkuat postur keamanan untuk menghindari serangan di masa depan

Apa itu IRP?

IRP adalah serangkaian instruksi terdokumentasi yang membantu personil respons insiden untuk mendeteksi dan merespons sebuah insiden keamanan. Rencana ini juga memastikan keberhasilan akan pemulihan sistem yang terkena dampak insiden. IRP adalah rencana strategis yang disusun secara baik untuk menghadapi pelanggaran keamanan, kehilangan data, dan pemutusan layanan. IRP harus dimiliki oleh setiap organisasi karena pada dasarnya tidak ada sistem atau jaringan organisasi yang aman dari serangan siber, jadi perlu upaya untuk membantu memitigasi risiko keamanan dan melawan kejahatan dunia siber yang melumpuhkan. IRP yang efektif adalah rencana yang mengkombinasikan orang, proses, dan teknologi yang didokumentasikan, diuji, dan dilatih untuk menghadapi insiden keamanan.

Selain itu IRP juga memerlukan pihak ketiga independen, seperti perusahaan asuransi atau salah satu mitra teknologi sebuah organisasi, untuk melakukan verifikasi keseluruhan dari IRP tersebut. Pihak-pihak ini dapat memberikan konteks dan feedback berharga yang sangat spesifik pada skala vertikal industri dan/atau ekosistem teknologi organisasi untuk membantu memenangkan situasi organisasi ketika menghadapi sebuah potensi insiden keamanan.

Bagaimana Menyusun IRP?

Ada lima (6) langkah untuk menyusun IRP seperti yang diusulkan oleh National Institute of Standards in Technology (NIST) seperti yang ditunjukkan dalam gambar diatas, yaitu:

Preparation = Persiapan

Pelanggaran data dapat terjadi pada siapa pun atau pada penyimpanan data apa pun dan dimanapun. Untuk merencanakan respons terhadap insiden tersebut, langkah pertama adalah mempersiapkan diri dengan menganalisis kejadian tersebut untuk  dapat menentukan respons yang tepat bagi tim tanggap darurat. Respon ini melibatkan konsep-konsep seperti kebijakan organisasi, dokumentasi, rencana respon, pelatihan, akses ke alat, dan beberapa hal yang lainnya. Selain dengan pelatihan, perlunya melakukan audit rutin untuk memastikan sensitivitas data dan pengambilan langkah-langkah yang sesuai untuk merespons suatu insiden.

Identification = Identifikasi

Fase ini berkaitan dengan pendeteksian insiden sehingga respons instan dapat diambil untuk mengurangi jumlah kerusakan. Tim tanggap darurat dan tim keamanan IT perlu mengumpulkan informasi tentang kejadian dengan menganalisis log data, mendeteksi kesalahan data, dan menggunakan alat pemantauan untuk mendeteksi dan menentukan kejadian dan informasi insiden. Informasi ini yang dikumpulkan secara terus menerus, dan kemudian diperbaiki dan disaring untuk mengidentifikasi insiden yang berpotensi berisiko untuk menentukan jenis insiden dan tindakan pencegahan tertentu yang akan diambil.

Limitation = Batasan

Ketika suatu insiden telah terjadi, sangat penting untuk membatasi informasi dan memuat identifikasi. Tujuan utama dari fase ketiga ini adalah untuk membatasi informasi tentang insiden yang teridentifikasi dan mencegah potensi kerusakan yang lebih lanjut. Fase ini juga menentukan pencegahan yang diperlukan untuk jenis insiden yang telah terjadi, apakah perlu untuk menghapus peretas dari sistem atau melakukan isolasi data yang telah disusupi.

Eradication = Pemberantasan

Fase ini melakukan respons dengan cara melakukan penghapusan bahaya dan pemulihan sistem yang terkena dampak ke kondisi semula. Misalnya, dengan menyingkirkan perangkat lunak berbahaya dan memisahkan area organisasi yang disusupi jika sudah terinfeksi malware. Selain itu harus dilakukan pembekuan akun jika serangan terjadi karena peretas dapat mendapatkan akses ke informasi login karyawan.

Recovery = Pemulihan

Kegiatan utama dalam tahap ini adalah pengujian, pemantauan, dan validasi sistem saat sistem tersebut dimasukkan kembali ke dalam produksi untuk memastikan bahwa sistem tersebut tidak terinfeksi ulang atau dikompromikan oleh peretas. Tahap ini akan menentukan pemilihan waktu dan tanggal untuk melanjutkan operasi, pengujian dan verifikasi sistem yang disusupi, mengawasi perilaku yang tidak biasa, dan penggunaan alat untuk menguji, memantau, dan memvalidasi perilaku sistem.

Conclusion = Kesimpulan atau Lesson Learned = Pelajaran yang diambil

Fase ini dikenal juga sebagai pembelajaran yang sangat penting karena membantu dalam mendidik dan meningkatkan kemampuan memberikan respon untuk insiden di masa depan. Organisasi dapat memperbarui IRP mereka pada tahap ini dengan rincian yang mungkin terlewatkan selama insiden terjadi serta mendokumentasikan seluruh informasi yang akan berfungsi sebagai panduan untuk menghadapi potensi insiden di masa depan. 

Adakah Contoh IRP untuk Umum?

Baik yang baru saja membuat IRP atau sedang mengembangkan kembali IRP yang sudah ada, National Institute of Standards in Technology (NIST) memiliki sumber daya panduan dalam merancang IRP. NIST juga menawarkan beberapa model berbeda untuk menyusun rencana respon insiden:

• Terpusat: adanya sebuah badan pusat, seperti CSIRT, yang secara khusus untuk menangani respons insiden.
• Terdistribusi: adanya beberapa tim respons yang bertanggung jawab atas sebuah lokasi atau sistem yang terkena dampak insiden.
• Terkoordinasi: adanya sebuah tim/badan pusat untuk menyampaikan rencana respons kepada tim yang terkena dampak insiden.

Sumber:
What is Incident Response | Become a Incident Handler | EC-Council (eccouncil.org)
What is an Incident Response Plan? Step by Step Guide and Examples | CompTIA
How to Create an Incident Response Plan (Detailed Guide) | UpGuard
Effective Cyber Incident Response Plan | Tips & Best Practices (sprintzeal.com)