keamanan sistem informasi

KEAMANAN SISTEM KEAMANAN SISTEM INFORMASIINFORMASI

Prepared By : Afen Pranae-mail : [email protected]

http://afenprana.wordpress.com

03

Perencanaan Keamanan

2

Mengenali pentingnya perencanaan& menguraikan komponen prinsip

tentang perencanaan organisatoris

Mengetahui dan memahami komponen prinsip dari perencanaan implementasi sisitem

infosec yg berfungsi di dalam rencana perencanaan yang organisatoris

Prepared By : Afen Prepared By : Afen PranaPrana

3

Organisasi yg sukses menggunakan perencanaan.

Mengapa?


4

Karyawan Manajemen

stockholders/pemegang sahamlingkungan fisik

lingkungan politik dan hukum Lingkungan kompetitif Lingkungan teknologi


Perencanaan Melibatkan

5

Tujuan rencana keamanan sistem adalah untuk menyediakan suatu ikhtisar kebutuhan keamanan sistem dan menguraikan kendali pada tempatnya atau merencanakan untuk memenuhi kebutuhan keamanan sistem. Keamanan Sistem merencanakan juga gambaran tanggung-jawab dan perilaku yg diharapkan dari semua individu yang mengakses sistem tsbt. Mencerminkan masukan dari para manajer dengan tanggung-jawab mengenai sistem, mencakup pemilik informasi, pemilik sistem, dan petugas keamanan informasi yang senior.(Baca SP800-100, hal 67)


6

Tugas Dan Tanggung-Jawab Perencanaan Keamanan

Para agen perlu mengembangkan kebijakan proses perencanaan keamanan sistem. Rencana Keamanan Sistem dokumen hidup yang memerlukan tinjauan ulang berkala, modifikasi, dan rencana kegiatan untuk menerapkan kendali keamanan. Prosedur harus pada tempatnya siapa yang meninjau ulang rencana itu, menyimpan/memelihara rencana saat ini, dan mengikuti kendali keamanan yg dirancang. Sebagai tambahan, prosedur memerlukan rencana keamanan sistem dikembangkan dan ditinjau sebelum meneruskan proses akreditasi dan sertifikasi keamanan untuk sistem.


7

Sepanjang proses sertifikasi keamanan dan akreditasi, rencana keamanan sistem dianalisa, dibaharui, dan diterima. Agen Sertifikasi mengkonfirmasikan bahwa kendali renana keamanan konsisten dengan kategori keamanan yang ditentukan untuk sistem informasi. Hasil suatu sertifikasi keamanan digunakan untuk menaksir kembali resiko, membaharui rencana keamanan sistem


8

Perencanaan:

Yaitu menciptakan langkah-langkah tindakan ke arah tujuan,

& kemudian mengendalikannya

Menyediakan arahan untuk masa depan organisasi


9

Metoda perencanaan Top-down:

para pemimpin organisasi memilih arah tersebut

Perencanaan dimulai dengan yang umum

& berakhir dengan yang spesifik


10

Perencanaan InfoSec


11

Perencanaan strategis meliputi:

Statemen Misi Statemen Visi

Statemen Nilai-Nilai Strategi

Rencana-rencana yang dikoordinir pada sub-unit

Mengetahui bagaimanaProses kerja rencana umum organisasi

Yang dapat membantu dalam proses perencanaan infosec


12

Statemen Misi

Umumkan bisnis organisasi& area operasi yang diharapkan

Jelaskan apa yang organisasi kerjakan& buat siapa

Contoh: Colostomo, Inc. Disain dan buatan

Kualitas persediaan medis& peralatan yang dihubungkan,

untuk digunakan di dalam lingkungan medis modern & rumah


13

Statemen Visi

Nyatakan apa yang organisasi inginkan

Harus ambisius

Contoh: Colostomo akan menjadi pilihan yang disukai

dari setiap pabrikan medis dengan suatu device Colostomo

yang lebih disukai oleh para doktor& pasien.


