ancaman dan kemanan informasi
DESCRIPTION
Ancaman Dan Kemanan InformasiTRANSCRIPT
-
Ancaman & Keamanan Informasi
Bimtek Persandian 2011
-
Pokok Bahasan
Peran dan Fungsi Informasi
Siapa & Mengapa Mereka Mencuri Informasi?
Kasus Kasus Keamanan Informasi
Keamanan Negara?
IT Threat
Sosial Engineering
Keamanan Informasi
-
PERAN DAN FUNGSI INFORMASI
Source :
Mcleod Raymond. 2001, SIM :edisi terjemahan, Jakarta : Prentice-Hall
Sebagai SUMBER DAYA
PENGAMBILAN KEPUTUSAN
DAYA SAING
NEGARA PERUSAHAAN maupun
-
Informasi menjadi Bernilai
Dilihat dari :
Isi dari informasi tersebut bernilai strategis
Keadaan / Situasi
Person yang memiliki dan mengkomunikasikan
informasi (Semakin tinggi jabatan seseorang, semakin besar nilai
informasi yang disampaikan).
-
Information is valuable - not only to you but also to
competitors
governments
the media
suppliers
clients contractors
disgruntled employees
In fact anyone who can take unfair advantage of your information
5
-
Who is at Risk of Being a Target?
Domestic Targets
straying spouses, child custody cases, nannies etc.
Corporate Targets large, medium and small businesses
Government Targets members of government
government employees
embassies, diplomatic staff
members of trade delegations
6
-
ANCAMAN TERHADAP INFORMASI
ANCAMAN LOJIK contoh: kriptanalisa, cracking, virus komputer, dll
ANCAMAN FISIK contoh: pencurian data/informasi, pencurian alat, penyadapan,
mengganggu sinyal (jamming), pengrusakan dan bencana alam.
ANCAMAN ADMINISTRASI Contoh: penggandaan data yang berlebihan, tidak adanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap informasi/data
-
ANCAMAN TERHADAP INFORMASI (cont.)
Kategori:
1. pencurian sumber daya sistem informasi
2. gangguan terhadap layanan sistem informasi
3. penyebarluasan informasi secara tidak sah
4. pengubahan informasi secara tidak sah
Pelaku:
authorized user (internal) lebih sukar ditangani
not authorized user (eksternal)
-
BENTUK DAN JENIS
ALAT - ALAT SADAP
-
ALAT PENYADAP RUANGAN UNTUK JANGKA PENDEK
CARD TRANSMITTER
Menggunakan gelombang radio. Untuk penggunaan jangka pendek. Ukurannya sama besar dengan kartu kredit yang umum di pakai. Baterai dapat di pakai selama 20 jam.
PEN TRANSMITTER
Menggunakan gelombang radio. Dengan dua buah baterai jam dapat di gunakan selama 5 jam. Ditujukan untuk penggunaan jangka pendek.
-
DS POWER SOCKET TRANSMITTER
Soket untuk AC power, Menggunakan gelombang radio sebagai sarana transmisinya.
Dipasang dengan cara di tanam di tembok.
MAINS ROOM TRANSMITTER
Digunakan untuk Konektor antara sumber tegangan dengan alat listrik seperti lampu, radio, TV, dll. Menggunakan gelombang
radio sebagai sarana transmisinya
PTM PLUG ROOM TRANSMITTER
Multi socket AC power. Menggunakan gelombang radio sebagai sarana transmisinya.
ALAT PENYADAP RUANGAN UNTUK JANGKA PANJANG
-
ALAT PENYADAP TELEPON
TMS TELEPHONE TRANSMITTER
Bentuknya sama seperti soket telepon RJ-11 pada umumnya. Sumber tenaganya di dapat dari line telepon tersebut. Alat ini berfungsi ketika telepon sedang di gunakan, pada saat telepon tidak di gunakan maka alat ini dalam keadaan off. Selain itu ada baterai cadangan yang dapat di gunakan selama + 400 jam. Sarana transmisinya menggunakan gelombang radio.
