P2 Konsep Dasar Keamanan Informasi SIF61 Program Studi Sistem Informasi Fakultas Teknologi Informasi Universitas Mercu Buana Yogyakarta A. Sidiq P.
P2Konsep Dasar Keamanan Informasi
SIF61
Program Studi Sistem Informasi
Fakultas Teknologi Informasi
Universitas Mercu Buana Yogyakarta
A. Sidiq P.
2
Pembahasan
• Definisi Keamanan Informasi
• Ruang Lingkup
• Bidang Cakupan
• Prinsip Utama
– C.I.A Triad
– Parkerian Hexad
• Element Access Control
• Risk Management Model
• Countermeasures
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
4
Definisi Keamanan Informasi
• Melindungi informasi dan Sistem Informasi dari akses, penggunaan, modifikasi, perekaman, perusakan, hambatan/penolakan dari pihak yang tidak berhak
wikipedia.org
• Melindungi informasi untuk mendapatkan 3 prinsip dasarConfidentiality, Integrity dan Availability (C.I.A)
http://www.infosec.gov.hk
• Keamanan biasanya digambarkan sebagai kebebasan daribahaya atau sebagai kondisi keselamatan
Harold F. Tipton
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
5
Ruang Lingkup
• Sistem Informasi = mencakup 3 aspek utama: hardware,
software, communications
• Semua komponen tersebut bekerjasama untuk
mengelola dan menghasilkan Informasi
• Nilai informasi menentukan tingkat sekuriti yang perlu
disediakan
• Melindungi informasi, berarti melindungi semua aspek
sistem informasi
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
6
Bidang Cakupan
• Physical Security
• Access Control
• Data Security
• Application Security
• Network & Communication Security
• Risk Management
• Policy, Standard & Organization
• Etc
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
7
Prinsip Utama
Prinsip
C.I.A Triad
Parkerian Hexad
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
8
C.I.A Triad
• C.I.A. Triad = prinsip utama keamanan informasi
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
9
Confidentiality
• Bagaimana menyembunyikan informasi atau sumberdaya (memastikan agar informasi hanya dilihat orang yang berhak) ?
• Tujuan: mencegah akses yg tidak terotorisasi (unauthorized) terhadap informasi/sumberdaya.
• Contoh– Menggunakan “Strong Password”
– Menghapus data-data penting ( Shredding/Wipe)
– Enkripsi data
– Unix file permissions, access control lists
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
10
Integrity
• Apakah data/informasi bisa dipercaya atau tidak (utuh & lengkap tanpa perubahan/modifikasi) ?
• Yang dimaksud dgn integritas:– Integritas isi informasi
– Integritas sumber informasi
– Contoh: Kasus www.kilkbca.com
• Mekanisme integritas:– Pencegahan (prevention)
– Deteksi (detection)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
11
Availability
• Apakah data/informasi yang dibutuhkan bisa diakses/digunakan atau tidak ?
• Good idiom:
– an unavailable system is at least as bad as no system at all
• Tradeoff dengan prinsip yg lain:
– Sejauh mana kita bisa menjamin avalability data dengan confidentiality dan integrity yang terjamin.
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
12
Parkerian Hexad
• Pengembangan dari C.I.A Triad
• Diajukan by Donn B. Parker tahun 2002
– confidentiality
– possession
– integrity
– authenticity
– availability
– utility
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
13
Element of Access Control
• Identification (Identifikasi)
– Siapakah kamu?
• Ex. Username, Email, Signature
• Authentication (Autentikasi)
– Bagaimana saya tahu itu kamu ?
• Menghubungkan username & password
• Fingerprints, smartcard, encryption key
• Authorization (Otorisasi)
– Apa saja yang bisa dilakukan?
• Ex. read – write – execute permission
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
14
Risk Management Model
• Model pengelolaan resiko keamanan,
digunakan untuk menghadapi ancaman (Lawrie Brown, www.cert.org)
• Tiga komponen yang memberikan
kontribusi kepada Risk, yaitu :
– Assets (aset)
– Threats (ancaman)
– Vulnerabilities (kelemahan)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
15
Assets (Aset)
• Hardware
• Software
• Dokumentasi
• Data
• Komunikasi
• Lingkungan
• Manusia
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
16
Threat (Ancaman)
• Kemungkinan bahaya yang muncul (biasanyamemanfaatkan kelemahan (vulnerability)) untukmenerobos keamanan, sehingga menimbulkan kerugian, kerusakan atau kesalahan lainnya.
• Ex :
– Pemakai (users)
– Hacker
– Kecelakaan (accidents)
– Cracker
– Cybercrime
– Kejadian alam (banjir, kebakaran, gempa bumi)
– Malware (virus, worm, trojan )
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
17SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
18SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
http://digcert.com/docs/symantec/symantec_report_2012.htm
19
Vulnerabilities (kelemahan)
• Software bugs
• Hardware bugs
• Radiasi (dari layar, transmisi)
• Unauthorized users
• Cetakan, hard copy, print out
• Keteledoran
• Cracker via telepon
• Storage media
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
20
Countermeasures
• Cara untuk menanggulangi resiko (risk),
antara lain :
– Usaha mengurangi Threat, misalnya
menggunakan software security
– Usaha mengurangi Vulnerability, misalnya
update sistem operasi
– Mendeteksi kejadian tidak bersahabat
– Kembali (recover) dari kejadian
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
21
Referensi
• CIA triad
– http://www.techrepublic.com/blog/security/the-cia-
triad/488
– http://en.wikipedia.org/wiki/CIA_triad#Key_concepts
• The three elements of access control
– http://www.techrepublic.com/blog/security/title/272
• Lainnya
– http://en.wikipedia.org/wiki/Parkerian_hexad
– http://en.wikipedia.org/wiki/Threat_(computer)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
22
Tugas
• Kelompok = 1 kelompok maksimal 2 orang
• Buatlah makalah singkat mengenai 3 prinsip yang membedakan
antara C.I.A triad dengan Parkerian Hexad!
– Nilai tambah : Jika ada pembahasan metode lain
pengembangan dari 2 prinsip di atas.
• Kirim ke FTI
• Note :
– Sebagai bahan diskusi pertemuan selanjutnya.
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
24SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
25
Thanks 4 Participating in My Class
C U Next Week
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]