15 praktik keamanan sistem informasi

15 Praktik Keamanan Sistem Informasi

Team 3 

Catalog of Practices

SP1 Security Awareness and Training

• Perlunya kesadaran keamanan dari seluruh anggota organisasi.

• Perlunya pelatihan untuk meningkatkan kesadaran dan kemampuan anggota organisasi akan pentingnya keamanan.

• Setiap anggota organisasi wajib mengetahui tugas dan tanggung jawabnya dalam keamanan sistem informasi.

• Perlunya dokumentasi yang jelas tentang keamanan sistem informasi

• Beberapa topik pengetahuan untuk pelatihan diantaranya : > Disaster Recovery Plan > Incident Management > Security Policy Organisasi > Praktik umum keamanan

SP2 Security Strategy

• Kebijakan keamanan harus selalu diselaraskan dengan kebijakan organisasi

• Kebijakan keamanan harus mammpu mendukung tercapai tercapainya tujuan organisasi

• Kebijakan keamanan harus didikumentasikan dengan jelas

• Kebijakan keamanan harus direview, diperbaharui jika diperlukan dan disosialisasikan secara berkala

SP3 Security Management

• Perlunya alokasi sumber daya manusia dan budget untuk keamanan • Setiap anggota organisasi memiliki peran dan tanggung jawab yang jelas

dalam mendukung keamanan sistem informasi organisasi secara keseluruhan.

• Perlunya dokumentasi tentang tingkat keamanan yang diterapkan pada setiap anggota organisasi maupun layanan IT organisasi.

• Perlunya dilakukan proses risk management : mengidentifikasi risk dan melakukan tindakan untuk mengurangi impact ataupun menghilangkannya.

• Memilih metode yang paling tepat untuk mengurangi/menghilangkan risk dengan mempertimbangkan faktor biaya dan kerugian yang mungkin terjadi.

• Melakukan review secara berkala terhadap log, hasil audit, hasil risk assessment, vulnerability asssessment dan melakukan tindakan untuk memperkuat keamanan maupun memperbaiki kelemahan keamanan yang ada.

SP4 Security Policies and Regulations

• Organisasi diwajibkan memiliki policy yang mencakup segala aspek keamanan sistem informasi, diantaranya : manajemen keamanan, keamanan fisik, manajemen jaringan, otentikasi dan otorisasi, enkripsi, monitoring, dan sebagainya.

• Adanya prosedur tentang proses pembuatan policy, review dan revisi policy serta proses sosialisasi.

• Policy harus direview dan diupdate secara berkala disesuaikan dengan kebijakan organisasi dan aspek hukum ataupun standar lainnya.

• Organisasi perlu memastikan bahwa policy dijalankan secara konsisten.

• Perlunya pengujian (compliance review) yang dilakukan secara periodik oleh pihak yang terlatih dan berwenang.

SP5 Collaborative Security Management

• Organisasi wajib memiliki prosedur untuk menjamin keamanan ketika bekerjasama dengan third party.

• Organisasi perlu melakukan review secara mendalam tentang kemampuan, reputasi dan layanan yang disediakan oleh pihak eksternal.

• Organiasi juga perlu memiliki kebijakan tentang keamanan informasi dari pihak ketiga yang diakses dari dalam/luar organisasi.

• Organiasi perlu memastikan bahwa kebijakan dijalankan secara konsisten.

SP6 Contigency Planning

• Perlu melakukan analisa terhadap asset, layanan, maupun informasi dan dikelompokkan menurut tingkat kepentingannya.

• Perlunya dokumentasi tentang : Business Impact Analysis, Incident Response Plan, Business Resumption Plan.

• Plan harus diuji dan direview secara berkala.• Seluruh anggota organisasi wajib mengetahui tentang

prosedur contigency dan menyadari tugas dan tanggung jawab masing masing ketika terjadi disaster ataupun situasi emergency.

SP7 Physical Access Control

• Diperlukan prosedur untuk pengamanan secara fisik terhadap assets dan informasi organisasi.

• Prosedur harus diuji, direview, dan diupdate secara berkala.• Diperlukan adanya prosedur ketika organisasi mendapatkan

kunjungan dari pihak luar.• Pengamanan terhadap assets fisik, misalnya : akses masuk ke

data center.• Pengamanan juga perlu dilakukan terhadap assets elektronis,

misalnya : data sensitif, tempat penyimpanan media backup.• Perlunya dilakukan verifikasi secara kontinu terhadap otorisasi

akses setelah akses fisik diperbolehkan.

SP8 Monitoring and Auditing Physical Security

• Perlunya menyimpan logs/catatan tentang hak akses.

• Dilakukan review dan analisas secara mendalam tentang keamanan akses fisik

• Melakukan tindakan perbaikan dan tindakan pencegahan secara proaktif untuk meningkatkan keamanan fisik.

• Proses monitoring dan audit dilakukan oleh pihak yang terlatih dan terpercaya.

