1. BAB 9 KEAMANAN
INFORMASI
Universitas Pakuan
Fakultas Ekonomi
Kelompok 2:
Rohmat
: 021112374
Sarina Violenta
: 021112063
Nurfitriani
: 021110293
Dosen : Dr. Wonny Ahmad Ridwan, SE.MM,CPHR.
1
2. Tujuan Pembelajaran
Memahami kebuhan organisasi akan keamanan dan pengendalian
Memaham bahwa keamanan informasi berkaitan dengan keamanan semua sumberdaya informasi
bukan hanya peranti keras dan data
Memahami tiga tujuan utama keamanan informasi
Memahami bahwa manajemen keamanan informasi terdiri atas dua area: Manajemen keamanan
informasi (ISM) dan manajemen keberlangsungan bisnis (BCM)
Melihat hubungan yang logis antara ancaman, resiko dan pengendalian
Memahami apa saja ancaman keamanan yang utama
Memahami apa saja resiko keamanan yang utama
Mengenali berbagai kekhawatiran keamanan e-commerce dan bagaimana perusahan-perusahan
kartu kredit mengatasinya
Mengenali cara formal melakukan manajemen resiko
Mengetahui proses implementasi kebijakan keamanan informasi
Mengenali cara-cara pengendalian keamanan yang populer
Mengetahui tindakan-tindakan pemerintah dan kalangan industri yang memengaruhi keamanan
informasi
Mengetahui cara mendapatkan sertifikasi profesional dalam keamanan dan pengendalian
Mengetahui jenis-jenis rencana yang termasuk dalam perencanana kontinjensi
2
3. Pengantar
•
•
Keamanan informasi dimaksudkan untuk mencapai
kerahasiaan, ketersediaan, dan integritas di dalam sumber
daya informasi perusahaan.
Manajemen keamanan informasi terdiri dari:
1. Perlindungan Sehari-hari disebut Manajemen
Keamanan Informasi (information security
management/ ISM)
2. Persiapan untuk menghadapi operasi setelah bencana
disebut Manajemen Kesinambungan Bisnis (business
continuity management /BCM)
3
4. KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIAN
1.
•
Dalam dunia masa kini, banyak organisasi semakin dasar akan
pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat
virtual maupun fisik, agar aman dari ancaman baik dalam dan luar
sistem komputer yang pertama hanya memiliki sedikit perlindungan
keamanan, namun hal ini berubah pada saat perang Vietnam ketika
sejumlah instansi komputer di rusak oleh para pemrotes.
•
Pengalaman diatas untuk meletakkan penjagan keamanan yang
bertujuan untuk menghilangkan atau mengurangi kemungkinan
kerusakan atau penghancuran serta menyediakan organisasi dengan
kemampuan untuk melanjutkan kegiatan operasional seelah terjadi
gangguan.
4
5. 2.
Keamanan Informasi
• Keamanan informasi berkaitan dengan semua sumber daya
informasi, bukan hanya peranti keras data, namun juga
peranti lunak, fasilitas komputer, dan personel.
• Istilah keamanan informasi digunakan untuk
mendeskripsikan perlindungan baik peralatan komputer
dan nonkomputer, fasilitas, data, dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang.
5
6. 3.
Tujuan Keamanan Informasi
• Keamanan informasi dimaksudkan untuk mencapai
tiga sasaran utama, yaitu:
– Kerahasiaan: Melindungi data dan informasi
perusahaan dari penyingkapan orang –orang
yang tidak berhak
– Ketersediaan: Meyakinkan bahwa data dan
informasi perusahaan hanya dapat digunakan
oleh orang yang berhak menggunakannya.
– Integritas: Sistem informasi perlu menyediakan
representasi yang akurat dari sistem fisik yang
direpresentasikan
6
7. 4.
Manajemen Keamanan Informasi
• Manajemen Keamanan Informasi terdiri atas dua area:
a) Manajemen Keamanan Informasi: Aktivitas untuk menjaga
agar sumber daya informasi tetap aman.
b) Manajemen Keberlangsungan Bisnis: Aktivasi untuk
menjaga agar perusahaan dan sumber daya informasi tetap
berfungsi setelah adanya bencana.
• Istilah corporate information systems security officer
(CISSO) telah digunakan untuk orang yang berada di
organisasi yang bertanggung jawab pada sistem keamanan
informasi perusahaan.
