keamanan sistem informasi

57
Keamanan Sistem Informasi

Upload: emmet

Post on 18-Mar-2016

292 views

Category:

Documents


10 download

DESCRIPTION

Keamanan Sistem Informasi. Tinjauan Sekilas. Sistim keamanan informasi adalah subsistem organisasi yang mengendalikan resiko-resiko khusus yang berhubungan dengan sistim informasi berbasis-komputer - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Keamanan Sistem Informasi

Keamanan Sistem Informasi

Page 2: Keamanan Sistem Informasi

Tinjauan Sekilas• Sistim keamanan informasi adalah subsistem organisasi

yang mengendalikan resiko-resiko khusus yang berhubungan dengan sistim informasi berbasis-komputer

• Sistim keamanan komputer mempunyai unsur-unsur dasar setiap sistem informasi, seperti perangkat keras, database, prosedur-prosedur, dan laporan-laporan.

Page 3: Keamanan Sistem Informasi

Hasil Sasaran Belajar1Mampu menguraikan pendekatan umum untuk

menganalisis kerawanan dan ancaman-ancaman di dalam sistim informasi.

2Mampu mengidentifikasi ancaman-ancaman pasif dan aktif sistim informasi .

Page 4: Keamanan Sistem Informasi

Hasil Sasaran Belajar3Mampu mengidentifikasi aspek kunci sistim keamanan

informasi .4Mampu membahas kontingensi perencanaan dan praktek

pengelolaan risiko bencana lainnya.

Page 5: Keamanan Sistem Informasi

Sasaran Belajar 1

Mampu menguraikan pendekatan umum untuk menganalisis kerawanan dan ancaman-ancaman di

dalam sistim informasi

Page 6: Keamanan Sistem Informasi

Daur hidup Sistim Sekuritas Informasi

• Sistem keamanan komputer dikembangkan dengan menerapkan metoda-metoda yang telah mapan yang terdiri dari : analisis sistem; desain; implementasi; dan operasi, evaluasi, serta kendali.

Page 7: Keamanan Sistem Informasi

Siklus Hidup Sistem Keamanan Informasi

Fase Siklus Hidup SasaranAnalisis Sistem Analisis kerentanan sistem

informasi terutama yang berhubungan dengan hambatandan kerugian yang mungkin timbul.

Perancangan Sistem Perancangan pengukurankeamanan dan rencana kontigensi untuk mengatasi kerugian.

Page 8: Keamanan Sistem Informasi

Siklus Hidup Sistem Keamanan Informasi

Fase Siklus Hidup Sasaran

Implementasi Sistem Implementasi ukuran keamanan seperti rancangan

Operasi, evaluasi, Operasi sistem dandan pengendalian penilaian efektifitas dansistem efisiensinya.

Perubahan sesuai dengan kondisi yang dibutuhkan.

Page 9: Keamanan Sistem Informasi

Sistim Keamanan Informasi di dalam Organisasi • Sistim keamanan informasi harus diatur oleh seorang

kepala petugas keamanan (Chief Security Officer).• Untuk menjaga independensinya, CSO harus

bertanggungjawab secara langsung kepada dewan direktur.

• Laporan-laporan CSO harus meliputi semua tahap siklus daur hidup.

Page 10: Keamanan Sistem Informasi

Analisa Kerentanan dan Ancaman• Ada dua pendekatan dasar yang dipakai untuk meneliti

kerentanan dan ancaman-ancaman sistem informasi: 1. Pendekatan kwantitatif untuk penaksiran risiko 2. Pendekatan kwalitatif

Page 11: Keamanan Sistem Informasi

Analisa Kerentanan dan Ancaman• Di dalam pendekatan kwantitatif untuk penaksiran risiko,

setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya.

• Terdapat beberapa kesulitan di dalam menerapkan pendekatan kwantitatif untuk menaksir kerugian.

