Keamanan Informasi & Penjaminan Informasi - FT UNPmagister-cio.ft.unp.ac.id/.../uploads/2012/02/04.-Regulasi-Keamanan... · Pedoman keamanan informasi ... terhadap kehidupan sosial,

05/04/2012

1

Kementerian Komunikasi dan Informatika bekerja sama dengan

Institut Teknologi Bandung Institut Teknologi Sepuluh November

Universitas Gajah Mada Universitas Indonesia

KEMKOMINFO

Regulasi bidang Keamanan Informasi &

Penjaminan Informasi

KEMKOMINFO

Agenda

Konsep dan prinsip dasar

Resiko dan aset informasi

Klasifikasi informasi

Teknologi keamanan informasi

Metodologi keamanan informasi

Standar Keamanan Informasi

Etika

Privasi

2

05/04/2012

2

KEMKOMINFO

Apakah informasi itu?

Dari perspektif Keamanan Informasi

Informasi diartikan sebagai sebuah

‘aset’; merupakan sesuatu yang

memiliki nilai dan karenanya harus dilindungi

Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan

penilaian dan pengambilan keputusan

3

KEMKOMINFO

Bentuk informasi

Gagasan, pikiran dalam bentuk tulisan, pidato

Hardcopy (asli, salinan, transparan, fax)

Softcopy (tersimpan di media tetap atau portabel)

Pengetahuan perorangan

Ketrampilan teknis

Pengetahuan korporasi

Pertemuan formal dan informal

Percakapan telepon

Telekonferensi video

4

05/04/2012

3

KEMKOMINFO


Penggunaan operasi2 informasi untuk

melindungi informasi, sistem dan jaringan

informasi, dengan cara memastikan:

ketersediaan, integritas, keaslian, kerahasiaan

dan non-repudiasi, dengan

mempertimbangkan resiko akibat ancaman

dari lokal atau tempat yang jauh melalui

jaringan komunikasi dan Internet.

Tanpa adanya penjaminan informasi, suatu

organisasi tidak mempunyai kepastian tentang

informasi yang diperlukan untuk pengambilan

keputusan penting, adalah andal, aman, dan

tersedia saat dibutuhkan

5

KEMKOMINFO

Keamanan Informasi

Konsep, teknik dan hal-hal yang terkait

dengan kerahasian, ketersediaan,

integritas, keaslian dari informasi

Teknik: enkripsi, digital signature,

intrusion detection, firewall, kontrol akses

dll

Manajemen: strategi, desain, evaluasi,

audit

Standar dan sertifikasi

6

05/04/2012

4

KEMKOMINFO

Gambar Besar (Big Picture)


Sekuriti Informasi Ketergantungan Informasi

Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas

Keandalan, Ketersediaan, Pencegahan Kegagalan,

Penghindaran dan Toleransi

Kemampuan untuk pulih dari kegagalan dan serangan

7

Y. Qian et al., 2008

KEMKOMINFO

Contoh-contoh kasus

8

2010 – Wikileaks

2010 – Virus Stuxnet menyerang PLTN di Iran

Ags 2008 – Serangan Internet terhadap Situs web Georgia

Apr 2007 – Serangan Cyber terhadap Estonia

Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)

Mei 2005 – Malaysia-Indonesia

Apr 2001 – Sino-AS

Stuxnet video

05/04/2012

5

KEMKOMINFO

Regulasi

UU RI no. 11 thn 2008 tentang

Informasi dan Transaksi Elektronik

9

KEMKOMINFO

Konsep & Prinsip dasar

CIA dkk

Confidentiality

Integrity

Availability

Non-repudiation

10

05/04/2012

6

KEMKOMINFO

Agenda







Etika

Privasi

11

KEMKOMINFO

Hubungan antara Risiko dan Aset Informasi

12

Ancaman Vulnerability eksploitasi

Resiko Aset Manajemen mengurangi

Kebutuhan

sekuriti Nilai

Aset

05/04/2012

7

KEMKOMINFO


Skema Klasifikasi Informasi Sederhana

13

Definisi Deskripsi

Public (umum) Informasi yang aman dibuka untuk umum (publik)

Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk

eksternal

Company

confidential (Rahasia

perusahaan)

Kriteria klasifikasi

• Nilai

• Umur

• Waktu berlaku (useful life)

• Keterkaitan dengan pribadi (personal association)