ATRS(P) TELEPHONE SWICTH
Penggunaannya dengan cara menyadap/pararel. Alatnya menyerupai walkman dan hasil sadapan
telepon dapat di rekam.
-
ALAT PENYADAP TELEPON
Salah satu contoh alatsadap alat sadap merek SIPE LST RECEIFER untuk
menyadap telepon dengan cara melakukan pencarian frekuensi, setelah
frekuensi diketemukan seluruh pembicaraan telepon dapat didengar dengan
jelas.
Yang berwarna biru penyadapan dilakukan dengan menempelkan kabel
(WIRE TAP) pada kabel telepon.
Yang berwarna hitam cukup di dekatkan dengan kabel telepon dan tidak
perlu ditempel ke kabel.
-
SPY PHONE
Handphone Generasi Pertama sampai Smartphone yang mempunyai sistem
operasi Symbian, Windows Mobile, Android bahkan Blackberry.
Aplikasi sejenis trojan dibuat oleh programmer.
Tidak Terdeteksi oleh pemakai gadget yang awam.
Modus pelaku adalah meminjam HP, Service, hadiah, (sosial engineering).
-
INSIDENs KEBOCORAN INFORMASI
Rekaman pembicaraan telpon (1999) : mantan Pres. B.J. Habibie mantan Jaksa Agung Andi M. Galeb.
Kasus Pertamina (1999) : kenaikan harga spot crudeoil Singapore seusai Rapat tertutup Direksi Pertamina yang memutuskan peningkatan buffer-stock BBM.
Kasus daerah : rapatrapat KDH TingkatI/Propinsi isuisu politik Pusat/Daerah dan pencalonan / penggantian Bupati/Walikota KDH TingkatII, penetapan proyek dsb
15
-
BULAN MEI 2005 JASA PENGIRIMAN AUSTRALIAN AIR EXPRESS DI CANBERRA MENGIRIM BERITA TLX DARI SALAH SATU AGEN PENERBANGAN DI JKT DG MENGUTIP BRA FAX RHS PERWAKILAN RI CANBERRA DALAM KASUS DEPORTASI JENASAH ALM. AGUSTINUS RUMWAROPEN, WN AUSTRALIA.
PD 1994, CIA MEMANFAATKAN DOKUMEN YANG MENGANDUNG CATATAN PERTEMUAN DEPARTEMEN PERDAGANGAN RI UNTUK MENENTUKAN PEMENANG KONTRAK OLEH PERUSAHAAN AS (INTERCEPT CAPABILITIES 2000, PAR 102, DUNCAN CAMPBEL, DIRECTORATE GENERAL RESEARCH, EUROPEAN PARLIAMENT).
INSIDENs KEBOCORAN INFORMASI (cont.)
16
-
SINYALEMEN PEMALSUAN DOKUMEN/SURAT DI INSTANSI PEMERINTAH (2004): DUGAAN PEMALSUAN SURAT DI SETKAB DAN DEPLU;
SURAT PERINTAH DIT INTELPAM POLDA METRO JAYA BEREDAR DI DPR-RI (DALAM KASUS IMPOR BERAS).
ADA SINYALEMEN BHW KEDUBES BELANDA DI JAKARTA MEMPUNYAI PROPOSAL PEMERINTAH (DEPHAN) TENTANG RENCANA RI MEMBELI PERSENJATAAN MILITER DARI RUSIA (SAMBUTAN MENHAN RI PD HUT PERSANDIAN RI KE 60).
PD 16 SEP 2002, BERITA FAX RHS KBRI CANBERRA TTG KEGIATAN UNIV RMIT MELBOURNE YANG ANTI RI, DI-RELEASE OLEH DITJEN DIKTI DEPDIKNAS DI WEBSITENYA;
KASUS INI TERULANG KEMBALI PADA PEBRUARI 2006 DI MEDIA MASSA AUSTRALIA RE SURAT DIRJEN DIKTI NO. 1136/D/T TGL 3 APRIL 2006 YG MERUJUK KAWAT FAX RHS KJRI MELBOURNE TTG RMIT, BHW DEAKIN UNIVERSITY DIJADIKAN SBG AJANG PERTEMUAN POLITIK PENDUKUNG SEPARATISME
INSIDENs KEBOCORAN INFORMASI (cont.)
