keamanan sistem informasi
DESCRIPTION
03. KEAMANAN SISTEM INFORMASI. Perencanaan Keamanan. Prepared By : Afen Prana e -mail : [email protected] http://afenprana.wordpress.com. Mengenali pentingnya perencanaan & menguraikan komponen prinsip tentang perencanaan organisatoris Mengetahui dan memahami - PowerPoint PPT PresentationTRANSCRIPT
KEAMANAN SISTEM KEAMANAN SISTEM INFORMASIINFORMASI
Prepared By : Afen Pranae-mail : [email protected]
http://afenprana.wordpress.com
03
Perencanaan Keamanan
2
Mengenali pentingnya perencanaan& menguraikan komponen prinsip
tentang perencanaan organisatoris
Mengetahui dan memahami komponen prinsip dari perencanaan implementasi sisitem
infosec yg berfungsi di dalam rencana perencanaan yang organisatoris
Prepared By : Afen Prepared By : Afen PranaPrana
3
Organisasi yg sukses menggunakan perencanaan.
Mengapa?
Prepared By : Afen Prepared By : Afen PranaPrana
4
Karyawan Manajemen
stockholders/pemegang sahamlingkungan fisik
lingkungan politik dan hukum Lingkungan kompetitif Lingkungan teknologi
Prepared By : Afen Prepared By : Afen PranaPrana
Perencanaan Melibatkan
5
Tujuan rencana keamanan sistem adalah untuk menyediakan suatu ikhtisar kebutuhan keamanan sistem dan menguraikan kendali pada tempatnya atau merencanakan untuk memenuhi kebutuhan keamanan sistem. Keamanan Sistem merencanakan juga gambaran tanggung-jawab dan perilaku yg diharapkan dari semua individu yang mengakses sistem tsbt. Mencerminkan masukan dari para manajer dengan tanggung-jawab mengenai sistem, mencakup pemilik informasi, pemilik sistem, dan petugas keamanan informasi yang senior.(Baca SP800-100, hal 67)
Prepared By : Afen Prepared By : Afen PranaPrana
6
Tugas Dan Tanggung-Jawab Perencanaan Keamanan
Para agen perlu mengembangkan kebijakan proses perencanaan keamanan sistem. Rencana Keamanan Sistem dokumen hidup yang memerlukan tinjauan ulang berkala, modifikasi, dan rencana kegiatan untuk menerapkan kendali keamanan. Prosedur harus pada tempatnya siapa yang meninjau ulang rencana itu, menyimpan/memelihara rencana saat ini, dan mengikuti kendali keamanan yg dirancang. Sebagai tambahan, prosedur memerlukan rencana keamanan sistem dikembangkan dan ditinjau sebelum meneruskan proses akreditasi dan sertifikasi keamanan untuk sistem.
Prepared By : Afen Prepared By : Afen PranaPrana
7
Sepanjang proses sertifikasi keamanan dan akreditasi, rencana keamanan sistem dianalisa, dibaharui, dan diterima. Agen Sertifikasi mengkonfirmasikan bahwa kendali renana keamanan konsisten dengan kategori keamanan yang ditentukan untuk sistem informasi. Hasil suatu sertifikasi keamanan digunakan untuk menaksir kembali resiko, membaharui rencana keamanan sistem
Prepared By : Afen Prepared By : Afen PranaPrana
8
Perencanaan:
Yaitu menciptakan langkah-langkah tindakan ke arah tujuan,
& kemudian mengendalikannya
Menyediakan arahan untuk masa depan organisasi
Prepared By : Afen Prepared By : Afen PranaPrana
9
Metoda perencanaan Top-down:
para pemimpin organisasi memilih arah tersebut
Perencanaan dimulai dengan yang umum
& berakhir dengan yang spesifik
Prepared By : Afen Prepared By : Afen PranaPrana
10
Perencanaan InfoSec
Prepared By : Afen Prepared By : Afen PranaPrana
11
Perencanaan strategis meliputi:
Statemen Misi Statemen Visi
Statemen Nilai-Nilai Strategi
Rencana-rencana yang dikoordinir pada sub-unit
Mengetahui bagaimanaProses kerja rencana umum organisasi
Yang dapat membantu dalam proses perencanaan infosec
Prepared By : Afen Prepared By : Afen PranaPrana
12
Statemen Misi
Umumkan bisnis organisasi& area operasi yang diharapkan
Jelaskan apa yang organisasi kerjakan& buat siapa
Contoh: Colostomo, Inc. Disain dan buatan
Kualitas persediaan medis& peralatan yang dihubungkan,
untuk digunakan di dalam lingkungan medis modern & rumah
Prepared By : Afen Prepared By : Afen PranaPrana
13
Statemen Visi
Nyatakan apa yang organisasi inginkan
Harus ambisius
Contoh: Colostomo akan menjadi pilihan yang disukai
dari setiap pabrikan medis dengan suatu device Colostomo
yang lebih disukai oleh para doktor& pasien.