14

Dengan menetapkan prinsip2 organisasi dalam statement nilai2, organisasi melakukan standar yg

jelas.

“apa yg dapat kita ambil pada suatu premi ?”Apa yg kita gerakkan?”

contoh: nilai2 Colostomo komitment, kejujuran, integritas

& tanggung jawab sosial antar karyawannya,& merasa terikat dengan pelayanan dalam

kesesuainnya dengan perusahaan, sosial, hukum dan alam lingkungan.


15

Misi, Visi,& Nilai-Nilai statement

bersama-sama menyediakan pondasi untuk perencanaan


16

Strategi adalah dasar untuk arah jangka panjang

Perencanaan Strategis : Panduan usaha organisasi Memusatkan sumber daya

Yang jelas untuk menetapkan tujuan

“… perencanaan strategis Adalah suatu disiplin untuk menghasilkan

keputusan yang mendasar dan tindakan yg memandu organisasi, apa yg dikerjakan &

mengapa itu bekerja dengan fokus pada masa depan”


17Prepared By : Afen Prepared By : Afen PranaPrana

18

Untuk merencanakan suatu organisasi :

Kembangkan suatu strategi umum Ciptakan rencana strategi spesifik

untuk pembagian utama

Masing-masing tingkatan bagian menerjemahkan objektifitas tersebut kedalam

sasaran hasil yang lebih spesifik untuk tingkatan di bawah

Dalam rangka melaksanakan strategi utama ini,Para eksekutif harus menetapkan tanggung

jawab manajerial individu.Prepared By : Afen Prepared By : Afen PranaPrana

20

tujuan strategis kemudian adalah menterjemahkan kedalam tugas-tugas dengan

spesifik,terukur,

terjangkau,layak &

batas waktuSasaran hasil

(SMART = specific,measurable,achievable,reasonably high & time-bound

Objectives)

perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific

perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific


22

Unsur2 perencanaan strategis

Pengenalan oleh eksekutif senior Ringkasan eksekutif

Statement misi & Vision Statement Profil organisasi & Sejarah Issu strategis & nilai2 ini

Program tujuan & sasaran hasil Management/tujuan operasi & sasaran hasil

Catatan tambahan (optional): Strengths/kekuatan, weaknesses/kelemahan,

opportunities and threats /peluang dan ancaman(SWOT) analisis,surveys, budgets


23

Perencanaan Taktis

Fokus lebih pendek dibanding perencanaan strategis

Pada umumnya satu sampai 3 tahun

Tujuan strategis bisa diterapkan kedalam serangkaian kenaikan sasaran hasil

Lalu apakah itu?

Jika perencanaan strategis menentukan dimana saya ingin pergi, perencanaan taktis menentukan langkah2 yg terbaik yg digunakan untuk kesana.


24

Perencanaan Operasional

Digunakan oleh para manajer dan karyawan untuk mengorganisir yg berkelanjutan,

pencapaian tugas sehari-hari.

MeliputiAktivitas koordinasi dengan jelas dikenali

seperti :

Kebutuhan komunikasi Pertemuan mingguan

Ringkasan Laporan kemajuan


25

Perencanaan strategis : Bawa bukit itu malam selasa.

Rencana Taktis :Adakan serangan udara dan kemudian serang

dari selatan dengan 10 orang.

Rencana operasional :periksa ramalan cuaca.

Menguji radio. Mengisi perlengkapan amunisi. Mendapatkan ransum


26

Tips untuk perencanaan:

Ciptakan suatu pernyataan visi yg memaksa dan bertindak seperti magnet untuk orang-

orang yang ingin membuat suatu pertikaian.

Rangkul penguna pada pendekatan penilaian seimbang (setiap orang menggunakan ukuran yg sama)

Sebar suatu draft rencana awal tingkat tinggi dan minta masukan dari stakeholder

dalam organisasi tersebut.