17
-
Situs WikiLeaks mengklaim memiliki bocoran sekitar 250.000 kabel-kabel diplomatik rahasia AS. Beberapa dokumen tersebut telah mulai dibocorkan ke publik. 251.287 kawat-kawat diplomatik yang akan dibocorkan ke publik. Kawat diplomatik ini utamanya dari Kemenlu AS ke berbagai Kedubes mereka di seluruh dunia dan sebaliknya. Periodenya dari 28 Desember 1966 - 28 Februari 2010. Kawat diplomatik yang paling banyak dibocorkan adalah dari Kemlu AS sekitar 8.000 dokumen, kemudian dari Kedubes AS di Ankara, Turki, nyaris 8.000 dokumen. Sedangkan di Jakarta sekitar 3.000 lebih kawat diplomatik dari dan ke Kedubes AS di Jakarta. Barack Obama menunjuk seorang pakar antiterorisme Russel Travis untuk memimpin upaya-upaya AS dalam mengurangi kerusakan akibat pembocoran dokumen oleh WikiLeaks. Juga untuk mencegah terulangnya pembocoran dokumen-dokumen rahasia di masa mendatang.
Cables Gate
-
Indoleaks.org yang dibuat pada 7 Desember 2010 mengklaim memiliki ratusan koleksi dokumen. Situs tersebut telah menerbitkan beberapa dokumen, termasuk laporan kedubes AS mengenai Timor Timur, transkrip mantan presiden Soeharto dengan Gerald Ford, laporan akhir Tim Pencari Fakta (TPF) kasus Munir, serta Memorandum of Understanding (MoU) pemerintah Indonesia dan Microsoft.
- Dari kode registrasinya, situs ini terdaftar di Moergestel, Belanda dengan nomor telepon +45.36946676 (nomor tersebut adalah kode negara Denmark).
- Sebelum sampai ke Indonesia, situs ini setidaknya sudah "mampir" ke lebih dari sepuluh server.
-
BOCORNYA LAPORAN TRIWULAN KOPASSUS OLEH JURNALIS
AMERIKA
-
INSIDEN LAPTOP DELEGASI RI DI KORSEL
-
Mengapa Informasi???
-
Keamanan Negara?
Kemampuan mengamankan data dan menangkap/mengumpulkan data merupakan kepentingan negara.
Privacy vs keamanan negara?
Spy vs spy?
Penyadapan; key escrow, cryptanalisa dll.
-
Sadap, Filter, Simpan
-
Penyadapan Internasional
-
Echelon Operation ECHELON is a name used in global media and in popular culture to Describe a
signals intelligence (SIGINT) collection and analysis network operated on
behalf of the five signatory states to the UKUSA Security Agreement (Australia, Canada, New Zealand, the United Kingdom, and the United States,
known as AUSCANNZUKUS or Five Eyes). It has also been described as the
only software system which controls the download and dissemination of the
intercept of commercial satellite trunk communications.
The Menwith Hill spy base near
Harrogate in North Yorkshire,
England, is the largest electronic
monitoring station in the world.
Misawa Air Base is located
approximately 400 miles north of
Tokyo, adjacent to Misawa City in
Aomori Prefecture,
-
INSTALASI PENYADAPAN ECHELON
(Sugar Grove - USA)
29
-
STASIUN BUMI PENYADAP
echelon (Menwith Hill UK)
30
-
IT Threat
-
Latar Belakang Perkembangan Teknologi Informasi= 3C
Computer + Communication + Content
Information-based society
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi.
Informasi menjadi komoditi yang sangat penting.