Prepared By : Afen Prepared By : Afen PranaPrana
14
Dengan menetapkan prinsip2 organisasi dalam statement nilai2, organisasi melakukan standar yg
jelas.
“apa yg dapat kita ambil pada suatu premi ?”Apa yg kita gerakkan?”
contoh: nilai2 Colostomo komitment, kejujuran, integritas
& tanggung jawab sosial antar karyawannya,& merasa terikat dengan pelayanan dalam
kesesuainnya dengan perusahaan, sosial, hukum dan alam lingkungan.
Prepared By : Afen Prepared By : Afen PranaPrana
15
Misi, Visi,& Nilai-Nilai statement
bersama-sama menyediakan pondasi untuk perencanaan
Prepared By : Afen Prepared By : Afen PranaPrana
16
Strategi adalah dasar untuk arah jangka panjang
Perencanaan Strategis : Panduan usaha organisasi Memusatkan sumber daya
Yang jelas untuk menetapkan tujuan
“… perencanaan strategis Adalah suatu disiplin untuk menghasilkan
keputusan yang mendasar dan tindakan yg memandu organisasi, apa yg dikerjakan &
mengapa itu bekerja dengan fokus pada masa depan”
Prepared By : Afen Prepared By : Afen PranaPrana
17Prepared By : Afen Prepared By : Afen PranaPrana
18
Untuk merencanakan suatu organisasi :
Kembangkan suatu strategi umum Ciptakan rencana strategi spesifik
untuk pembagian utama
Masing-masing tingkatan bagian menerjemahkan objektifitas tersebut kedalam
sasaran hasil yang lebih spesifik untuk tingkatan di bawah
Dalam rangka melaksanakan strategi utama ini,Para eksekutif harus menetapkan tanggung
jawab manajerial individu.Prepared By : Afen Prepared By : Afen PranaPrana
19Prepared By : Afen Prepared By : Afen PranaPrana
20
tujuan strategis kemudian adalah menterjemahkan kedalam tugas-tugas dengan
spesifik,terukur,
terjangkau,layak &
batas waktuSasaran hasil
(SMART = specific,measurable,achievable,reasonably high & time-bound
Objectives)
perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific
perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific
Prepared By : Afen Prepared By : Afen PranaPrana
21Prepared By : Afen Prepared By : Afen PranaPrana
22
Unsur2 perencanaan strategis
Pengenalan oleh eksekutif senior Ringkasan eksekutif
Statement misi & Vision Statement Profil organisasi & Sejarah Issu strategis & nilai2 ini
Program tujuan & sasaran hasil Management/tujuan operasi & sasaran hasil
Catatan tambahan (optional): Strengths/kekuatan, weaknesses/kelemahan,
opportunities and threats /peluang dan ancaman(SWOT) analisis,surveys, budgets
Prepared By : Afen Prepared By : Afen PranaPrana
23
Perencanaan Taktis
Fokus lebih pendek dibanding perencanaan strategis
Pada umumnya satu sampai 3 tahun
Tujuan strategis bisa diterapkan kedalam serangkaian kenaikan sasaran hasil
Lalu apakah itu?