Page 12: Keamanan Sistem Informasi

Analisa Kerentanan dan Ancaman1. Kesulitan mengidentifikasi biaya relevan per kerugian

dan kemungkinan-kemungkinan yang terkait.2. Kesulitan menaksir kemungkinan dari suatu kegagalan

yang memerlukan peramalan masa depan.

Page 13: Keamanan Sistem Informasi

Analisa Kerentanan dan Ancaman• Pendekatan kwalitatif untuk penaksiran risiko dilakukan

dengan mengurutkan kerentanan dan ancaman sistim, dan menyusun secara subyektif menurut sumbangan mereka terhadap kemungkinan total kerugian perusahaan.

• Terlepas metoda yang digunakan, setiap analisa harus mencakup kemungkinan kerugian untuk masalah berikut ini:

Page 14: Keamanan Sistem Informasi

Analisa Kerentanan dan Ancaman1. gangguan bisnis 2. kehilangan perangkat lunak 3. kehilangan data 4. kehilangan perangkat keras 5. kehilangan fasilitas-fasilitas 6. kehilangan layanan dan pegawai.

Page 15: Keamanan Sistem Informasi

Sasaran Belajar 2

Identifikasi ancaman-ancaman pasif dan aktif

sistim informasi .

Page 16: Keamanan Sistem Informasi

Kerentanan dan Ancaman• Apa yang dimaksud dengan kerentanan? • Kerentanan adalah suatu kelemahan di suatu sistem.

• Apa yang dimaksud dengan ancaman? • Ancaman adalah suatu eksploitasi potensial kerentanan

sistem.

Page 17: Keamanan Sistem Informasi

Kerentanan dan Ancaman• Dua kategori ancaman sistem:1. Ancaman-ancaman aktif 2. Ancaman-ancaman pasif

Page 18: Keamanan Sistem Informasi

Kerentanan dan Ancaman• Contoh ancaman aktif adalah penipuan komputer dan

sabotase komputer. • Contoh ancaman pasif adalah sistim bermasalah, seperti

karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen.

Page 19: Keamanan Sistem Informasi

Individu yang Menimbulkan Ancaman Sistem Informasi

• Suatu serangan yang sukses di satu sistem informasi memerlukan akses ke perangkat keras, file data sensitip, atau program kritis.

• Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:

1. Karyawan sistim informasi 2. Para pemakai 3. Pengganggu

Page 20: Keamanan Sistem Informasi

Individu yang Menimbulkan Ancaman Sistem Informasi• Karyawan sistim informasi meliputi:

1. Karyawan pemeliharaan komputer 2. Programmer 3. Operator komputer dan jaringan 4. Karyawan administrasi sistim informasi 5. Karyawan pengendalian data

Page 21: Keamanan Sistem Informasi

Individu yang Menimbulkan Ancaman Sistem Informasi• Para pemakai terdiri dari kelompok orang yang beragam

dan satu sama lain dapat dibedakan berdasarkan kegiatan fungsional mereka tanpa memandang pengolahan data.

Page 22: Keamanan Sistem Informasi

Individu yang Menimbulkan Ancaman Sistem Informasi• Pengganggu adalah setiap orang yang mengakses

peralatan, data elektronik, atau memfile tanpa otorisasi yang tepat.

• Siapakah hacker?• Hacker adalah seorang pengganggu yang menyerang suatu sistim untuk iseng dan tantangan.

Page 23: Keamanan Sistem Informasi

Individu yang Menimbulkan Ancaman Sistem Informasi

• Jenis-jenis lain dari pengganggu-pengganggu? • unnoticed intruders• wiretappers • piggybackers • impersonating intruders• eavesdroppers

Page 24: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi

• Metoda-metoda yang biasa dipakai untuk melakukan penipuan sistim informasi : • manipulasi masukan • gangguan program • gangguan file secara langsung • pencurian data• sabotase • penggelapan atau pencurian sumber daya informasi

Page 25: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi• Dalam banyak kasus penipuan komputer, manipulasi

masukan adalah metoda yang paling banyak digunakan. • Metoda ini memerlukan paling sedikit kecakapan teknis .

