Managing Cloud Computing Risk

Berikut ini adalah cara mengatur risiko cloud computing bagi pengguna dan penyedia jasa cloud
computing.
1. Cloud Subscriber
a. Resiliency and Availability
Mendefinisikan kembali kebijakan dan standar keberlanjutan operasi untuk
replikasi data dan backup
Menetapkan kembali kesediaan metrik dan standar
b. Security Operations
Menciptakan kebijakan dan standar keamanan operasi secara eksplisit untuk

cloud computing
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten

menggunakan jasa cloud

c. Application Development
Menggunakan kebijakan dan standar daur hidup pengembangan software
berdasarkan kerangka yang umum
Menggunakan, meluncurkan, dan mengubah kebijakan manajemen
d. Enterprise Resource Planning (ERP)
Menetapkan kebijakan dan standar keamanan untuk manajemen ERP dan

penggunaan data yang diperbolehkan

Mendefinisikan penggunaan modul dan database yang diperbolehkan

2. Cloud Provider
a. Resiliency and Availability
Mendefinisikan proses untuk replikasi, failover, dan rekonstitusi jasa terkait
gangguan
Menilai kembali ketersediaan komitmen dan hasil uji ketaatan dengan SLAs
b. Security Operations
Menciptakan Security Operation Center (SOC)
Mendefinisikan kemampuan penilaian, pelaporan, dan respons
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten
mengatur cloud systems
c. Application Development
Menciptakan review kode pada tingkat aplikasi, memperketat proses SDLC,
dan menyediakan notifikasi untuk manajemen perubahan dan peluncuran
Menawarkan proses penerimaan perubahan mandiri
d. Enterprise Resource Planning (ERP)
Menetapkan zona keamanan, proteksi data, dan proses penyediaan akses

Menawarkan autentiaksi yang kuat dengan kemampuan Single Sign On

berdasarkan peran pelanggan

Risk Based Approach

Risk based approach memahami berbagai model cloud dan ancaman yang terkait dan kelemahan
utnuk membantu mengatur risiko.
1. Service Delivery risk
a. Mengevaluasi risiko virtualisasi
b. Mengevaluasi risiko SaaS
c. Mengevaluasi risiko PaaS
d. Mengevaluasi risiko IaaS
2. Deployment Risk
a. Memahami risiko public cloud
b. Memahami risiko private cloud
c. Memahami risiko hybrid cloud
3. Business Model Risk
a. Mengevaluasi risiko cloud consumer
b. Mengevaluasi risiko cloud provider
4. Security Risk
a. Menganalisis risiko keamanan
5. Other Risk
Beberapa Alat dan Kerangka untuk Cloud Computing
-

NIST SP 800-53, NIST SP 800-144, SP 800-30

Deloitte Cloud Computing Risk Intelligence Map

Cloud Security Alliance - Cloud Controls Matrix

ISACA Cloud Computing Audit Program

Federal Risk and Authorization Management Program - (FedRAMP)

Shared Assessments - Standard Information Gathering (SIG 7.0)

National Institute of Standards and Technology(NIST)

Kegunaan dan Manfaat:
NIST SP 800-30
Sebagai pengguna atau penyedia jasa, untuk mengevaluasi lingkungan cloud computing suatu
perusahaan, dapat menggunakan standar penilaian risiko yang diterima umum

The National Institute of Standards and Technology (NIST) SP 800- 30 Risk Management
Guide for Information Technology Systems mendefinisikan aktivitas penilaian risiko dalam 9
langkah:
1.
2.
3.
4.
5.
6.
7.
8.
9.

System Characterization
Threat Identification
Vulnerability Identification
Control Analysis
Likelihood Determination
Impact Analysis
Risk Determination
Control Reccomendation
Results Documentation

NIST SP 800-144
Public Clouds Panduan keamanan dan privasi dalam public clouds
NIST SP 800-53
Pengendalian privasi dan keamanan untuk sistem informasi federal dan organisasi

