Transcript Information Security

Information Security
Edhot Purwoko,ST,MTI
1
Organizational Needs for Security
and Control
► Pengalaman
menginspirasikan industri
untuk:
 Menempatkan keamanan pencegahan
tindakan yang bertujuan untuk
menghilangkan atau mengurangi
kemungkinan kerusakan atau kehancuran.
 Menyediakan perusahaan kemampuan
untuk melanjutkan operasional setelah
gangguan.
4
Information Security
► Keamanan
sistem berfokus melindungi
perangkat keras, data, perangkat lunak,
fasilitas komputer, dan personal.
► Keamanan
informasi mendeskripsikan
perlindungan baik peralatan komputer dan nonperalatan komputer, fasilitas, data, dan informasi
dari penyalahgunaan oleh pihak-pihak yang tidak
berwenang.
 Termasuk mesin fotokopi, fax, semua jenis media,
dokumen kertas
5
Tujuan Keamanan Sistem
► Keamanan
informasi ini dimaksudkan untuk mencapai
tiga tujuan utama:
 Confidentiality: Melindungi data perusahaan dan informasi
dari pengungkapan orang yang tidak berhak.
 Availability: Memastikan bahwa data perusahaan dan
informasi hanya tersedia bagi mereka yang berwenang
untuk menggunakannya
 Integrity: Sistem informasi harus memberikan representasi
akurat dari sistem fisik yang mereka wakili.
► Sistem
informasi perusahaan harus melindungi data
dan informasi dari penyalahgunaan, memastikan
ketersediaan untuk pihak pengguna, menampilkan
keakuratannya.
6
Management of Information Security
► Information
security management (ISM)
adalah Aktifitas untuk menjaga sumber daya
informasi tetap aman
► Business continuity management (BCM)
Adalah aktifitas menjaga fungsi perusahaan dan
sumber informasi setelah sebuah bencana
► Corporate information systems security
officer (CISSO) adalah Bertanggung jawab atas
keamanan sistem informasi perusahaan
► Corporate information assurance officer
(CIAO) Melaporkan kepada CEO dan mengelola
sebuah unit information assurance
7
Information Security Management
►
►
►
►
Terkait dengan perumusan kebijakan keamanan informasi perusahaan.
Pendekatan manajemen risiko berbasis keamanan sumber daya
informasi perusahaan pada risiko (ancaman dikenakan) yang
dihadapinya.
Information security benchmark adalah tingkat keamanan yang
direkomendasikan bahwa dalam keadaan normal harus menawarkan
perlindungan wajar terhadap gangguan yang tidak sah.
 Benchmark adalah suatu tingkat kinerja yang direkomendasikan
 Ditetapkan oleh pemerintah dan asosiasi industri
 Wewenang apa diyakini sebagai komponen dari suatu program
keamanan informasi yang baik.
Kepatuhan Benchmark/Benchmark compliance adalah ketika
sebuah perusahaan mematuhi patokan keamanan informasi dan
standar yang direkomendasikan oleh industri yang berwenang.
8
Figure 9.1 Information Security
Management (ISM) Strategies
9
Ancaman/Threat
► Ancaman
keamanan informasi adalah orang,
organisasi, mekanisme, atau peristiwa yang
mempunyai potensi untuk menimbulkan kerugian
pada sumber daya informasi perusahaan.
► Internal
and external threats
 Internal mencakup karyawan perusahaan, para pekerja
sementara, konsultan, kontraktor, dan bahkan mitra bisnis.
 Sebesar 81% kejahatan komputer telah dilakukan oleh
karyawan.
 ancaman internal berpotensi kerusakan lebih serius karena
► Kebetulan
dan disengaja
10
Figure 9.2 Unauthorized Acts
Threaten System Security Objectives
11
Types of Threats
►
►
►
►
►
►
Malicious software(malware) terdiri dari program-program lengkap
atau segmen kode yang dapat menyerang sistem dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik sistem (yaitu,
menghapus file, sistem berhenti, dll)
Virus adalah program komputer yang dapat menggandakan dirinya
sendiri tanpa dapat diamati pengguna dan menanamkan salinan
dirinya dalam program lain dan boot sektor.
Worm tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat
mengirimkan copynya melalui e-mail.