Page 26: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi• Gangguan program barangkali metoda yang paling sedikit

digunakan untuk melakukan penipuan komputer. • Metoda ini memerlukan ketrampilan-ketrampilan

programming yang hanya dikuasai hanya oleh beberapa orang.

• Apa yang dimaksud trapdoor?

Page 27: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi

• Trapdoor adalah suatu bagian program komputer yang mengizinkan (membiarkan) seseorang untuk mengakses program dengan melewati pengamanan normal program tersebut.

• Gangguan file secara langsung terjadi ketika seseorang menemukan jalan untuk membypass proses normal untuk pemasukan data ke program komputer.

Page 28: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi• Pencurian data adalah masalah yang serius di dalam

bisnis sekarang ini. • Di dalam industri yang sangat kompetitif, informasi

kwalitatif dan kwantitatif tentang pesaing nya terus menerus dicari.

• Sabotase komputer adalah suatu bahaya yang sangat serius bagi semua sistem informasi.

Page 29: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi• Karyawan yang tidak puas, bisa menjadi para pelaku

sabotase sistem komputer. • Beberapa metoda dari sabotase:

• Logic bomb• Trojan horse• virus program virus

Page 30: Keamanan Sistem Informasi

Ancaman-ancaman Aktif Sistim Informasi• Apa yang dimaksud Worm? • Worm adalah suatu jenis dari virus komputer yang menyebar dengan sendirinya di atas suatu jaringan komputer.

• Salah satu jenis penggelapan sumber daya komputer adalah ketika penggunaan sumber daya komputer-komputer perusahaan digunakan karyawan untuk urusan bisnis mereka sendiri.

Page 31: Keamanan Sistem Informasi

Sasaran Belajar 3

Identifikasi aspek kunci dari suatu sistim keamanan informasi.

Page 32: Keamanan Sistem Informasi

Sistim Keamanan Informasi • Pengendalian ancaman-ancaman dapat tercapai dengan

menerapkan pengukuran keamanan dan rencana darurat.

• Pengukuran keamanan berfokus pada pencegahan dan pendeteksian ancaman-ancaman.

• Rencana kontingensi berfokus pada perbaikan dampak dari ancaman-ancaman.

Page 33: Keamanan Sistem Informasi

Lingkungan Kendali

• Lingkungan Pengendalian adalah dasar efektivitas keseluruhan sistem pengendalian.

• Lingkungan pengendalian bergantung pada faktor-faktor berikut:

1Filosofi dan Gaya Operasi Manajemen• Pertama dan aktivitas yang paling penting di dalam keamanan

sistem adalah menciptakan moril yang tinggi.

Page 34: Keamanan Sistem Informasi

Lingkungan Pengendalian

• Semua karyawan perlu menerima pendidikan di mengenai masalah keamanan.

• Aturan keamanan harus dimonitor.2Struktur Organisasi

• Dalam banyak organisasi, akuntansi, komputasi, dan pengolahan semuanya diorganisir di bawah chief information officer (CIO).

Page 35: Keamanan Sistem Informasi

Lingkungan Pengendalian• Di dalam lini organisasi harus ditentukan siapa yang bertanggung

jawab atas pembuatan keputusan yang secara langsung bersinggungan kepada perangkat lunak akuntansi dan prosedur akuntansi.

3Dewan Komisaris dan Komite-komitenya• Dewan Komisaris harus menugaskan suatu komite audit .

Page 36: Keamanan Sistem Informasi

Lingkungan Pengendalian• Komite ini harus menugaskan atau menyetujui janji temu dari suatu

pemeriksa intern.4Metoda-metoda Penugasan Otoritas dan Tanggung jawab

• Tanggung-jawab semua posisi harus didokumentasikan secara hati-hati dengan menggunakan bagan struktur organisasi, manual-manual kebijakan, dan diskripsi tugas .

