BAB 9 KEAMANAN INFORMASI

Universitas Pakuan

Fakultas Ekonomi

Kelompok 2:

Rohmat : 021112374

Sarina Violenta : 021112063

Nurfitriani : 021110293

Dosen : Dr. Wonny Ahmad Ridwan, SE.MM,CPHR.

1

2

Tujuan Pembelajaran Memahami kebuhan organisasi akan keamanan dan pengendalian Memaham bahwa keamanan informasi berkaitan dengan keamanan semua sumberdaya informasi

bukan hanya peranti keras dan data Memahami tiga tujuan utama keamanan informasi Memahami bahwa manajemen keamanan informasi terdiri atas dua area: Manajemen keamanan

informasi (ISM) dan manajemen keberlangsungan bisnis (BCM) Melihat hubungan yang logis antara ancaman, resiko dan pengendalian Memahami apa saja ancaman keamanan yang utama Memahami apa saja resiko keamanan yang utama Mengenali berbagai kekhawatiran keamanan e-commerce dan bagaimana perusahan-perusahan

kartu kredit mengatasinya Mengenali cara formal melakukan manajemen resiko Mengetahui proses implementasi kebijakan keamanan informasi Mengenali cara-cara pengendalian keamanan yang populer Mengetahui tindakan-tindakan pemerintah dan kalangan industri yang memengaruhi keamanan

informasi Mengetahui cara mendapatkan sertifikasi profesional dalam keamanan dan pengendalian Mengetahui jenis-jenis rencana yang termasuk dalam perencanana kontinjensi

3

Pengantar• Keamanan informasi dimaksudkan untuk mencapai

kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.

• Manajemen keamanan informasi terdiri dari:

1. Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi (information security management/ ISM)

2. Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen Kesinambungan Bisnis (business continuity management /BCM)

4

1. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN

• Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.

• Pengalaman diatas untuk meletakkan penjagan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan kemampuan untuk melanjutkan kegiatan operasional seelah terjadi gangguan.

2. Keamanan Informasi

• Keamanan informasi berkaitan dengan semua sumber daya informasi, bukan hanya peranti keras data, namun juga peranti lunak, fasilitas komputer, dan personel.

• Istilah keamanan informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

5

6

3. Tujuan Keamanan Informasi• Keamanan informasi dimaksudkan untuk mencapai

tiga sasaran utama, yaitu:– Kerahasiaan:  Melindungi data dan informasi

perusahaan dari penyingkapan orang –orang yang tidak berhak

– Ketersediaan:  Meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang yang berhak menggunakannya.

– Integritas: Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan

7

4. Manajemen Keamanan Informasi • Manajemen Keamanan Informasi terdiri atas dua area:

a) Manajemen Keamanan Informasi: Aktivitas untuk menjaga agar sumber daya informasi tetap aman.

b) Manajemen Keberlangsungan Bisnis: Aktivasi untuk menjaga agar perusahaan dan sumber daya informasi tetap berfungsi setelah adanya bencana.

• Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan.

• Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang melaporkan kepada CEO dan mengatur suatu unit jaminan informasi

8

5. Manajemen Keamanan Informasi (ISM)

• Manajemen Informasi Keamanan (ISM) terdiri dari empat langkah:

1. Identifikasi ancaman (threats) yang dapat menyerang sumber daya informasi perusahaan

2. Mendefinisikan resiko dari ancaman – ancaman tersebut.3. Menentukan kebijakan keamanan informasi4. Menerapkan pengendalian (controls ) yang tertuju pada resikoHubungan logis antara ancaman, resiko dan pengendalian

adalah ketika ada ancaman maka ada resiko yang timbul dan harus ada pengendalian terhadap resiko tersebut.

