snati2011 penelitian cloud computing - nanang
Post on 27-May-2015
500 Views
Preview:
TRANSCRIPT
1
PENGUJIAN TERHADAP SISTEM KEAMANAN TRANSAKSI BERBASIS SOFTWARE AS SERVICE (SaaS) MENGGUNAKAN FRAMEWORK NIST SP800-53A(STUDI KASUS PADA PT. X, DI BANDUNG)
Nanang Sasongko
Latar Belakang & Profil PT X Sekilas SaaS & Cloud System Identifikasi Masalah Tujuan & Batasan Objek Penelitian Standard NIST ( SP800-53A) Metodologi Pengamanan & Pengujian berbasis
NIST Proses Pengujian berbasis NIST SP800-53A Simpulan
Agenda
Nanang Sasongko
Berdasarkan informasi yang diperoleh dari SDA ASIA dalam kurun waktu lima tahun ke depan, pasar analisa bisnis software-as-a service (SaaS), dikenal pula dengan istilah cloud system akan tumbuh tiga kali lipat hingga 2013. Menurut IDC, pasar SaaS di Asia Pasifik tahun ini meningkat cukup signifikan.
PT X sebagai penyedia jasa yang berbasis pada software as a service.
Pendahuluan
Nanang Sasongko
Tujuan
Tujuan penelitin ini adalah menguji masalah keamanan data pelanggan, disebabkan karena adanya kekhawatiran gangguan server atau koneksi mengalami gangguan jaringan dan kemanan data, yang merupakan salah satu hal yang perlu menjadi perhatian dalam menerapkan bisnis berbasis konsep software as a service(SaaS)
Nanang Sasongko
Profil Perusahaan
PT. X mengembangkan bisnisnya sebagai penyedia jasa yang berbasis pada software as a service. Dalam software as a service, seluruh bisnis proses dan data pelanggan ditempatkan di sebuah server data centre milik service provider.
Semua proses dikelola oleh penyedia layanan, pelanggan dapat menggunakan dan membayar jasa sewanya setiap bulan sesuai dengan pemakaian. Sistem software as a service bagi perusahaan dapat menghemat pengeluaran biaya belanja TI.
Nanang Sasongko
Segmentasi jaringan dilakukan pada jaringan PT.X. Firewall yang dipasang di PT. X membagi ke dalam 4
segmen, yang terdiri dari segmen-segmen :1. Internal network, merupakan jaringan internal dari PT.X yang
berisi komputer-komputer dari staf PT.X.
2. Eksternal network, merupakan jaringan eksternal dari PT.X yang terhubung dengan jaringan publik atau internet.
3. DMZ (Demilitary Zone), merupakan jaringan yang berisi server-server yang disediakan agar pengguna jaringan publik dapat mengakses layanan yang disediakan oleh PT.X. Salah satu layanan tersebut adalah berupa aplikasi perhotelan dan restoran yang merupakan aplikasi berbasis web dan dapat diakses oleh para pelanggan melalui internet.
4. Server farm, merupakan wilayah jaringan yang berisi server-server internal PT.X, seperti mail server, database server. Server-server ini tidak dapat diakses secara langsung melalui wilayah eksternal.
Nanang Sasongko
12
Cloud Computing
Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12)
Nanang Sasongko
13
Jenis Layanan Cloud Computing
SaaS (Software as a Service) Aplikasi & Infrastruktur disediakan oleh provider.
PaaS (Platform as a service) Aplikasi dibuat oleh client tetapi di deploy ke sebuah cloud system.
IaaS (Infrastructure as a Service) Penyewaan infrastuktur jaringan (storage, server dsb)
Nanang Sasongko
Cloud Computing
Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari
manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi.
(Miller, 2009:12)
Nanang Sasongko
16
Framework NIST SP800-53A
NIST (National Institute Standards Technology) merupakan salah satu lembaga pemerintahan Amerika Serikat yang bekerja sama dengan badan-badan federal lainnya untuk meningkatkan pemahaman terhadap pelaksanaan FISMA (Federal Information Security Management Act) dalam melindungi informasi dan sistem informasi serta menerbitkan standar dan pedoman yang memberikan dasar untuk program keamanan informasi yang kuat.
Nanang Sasongko
17
NIST (National Institute Standards Technology)
NIST mengeluarkan dokumen SP800-53 (Special Publication)untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi federal maupun organisasi lainnya. Rekomendasi SP800-53 dibagi ke dalam
3 kelas kontrol, 18 bagian (family)
Nanang Sasongko
18
3 Kelas Kontrol
Rekomendasi SP800-53 dibagi ke dalam 3 kelompok kontrol :
Operational Control mekanisme yang diterapkan
Management Control manajemen SI & resiko
Technical Control kontrol keamanan yg diterapkan
Nanang Sasongko
19
Technical 1 Access Control 2 Audit and Accountability 3 Identification and Authentication 4 System and Communications Protection
Operational 5 Awareness and Training 6 Configuration Management 7 Contingency Planning 8 System and Information Integrity Operational9 Incident Response 10 Maintenance 11 Media Protection 12 Physical and Environmental Protection 13 Personnel Security
Management 14 Security Assessment and Authorization Management
15 Program Management 16 Planning Management17 Risk Assessment Management18 System and Services Acquisition Management
18 Bagian (family)
Nanang Sasongko
NIST ( National Institute of Standards and Technology )
NIST bertanggung jawab untuk mengembangkan standar-standar
dan panduan, termasuk persyaratan minimum, yang
menyediakan keamanan informasi yang cukup untuk semua kegiatan
lembaga-lembaga di US.