Jika perencanaan strategis menentukan dimana saya ingin pergi, perencanaan taktis menentukan langkah2 yg terbaik yg digunakan untuk kesana.
Prepared By : Afen Prepared By : Afen PranaPrana
24
Perencanaan Operasional
Digunakan oleh para manajer dan karyawan untuk mengorganisir yg berkelanjutan,
pencapaian tugas sehari-hari.
MeliputiAktivitas koordinasi dengan jelas dikenali
seperti :
Kebutuhan komunikasi Pertemuan mingguan
Ringkasan Laporan kemajuan
Prepared By : Afen Prepared By : Afen PranaPrana
25
Perencanaan strategis : Bawa bukit itu malam selasa.
Rencana Taktis :Adakan serangan udara dan kemudian serang
dari selatan dengan 10 orang.
Rencana operasional :periksa ramalan cuaca.
Menguji radio. Mengisi perlengkapan amunisi. Mendapatkan ransum
Prepared By : Afen Prepared By : Afen PranaPrana
26
Tips untuk perencanaan:
Ciptakan suatu pernyataan visi yg memaksa dan bertindak seperti magnet untuk orang-
orang yang ingin membuat suatu pertikaian.
Rangkul penguna pada pendekatan penilaian seimbang (setiap orang menggunakan ukuran yg sama)
Sebar suatu draft rencana awal tingkat tinggi dan minta masukan dari stakeholder
dalam organisasi tersebut.
Membuat susunan rencana yg visibel.
Prepared By : Afen Prepared By : Afen PranaPrana
27
Tips lebih untuk perencanaan(atau untuk suatu pertemuan yg baik ):
Buat proses menyegarkan untuk semua orang
Gigih Membuat proses yg berkelanjutan
Memberikan arti Jadilah diri sendiri
Terangi dan bersenanglah
Prepared By : Afen Prepared By : Afen PranaPrana
28
Perencanaan untuk implementasi Infosec
CIO & CISO berperan penting dalam menterjemahkan keseluruhan perencanaan
strategis dalam operasional dan taktis rencana Infosec dan keamanan informasi
CISO berperan lebih aktif dalam pengembangan perencanaan yg detil
dibanding CIO
Prepared By : Afen Prepared By : Afen PranaPrana
29
Deskripsi tugas CISO
Ciptakan rencana strategis infosec dengan suatu visi untuk masa datang infosec di perusahaan X
Memahami aktivitas bisnis pokok yg dilakukan perusahaan X
Yang didasari dengan pengertian, menyarankan solusi infosec yang sesuai melindungi aktivitas
secara unik
Kembangkan rencana awal, jadwal, laporan status, anggaran dan komunikasi manajemen
puncak yg diharapkan untuk meningkatkan status infosec pada perusahaan X
Prepared By : Afen Prepared By : Afen PranaPrana
30
CIOadalah pejabat yang bertanggung jawab untuk mengembangkan dan memelihara suatu agency-wide program keamanan informasi dan mempunyai tanggung-jawab perencanaan keamanan sistem :
- Mengembangkan dan memelihara kebijakan keamanan informasi, prosedur, dan teknik pengendalian untuk menunjuk perencanaan keamanan sistem;
- Mengatur identifikasi, implementasi, dan penilaian kendali keamanan umum;
- Mastikan bahwa personil dengan tanggung-jawab penting untuk rencana keamanan sistem dilatih/terlatih;
- Membantu pejabat agen senior dengan tanggung-jawab mereka untuk rencana keamanan sistem; dan
- Identifikasi dan mengembangkan kendali keamanan umum untuk agensi.
Prepared By : Afen Prepared By : Afen PranaPrana
31
Sekali rencana telah diterjemahkan kedalam sasaran hasil IT dan infosec dan taktis dan rencana operasional infosec, implementasi
dapat dimulai.