• Saat ini ada istilah baru yaitu corporate information
assurance officer (CIAO) yang melaporkan kepada CEO
dan mengatur suatu unit jaminan informasi
7
8. 5.
Manajemen Keamanan Informasi
(ISM)
• Manajemen Informasi Keamanan (ISM) terdiri dari empat
langkah:
1. Identifikasi ancaman (threats) yang dapat menyerang sumber
daya informasi perusahaan
2. Mendefinisikan resiko dari ancaman – ancaman tersebut.
3. Menentukan kebijakan keamanan informasi
4. Menerapkan pengendalian (controls ) yang tertuju pada resiko
Hubungan logis antara ancaman, resiko dan pengendalian
adalah ketika ada ancaman maka ada resiko yang timbul dan
harus ada pengendalian terhadap resiko tersebut.
• Tolak ukur keamanan informasi (ISB) adalah tingkat keamanan
yang disarankan yang dalam keadaan normal harus menawarkan
perlindungan dengan cukup terhadap gangguan yang tidak
terotoritasi
8
10. 6.
Ancaman
• Ancaman keamanan informasi adalah seseorang,
organisasi, mekanisme, atau peristiwa yang dapat
berpotensi menimbulkan kejahatan pada sumber
daya informasi perusahaan
• Ancaman dapat berupa internal atau external,
disengaja atau tidak disengaja
• Gambar 9.2 memperlihatkan tujuan keamanan
informasi dan bagaimana keamanan informas
diberlakukan terhadap empat jenis resiko:
• Ancaman Internal dan External
• Disengaja dan tidak disengaja
10
12. Jenis Ancaman
Yang Paling Terkenal – “VIRUS”
• sebuah virus adalah sebuah program komputer yang dapat
mereplikasi dirinya sendiri tanpa pengetahuan pengguna
• sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa
sebuah sistem tapi dapat memancarkan salinan dengan
sendirinya oleh e-mail
• sebuah Trojan horse tidak dapat mereplikasi maupun
mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh
para pemakai yang mendistribusikannya sebagai utilitas,
maka ketika digunakan menghasilkan sesuatu perubahan yang
tidak dikehendaki dalam kemampuan sistem
• Sebuah Adware memunculkan pesan-pesan iklan yang
mengganggu
• Sebuah spyware mengumpulkan data dari mesin pengguna
12
13. Resiko
1.
2.
3.
4.
Tindakan tidak sah yang menyebabkan resiko
dapat digolongkan ke dalam empat jenis :
Pencurian dan Penyingkapan tidak terotorisasi.
Penggunaan tidak terotorisasi.
Pembinasaan dan Pengingkaran Layanan yang
tidak terotorisasi.
Modifikasi yang tidak terotorisasi.
13
14. 8.
Pertimbangan E-COMMERCE
• E-commerce telah memperkenalkan sebuah keamanan
resiko yang baru: penipuan kartu kredit. Keduanya
American Express dan Visa telah
mengimplementasikan program yang mengarahkan
secara rinci pada e-commerce
• American Express mengumumkan “penyediaan"
angka-angka kartu kredit. Angka ini, dibandingkan
dengan angka kartu kredit pelanggannya, yang
ditujukan pada perdagangan online menggunakan ecommerce, yang memilih American Express untuk
pembayarannya.
• Visa telah mengumumkan sepuluh praktek terkait
dengan keamanan yang mereka harap pengecernya
untuk mengikuti lebih dari tiga langkah praktek yang
umum dilakukan
14
15. Tindakan Pencegahan Visa
Pengecer Harus:
– Memasang dan memelihara firewall
– Memperbarui keamanan
– Melakukan enkripsi pada data yang disimpan
– Melakukan enkripsi pada data yang dikirimkan
– Menggunakan dan memperbarui perantik lunak antivirus
– Membatasi akses data kepada orang-orang yang ingin tahu
– Memberikan ID unik untuk orang yang memiliki kemudahan
mengakses data
– Memantau akses data dengan ID unik
– Tidak menggunakan password default dari vendor
– Secara teratur menguji keamanan sistem
Pengecer perlu:
– Memantau pegawai yang memiliki akses data
– Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam
keadaan tidak aman
– Hapus data jika sudah tidak digunakan
15
16. 9.