Membuat susunan rencana yg visibel.


27

Tips lebih untuk perencanaan(atau untuk suatu pertemuan yg baik ):

Buat proses menyegarkan untuk semua orang

Gigih Membuat proses yg berkelanjutan

Memberikan arti Jadilah diri sendiri

Terangi dan bersenanglah


28

Perencanaan untuk implementasi Infosec

CIO & CISO berperan penting dalam menterjemahkan keseluruhan perencanaan

strategis dalam operasional dan taktis rencana Infosec dan keamanan informasi

CISO berperan lebih aktif dalam pengembangan perencanaan yg detil

dibanding CIO


29

Deskripsi tugas CISO

Ciptakan rencana strategis infosec dengan suatu visi untuk masa datang infosec di perusahaan X

Memahami aktivitas bisnis pokok yg dilakukan perusahaan X

Yang didasari dengan pengertian, menyarankan solusi infosec yang sesuai melindungi aktivitas

secara unik

Kembangkan rencana awal, jadwal, laporan status, anggaran dan komunikasi manajemen

puncak yg diharapkan untuk meningkatkan status infosec pada perusahaan X


30

CIOadalah pejabat yang bertanggung jawab untuk mengembangkan dan memelihara suatu agency-wide program keamanan informasi dan mempunyai tanggung-jawab perencanaan keamanan sistem :

- Mengembangkan dan memelihara kebijakan keamanan informasi, prosedur, dan teknik pengendalian untuk menunjuk perencanaan keamanan sistem;

- Mengatur identifikasi, implementasi, dan penilaian kendali keamanan umum;

- Mastikan bahwa personil dengan tanggung-jawab penting untuk rencana keamanan sistem dilatih/terlatih;

- Membantu pejabat agen senior dengan tanggung-jawab mereka untuk rencana keamanan sistem; dan

- Identifikasi dan mengembangkan kendali keamanan umum untuk agensi.


31

Sekali rencana telah diterjemahkan kedalam sasaran hasil IT dan infosec dan taktis dan rencana operasional infosec, implementasi

dapat dimulai.

Implementasi keamanan informasi dapat dicapai dengan 2 jalan :

Bottom-up atau Top-down


33

The Systems Development Life Cycle/Siklus hidup pengembangan sistem

(SDLC)

Suatu metodologi untuk merancang dan menerapkan suatu sistem informasi

Proyek SDLC-based mungkin diaktipkan oleh peristiwa atau direncanakan


34

Pada akhir masing2 tahapan,review kembali

– Analisis kelayakan –Kapan ditentukan jika proyek harus dilanjutkan, tidak dilanjutkan, diluar sumber atau ditunda.

Berbagai nilai pendekatan untuk dipahamiLayak ekonomis, teknik, dan tingkah laku


36

Tahapan SDLC


37

1: Investigation

Identifikasi masalah untuk dipecahkan

Dimulai dengan sasaran hasil, batasan dan lingkup proyek

Suatu persiapan analisis cost/benefit yg dikembangkan untuk

mengevaluasi manfaat yg dirasa dan manfaat biaya-biaya


38

2: Analysis

Mulai dengan informasi sejak tahapan investigasi

Kesiap siagaan organisasi,Status sistem pada saat ini,

Kemampuan untuk menerapkan dan kemudian mendukung yg diusulkan sistem

Analisis menentukanApa yg diharapkan dapat dilakukan sistem baru,

dan bagaimana saling berhubungan dengan sistem yang berjalan


39

3: Logical Design

Informasi diperoleh dari tahap analisisdigunakan untuk menciptakan suatu solusi

usulanUntuk masalah

Suatu sistem dan/atau aplikasidipilih berdasarkan kebutuhan bisnis tersebut

logical design adalah implementasi cetak biru yg berdiri sendiri

untuk solusi yg diinginkan


40

4: Physical Design

sepanjang mendisain tahap phisik, tim memilih teknologi yg spesifik

Komponen2 yg dipilihDievaluasi lebih lanjut

keputusan membuat atau membeli

Disain akhir dipilihmengintegrasikan secara optimum

Komponen2 yg diperlukan


41

5: Implementation

Kembangkan perangkat lunak yg tidak dibeli, & ciptakan kemampuan mengintegrasikan

