Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga

Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga

DR. Hasyim Gautama

Batam, 11 April 2012

Agenda

• Cyber Crime• Keamanan Informasi• Tata Kelola Kaminfo• Strategi Pelaksanaan

Cyber Crime

SMS Penipuan

Pembunuh Bayaran

Kasus Bocor Data DiplomatikData rahasiaIndonesia dimilikioleh AS.Wikileaks memuatdata tsb. di situsstatic.guim.co.uk

Anonymous

Urgensi Penerapan Kaminfo• Informasi adalah aset yg rawan terhadap–Pencurian–Modifikasi

• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi

Keamanan Informasi

Keamanan InformasiTerjaganya informasi dari ancaman danserangan terhadap:• kerahasiaan (confidentiality)• keutuhan (integrity)• ketersediaan (availability)• nirsangkal (non repudiation)

Aspek Keamanan Informasi• Kerahasiaan (confidentiality): pesan hanya bisa

terbaca oleh penerima yang berhak• Keutuhan (integrity): pesan yang diterima

tidak berubah• Ketersediaan (availability): pesan dapat

tersampaikan ke penerima • Nirsangkal (non repudiation): pesan terkirim

tidak dapat disangkal oleh pengirimnya

Gangguan Keamanan• Ancaman–Manusia–Alam

• Serangan– Interupsi: Denial of Service (DoS)– Intersepsi: Packet Sniffing–Modifikasi: TCP Hijacking, Virus Trojan– Fabrikasi: Packet Spoofing

Ancaman

Berasal dari:• Manusia• Alam

Ancaman dari Manusia• Staf internal–Mencatat password–Meninggalkan sistem tanpa logout

• Spy–Menyadap data

• Yang ingin tenar–Menginginkan perhatian publik

• Yang ingin coba-coba

Ancaman dari Alam• Temperatur: panas /dingin yg ekstrim• Kelembaban atau gas yg ekstrim:

kegagalan AC• Air: banjir, pipa bocor• Organisme, bakteri, serangga• Anomali energi: kegagalan listrik, petir

Serangan• Interupsi: Denial of Service (DoS)• Intersepsi: Packet Sniffing• Modifikasi: TCP Hijacking, Virus Trojan• Fabrikasi: Packet Spoofing

Denial of Service (DoS)Menghalangi akses pihak yang berhak dg

membanjiri permintaan akses fiktifContoh: serangan TCP SYN, permintaan

koneksi jaringan ke server dalam jumlah yang besar

Distributed DoS

Packet SniffingMendengarkan dan merekam paket yg

lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer:

Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan

untuk mendiagnosa kerusakan jaringan

Tools Packet Sniffer

Virus TrojanMerekam pesan lalu memodifikasinya dan

dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program

tersembunyi yang biasanya menempel pada email atau free games software.

• Masuk ke sistem• Mengakses file system• Mencuri username dan password

Ilustrasi Virus Trojan Horse

Principles of Infosec, 3rd Ed

Paket SpoofingMengubah alamat pengirim paket untuk

menipu komputer penerimaContoh: Man-in-the-middel-attack,

penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.

Man-in-the-middel-attack

Pengamanan Fisik• Pemilihan Lokasi• Konstruksi bangunan• Pengamanan akses–Pengawasan Personil: penjaga & CCTV–Perangkat kontrol akses personil: kunci,

security access card & perangkat biometric

Pengamanan Logik (1)• Otentikasi user• Otorisasi user• Enkripsi• Tanda Tangan dan Sertifikat Digital• Firewall

Pengamanan Logik (2)• DeMilitarized Zone (DMZ)• Intrusion Detection System (IDS) • Server• Client• Code/script

Otentikasi• Account Locking: akun terkunci jika

terjadi kesalahan login bbrp kali• Password Expiration: password harus

diubah jika telah melewati batas waktu• Password Complexity Verification: –Panjang minimum–Kombinasi alfabet, nomor dan tanda baca– Tidak sama dengan kata-kata sederhana

OtorisasiPemberian hak akses thd resource• Access Control List (ACL), untuk kontrol

akses: baca, tulis, edit atau hapus• Access Control File (ACF), untuk kontrol

akses thd web server: access.conf dan .htaccess

• Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)

Enkripsi

Contoh EnkripsiSymmetric• Data Encryption Standard (DES)• Blow Fish• IDEAAsymmetric• RSA• Merkle-Hellman Scheme

Tanda Tangan Digital

Sertifikat Digital

Firewall

DeMilitarized Zone

Intrusion Detection System

Tata Kelola Kaminfo

Landasan Hukum

• Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)

• Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang:“Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”

Standar Keamanan Informasi

• SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

Komponen SNI 270011. Kebijakan Keamanan2. Organisasi Keamanan3. Pengelolaan Aset4. Keamanan Sumber

Daya Manusia5. Keamanan Fisik &

Lingkungan6. Manajemen

Komunikasi & Operasi

7. Pengendalian Akses8. Akuisisi,

Pengembangan & Pemeliharaan Sistem Informasi

9. Manajemen Insiden Keamanan

10. Manajemen Keberlanjutan Bisnis

11. Kesesuaian

Manajemen Keamanan

PlanPlan

DoDo

CheckCheck

ActAct

Indeks Kaminfo

• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009

• Fungsi: sebagai indikator penerapan keamanan informasi secara nasional

Ruang Lingkup

1. Kebijakan dan Manajemen Organisasi2. Manajemen Resiko3. Kerangka Kerja4. Manajemen Aset Informasi5. Teknologi

Maksud dan Tujuan

• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

Penerapan Tata Kelola

1. Merujuk pada panduan penerapan tata kelola

2. Menggunakan Indeks KAMI sebagai alat ukur3. Melaporkan hasil pengukuran kepada

Kementerian Komunikasi dan Informatika

Level Indeks KAMI

• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI):0. Pasif1. Reaktif2. Aktif3. Proaktif4. Terkendal5. Optimal

CMMI: 5 Tingkat KematanganLevel 5

Initial

Level 1

Processes are unpredictable, poorly controlled, reactive.

Repeatable

Level 2

Processes are planned, documented, performed, monitored, and controlled at the project level. Often reactive.

Defined

Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X ) level. Proactive.

Managed

Level 4

Processes are controlled using statistical and other quantitative techniques.

Optimized

Proc

ess M

atur

ity

Process performance continually improved through incremental and innovative technological improvements.

Pemeringkatan Kaminfo

• Pengelompokan instansi berdasarkan level indeks kaminfo

• Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment

• Tahun 2012: evaluasi dengan self dan on-site assessment keamanan informasi

Hasil Pemeringkatan Kaminfo

• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo

• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo

Strategi Pelaksanaan

People, Process & Technology

People: Pemerintah & Akademisi

• Instansi pemerintah:– memiliki sistem elektronik yg perlu diproteksi dg

penerapan indeks kaminfo– tapi SDMnya (terlalu) sibuk dg rutinitas birokrasi

• Akademisi:– memiliki SDM yg unggul– perlu aktualisasi diri dg praktek kerja atau magang

Process: Link & Match

Pemerintah & akademisi berkolaborasi dalam• Seminar• Bimbingan Teknis• Asesmen• Pemeringkatan• Klinik konsultasi

Technology

• Sistem elektronik di pemerintah sbg obyek asesmen

• Aplikasi indeks kaminfo berupa spreadsheet• Panduan penerapan indeks kaminfo

Terima kasih

hasyim.gautama@kominfo.go.id

ditkaminfo

ditkaminfo

hasyim.gautama@kominfo.go.id

ditkaminfo

ditkaminfo