Tujuan dari Incident Handling adalah sebagai berikut:
- Memastikan bahwa insiden terjadi atau tidak terjadi kita perlu memastikan apa insiden terjadi sebagai langkah awal.
- Melakukan pengumpulan informasi yang akurat melalui penanganan insiden diharapkan pengumpulan informasi yang akurat.
- Melakukan pengambilan dan penaganan bukti-bukti (menjaga chain of custody) bukti-bukti dari insiden itu perlu agar tidak mengira-ngira insiden yang terjadi.
- Menjaga agar kegiatan berada dalam kerangka hukum (misalnya masalah privacy, legal action) agar penanganan insiden mengikuti aturan hukum, supaya tidak melanggar dalam penanganan insiden.
- Meminimalkan gangguan terhadap operasi bisnis dan jaringan. Dengan penanganan insiden diharapkan gangguan terhadap operasi bisnis menjadi lebih kecil.
- Membuat laporan yang akurat beserta rekomendasinya. Melalui incident handling, laporan lebih akurat beserta apa yang akan dilakukan selanjutnya
Adapun metodologi untuk chain of custody:
- Pre-preparation incident, adalah persiapan yang dilakukan sebelum insiden terjadi, misalnya membuat aturan atau kebijakan.
- Detection of incidents, adalah pendeteksian terhadap insiden yang terjadi dengan mencari tahu mengapa insiden tersebut bisa terjadi.
- Initial Response, adalah tindakan awal jika sudah mengetahui penyebab insiden terjadi, misalkan dalam suatu area diketahui adanya penyusupan pada server, sebagai tindakan awal kita dapat memutus server secara sementara agar penyusup tidak dapat melakukan aksi-aksi selanjutnya.
- Response strategy formula, adalah mengatur strategi penanganan untuk suatu insiden.
- Duplication (forensic backups), setiap kali mengakses suatu website atau ada kegiatan yang terkait dengan jaringan, ada log yang menyimpan setiap kegiatan yang kita lakukan yang nantinya jika diperlukan dapat ditelusuri.
- Investigation, berlanjut dari contoh pada duplication, investigasi dapat dilakukan dengan menelusuri log yang tersimpan pada tiap titik, tetapi jika masih sulit untuk mendapatkan buktinya.
- Security measure, mengukur atau mengevaluasi keamanan yang ada saat ini.
- Network monitoring, pemantauan traffic network atau arus jaringan.
- Recovery, adalah tindakan pemulihan data berdasarrkan backup yang ada.
- Follow-up, tindak lanjut yang akan dipilih oleh pihak yang dirugikan.
Sekian blog dari saya tentang Incident Handling, mohon maaf jika terdapat kekurangan-kekurangan dalam blog ini.