SP9 System and Network Management

• Perlu adanya dokumentasi dan prosedur pengamanan sistem dan jaringan.

• Prosedur harus diuji, direview dan diupdate secara berkala.• Semua sistem dan perangkat jaringan dimonitor secara berkala,

dan diupdate/patch untuk mengurangi celah keamanan yang ada.• Setiap proses perubahan konfigurasi pada perangkat jaringan harus

didokumentasikan.• Setiap perubahan baik berupa update, upgrade sistem juga harus

didokumentasikan.• Perlu adanya strategi backup informasi.• Perlu adanya strategi untuk menjaga availability dari jaringan agar

sesuai dengan SLA.• Setiap login ID pada sistem maupun jaringan harus menggunakan

password yang lebih kompleks, dan menggunakan metode secure.

SP10 Monitoring and Auditing IT Security

• Menggunakan perangkat bantu untuk melakukan pemantauan secara kontinu terhadap keamanan sistem.

• Proses monitoring dapat dilakukan secara manual dan otomatis

• Melakukan proses pencatatan/log terhadap aktivitas operasional sistem dan jaringan.

• Melakukan proses analisa log, dan melakukan tindakan perbaikan ataupun pencegahan untuk meningkatkan keamanan.

• Melakukan review dan update terhadap perangkat bantu yang digunakan.

• Melakukan audit dan verifikasi secara berkala terhadap perangkat infrastruktur seperti firewall, router, dan lain lain

SP11 Authentication and Authorization

• Perlu adanya proses otentikasi dan otorisasi user untuk mengatur hak ases pengguna ke : data/informasi, aplikasi, pengaturan perangkat keras/perangkat lunak, penggunaan sumber daya jaringan dan sebagainya.

• Perlu adanya prosedur yang terdokumentasi tentang proses pemberian otoriasi awal, otorisasi tambahan, menghilangkan otorisasi sesuai dengan kebijakan organisasi.

• Prosedur direview, diuji dan diupdate secara berkala.• Perlu dibatasi hak akses ke informasi sensitif hanya kepada pihak

yang berwenang dan terpercaya untuk menjaga kerahasiaan, integritas dan availabilitas informasi.

• Melakukan pencatatan terhadap proses otentikasi dan otorisasi.• Beberapa metode yang digunakan : username dan password,

smart card, token, biometric dan sebagainya.

SP12 Vulnerability Management

• Perlunya dilakukan proses identifikasi terhadap kerentanan yang terdapat pada organisasi.

• Memiliki prosedur tentang proses pengidentifikasian kerentanan dan tindakan perbaikannya.

• Melakukan prioritas terhadap sumber daya yang akan diidentifikasi.

• Melakukan identifikasi secara berkala dan kontinu, lalu analisa terhadap hasil identifikasi baik melalui perangkat bantu maupun dari berbagai sumber di internet, melakukan tindakan pencegahan/perbaikan untuk memperkecil atau bahkan menghilangkan resiko yang mungkin timbul.

P13 Encryption

• Metode yang digunakan untuk mengkodekan informasi sedemikian rupa sehingga keamanan informasinya terjaga dan tidak dapat dibaca tanpa proses dekripsi Confidentiality

• Enkripsi pada media penyimpanan baik portable maupun non portable dan media komunikasi.

• Contoh : penggunaan file system terenkripsi, SSH, HTTPS, VPN, Wireless Encryption dan sebagainya.

• Manajemen kunci enkripsi memegang peranan penting.• Kebijakan enkripsi perlu direview dan diupdate secata

berkala/periodik.

P14 Security Architecture and Design

• Dalam organisasi diperlukan metode perancangan keamanan berdasarkan hasil identifikasi resiko yang sudah dilakukan.

• Strategi keamanan yang dibangun harus mencakup keseluruhan aspek keamanan informasi : physical, operation, network , dan communication.

• Organisasi harus memiliki kebijakan keamanan organisasi secara global dan juga dokumentasi tentang topologi jaringan secara mendetail dari keseluruhan organisasi.

SP15 Incident Management

• Insiden adalah gangguan yang tidak direncanakan terhadap layanan Teknologi Informasi yang menyebabkan pengurangan dalam kualitas layanan TI.

• Diperlukan adanya prosedut yang direview, diuji dan diupdate secara berkala serta disesuiakan denga aspek hukum atau standar yang dipakai oleh organisasi.

• Diperlukan langkah yang sistematis dalam penanganan insiden : Identififikasi Insiden (Incident Identification), Pencatatan Insiden (Incident Logging), Pengkategorian insiden (Incident Categorization), Priotitas Insiden (Incident Priorization), Diagnosa Awal (Early Diagnosis), Eskalasi insiden (Incident Escalation), Investigasi dan Diagnosa (Investigation and Diagnosis), Resolusi dan Pemulihan (Resolution and Recovery), Penutupan Incident (Incident Closure), Pelaporan Penanganan Insiden (Incident Management Report), Evaluasi Penanganan Insiden (Incident Management Evaluation).