Cloud Advantages and Disadvantages

1. Cloud Advantages
a. Capacity Planning: Cloud provider bertanggung jawab menjamin keberadaan sumber
daya yang dibutuhkan sesuai permintaan cloud users. Oleh karena itu, manajemen
sumber daya untuk menjamin kualitas jasa yang diinginkan ditransfer ke pihak ketiga,
pada tingkat biaya tertentu.
b. Variable Load Planning: Sebelum implementasi cloud computing, perencanaan
kapasitas seringkali membutuhkan pencadangan untuk muatan maksimum pada
perangkat keras dan jaringan. Dalam beberapa kasus, hal ini melibatkan akuisisi
peralatan dua atau tiga kali kapasitas yang dibutuhkan untuk menangani muatan
normal. Tingkat jasa untuk penanganan muatan variabel bis amenjadi bagian dari
perjanjian jasa dengan penyedia jasa Cloud Computing.
c. Pay as You Go: Dengan menggunakan sumber daya cloud berdasarkan basis
kebutuhan, perusahaan menghindari pengeluaran belanja modal yang melibatkan
investasi modal awal untuk perangkat keras, perangkat lunak, infrastruktur fasilitas,
tenaga, dan kemampuan jaringan. Sebagai tambahan, biaya operasional meliputi
perawatan perangkat keras, lisensi perangkat lunak, dan biaya pegawai bisa dikurangi

secara signifikan. Biaya meliputi peningkatan sistem juga ditransfer ke cloud

provider.
d. Response Time: Sebagai bagian dari perjanjian pada tingkat jasa, baik waktu
tanggapan maupun ketersediaan bisa ditentukan dahulu dan difasilitasi oleh cloud
provider sehubungan dengan infrastruktur mereka yang lebih besar dan kemampuan
untuk secara otomatis berganti sumber daya untuk menangani muatan kerja yang
besar misalnya dengan menggunakan mesin virtual.
e. Time to market: Karena pengguna tidak lagi butuh memperoleh, menginstall, dan
menguji peningkatan sistem operasi, peningkatan aplikasi dan middleware bersamaan
dengan kebutuhan melatih staff pendukung perubahan ini, peningkatan dan
pengembangan sistem bisa diimplementasikan dan berjalan dalam waktu yang
minimal.

2. Cloud Disadvantages
a. Confidentiality and Security: Data paling sensitif suatu organisasi akan eksis pada
platform yang sama dengan kompetitior mereka. Sebagai tambahan, data bisa
terekspos ke penyedia jasa cloud computing. Sebagai tambahan pada konsen
kompetitif mereka sendiri, organisasi bisa diikat oleh beberapa tipe aturan nasional
atau internasional terlepas dari keputusan emreka untuk mendelegasikan tanggung
jawab kepatuhan kepada penyedia jasa pihak ketig ayang berada di suatu negara
dilingkupi oleh regulasi nasionalyang berbeda.
b. Mission-critical Applicaations: Hal ini sekarang menjadi tanggung jawab dari pihak
ketiga dan, terlepas dari penalti untuk ketidak patuhan terhadap perjanjian tingkat
jasa, saat suatu aplikasi sangat bersifat kritis, organisasi cenderung tidak mau mengoutsource tanggung jawab. Hal ini bisa menghasilkan sistem hybrid sebagai bagian
dari cloud dan bagian in-sourced. Hal ini bisa membawa kelemahanyang terburuk
dari kedua sistem dan menghilangkan banyak keuntungan.
c. Availability and Contingency Planning: Sementara tnaggung jawab untuk menjamin
backup yang memadai dan disaster recovery plans untuk melindungi aktivitas user
dalam kejadian alam atau buatan manusia terletak pada penyedia jasa, beberapa
organisasi mungkin kkurang senang menerima jaminan penyedia jasa cloud tanpa
kemampuan untuks ecara independen mengaudit efektivitas dan menguji rencana.

d. Service-level Agreement Monitoring: Di mana penyedia jasa mempunyai basis klien

yang besar dan tanpa kontrol langsung terhadap intensitas muatan kerja anatar klien,
monitoring dan pemberdayaan perjanjian tingkat jasa pada klien bisa menjadi
masalah. Rencana untuk memonitor dan memberdayakan harus menjadi bagian dari
negosiasi awal dari perjanjian tingkat jasa.
e. Cost Control: Walaupun pay per use model dari cloud computing muncul untuk
menyediakan suplai tak terbatas dari sumber daya sesuai permintaan, klien harus
menentukan, merencanakan, mendapatkan, dan mengatur anggaran komputerisasi
mereka, dan membayar untuk permintaan terbatas mereka sendiri. Cloud computing
memungkinkan pelanggan untuk membayar untuk hanya yang mereka gunakan,
bagaimanapun juga, pelanggan harus rajin mengatur permintaan mereka sehingga
mereka hanya menggunakan apa yang mampu mereka bayar.