Implementasi keamanan informasi dapat dicapai dengan 2 jalan :
Bottom-up atau Top-down
Prepared By : Afen Prepared By : Afen PranaPrana
32Prepared By : Afen Prepared By : Afen PranaPrana
33
The Systems Development Life Cycle/Siklus hidup pengembangan sistem
(SDLC)
Suatu metodologi untuk merancang dan menerapkan suatu sistem informasi
Proyek SDLC-based mungkin diaktipkan oleh peristiwa atau direncanakan
Prepared By : Afen Prepared By : Afen PranaPrana
34
Pada akhir masing2 tahapan,review kembali
– Analisis kelayakan –Kapan ditentukan jika proyek harus dilanjutkan, tidak dilanjutkan, diluar sumber atau ditunda.
Berbagai nilai pendekatan untuk dipahamiLayak ekonomis, teknik, dan tingkah laku
Prepared By : Afen Prepared By : Afen PranaPrana
35Prepared By : Afen Prepared By : Afen PranaPrana
36
Tahapan SDLC
Prepared By : Afen Prepared By : Afen PranaPrana
37
1: Investigation
Identifikasi masalah untuk dipecahkan
Dimulai dengan sasaran hasil, batasan dan lingkup proyek
Suatu persiapan analisis cost/benefit yg dikembangkan untuk
mengevaluasi manfaat yg dirasa dan manfaat biaya-biaya
Prepared By : Afen Prepared By : Afen PranaPrana
38
2: Analysis
Mulai dengan informasi sejak tahapan investigasi
Kesiap siagaan organisasi,Status sistem pada saat ini,
Kemampuan untuk menerapkan dan kemudian mendukung yg diusulkan sistem
Analisis menentukanApa yg diharapkan dapat dilakukan sistem baru,
dan bagaimana saling berhubungan dengan sistem yang berjalan
Prepared By : Afen Prepared By : Afen PranaPrana
39
3: Logical Design
Informasi diperoleh dari tahap analisisdigunakan untuk menciptakan suatu solusi
usulanUntuk masalah
Suatu sistem dan/atau aplikasidipilih berdasarkan kebutuhan bisnis tersebut
logical design adalah implementasi cetak biru yg berdiri sendiri
untuk solusi yg diinginkan
Prepared By : Afen Prepared By : Afen PranaPrana
40
4: Physical Design
sepanjang mendisain tahap phisik, tim memilih teknologi yg spesifik
Komponen2 yg dipilihDievaluasi lebih lanjut
keputusan membuat atau membeli
Disain akhir dipilihmengintegrasikan secara optimum
Komponen2 yg diperlukan
Prepared By : Afen Prepared By : Afen PranaPrana
41
5: Implementation
Kembangkan perangkat lunak yg tidak dibeli, & ciptakan kemampuan mengintegrasikan
unsur2 kebiasaanDiuji dan didokumentasikan
Para user dilatih& dokumentasi pendukung diciptakan
Ketika semua komponen telah diuji secara individu,
diinstal dan diuji secara menyeluruhPrepared By : Afen Prepared By : Afen PranaPrana
42
6: Maintenance
tugas2 diperlukan untuk mendukung & modifikasi sistem untuk sisa waktu masa penggunaannya
Sistem diuji secara periodeuntuk pemenuhan dgn spesifikasinya
Kelayakan Berkelanjutan versus tidak berkelanjutan dievaluasi
Upgrades, updates, & patches diatur
Bila sistem saat ini Tidak bisa lagi mendukung misi organisasi, diakhiri dan
Proyek pengembangan sistem baru dikerjakan
Prepared By : Afen Prepared By : Afen PranaPrana
43
Tinjau ulang ... Tahapan SDLC
Prepared By : Afen Prepared By : Afen PranaPrana
44
Siklus hidup pengembangan sistem keamanan(SecSDLC)
Dapat berbeda dlm bbrp pokok, tetapi keseluruhan metodologi serupa dengan
SDLC
Proses SecSDLC melibatkan :
Identifikasi ancaman-ancaman tertentu & resiko2 yg mewakilinya
Akibat desain & implementasiTtg kendali spesifik ancaman dan membantu
Didalam manajemen resikoPrepared By : Afen Prepared By : Afen PranaPrana
45
1. SecSDLC: Investigation
sering mulai ketika petunjuk dari manajemenMenetapkan proses tersebut, hasil, & tujuan
Tentang proyek dan anggaran tsbt
sering mulai denganPernyataan atau ciptaan kebijakan keamanan
