Alur Respons Insiden Interaktif

Ini adalah panduan visual untuk proses respons insiden. Setiap tahap dirancang untuk memberikan langkah-langkah yang jelas dan dapat ditindaklanjuti. Klik pada setiap kartu fase untuk melihat detail prosedur yang harus diikuti.

Klasifikasi Insiden

Memahami tingkat keparahan suatu insiden adalah langkah pertama untuk respons yang efektif. Berikut adalah klasifikasi yang digunakan untuk menentukan prioritas dan alokasi sumber daya.

Level 1: Rendah

Insiden lokal dengan dampak operasional yang kecil atau minimal. Tidak memengaruhi layanan kritis atau data sensitif dalam skala besar.

Level 2: Menengah

Insiden yang berdampak pada beberapa layanan, sistem, atau sekelompok pengguna. Dapat menyebabkan gangguan layanan sedang atau potensi kebocoran data terbatas.

Level 3: Kritis

Insiden berdampak luas pada layanan kritis, integritas data, atau reputasi organisasi. Memerlukan respons segera dan kemungkinan notifikasi eksternal.

Peran Tim dan Target Waktu Respons (SLA)

Kejelasan peran dan ekspektasi waktu adalah kunci koordinasi yang sukses. Bagian ini menguraikan tanggung jawab setiap tim dan Service Level Agreement (SLA) untuk setiap tingkat insiden.

Peran & Tanggung Jawab

  • CSIRT: Deteksi, respons, eradikasi, koordinasi, dan investigasi insiden.
  • IT Ops: Membantu isolasi sistem, melakukan pemulihan, dan implementasi hardening.
  • Manajemen TI: Memberikan persetujuan untuk tindakan besar dan eskalasi ke pimpinan/regulator.
  • Legal/GA: Mengelola komunikasi eksternal dan menangani aspek pelaporan hukum.
  • User: Melaporkan insiden yang ditemukan dan mengikuti instruksi dari tim respons.

Visualisasi SLA (dalam Jam)

Playbook & Formulir Laporan

Akses cepat ke panduan praktis dan templat standar. Gunakan playbook untuk panduan langkah demi langkah dan formulir untuk memastikan dokumentasi yang konsisten dan lengkap.

  1. Deteksi: Pantau SIEM, IDS, antivirus, atau laporan user. Kumpulkan bukti awal (log, alert, email, file).
  2. Analisis: Validasi apakah insiden benar (bukan false positive). Identifikasi skala dampak: sistem, akun, data yang terpengaruh.
  3. Kontainmen: Isolasi perangkat/sistem terdampak dari jaringan. Blokir IP/domain mencurigakan di firewall. Reset/nonaktifkan akun yang terkait.
  4. Eradikasi: Hapus malware dan artefak berbahaya. Patch kerentanan sistem dan perkuat konfigurasi. Periksa mekanisme persistensi (auto-starts, crons, dll).
  5. Pemulihan: Restore sistem dari backup yang terverifikasi bersih. Verifikasi integritas data dan fungsionalitas sistem. Monitor aktivitas anomali pasca-pemulihan.
  6. Post-Mortem: Lakukan analisis akar penyebab (root cause). Simpulkan lessons learned untuk perbaikan. Update SOP, kebijakan, atau materi pelatihan jika perlu.

Referensi, Dokumentasi & Alat

Dasar pengetahuan dan perangkat yang mendukung operasional respons insiden. Bagian ini mencakup standar industri, dokumen penting yang harus dijaga, dan contoh tools yang digunakan.

Referensi Standar

  • NIST SP 800-61 Rev. 2
  • ISO/IEC 27035
  • Essential Eight Maturity Model

Dokumentasi Kunci

  • Formulir Laporan Insiden
  • Daftar Indikator Ancaman
  • Checklist Tanggapan Insiden
  • Rencana Komunikasi Insiden
  • Log Forensik

Contoh Tools Pendukung

  • SIEM: Wazuh, Splunk
  • EDR: Crowdstrike, SentinelOne
  • Backup: Veeam, Acronis
  • Komunikasi: Mattermost, Slack
  • Case Management: Jira, RTIR