• Tolak ukur keamanan informasi (ISB) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan dengan cukup terhadap gangguan yang tidak terotoritasi

9

10

6. Ancaman• Ancaman keamanan informasi adalah seseorang,

organisasi, mekanisme, atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan

• Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja

• Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan informas diberlakukan terhadap empat jenis resiko:

• Ancaman Internal dan External• Disengaja dan tidak disengaja

11

12

Jenis Ancaman Yang Paling Terkenal – “VIRUS”

• sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna

• sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat memancarkan salinan dengan sendirinya oleh e-mail

• sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem

• Sebuah Adware memunculkan pesan-pesan iklan yang mengganggu

• Sebuah spyware mengumpulkan data dari mesin pengguna

13

Resiko

Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :

1. Pencurian dan Penyingkapan tidak terotorisasi.

2. Penggunaan tidak terotorisasi.

3. Pembinasaan dan Pengingkaran Layanan yang tidak terotorisasi.

4. Modifikasi yang tidak terotorisasi.

14

8. Pertimbangan E-COMMERCE• E-commerce telah memperkenalkan sebuah keamanan

resiko yang baru: penipuan kartu kredit. Keduanya American Express dan Visa telah mengimplementasikan program yang mengarahkan secara rinci pada e-commerce

• American Express mengumumkan “penyediaan" angka-angka kartu kredit. Angka ini, dibandingkan dengan angka kartu kredit pelanggannya, yang ditujukan pada perdagangan online menggunakan e-commerce, yang memilih American Express untuk pembayarannya.

• Visa telah mengumumkan sepuluh praktek terkait dengan keamanan yang mereka harap pengecernya untuk mengikuti lebih dari tiga langkah praktek yang umum dilakukan

15

Tindakan Pencegahan VisaPengecer Harus:

– Memasang dan memelihara firewall– Memperbarui keamanan– Melakukan enkripsi pada data yang disimpan– Melakukan enkripsi pada data yang dikirimkan– Menggunakan dan memperbarui perantik lunak antivirus– Membatasi akses data kepada orang-orang yang ingin tahu– Memberikan ID unik untuk orang yang memiliki kemudahan

mengakses data– Memantau akses data dengan ID unik– Tidak menggunakan password default dari vendor– Secara teratur menguji keamanan sistem

Pengecer perlu:– Memantau pegawai yang memiliki akses data– Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam

keadaan tidak aman– Hapus data jika sudah tidak digunakan

16

9. Manajemen Resiko• Empat sub langkah untuk mendefinisikan risiko

informasi adalah:Mengidentifikasi aset bisnis yang harus dilindungi dari risikoMenyadari resikoTentukan tingkat dampak pada perusahaan jika risiko benar-

benar terjadiMenganalisis kerentanan perusahaan

Pendekatan sistematis dapat diambil dari langkah 3 dan 4 dengan menentukan dampak dan menganalisis kelemahan.

Tabel 9.1 menggambarkan pilihan.

Tingkat Dampak dan Kelemahan Menentukan Pengendalian

Dampak parah Dampak signifikan Dampak minor

Kelemahan tingkat tinggi

Melaksanakan analisis kelemahan.harus meningkatkan pengendalian

Melaksanakan analisis kelemahan.harus meningkatkan pengendalian.

Analisis kelemahan tidak dibutuhkan

Kelemahan tingkat menegah

Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian

Melaksananakan analisis kelemahan, sebaiknya meningkatkan pengendalian

Analisis kelemahan tidak dibutuhkan

Kelemahan tingkat rendah

Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat.

Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat.

Analisis kelemahan tidak dibutuhkan.

18

Laporan Analisis Risiko

• Pemuan dari analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi informasi rinci seperti berikut untuk masing-masing risiko:

1. Deskripsi risiko

2. Sumber risiko

3. Tingginya tingkat resiko

4. Pengendalian yang diterapkan pada resiko tersebut

5. Para pemilik resiko tersebut

6. Tindakan yang direkomendasikan untuk mengatasi risiko

7. Jangka waktu yang direkomendasikan untuk mengatasi risiko

8. Apa yang telah dilaksanakan untuk mengatasi risiko tersebut

10. Kebijakan Keamanan InformasiMengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap.

Figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan. •Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite akan mencangkup manajer dari wilayah dimana kebijakan akan diterapkan•Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak yang berminat & berpengaruh oleh proyek.• Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk memberitaukan temuannya. Serta untuk mendapatkan pandangan mengenai persyaratan kebijakan•Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi dilaksanakan dalam unit organisasi•Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan.