KEMKOMINFO

4R Keamanan Informasi

14

Right People

(pada orang yg tepat)

Right Time

(pada waktu yg

tepat)

Right Form

(format yg tepat)

Right Information

(informasi yg tepat)

05/04/2012

8

KEMKOMINFO

Jenis-jenis serangan

Hacking

Denial of Service (DoS)

Kode berbahaya (malicious code)

Social engineering

15

KEMKOMINFO

Peningkatan Keamanan

Pengamanan Administratif Strategi, kebijakan, dan pedoman

keamanan informasi Strategi keamanan informasi

Kebijakan keamanan informasi

Pedoman keamanan informasi

Standar keamanan informasi

IT Compliance

Proses dan operasi keamanan informasi Program pendidikan dan pelatihan keamanan

informasi

Penguatan promosi melalui berbagai kegiatan

Pengamanan dukungan

16

05/04/2012

9

KEMKOMINFO

Agenda







Etika

Privasi

17

KEMKOMINFO

Pengamanan dengan Teknologi (I)

Model Defense-in-Depth (DID)

18

05/04/2012

10

KEMKOMINFO

Pengamanan dengan Teknologi (II)

Teknologi Pencegah Kriptografi

Proses pengkodean informasi dari bentuk aslinya (disebut plaintext)

menjadi sandi, bentuk yang tidak dapat dipahami

One-Time Passwords (OTP)

OTP hanya dapat digunakan sekali. Password statis lebih mudah

disalahgunakan oleh password loss, password sniffing, dan brute-

force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.

Firewall (Dinding api) Firewall mengatur beberapa aliran lalu lintas antara jaringan

komputer dari trust level yang berbeda.

Alat penganalisis kerentanan

Ada 3 jenis alat penganalisis kerentanan: Alat penganalisis kerentanan jaringan

Alat penganalisis kerentanan server

Alat penganalisis kerentanan web

19

KEMKOMINFO

Pengamanan dengan Teknologi (III)

Teknologi Pendeteksi

Anti-Virus

Program komputer untuk mengidentifikasi, menetralisir

atau mengeliminasi kode berbahaya

IDS (Intrusion Detection System)

IDS mengumpulkan dan menganalisis informasi dari

berbagai area dalam sebuah komputer atau jaringan

untuk mengidentifikasi kemungkinan penerobosan

keamanan

IPS (Intrusion Prevention System)

IPS mengidentifikasi potensi ancaman dan bereaksi

sebelum mereka digunakan untuk menyerang

20

05/04/2012

11

KEMKOMINFO

Pengamanan dengan Teknologi (IV)

Teknologi Terintegrasi

ESM (Enterprise Security Management)

Sistem ESM mengatur, mengontrol dan mengoperasikan

solusi keamanan informasi seperti IDS dan IPS mengikuti

kebijakan yang ditetapkan

ERM (Enterprise Risk Management)

Sistem ERM adalah membantu memprediksi seluruh

risiko yang terkait dengan organisasi, termasuk area di

luar keamanan informasi, dan mengatur langkah

mengatasinya secara otomatis

21

KEMKOMINFO

Peran & Tanggung Jawab

22

Peran Deskripsi

Manajer senior Tanggung jawab paling besar untuk sekuriti

Pejabat Sekuriti

Informasi

Tanggung jawab fungsional untuk sekuriti

Pemilik Menentukan klasifikasi informasi

Penyimpan

(Custodian)

Memelihara CIA dari informasi

Pengguna/operator Menjalankan kebijakan yang telah ditetapkan

Auditor Memeriksa sekuriti

05/04/2012

12

KEMKOMINFO

Agenda







Etika

Privasi

23

KEMKOMINFO

Metodologi Keamanan Informasi

Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System).

24

Model PDCA yang diterapkan ke Proses ISMS

Sumber: ISO/IEC JTC 1/SC 27

Memelihara dan memperbaiki ISMS

Memantau dan review

ISMS

Implementasi dan operasi

ISMS

Menetapkan

ISMS Pihak-pihak

yang terlibat

Pihak-pihak

yang terlibat

Kebutuhan dan

ekspektasi

sekuriti

informasi

Sekuriti

Informasi

termanaj

05/04/2012

13

KEMKOMINFO

Metodologi Keamanan Informasi

ISO/IEC 27001 (BS7799)

Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi

Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan

Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.