tim berkumpul untuk menganalisis masalah,Menetapkan tujuan, & mengidentifikasi batasan
Analisis kelayakan menentukanapakah organisasi mempunyai sumber daya dan
komitmenUntuk melakukan suatu analisis dan disain keamanan yg sukses
Prepared By : Afen Prepared By : Afen PranaPrana
46
2. SecSDLC: Analysis
Suatu analisis persiapan tentang program atau keberadaan kebijakan
keamananYg disiapkan bersama dengan
ancaman2 yang dikenal & pengendalian saat ini
meliputi suatu analisis padaisu relevant tentang undang-undang
yg bisa mempengaruhi disain tentang solusi keamanan
Manajemen resiko mulai dalam langkah ini
Prepared By : Afen Prepared By : Afen PranaPrana
47
Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi
tingkat resiko yang dihadapi organisasi tersebut
khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi
Untuk lebih baik memahami tahap analisa tentang SecSDLC,
Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi
Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas tertentu menghadirkan
suatu bahaya terus menerus bagi suatu asset
Prepared By : Afen Prepared By : Afen PranaPrana
48
Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko(risk management).
Lawrie Brown menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.
Perhatikan Tabel di bawah ini : tabel kontribusi terhadap resiko
Prepared By : Afen Prepared By : Afen PranaPrana
49Prepared By : Afen Prepared By : Afen PranaPrana
50
Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi
tingkat resiko yang dihadapi organisasi tersebut
khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi
Untuk lebih baik memahami tahap analisa tentang SecSDLC,
Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi
Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas
tertentu menghadirkan suatu bahaya terus menerus bagi suatu asset
Prepared By : Afen Prepared By : Afen PranaPrana
51
Antara lain
Attack/serangan : tindakan sengaja yang memanfaatkan suatu kelemahan untuk membahayakan dari sistem yg
dikendalikan
threat agent/ancamanMerusak atau mencuri
Suatu informasi organisasi atau asset pisik
Exploit/eksploitasi: teknik atau mekanisme Yg membahayakan yg digunakan suatu sistem
Vulnerability/Kelemahan : kelemahan yg diidentifikasi ttg sistem kendali
Prepared By : Afen Prepared By : Afen PranaPrana
52Prepared By : Afen Prepared By : Afen PranaPrana
53
Beberapa serangan umum
Malicious code
Hoaxes(Memperdayakan)
Back doors
Password crack
Brute force (coba2)
Dictionary
Denial-of-service (DoS)& distributed denial-of-service
(DDoS)
Timing
Spoofing(seolah serangan datang dari tempat lain dgn nomor IP milik orang lain)
Man-in-the-middle(wireless penyadapan,Integrity dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.)
Spam
Mail bombing
Sniffer (penyadap atau pengendus)
Social engineering
Buffer overflowPrepared By : Afen Prepared By : Afen PranaPrana
54
Manajemen resiko
Gunakan metoda beberapa prioritas resiko yang diajukan oleh masing-masing kategori
ancaman& metoda yang berelasi serangan
Untuk mengatur resiko,anda harus mengidentifikasi & menilai
nilai dari asset informasi anda
Prepared By : Afen Prepared By : Afen PranaPrana
55
Manajemen resiko mengidentifikasi kelemahan
di dalam suatu sistim informasi organisasi& mengambil secara hati-hati memberi alasan
langkah-langkah untuk meyakinkan kerahasiaan, integritas, dan ketersediaan
dari semua komponen dalam sistem informasi organisasi
Prepared By : Afen Prepared By : Afen PranaPrana
56
SecSDLC: Design
Tahap disain terdiri dari dua tahap yg berbeda:
3. Tahap Disain logis : anggota tim menciptakan & mengembangkan
cetakbiru untuk keamanan,menguji & mengimplementasikan pedoman
kebijakan.