• Figur 9.3 {penyusunan kebijakan keamanan}

Fase 1Inislasi proyek

Fase 2 Penyusunan kebijakan

Fase 3 konsultasi dan persetujuan

Fase 4 Kesadaran dan pendidikan

Fase 5 Penyebarluasan kebijakan

Penetapan

Tim proyek

Komite pengawas proyek keamanan

konsultasi Pihak yang berminat dan terpengaruh

konsultasimanajemen

Pelatihan kesadaran & edukasi kebijakan

Unit organisasi

Kebijakan keamanan Unit organisasi

11.PengendalianPengendalian(control) mekanisme yang diterapkan baik untuk melindungi

perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori yaitu : Teknis Formal Dan Informal

1. PENGENDALIAN TEKHNIS(Tehnical control)

Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus penyusunan sistem.

22

B. Sistem Deteksi GangguanLogika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.

A. PENGENDALIAN AKSES 1.Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi 2.Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui 3.Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu

C. FirewallBerfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah untuk untuk masing-masing komputer Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

23

2. Pengendalian Kriptografis

• Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses matematika.

• Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untuk meningkatkan keamanan e-commerence

3. PENGENDALIAN FISIK Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendaliian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh darikota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai

Meletakan manajemen keberlangsungan bisnis pada tempatnya

manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer dimana kita dapat melihat perkembangan besar. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasi ke dalam kebutuhan khususnya..

1. PENGENDALIAN FORMALMencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan. Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya, mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang.

4. Pengendalian InformalMencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

12.DUKUNGAN PEMERINTAH DAN INDUSTRI

• Beberapa organisasi pemerintahan dan internasional telah menentukan standar- standar yang ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasikan sebelumnya sebagai penyedia strategi alternatif untuk manajemen resiko. Beberapa pihak penentu standar menggunakan istilah baseline(dasar) dan bukannya benchmark (tolok ukur).Organisasi tidak diwajibkan mengikuti standar ini. Namun, standar ini ditunjukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya:

• BS7799 milik inggris

• BSI IT Baseline Protection Manual

• Cobit

• GASSP

• ISF Standard Of Good Practice 26

PERATURAN PEMERINTAH • Pemerintah baik di amerika serikat maupun inggris telah menentukan

standar dan menetapkan peraturan yang ditujukan untuk menanggapi masalah pentinggnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin memperluasnya internet serta peluang terjadinya kejahatan komputer. Beberapa diantaranya adalah:

Standar keamanan komputer pemerintah Amerika Serikat

Undang- undang antiterorisme, kejahatan, dan keamanan inggris (ATCSA)

27

STANDAR INDUSTRI The center for internet security(CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk yaitu: CIS Benchmarks dan CIS Scoring Tools.

•13.SERTIFIKASI PROFESIONAL

28

Mulai tahun 1969-an, profesi IT mulai menawarkan prorgam sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program- program ini. Asosiasi Audit Sistem dan Pengendalian Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional Institut SANS

MANAJEMEN KEBERLANGSUNGAN BISNIS

• Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan Bisnis ( business continuity management-BCM). Pada tahun-tahun awal penggunaan komputer, aktifitas ini disebut perencanaan besar (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi(contingency plan), menjadi populer. Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan,atau ancaman gangguan pada operasi komputasi perusahaan.

29

14.Subrencana yang menjawab beberapa kontinjensi yang spesifik

• Rencana Darurat : menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara – cara ini mencakup sistem alarm, prosedur evakuasi, dan sistem pemadaman api.

• Rencana Cadangan : Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak apat digunakan. Cadangan dapat diperoleh melalui kombinasi redundansi, keberagaman, mobilitas.

• Rencana Catatan Penting terbagi menjadi 2 bagian:

a. Catatan Penting : Dokumen kertas, mikroform dan media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut.

b. Rencana Catatan Penting : Menentukan cara bagaimana catatan penting tersebutharus dilindungi.

30

31

Terima Kasih