25

KEMKOMINFO

Agenda







Etika

Privasi

26

05/04/2012

14

KEMKOMINFO

Standar Kegiatan Keamanan Informasi

ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif

CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi

CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis

27

KEMKOMINFO

Aspek-aspek Keamanan Informasi

28

Teknologi

Orang

Operasi

• Pelatihan dan Kepeka-tanggapan

• Administrasi sekuriti

• Sekuriti pribadi

• Sekuriti fisik

• Manajemen fisik

• Auditing dan pemantauan

• Indikasi dan peringatan

• Deteksi dan Tanggapan Kejadian

• Kontingensi dan pemulihan

05/04/2012

15

KEMKOMINFO

Agenda







Etika

Privacy

29

KEMKOMINFO

Sekuriti IT, Etika dan Masyarakat

Tanggung jawab etika dari profesional bisnis

Mempromosikan penggunaan etika dalam TI

Menerima tanggung jawab etika dari pekerjaan

Peran yang cocok sebagai SDM berkualitas

Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan

Teknologi informasi

memiliki dampak baik

dan buruk bagi

masyarakat (orang)

Manajemen aktivitas kerja untuk

meminimkan dampak buruk

Berupaya untuk memaksimalkan

dampak baik

05/04/2012

16

KEMKOMINFO

Etika Teknologi Informasi

Tujuan pembelajaran tanggung jawab etika:

Isu-isu etika terkait penggunaan teknologi informasi dalam bisnis yang mempengaruhi

kepegawaian, perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalah-masalah sosial kemasyarakatan.

31

Kepegawaian Privacy

Kriminal

Situasi

Kerja Perorangan

Kesehatan

Etika

Sekuriti TI

dalam

Bisnis

KEMKOMINFO

Ditinjau dari Teori Pertanggungjawaban Sosial

Korporasi (CSR/Corporate Social Responsibility)

Stockholder Theory Teori Kontrak

Sosial Stakeholder

Theory

Manajer adalah agen

dari stockholders.

Tanggung jawab etika

mereka adalah

meningkatkan

keuntungan tanpa

melanggar hukum atau

menipu.

Perusahaan

memiliki

tanggung jawab

etika terhadap

seluruh

komponen

anggota

masyarakat.

Manajer memiliki

tanggung jawab

etika untuk

memanaj

perusahaan agar

menguntungkan

bagi semua

pemegang

saham.

05/04/2012

17

KEMKOMINFO

Profesional Bertanggung Jawab

Bertindak dengan integritas

Selalu meningkatkan kompetensi diri

Menetapkan standar yang tinggi untuk kinerja diri

Menerima tanggung jawab atas kerjanya

Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik

KEMKOMINFO

Kejahatan Komputer (Kejahatan TI)

Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan

Rilis yang tidak sah atas informasi

Salinan yang tidak sah atas perangkat lunak

Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri

Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property

05/04/2012

18

KEMKOMINFO

35

Hacking

Penggunaan obsesif

atas komputer atau

akses tidak sah dan

penggunaan tidak sah

jaringan

Cyber Theft

Meliputi entry (masuk)

jaringan tidak sah dan

pengubahan isi basis

data

Kejahatan Komputer (II)

Pelaku

KEMKOMINFO

Prinsip Etika Teknologi

Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil.

Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya

Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko.

Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.

05/04/2012

19

KEMKOMINFO

Agenda







Etika

Privacy

37

KEMKOMINFO

Konsep Privasi (1)

Apakah “Informasi Pribadi”? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.

38

Nama

Hubungan keluarga

Nomor telepon

Alamat

Alamat e-mail

Nomor lisensi mobil

Nomor kartu kredit

Karakteristik fisik

Informasi Pribadi, definisi sempit

05/04/2012

20

KEMKOMINFO

Konsep Privasi (2)

Apakah “Informasi Pribadi”? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.

39

Informasi Pribadi, Definisi Luas

Informasi Kredit

Detail panggilan telepon

Karir

Pendapat

Detail transaksi

Latar belakang akademik

Evaluasi

Catatan kriminal

KEMKOMINFO

Konsep Privasi (3)

Informasi Pribadi dan Privasi

Akses, pengumpulan, analisis, dan penggunaan

informasi pribadi yang tidak pantas berdampak pada

perilaku pihak lain terhadap pribadi yang

bersangkutan dan pada akhirnya berdampak negatif

terhadap kehidupan sosial, harta benda, dan

keselamatan-nya.