-
Kebutuhan Informasi
Perkemb. Teknologi Informasi & Komunikasi
Dampak POSITIF
Akses lebih mudah, cepat dan hemat
Meniadakan batas ruang & waktu
Informasi tidak dapat dibendung
Terciptanya Perangkat komunikasiUser Friendly
Dampak NEGATIF
Penyalahgunaan Informasi
Mengabaikan security & privacy / lebih mementingkan speed dan Kemudahan
Memunculkan kerawanan terhadap Informasi
Munculnya Cyber Crime (antara lain : virus, trojan, spyware, hacker, fraud, )
Perang INFORMASI / WARFARE
-
Dunia kita tidak aman Banyak organisasi yang mengalami security breach tidak ingin diketahui untuk menghindari negative publicity
-
Beberapa Jenis Serangan/Gangguan
Serangan untuk mendapatkan akses (access attacks) Berusaha mendapatkan akses ke berbagai sumber daya komputer atau
data/informasi
Serangan untuk melakukan modifikasi (modification attacks) Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah
data/informasi secara tidak sah
Serangan untuk menghambat penyediaan layanan (denial of service attacks) Menghambat penyediaan layanan dengan cara mengganggu jaringan
komputer
-
Beberapa Cara Melakukan Serangan
Menebak password Dilakukan secara sistematis dengan teknik brute-
force atau dictionary
Teknik brute-force: mencoba semua kemungkinan password
Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)
Social Engineering
-
Beberapa Cara Melakukan Serangan
Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid
Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password)
Logon
Invalid logon
Client Penyerang Server
Logon
Logon berhasil
Client Server
Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server
-
Beberapa Cara Melakukan Serangan
Man-in-the-middle Membuat client dan server sama-sama mengira
bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya)
Client Man-in-the-middle Server
-
Beberapa Cara Melakukan Serangan
Sniffing Memanfaatkan metode broadcasting dalam LAN
Membengkokkan aturan Ethernet, membuat network interface bekerja dalam mode promiscuous
Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer
Mencegah efek negatif sniffing Pendeteksian sniffer (local & remote)
Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
-
Ilustrasi sniffing paket data melalui suatu jaringan Internet
BOB
ALICE
Alice menerima email dari Bob dan
membaca email dari Bob Bob mengirimkan email publik
(yahoo.com, gmail.com) kepada Alice
+
SNIFFER
Software Sniffing : Wireshark
-
Wire Shark Network Analyzer
-
Isi Pesan Terbaca
-
Pengiriman email terenkrispsi antara Bob dan Alice melalui suatu jaringan Internet
ALICE
Bob mengirimkan email terenkripsi melalu akun email publik (yahoo.com, gmail.com) kepada Alice
BOB
= +
+
HACKER
Software Sniffing : Wireshark
???
Alice melakukan deskripsi pada pesan yang terenkrispi
untuk mendapatkan teks aslinya dengan menggunakan kunci yang sama dengan Bob
+ =
-
Isi Pesan TIDAK Terbaca
-
Dimana Email Anda Dapat Disadap?....
-
Internet Internet telah secara radikal
mengubah cara kita berkomunikasi. Email merupakan bentuk yang sangat berharga dan dapat diakses di mana-mana. Rute pesan email yang diperlukan untuk mencapai penerima adalah kompleks dan bervariasi, sementara dalam perjalanan pesan tersebut berada dalam pengawasan orang/organisasi yang berbeda kepentingan.
-
ISP (internet service provider)
Semua lalu lintas internet ke dan dari arus mesin Anda, melalui sistem Internet ServiceProvider (ISP) - ISP adalah koneksi Anda ke cloud. Seseorang bekerja sama dengan ISP Anda dapat mencegat dan membaca email Anda dengan mudah. (Inilah sebabnya mengapa diberi target ISP untuk implementasi Karnivora).
-
Email Provider
Semua pesan email yang dikirimkan ke dan dari account email Anda melalui sistem penyedia email. Dalam banyak kasus, penyedia email Anda adalah entitas yang sama dengan ISP, tetapi dengan prevalensi penyedia layanan email gratis dan layanan email hosting lainnya, lebih banyak orang yang menggunakan account email selain layanan ISP. Penyedia layanan email memiliki akses yang sangat mudah terhadap isi pesan Anda saat pesan tersebut melalui server mereka.