unsur2 kebiasaanDiuji dan didokumentasikan

Para user dilatih& dokumentasi pendukung diciptakan

Ketika semua komponen telah diuji secara individu,

diinstal dan diuji secara menyeluruhPrepared By : Afen Prepared By : Afen PranaPrana

42

6: Maintenance

tugas2 diperlukan untuk mendukung & modifikasi sistem untuk sisa waktu masa penggunaannya

Sistem diuji secara periodeuntuk pemenuhan dgn spesifikasinya

Kelayakan Berkelanjutan versus tidak berkelanjutan dievaluasi

Upgrades, updates, & patches diatur

Bila sistem saat ini Tidak bisa lagi mendukung misi organisasi, diakhiri dan

Proyek pengembangan sistem baru dikerjakan


43

Tinjau ulang ... Tahapan SDLC


44

Siklus hidup pengembangan sistem keamanan(SecSDLC)

Dapat berbeda dlm bbrp pokok, tetapi keseluruhan metodologi serupa dengan

SDLC

Proses SecSDLC melibatkan :

Identifikasi ancaman-ancaman tertentu & resiko2 yg mewakilinya

Akibat desain & implementasiTtg kendali spesifik ancaman dan membantu

Didalam manajemen resikoPrepared By : Afen Prepared By : Afen PranaPrana

45

1. SecSDLC: Investigation

sering mulai ketika petunjuk dari manajemenMenetapkan proses tersebut, hasil, & tujuan

Tentang proyek dan anggaran tsbt

sering mulai denganPernyataan atau ciptaan kebijakan keamanan

tim berkumpul untuk menganalisis masalah,Menetapkan tujuan, & mengidentifikasi batasan

Analisis kelayakan menentukanapakah organisasi mempunyai sumber daya dan

komitmenUntuk melakukan suatu analisis dan disain keamanan yg sukses


46

2. SecSDLC: Analysis

Suatu analisis persiapan tentang program atau keberadaan kebijakan

keamananYg disiapkan bersama dengan

ancaman2 yang dikenal & pengendalian saat ini

meliputi suatu analisis padaisu relevant tentang undang-undang

yg bisa mempengaruhi disain tentang solusi keamanan

Manajemen resiko mulai dalam langkah ini


47

Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi

tingkat resiko yang dihadapi organisasi tersebut

khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi

Untuk lebih baik memahami tahap analisa tentang SecSDLC,

Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi

Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas tertentu menghadirkan

suatu bahaya terus menerus bagi suatu asset


48

Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko(risk management).

Lawrie Brown menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.

Perhatikan Tabel di bawah ini : tabel kontribusi terhadap resiko


50

Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi

tingkat resiko yang dihadapi organisasi tersebut

khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi

Untuk lebih baik memahami tahap analisa tentang SecSDLC,

Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi

Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas

tertentu menghadirkan suatu bahaya terus menerus bagi suatu asset


51

Antara lain

Attack/serangan : tindakan sengaja yang memanfaatkan suatu kelemahan untuk membahayakan dari sistem yg

dikendalikan

threat agent/ancamanMerusak atau mencuri

Suatu informasi organisasi atau asset pisik

Exploit/eksploitasi: teknik atau mekanisme Yg membahayakan yg digunakan suatu sistem

Vulnerability/Kelemahan : kelemahan yg diidentifikasi ttg sistem kendali


53

Beberapa serangan umum

Malicious code

Hoaxes(Memperdayakan)

Back doors

Password crack

Brute force (coba2)

Dictionary

Denial-of-service (DoS)& distributed denial-of-service

(DDoS)

Timing

Spoofing(seolah serangan datang dari tempat lain dgn nomor IP milik orang lain)

Man-in-the-middle(wireless penyadapan,Integrity dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.)