Trojan horse didistribusikan oleh pengguna sebagai utilitas dan
ketika utilitas yang digunakan, menghasilkan perubahan yang tidak
diinginkan dalam fungsi sistem; tidak dapat mereplikasi atau
menggandakan sendiri.
Adware menghasilkan pesan iklan yang mengganggu
Spyware mendapatkan data dari mesin pengguna
12
Risks
► Risiko
keamanan informasi potensi
output yang tidak diharapkan dari
pelanggaran keamanan informasi oleh
ancaman keamanan informasi
 semua risiko merupakan tindakan yang tidak sah
► Pengungkapan
dan pencurian
informasi yang tidak terotorisasi
► Penggunaan yang tidak terotorisasi
► Penghancuran yang tidak terotorisasi
penolakan layanan(Denial of Service)
► Perubahan
dan
yang tidak terotorisasi
13
E-commerce Considerations
► Disposable
credit card/Kartu kredit “sekali
pakai”(AMEX) - suatu tindakan yang ditujukan pada
60 sampai 70% dari konsumen yang takut penipuan
kartu kredit yang timbul dari penggunaan internet.
► Visa's memerlukan 10 praktik keamanan bagi para
pengecer ditambah 3 praktik umum untuk mencapai
keamanan informasi di semua kegiatan pengecer.
► Cardholder Information Security Program (CISP)
ditambah praktek-praktek yang diperlukan
14
Sepuluh Praktik Keamanan yang
dilakukan VISA
Retailer harus:
1.
Memasang dan memelihara firewall
2.
Memperbaharui keamanan
3.
Melakukan enkripsi pada data yang disimpan
4.
Melakukan enkripsi pada data yang akan dikirim
5.
Menggunakan dan memperbaharui piranti lunak antivirus
6.
Membatasi akses data kepada orang-orang yang ingin tahu
7.
Memberikan ID unik kepada setiap orang yang memiliki
kemudahan mengakses data
8.
Memantau akses data dengan data ID unik
9.
Tidak menggunakan kata sandi default yang disediakan oleh
vendor
10. Secara teratur menguji sistem keamanan
15
Risk Management
►
Mendefinisikan resiko terdiri dari 4 tahap
 Identifikasi aset bisnis yang harus dilindungi dari resiko
 Menyadari resikonya
 Menentukan tingkat dampak dalam perusahaan jika resiko benar-benar
terjadi
 Menganalisa kelemahan perusahaan
►
Tingkat keparahan dampak dapat diklasifikasikan sebagai
 Dampak yang parah(Severe impact) membuat perusahaan bangkrut
atau sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi
 Dampak minor(Minor impact) menyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari-hari
16
Table 9.1 Degree of Impact and
Vulnerability Determine Controls
17
Risk Analysis Report
►
Hasil temuan sebaiknya didokumentasikan dalam laporan
analisa resiko. Isi dari laporan ini sebaiknya mencakup
informasi berikut ini








Deskripsi resiko
Sumber resiko
Tingginya tingkat resiko
Pengendalian yang diterapkan pada resiko tersebut
Pemilik-pemilik resiko
Tindakan yang direkomendasikan untuk mengatasi resiko
Jangka waktu yang direkomendasikan untuk mengatasi resiko
Apa yang telah dilaksanakan untuk mengatasi resiko tersebut
18
Kebijakan Keamanan Informasi
►Lima
phase implementasi kebijakan
 Phase
 Phase
 Phase
 Phase
 Phase
1: Inisialisasi proyek
2: Pengembangan kebijakan.
3: Konsultasi dan persetujuan.
4:Kesadaran dan edukasi.
5: Penyebarluasan kebijakan.
19
Figure 9.3 Development of Security
Policy
20
Controls/Pengendalian
► Control
adalah sebuah mekanisme yang
diterapkan baik untuk melindungi perusahaan dari
resiko atau untuk meminimalkan dampak resiko
tersebut pada perusahaan jika resiko tersebut
terjadi.
► Technical controls adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh para
penyusun sistem selama masa siklus penyusunan
sistem.