-
Office Server Email yang dikirim dari komputer kantor
biasanya harus melakukan perjalanan secara luas di seluruh jaringan perusahaan dan backbone sebelum mencapai cloud (untuk mencapai yang mungkin mungkin juga harus melalui ISP komersial). Ketika melewati jaringan perusahaan, pesan secara efektif terbuka untuk intersepsi, seperti rekan kerja (di samping orang-orang yang sah memiliki kepentingan dalam pesan audit seperti administrator sistem atau petugas keamanan). Korporasi juga biasanya bertindak sebagai penyedia email untuk karyawannya.
-
Local Loop
Konektivitas penyediaan solusi seperti modem kabel dan teknologi broadband lainnya menggunakan model jaringan 'local loop bersama'. Ini berarti bahwa semua kabel modem lalu lintas di lingkungan lokal Anda melakukan perjalanan di kawat fisik bersama atau set kabel, meskipun dimodulasi untuk rentang frekuensi yang unik. Ini biasanya kabel fisik yang sama yang juga membawa layanan lain seperti tv kabel ke rumah Anda.
-
MAN
Metropolitan Area Network (MAN) dan jaringan nirkabel baru mulai diterapkan di AS dan beberapa negara lain. Pemerintah daerah menyediakan konektivitas jaringan sementara ISP komersial menyediakan konektivitas Internet yang sebenarnya. Bagaimanapun modelnya, sistem ini memperkenalkan entitas lain yang memiliki akses untuk menangkap dan memeriksa pesan-pesan Anda.
-
Wireless Access Point
Konektivitas jaringan nirkabel secara intuitif memberikan satu lagi titik akses jaringan gelap dengan memungkinkan penyadapan sinyal yang ditransmisikan. Walaupun, protokol jaringan nirkabel yang memiliki privasi-memungkinkan teknologi yang dibangun untuk desain mereka, dan intersepsi dari sinyal yang ditransmisikan tidak efektif, lalu lintas pesan dapat dihentikan pada titik akses nirkabel (stasiun pangkalan untuk antena) saat sedang dikonversikan ke sinyal jaringan kabel.
-
Beberapa Tempat Rawan
Hotel
Conference Center
Caf Internet
Sekolah/Kampus
-
Information-oriented misuse: beberapa hal yang perlu diwaspadai
Kesalahan manusia (human error)
Penyalahgunaan otoritas
Probing secara langsung
Probing dengan malicious software
Penetrasi secara langsung
Subversi terhadap mekanisme keamanan
-
RENDAHNYA KESADARAN PENGAMANAN INFORMASI
Password ditulis di tempat-tempat yang dapat dilihat orang lain
10
/14
/2011
61
-
Resiko
the probability that a specific threat will
successfully exploit a vulnerability causing
a loss
Yang berkontribusi terhadap resiko:
Asset
Vulnerability
Threat
-
Asset
Hardware Software Dokumentasi Data Komunikasi Lingkungan Manusia dll.
-
Vulnerability
Kelemahan dari perangkat keras, perangkat lunak, atau prosedur yang menyediakan kesempatan bagi penyerang untuk melakukan tindakan yang bisa menimbulkan kerugian. Contoh: software bugs, hardware bugs, radiasi (dari layar, transmisi), tapping, crosstalk, unauthorized users, hardcopy, keteledoran (oversight), storage media, social engineering, dll.
-
Threat
Potensi bahaya (ancaman) yang bisa
terjadi pada informasi maupun sistem.
Bisa disebabkan oleh bencana (disaster),
kesalahan sistem (system failure), atau
kesalahan manusia (human error)
-
Aspek/layanan keamanan
Confidentiality (& Privacy)
Integrity
Availability
Authentication
Access control
Non-repudiation
-
Confidentiality -Privacy
Menjaga informasi dari orang yang tidak berhak
mengakses.
Privacy: data-data yang sifatnya privatcontoh: e-mail seorang tidak boleh dibaca oleh admin.
Confidentiality: data yang diberikan kepihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut misalnya sebagai bagian dari pendaftaran sebuah servis(kartukredit, layanankesehatandll.)
Meningkatkan jaminan privacy/confidentiality dgn teknik-teknik steganografi,kriptografi.