•
Manajemen Resiko
Empat sub langkah untuk mendefinisikan risiko
informasi adalah:
Mengidentifikasi aset bisnis yang harus dilindungi dari risiko
Menyadari resiko
Tentukan tingkat dampak pada perusahaan jika risiko benarbenar terjadi
Menganalisis kerentanan perusahaan
Pendekatan sistematis dapat diambil dari langkah 3 dan 4 dengan
menentukan dampak dan menganalisis kelemahan.
Tabel 9.1 menggambarkan pilihan.
16
17. Tingkat Dampak dan Kelemahan
Menentukan Pengendalian
Dampak parah
Dampak signifikan Dampak minor
Kelemahan tingkat
tinggi
Melaksanakan
analisis
kelemahan.harus
meningkatkan
pengendalian
Melaksanakan
analisis
kelemahan.harus
meningkatkan
pengendalian.
Analisis kelemahan
tidak dibutuhkan
Kelemahan tingkat
menegah
Melaksanakan
analisis kelemahan.
Sebaiknya
meningkatkan
pengendalian
Melaksananakan
analisis kelemahan,
sebaiknya
meningkatkan
pengendalian
Analisis kelemahan
tidak dibutuhkan
Kelemahan tingkat
rendah
Melaksanakan
analisis kelemahan,
menjaga
pengendalian tetap
ketat.
Melaksanakan
analisis kelemahan,
menjaga
pengendalian tetap
ketat.
Analisis kelemahan
tidak dibutuhkan.
18. Laporan Analisis Risiko
• Pemuan dari analisis risiko harus didokumentasikan dalam
sebuah laporan yang berisi informasi rinci seperti berikut untuk
masing-masing risiko:
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat resiko
4. Pengendalian yang diterapkan pada resiko tersebut
5. Para pemilik resiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Jangka waktu yang direkomendasikan untuk mengatasi risiko
8. Apa yang telah dilaksanakan untuk mengatasi risiko tersebut
18
19. 10.
Kebijakan Keamanan Informasi
Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan
tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan
keamanannya dengan pendekatan yang bertahap.
Figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan.
•Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din
bentuk dan suatu komite akan mencangkup manajer dari wilayah dimana
kebijakan akan diterapkan
•Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak
yang berminat & berpengaruh oleh proyek.
• Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk
memberitaukan temuannya. Serta untuk mendapatkan pandangan mengenai
persyaratan kebijakan
•Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi
dilaksanakan dalam unit organisasi
•Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi
dimana kebijakan dapat diterapkan.
20. Tim proyek
Fase 1
Inislasi proyek
Fase 2
Penyusunan
kebijakan
Fase 3
konsultasi dan
persetujuan
Fase 4
Kesadaran dan
pendidikan
Fase 5
Penyebarluasan
kebijakan
•
Penetapan
Komite pengawas
proyek keamanan
konsultasi
konsultasi
Pihak yang berminat
dan terpengaruh
manajemen
Pelatihan kesadaran
& edukasi kebijakan
Kebijakan keamanan
Unit organisasi
Unit organisasi
Figur 9.3 {penyusunan kebijakan keamanan}
21. 11
.Pengendalian
Pengendalian(control) mekanisme yang diterapkan baik untuk
melindungi perusahaan dari risiko atau meminimalkan dampak risiko
pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi
menjadi tiga kategori yaitu :
Teknis
Formal
Dan Informal
1. PENGENDALIAN TEKHNIS(Tehnical control)
Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh
penyusun sistem selama masa siklus penyusunan sistem.
22. A.
PENGENDALIAN AKSES
1.Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka
dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi
2.Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para
pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang
mereka ketahui
3.Otorisasi pengguna. Setelah pemeriksaan identifikasi dan
autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk
memasuki tingkat/derajat penggunaan tertentu
B.
Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi
virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.
C. Firewall
Berfungsi sebagai penyaring dan penghalang yang membatasi aliran
data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman
terpisah untuk untuk masing-masing komputer Tiga jenis firewall
adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.
22
24. 2.
•
•
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu
penggunaan kode yang menggunakan proses matematika.
Popularitas kriptografi semakin meningkat karena e-commerce dan
produk ditunjukan untuk meningkatkan keamanan e-commerence
3.
PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan
dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendaliian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil
yang jauh darikota dan jauh dari wilayah yang sensitif terhadap bencana
alam seperti gempa bumi, banjir, dan badai
25. Meletakan manajemen keberlangsungan bisnis pada
tempatnya
manajemen keberlangsungan bisnis merupakan salah satu bidang
penggunaan komputer dimana kita dapat melihat perkembangan besar.
Tersedia pula rencana dalam paket sehingga perusahaan dapat
mengadaptasi ke dalam kebutuhan khususnya..
1.
PENGENDALIAN FORMAL
Mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan
praktik yang diharapkan. Pengendalian ini bersifat formal, karena
manjemen menghabiskan bayak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan diharapkan untuk
berlaku dalam jangka panjang.
4.
Pengendalian Informal
Mencangkup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini berkaitan
untuk menjaga agar para karyawan perusahaan memahami serta
mendukung program keamanan tersebut.
26. DUKUNGAN PEMERINTAH DAN
INDUSTRI
12.
•
•
•
•
•
•
Beberapa organisasi pemerintahan dan internasional telah menentukan
standar- standar yang ditunjukan untuk menjadi panduan bagi
organisasi yang ingin mendapatkan keamanan informasi. Beberapa
standar ini berbentuk tolok ukur, yang telah diidentifikasikan
sebelumnya sebagai penyedia strategi alternatif untuk manajemen
resiko. Beberapa pihak penentu standar menggunakan istilah
baseline(dasar) dan bukannya benchmark (tolok ukur).Organisasi tidak
diwajibkan mengikuti standar ini. Namun, standar ini ditunjukan untuk
memberikan bantuan kepada perusahaan dalam menentukan tingkat
target keamanan. Berikut ini adalah beberapa contohnya:
BS7799 milik inggris
BSI IT Baseline Protection Manual
Cobit
GASSP
ISF Standard Of Good Practice
26
27. PERATURAN PEMERINTAH
•
Pemerintah baik di amerika serikat maupun inggris telah menentukan
standar dan menetapkan peraturan yang ditujukan untuk menanggapi
masalah pentinggnya keamanan informasi yang makin meningkat,
terutama setelah peristiwa 9/11 dan semakin memperluasnya internet
serta peluang terjadinya kejahatan komputer. Beberapa diantaranya
adalah:
Standar keamanan komputer pemerintah Amerika Serikat
Undang- undang antiterorisme, kejahatan, dan keamanan
inggris (ATCSA)
STANDAR INDUSTRI
The center for internet security(CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan diberikan melalui dua
produk yaitu: CIS Benchmarks dan CIS Scoring Tools.
27
28. •
13.
SERTIFIKASI PROFESIONAL
Mulai tahun 1969-an, profesi IT mulai menawarkan
prorgam sertifikasi. Tiga contoh berikut mengilustrasikan
cakupan dari program- program ini.
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional
Institut SANS
28
29. MANAJEMEN KEBERLANGSUNGAN
BISNIS
•
Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi
gangguan sistem informasi disebut dengan manajemen
keberlangsungan Bisnis ( business continuity management-BCM).
Pada tahun-tahun awal penggunaan komputer, aktifitas ini disebut
perencanaan besar (disaster planning), namun istilah yang lebih
positif, perencanaan kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan kontinjensi adalah
rencana kontinjensi (contingency plan), yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan yang
harus dilakukan jika terjadi gangguan,atau ancaman gangguan pada
operasi komputasi perusahaan.
29
30. 14.
•
•
•
Subrencana yang menjawab beberapa
kontinjensi yang spesifik
Rencana Darurat : menyebutkan cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Cara – cara ini mencakup
sistem alarm, prosedur evakuasi, dan sistem pemadaman api.
Rencana Cadangan : Perusahaan harus mengatur agar fasilitas
komputer cadangan tersedia seandainya fasilitas yang biasa hancur
atau rusak sehingga tidak apat digunakan. Cadangan dapat diperoleh
melalui kombinasi redundansi, keberagaman, mobilitas.
Rencana Catatan Penting terbagi menjadi 2 bagian:
a. Catatan Penting : Dokumen kertas, mikroform dan media
penyimpanan optis dan magnetis yang penting untuk meneruskan
bisnis perusahaan tersebut.
b. Rencana Catatan Penting : Menentukan cara bagaimana catatan
penting tersebutharus dilindungi.
30