Nanang Sasongko
NIST SP800-53 & SP800-53A
Pedoman dalam pengelolaan kontrol keamanan sistem
informasi.
Pedoman dalam pengujian terhadap pengelolaan kontrol keamanan sistem
informasi.
SP80053
SP80053A
Nanang Sasongko
22
Dalam penyediaan sistem layanan cloud computing memiliki beberapa problema dasar berkaitan dengan :
Data availability Security & Privacy
Integrity, Confidentiality
Metode Penelitian
Dalam melakukan pengujian terhadap mekanisme sistem pengamanan yang diterapkan PT.X, penulis menggunakan standard NIST SP800-53A. Prosedur pengujian berdasarkan standard NIST SP800-53A, terdiri dari beberapa tahapan sebagai berikut :
Nanang Sasongko
Tahapan ...
1. Persiapan untuk melakukan penilaian mekanisme pengamanan,
2. Membuat perencanaan terhadap kegiatan penilaian keamanan, dalam tahapan ini : Jenis penilaian kontrol keamanan Menentukan kontrol keamanan / perangkat kontrol
tambahan yang harus dimasukkan dalam penilaian berdasarkan security plan dan tujuan / lingkup penilaian.
Memilih, menyesuaikan dan mengembangkan prosedur penilaian yang digunakan selama penilaian.
Nanang Sasongko
Lanjutan...
Melakukan penilaian terhadap sistem pengamanan, Puas (Satisfied (S)), yang mengindikasikan bahwa
tujuan kontrol keamanan telah dipenuhi. Selain puas (Other than satisfied (O)), menunjukkan
bahwa kontrol keamanan memiliki potensi anomali dalam operasional organisasi atau pelaksanaan kontrol perlu ditangani oleh organisasi.
Mendokumentasikan hasil penilaian dalam bentuk laporan penilaian.
Melakukan analisa terhadap hasil laporan penilaian sistem pengamanan, berdasarkan indikator dari selain puas other than satisfied) dan puas (satisfied),
Nanang Sasongko
Proses penilaian dilakukan melalui tahapan-tahapan berikut :
1. Mengkategorisasi Sistem Informasi,
2. Menentukan baseline kontrol keamanan,
3. Penerapan kontrol keamanan terhadap sistem informasi
4. Melakukan penilaian kontrol keamanan dengan menggunakan prosedur penilaian yang tepat
Nanang Sasongko
Potensi Dampak
Deskripsi
Low
Hilangnya kerahasiaan, integritas, atau ketersediaan menyebabkan dampak buruk yang membatasi kegiatan operasional & aset organisasi atau individu.
ModerateHilangnya kerahasiaan, integritas, atau ketersediaan memiliki efek samping yang serius pada kegiatan operasional & aset organisasi atau individu.
High
Hilangnya kerahasiaan, integritas, atau ketersediaan dapat memiliki dampak buruk yang parah atau bencana pada kegiatan operasional & aset organisasi atau individu.
Potensi Impact
Nanang Sasongko
Hasil Pengujian
Pada objek penelitian kelas operational controls, jumlah perolehan satisfy lebih banyak dari other satisfy,ini artinya opertion control sudah baik.
Pada management controls, jumlah perolehan satisfy lebih sedikit dari other satisfy,ini artinya opertion control sudah belum baik.
Dan pada technical controls jumlah perolehan satisfy hampir sama banyak dari other satisfy,ini artinya opertion control tidak terlalu baik.
Nanang Sasongko
Simpulan
1. Pengujian kontrol keamanan yang menggunakan framework NIST SP800-53A sangat mengutamakan pemeriksaan terhadap ketersediaan dokumentasi.
2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT. PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol keamanan yang perlu ditingkatkan.
3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST SP800-53A terhadap aspek teknikal dan operasional sistem informasi hotel sudah memperoleh status satisfied tetapi masih terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan.
Pengujian terhadap aspek manajemen sistem informasi hotel memperoleh status other than satisfied, sehingga masih banyak hal yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya.
Nanang Sasongko
NANANG SASONGKO
Kepala Pusat Studi Ekonomi
Dosen Jurusan Akuntansi Fakultas Ekonomi
Universitas Jenderal Achmad Yani (UNJANI)
BANDUNG
Mobile : 081 320 310 160
E-Mail : nanangs@bdg.centrin.net.id
Nanang Sasongko
top related