Spam

Mail bombing

Sniffer (penyadap atau pengendus)

Social engineering

Buffer overflowPrepared By : Afen Prepared By : Afen PranaPrana

54

Manajemen resiko

Gunakan metoda beberapa prioritas resiko yang diajukan oleh masing-masing kategori

ancaman& metoda yang berelasi serangan

Untuk mengatur resiko,anda harus mengidentifikasi & menilai

nilai dari asset informasi anda


55

Manajemen resiko mengidentifikasi kelemahan

di dalam suatu sistim informasi organisasi& mengambil secara hati-hati memberi alasan

langkah-langkah untuk meyakinkan kerahasiaan, integritas, dan ketersediaan

dari semua komponen dalam sistem informasi organisasi


56

SecSDLC: Design

Tahap disain terdiri dari dua tahap yg berbeda:

3. Tahap Disain logis : anggota tim menciptakan & mengembangkan

cetakbiru untuk keamanan,menguji & mengimplementasikan pedoman

kebijakan.

4. Tahap Disain Phisik : anggota tim mengevaluasi

teknologi yg diperlukan untuk mendukung cetakbiru keamanan tsbt,

solusi alternatif, & menyetujui disain akhir


57

Model Keamanan

Para manajer Keamanan sering menggunakan model keamanan yang terbukti untuk memandu proses disain

Model Keamanan menyediakan kerangka untuk memastikan bahwa

semua area keamanan dialamatkan

Organisasi dapat menyesuaikan atau mengadopsi suatu kerangka

untuk memenuhi kebutuhan keamanan informasi mereka sendiri


58

Satu unsur disain kritis pd program infosec

yaitu kebijakan infosec

Manajemen harus mendefinisikan 3 jenis kebijakan keamanan:

1. Umum atau kebijakan program keamanan 2. Kebijakan Keamanan Issue-specific 3. Kebijakan Keamanan Systems-specific


59

Bagian lain tentang program Infosec adalah

edukasi keamanan dan program pelatihan

Program SETA terdiri dari 3 unsur:1. security education2. security training3. security awareness

Tujuan SETA yaitu :- Untuk meningkatkan keamanan

- Meningkatkan kesadaran- Mengembangkan skill & pengetahuan

- Membangunan pengetahuan yg mendalam


60

Perhatikan kebaikan pada disainAdalah kendali & usaha yg digunakan untuk

melindungi informasi dari serangan ancaman

Tiga kategori kendali: 1. Managerial 2. Operasional 3. Teknis


61

Kendali managerial

mengalamatkan disain & implementasi proses perencanaan keamanan

& manajemen program keamanan

Manajemen pengendalian juga menujukan kpd:

- Manajemen resiko- Review Keamanan kendali


62

Kendali Operasional

menjangkau fungsi manajemen& perencanaan tingkat bawah, termasuk:

Disaster recovery Incident response planning

Operational controls also address: Personnel security Physical security

Protection of production inputs & outputs


63

Isu taktis & teknis perancangan yang dihubungkan dengan

& menerapkan keamanan di dalam organisasi

Teknologi perlu untuk melindungi informasi

Yg diuji & yang terpilih


64

Perencanaan Kemungkinan

“What if ...?”