4. Tahap Disain Phisik : anggota tim mengevaluasi
teknologi yg diperlukan untuk mendukung cetakbiru keamanan tsbt,
solusi alternatif, & menyetujui disain akhir
Prepared By : Afen Prepared By : Afen PranaPrana
57
Model Keamanan
Para manajer Keamanan sering menggunakan model keamanan yang terbukti untuk memandu proses disain
Model Keamanan menyediakan kerangka untuk memastikan bahwa
semua area keamanan dialamatkan
Organisasi dapat menyesuaikan atau mengadopsi suatu kerangka
untuk memenuhi kebutuhan keamanan informasi mereka sendiri
Prepared By : Afen Prepared By : Afen PranaPrana
58
Satu unsur disain kritis pd program infosec
yaitu kebijakan infosec
Manajemen harus mendefinisikan 3 jenis kebijakan keamanan:
1. Umum atau kebijakan program keamanan 2. Kebijakan Keamanan Issue-specific 3. Kebijakan Keamanan Systems-specific
Prepared By : Afen Prepared By : Afen PranaPrana
59
Bagian lain tentang program Infosec adalah
edukasi keamanan dan program pelatihan
Program SETA terdiri dari 3 unsur:1. security education2. security training3. security awareness
Tujuan SETA yaitu :- Untuk meningkatkan keamanan
- Meningkatkan kesadaran- Mengembangkan skill & pengetahuan
- Membangunan pengetahuan yg mendalam
Prepared By : Afen Prepared By : Afen PranaPrana
60
Perhatikan kebaikan pada disainAdalah kendali & usaha yg digunakan untuk
melindungi informasi dari serangan ancaman
Tiga kategori kendali: 1. Managerial 2. Operasional 3. Teknis
Prepared By : Afen Prepared By : Afen PranaPrana
61
Kendali managerial
mengalamatkan disain & implementasi proses perencanaan keamanan
& manajemen program keamanan
Manajemen pengendalian juga menujukan kpd:
- Manajemen resiko- Review Keamanan kendali
Prepared By : Afen Prepared By : Afen PranaPrana
62
Kendali Operasional
menjangkau fungsi manajemen& perencanaan tingkat bawah, termasuk:
Disaster recovery Incident response planning
Operational controls also address: Personnel security Physical security
Protection of production inputs & outputs
Prepared By : Afen Prepared By : Afen PranaPrana
63
Isu taktis & teknis perancangan yang dihubungkan dengan
& menerapkan keamanan di dalam organisasi
Teknologi perlu untuk melindungi informasi
Yg diuji & yang terpilih
Prepared By : Afen Prepared By : Afen PranaPrana
64
Perencanaan Kemungkinan
“What if ...?”