-
CRYPTOLOGY CRYPTOLOGY merupakan suatu ilmu yang mempelajari
komunikasi rahasia. Cryptology mencakup dua bidang yang
berlawanan, yaitu Information Security (Keamanan Informasi)
dan Signal Intelligence (Intelijen Signal/Intelijen Komunikasi).
INFORMATION SECURITY meliputi semua metode, termasuk
enkripsi, yang bertujuan mencegah pihak-pihak yang tidak
berwenang untuk memperoleh dan atau merubah informasi yang
dikomunikasikan serta memastikan bahwa suatu berita benar-
benar berasal dari pihak yang telah menandatanganinya.
SIGNAL INTELLIGENCE mencakup semua metode untuk
memperoleh informasi yang berasal dari komunikasi (seperti
penyadapan, breaking code (pengupasan kode),
hacking/pembajakan atau pengaksesan secara ilegal pada
komputer; atau menganalisa lalu lintas (berita/informasi).
-
Cryptography
Transposition
Simple transposition:
pesan ditulis mendatar
dikirimkan vertikal
http://www.ccisource.com/content/resources/articles/Jan01/symmetric.htm
asimplekin
doftranspo
sitionciph
erwritesth
emessagein
toarectang
lebyrowsan
dreadsitou
tbycolumns
-
Cryptography
Substitution
Caesar cipher (geser 3 huruf) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
d e f g h i j k l m n o p q r s t u v w x y z a b c
Contoh :
SERANGAN FAJAR (teks terang) = VHUDG JDQID MDU (teks sandi)
-
Penyandian
Encryption Decryption Plaintext Ciphertext
Shared (secret) key
4%#f@lk&56gp My phone
888-4321
My phone
888-4321
Plaintext
Kathy Mike
-
Integrity
Informasi maupun sistem tidak boleh diubah tanpa seijin pemilik informasi atau sistem tersebut >>tetap akurat dan lengkap.
Contohserangan:
Data (e-mail) ditangkap(intercepted), diubah (tampered), diteruskan(forwarded)ketujuan
Menambahkan virus/trojan ke program yang di distribusikan(kasus: TCP Wrapper)
Man-in-the-middle attack
Meningkatkan jaminan integrity >> kriptografi, hash& digital signature dll
-
Availability
Ketikadibutuhkan, pengguna yang berhak akan selalu dapat mengakses informasi dan aset yang berkaitan.
Contoh serangan:
Denial of Service; Distributed DoS
Mailbomb
-
Authentication
Informasi betul-betul asli
Watermarking & digital signature
Orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud
What you have (misal: kartuATM)
What you know (misal: PIN, password)
What you are (misal: biometrik)
Server (mesin) yang kita hubungi adalah betul-betul server (mesin) yang asli
Secara umum, peningkatan jaminan authentication dgn digital certificate
-
Access Control
Pengaturan akses kepada informasi.
Berhubungan dengan:
Klasifikasi data (public, private, confidential, top secret)
Klasifikasi dan hak akses user (guest, admin, top manager, dsb.)
Mekanisme authentication dan privacy.
-
Non-Repudiation
Seseorang tidak dapat menyangkal bahwa dia telah mengirimkan suatu data digital
Contoh: seseorang yang telah melakukan transaksi dan mengirimkan data pemesanannya via e-mail, tidak dapat menyangkal bahwa memang dia yang telah mengirimkan data pemesanan tersebut
Sangat penting dalam e-commerce
Meningkatkan jaminan non-repudiation dgn digital signature, certificates, dan teknologi kriptografi; dukungan hukum shg digital signature jelas & legal
-
Mengamankan Informasi
Implementing a suitable set of controls
Policies
Practices
Procedures
Organizational structures
Software functions
-
Kebijakan Keamanan
Mencakup semua aturan yang menjamin
perlindungan terhadap aset dan akses
informasi
Sesuai dengan visi dan misi organisasi
Harus ada dukungan dari sisi internal
maupun eksternal organisasi
-
Aturan yang mendasari :
1. Kebijakan keamanan harus didukung
oleh seluruh komponen organisasi
2. Daftar semua aset yang harus dilindungi
3. Harus diimplementasikan ke seluruh
lapisan organisasi (internal & eksternal)
-
Security is a process, not a product