 Termasuk internal auditor dalam project team
 Berdasarkan teknologi hardware dan software
21
Technical Controls
► Access
control adalah dasar untuk keamanan
melawan ancaman yang dilakukan oleh orangorang yang tidak diotorisasi
► Access control dilakukan melalui proses tiga tahap
yang mencakup
 User identification.
 User authentication.
 User authorization.
► Profil
pengguna- deskripsi pengguna yang
terotorisasi; digunakan dalam identifikasi dan
authorisasi
22
Figure 9.4 Access Control Functions
23
Technical Controls (Cont’d)
►
►
Intrusion detection systems (IDS) mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan
untuk melakukan perusakan
Perangkat lunak proteksi virus yang telah terbukti efektif
melawan virus yang terkirim melalui email
 Identifikasi pesan pembawa virus dan memperingatkan pengguna.
►
Tools Prediksi ancaman dari dalam mengklasifikasikan
ancaman sebagai berikut




Ancaman yang disengaja
Potensi ancaman tidak disengaja
mencurigakan
Tidak berbahaya(Harmless)
24
Firewalls
Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data
ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:
► Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP yang
mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan
jaringan internal router tersebut dapat berlaku sebagai firewall
 Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan
 Alamat IP(IP address) adalah serangkaian empat angka(masing-masinng 0 255) yang secara unik mengindentifikasikan masing-masing komputer yang
terhubung ke internet
► Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet dan
jaringan perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada
router
 Memungkinkan tingkat otentikasi dan penyaringan yang tinggi
► Firewall tingkat aplikasi berlokasi antara router dan komputer yang menjalankan
aplikasi tersebut
 Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.
►
25
Figure 9.5 Location of Firewalls in
the Network
26
Cryptographic and Physical Controls
►
►
►
►
►
►
Cryptography adalah menggunakan pengkodean yang menggunakan prosesproses matematika
Data dan informasi dapat dienkripsi dalam penyimpanan dan juga
ditransmisikan ke dalam jaringan.
Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi tersebut
akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan
mencegah kesalahan penggunaan.
Protocol khusus sepert SET(Secure Electronin Transactions) melakukan
pengecekan keamanan menggunakan tanda tangan digital dikembangkan
dalam e-commerce
Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan
Syria
Physical controls melindungi dari gangguan yang tidak terotorisasi seperti
kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan penjaga
keamanan.
 Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan jauh dari
wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badai
27
Formal Controls
► Formal
control mencakup penentuan cara
berperilaku, dokumentasi prosedur dan praktik
yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan
yang berlaku
 Management memerlukan banyak waktu untuk
menyusunnya.
 Mendokumentasikan dalam bentuk tertulis
 Diharapkan dapat berlaku untuk jangka waktu yang
panjang
► Top
management harus berpartisipasi aktif dalam
menentukan dan memberlakukannya
28
Informal Controls
► Edukasi
► Program
pelatihan
► Program pengembangan management
► Pengendalian ini ditujukan untuk menjaga agar
para karyawan perusahaan memahami serta
mendukung program keamanan tersebut
29
Industry Standards
► Center
for Internet Security (CIS) adalah
organisasi nonprofit didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman.
 CIS Benchmarks membantu mengamankan pengguna
mengamankan sistem informasi dengan cara
menerapkan pengendalian khusus teknologi
 CIS Scoring Tools memberi kemampuan bagi
pengguna untuk menghitung tingkat keamanan,
membandingkannya dengan tolok ukur, dan menyiapkan
laporan yang mengarahkan pengguna dan administrator
sistem untuk mengamankan sistem
32
Professional Certification
► Dimulai
tahun 1960 profesi IT mulai
menawarkan program sertifikasi:
 Information Systems Audit and Control
Association (ISACA)
 International Information System Security
Certification Consortium (ISC)
 SANS (SysAdmin, Audit, Network, Security)
Institute
33
Business Continuity Management
► Business
continuity management(BCM)
aktifitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi
► Aktifitas ini disebut Perencanaan
bencana(Disaster planning), namun istilah
yang lebih positif adalah Contigency Plan
► Contigency Plan merupakan dokumen tertulis
formal yang menyebutkan secara detail tindakantindakan yang harus dilakukan jika terjadi
gangguan, atau ancaman gangguan pada
operasional perusahaan.
34