Oleh karena itu, informasi pribadi harus dilindungi dari

akses, pengumpulan, penyimpanan, analisis dan

penggunaan yang salah. Dalam hal ini, informasi

pribadi adalah subyek perlindungan.

40

05/04/2012

21

KEMKOMINFO

Opt-in Versus Opt-out

Opt-In (Opsi Masuk)

Anda harus secara

eksplisit menyatakan

bahwa data tentang

Anda boleh

dikompilasi

Default di Europe

Opt-Out (Opsi Keluar)

Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan

Default di AS.

KEMKOMINFO

Isu-isu Tambahan Privacy

Pelanggaran Privacy

Mengakses email pribadi, percakapan pribadi dan rekaman komputer

pribadi

Mengumpulkan dan berbagi informasi tentang seseorang dari

kunjungannya ke situs-situs Internet

Pemantauan Komputer

Selalu tahu di mana seseorang berada

Layanan seluler cenderung dekat dengan asosiasi di mana seseorang

berada

Computer Matching

Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis

Akses Tidak Sah atas File-file Pribadi

Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang

05/04/2012

22

KEMKOMINFO

Melindungi Privacy di Internet

Menyandi surel

Mengirim posting surel lewat remailer anonim

Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan

pengguna jasa broadcast lainnya. (Meminta operator seluler?)

Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web

KEMKOMINFO

Kebebasan Komputer dan Sensor

Sisi berlawanan dari debat privacy Kebebasan informasi, kebebasan berbicara dan kebebasan

pers

Tempat-tempat Bulletin boards (kaskus, kompasiana, surel pembaca)

Email boxes

Online files of Internet and public networks

“Persenjataan dalam Pertempuran”

Spamming Pengiriman e-mail ke banyak pengguna unsolicited

Flame mail Sending extremely critical, derogatory, and often vulgar email

messages or newsgroup postings to other Internet users or online

services

Especially prevalent on special-interest newsgroups

05/04/2012

23

KEMKOMINFO

Cyberlaw

Irisan antara teknologi

dan hukum merupakan

bahan perdebatan

Perlukah regulasi Internet?

Kriptografi menyulitkan bila

regulasinya tradisional

Komunitas Internet

menganggap sensor

merupakan penghambat

dan beberapa pihak malah

melakukan by-pass

UU ITE

Hukum diniatkan untuk mengatur aktivitas

ber-Internet via perangkat komunikasi

Mencakup sejumlah isu

hukum dan politik

Meliputi properti intelektual, privacy,

kebebasan berekspresi dan jurisdiksi

KEMKOMINFO

Ringkasan

Informasi adalah salah satu aset yg sangat berharga bagi

suatu organisasi. Ancaman terhadap keamanan informasi

datang berupa pembeberan yang tidak sah, korupsi atau

halangan terhadap layanan.

Tujuan dari keamanan adalah untuk melindungi aset

yang sangat berharga, khususnya berkaitan dengan

kerahasiaan, integritas dan ketersediaan dari informasi

dan aset yang mengolah, menyimpan dan mengirim

informasi tersebut.

Regulasi, kebijakan dan petunjuk tentang keamanan

didasarkan pada konsep dan prinsip kemanan.

Pemahaman terhadap konsep dan prinsip tersebut

memungkinkan seorang staf IA mengambil keputusan

yang benar dan efektif.

46

05/04/2012

24

KEMKOMINFO

Informasi lebih lanjut

www.cert.or.id - Indonesia Computer Emergency Response Team

www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi

47

KEMKOMINFO

Diskusi

Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda.

Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda.

Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa?

Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda?

Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?

48

http://www.cert.or.id/

http://www.wired.com/threatlevel/

05/04/2012

25

KEMKOMINFO

Akhir dari Modul 4

Terima kasih

KEMKOMINFO

Ethical Guidelines of the AITP

05/04/2012

26

KEMKOMINFO

Privacy Issues

The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy

Personal information is collected with every

visit to a Web site

Confidential information stored by credit

bureaus, credit card companies, and the government has

been stolen or misused

Keamanan Informasi & Penjaminan Informasi - FT UNPmagister-cio.ft.unp.ac.id/.../uploads/2012/02/04.-Regulasi-Keamanan... · Pedoman keamanan informasi ... terhadap kehidupan sosial,

Documents