Dokumen Kesiap siagaan penting menyediakan perencanaan kemungkinan (CP)
untuk persiapan, reaksi & memulihkan dari keadaan
yg mengancam organisasi tersebut :
Incident response planning (IRP) Disaster recovery planning (DRP)
Business continuity planning (BCP)
Prepared By : Afen Prepared By : Afen PranaPrana
65
Physical Security menunjukkan disain, implementasi, & maintenance
Tentang tindakan penanggulangan yg melindungi Sumber daya phisik organisasi
Sumber daya phisik meliputi :
People Hardware
Unsur2 pendukung sistem informasi
Prepared By : Afen Prepared By : Afen PranaPrana
66
5. SecSDLC Implementation
Solusi keamanan yaitu Yg diperoleh, diuji, diimplemtasikan, & diuji kembali
Personil dievaluasi& pelatihan spesifik & menyelenggarakan program
pendidikan
Mungkin unsur paling utama tentang tahap implementasi
adalah manajemen rencana proyek :
1. Proyek perencanaan 2. Mengawasi tugas & langkah-langkah tindakan di dalam
merancang 3. Menyelesaikan proyek
Prepared By : Afen Prepared By : Afen PranaPrana
67
Tim proyek Infosec terdiri dariBerbagai hal teknis & area tidak teknis, mencakup:
champion Pemimpin tim
Pengembang kebijakan keamanan spesialis penilaian resiko Security professionals Systems administrators
End users
Prepared By : Afen Prepared By : Afen PranaPrana
68
Susunan kepegawaian infosec berfungsi
Masing-Masing organisasi perlu menguji pilihannya karena susunan kepegawaian infosec berfungsi
Memutuskan bagaimana cara posisi & menamaifungsi keamanan
Rencana untuk susunan kepegawaian infosec yang sesuai
Memahami dampak infosec
Mengintegrasikan konsep infosec ke dalam organisasi manajemen personalia
Prepared By : Afen Prepared By : Afen PranaPrana
69
Para profesional untuk mendukung programInfosec :
Chief Information Officer (CIO) Chief Information Security Officer (CISO)
Security managers Security technicians
Data owners Data custodians/petugas pemelihara data
Data users
Prepared By : Afen Prepared By : Afen PranaPrana
70
Banyak Organisasi mencari profesional yg bersertifikasi
sehingga mereka dapat dengan mudah mengidentifikasi
kecakapan pelamar pekerjaan: CISSP SSCP GIAC SCP ICSA
Security + CISM
Prepared By : Afen Prepared By : Afen PranaPrana
71
6. SecSDLS Maintenance
Sekali program infosec diimplementasikan,infosec harus dioperasikan, diatur dengan baik
& dijaga up to date yg berarti prosedur nyata telah terbukti
Jika program tidaklah cukup menyesuaikan
Perubahan dalamlingkungan eksternal atau yang internal,
mungkin saja perlu untuk mulai siklus lagi
Prepared By : Afen Prepared By : Afen PranaPrana
72
Selagi suatu model manajemen sistem didisain untuk mengatur & sistem beroperasi,
suatu model pemeliharaan dimaksudkan untuk memusatkan
usaha organisasi atas pemeliharaan sistem:
External monitoring Internal monitoring
Perencanaan & penilaian resiko Penilaian kelemahan/Vulnerability assessment &
penyelesaian Kesiap siagaan dan & review
Prepared By : Afen Prepared By : Afen PranaPrana
73
Suatu isu direncanakan didalam SecSDLCYaitu model manajemen sistem
Model manajemen ISO berisi lima area:
1. Kesalahan manajemen 2. Konfigurasi & Name Management 3. Akuntansi manajemen 4. Pelaksanaan Manajemen 5. Manajemen Keamanan
Prepared By : Afen Prepared By : Afen PranaPrana
74
Model manajemen keamanan
Kesalahan Manajemen melibatkan mengidentifikasikan & menunjukkan kesalahan
Konfigurasi dan perubahan manajemen melibatkan administrasi
yang terlibat program keamanan& perubahan administrasi
Akuntansi Dan Manajemen Auditing melibatkan chargeback akuntansi
& sistem monitoring
Pelaksanaan Manajemen menentukan jika sistem keamanan
secara efektif melakukan pekerjaan merekaPrepared By : Afen Prepared By : Afen PranaPrana
75
Manajemen Program Keamanan
Sekali program infosec berfungsi,maka harus dioperasikan dan diatur
Dalam rangka membantudidalam manajemen program infosec yang sesunguhnya,
suatu standard formal manajemenbeberapa dapat menyediakan pengertian yang mendalam
ke dalam proses & prosedur yg diperlukan
Ini bisa didasarkan padaModel BS7799/ISO17799
atau model NIST yg diuraikan lebih awal
Prepared By : Afen Prepared By : Afen PranaPrana
76
SDLC & SecSDLCKeduanya menggunakan 6 tahap yg sama.
1. Investigation2. Analysis3. Logical design4. Physical design5. Implementation6. Maintenance
Prepared By : Afen Prepared By : Afen PranaPrana