Dokumen Kesiap siagaan penting menyediakan perencanaan kemungkinan (CP)

untuk persiapan, reaksi & memulihkan dari keadaan

yg mengancam organisasi tersebut :

Incident response planning (IRP) Disaster recovery planning (DRP)

Business continuity planning (BCP)


65

Physical Security menunjukkan disain, implementasi, & maintenance

Tentang tindakan penanggulangan yg melindungi Sumber daya phisik organisasi

Sumber daya phisik meliputi :

People Hardware

Unsur2 pendukung sistem informasi


66

5. SecSDLC Implementation

Solusi keamanan yaitu Yg diperoleh, diuji, diimplemtasikan, & diuji kembali

Personil dievaluasi& pelatihan spesifik & menyelenggarakan program

pendidikan

Mungkin unsur paling utama tentang tahap implementasi

adalah manajemen rencana proyek :

1. Proyek perencanaan 2. Mengawasi tugas & langkah-langkah tindakan di dalam

merancang 3. Menyelesaikan proyek


67

Tim proyek Infosec terdiri dariBerbagai hal teknis & area tidak teknis, mencakup:

champion Pemimpin tim

Pengembang kebijakan keamanan spesialis penilaian resiko Security professionals Systems administrators

End users


68

Susunan kepegawaian infosec berfungsi

Masing-Masing organisasi perlu menguji pilihannya karena susunan kepegawaian infosec berfungsi

Memutuskan bagaimana cara posisi & menamaifungsi keamanan

Rencana untuk susunan kepegawaian infosec yang sesuai

Memahami dampak infosec

Mengintegrasikan konsep infosec ke dalam organisasi manajemen personalia


69

Para profesional untuk mendukung programInfosec :

Chief Information Officer (CIO) Chief Information Security Officer (CISO)

Security managers Security technicians

Data owners Data custodians/petugas pemelihara data

Data users


70

Banyak Organisasi mencari profesional yg bersertifikasi

sehingga mereka dapat dengan mudah mengidentifikasi

kecakapan pelamar pekerjaan: CISSP SSCP GIAC SCP ICSA

Security + CISM


71

6. SecSDLS Maintenance

Sekali program infosec diimplementasikan,infosec harus dioperasikan, diatur dengan baik

& dijaga up to date yg berarti prosedur nyata telah terbukti

Jika program tidaklah cukup menyesuaikan

Perubahan dalamlingkungan eksternal atau yang internal,

mungkin saja perlu untuk mulai siklus lagi


72

Selagi suatu model manajemen sistem didisain untuk mengatur & sistem beroperasi,

suatu model pemeliharaan dimaksudkan untuk memusatkan

usaha organisasi atas pemeliharaan sistem:

External monitoring Internal monitoring

Perencanaan & penilaian resiko Penilaian kelemahan/Vulnerability assessment &

penyelesaian Kesiap siagaan dan & review


73

Suatu isu direncanakan didalam SecSDLCYaitu model manajemen sistem

Model manajemen ISO berisi lima area:

1. Kesalahan manajemen 2. Konfigurasi & Name Management 3. Akuntansi manajemen 4. Pelaksanaan Manajemen 5. Manajemen Keamanan


74

Model manajemen keamanan

Kesalahan Manajemen melibatkan mengidentifikasikan & menunjukkan kesalahan

Konfigurasi dan perubahan manajemen melibatkan administrasi

yang terlibat program keamanan& perubahan administrasi

Akuntansi Dan Manajemen Auditing melibatkan chargeback akuntansi

& sistem monitoring

Pelaksanaan Manajemen menentukan jika sistem keamanan

secara efektif melakukan pekerjaan merekaPrepared By : Afen Prepared By : Afen PranaPrana

75

Manajemen Program Keamanan

Sekali program infosec berfungsi,maka harus dioperasikan dan diatur

Dalam rangka membantudidalam manajemen program infosec yang sesunguhnya,

suatu standard formal manajemenbeberapa dapat menyediakan pengertian yang mendalam

ke dalam proses & prosedur yg diperlukan

Ini bisa didasarkan padaModel BS7799/ISO17799

atau model NIST yg diuraikan lebih awal


76

SDLC & SecSDLCKeduanya menggunakan 6 tahap yg sama.

1. Investigation2. Analysis3. Logical design4. Physical design5. Implementation6. Maintenance


keamanan sistem informasi

Documents