Page 37: Keamanan Sistem Informasi

Lingkungan Pengendalian5Aktivitas Pengendalian Manajemen

• Pengendalian harus dibentuk terutama yang bersinggungan kepada penggunaan dan tanggung-jawab semua sumber daya yang berkenaan dengan komputer dan sistem informasi.

• Harus ditetapkan anggaran-anggaran:• pengadaan peralatan dan perangkat lunak,

Page 38: Keamanan Sistem Informasi

Lingkungan Pengendalian• biaya operasi, dan • pemakaian.

• Di dalam ketiga kategori tersebut, biaya yang sebenarnya harus dibandingkan dengan jumlah yang dianggarkan.

• Perbedaan yang signifikan harus diselidiki .

Page 39: Keamanan Sistem Informasi

Lingkungan Pengendalian6Fungsi Internal Audit

• Sistim keamanan komputer harus terus menerus teraudit dan dimodifikasi untuk memenuhi kebutuhan perubahan.

• Semua modifikasi sistim itu harus diterapkan sesuai kebijakan-kebijakan keamanan yang telah ditentukan.

Page 40: Keamanan Sistem Informasi

Lingkungan Pengendalian7Kebijakan dan Praktek-praktek Kepegawaian

• Pemisahan tugas, pengawasan yang cukup, rotasi pekerjaan, liburan-liburan yang dipaksakan, dan cek sekali lagi semuanya.

Page 41: Keamanan Sistem Informasi

Lingkungan PengendalianPengaruh dari Luar• Sistem informasi perusahaan harus sesuai dan memenuhi

semua hukum dan peraturan-peraturan pemerintah dan negara.

Page 42: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif• Cara utama untuk mencegah penggelapan dan

sabotase adalah menerapkan jenjang memadai pada pengendalian akses.

• Tiga jenjang pengendalian akses: 1. Site-access controls2. System-access controls3. File-access controls

Page 43: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif1Site-Access Controls• Tujuan pengendalian akses fisik adalah untuk

memisahkan secara fisik, individu yang tidak memiliki otorisasi dari sumberdaya komputer yang ada.

• Pemisahan fisik ini harus diterapkan pada perangkat keras, area masukan, keluaran dan librari data, dan kabel kabel komunikasi

Page 44: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif• Seluruh pemakai diharuskan menggunakan kartu identitas

keamanan.• Tempat pengolahan data harus berada dalam gedung

tertutup yang dikelilingi pagar.• Suatu sistim masukan sangat tegas harus digunakan.

Page 45: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif

TV Monitor

Telephone

Locked Door(entrance)

Locked Door(opened frominside vault)

Intercomto vault

LOBBY

Locked Door

ServiceWindow

DataArchives

INNER VAULT

ScannerMagnetDetector

Page 46: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif2System-Access Controls

• Pengendalian akses sistem adalah pengendalian yang berbentuk perangkat lunak, yang dirancang untuk mencegah pemanfaatan sistem oleh orang yang tidak berhak.

• Pengendali ini membuktikan keaslian pemakai dengan ID pemakai, kata sandi, alamat protokol internet, dan alat-alat perangkat keras.

Page 47: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Aktif3File-Access Controls• Pengendalian akses file mencegah akses yang tidak sah

ke file data dan file-file program. • Pengendalian akses file paling pokok adalah penetapan

petunjuk otorisasi dan prosedur-prosedur untuk mengakses dan mengubah file-file.

Page 48: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Pasif• Ancaman-ancaman pasif termasuk permasalahan

kegagalan tenaga dan perangkat keras. • Pengendalian untuk ancaman pasif dapat bersifat

preventif atau korektif. • Pengendalian Preventive

• Sistem Toleransi Kesalahan menggunakan pemonitoran dan pencadangan.

Page 49: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Pasif

• Jika salah satu bagian sistem gagal, bagian cadangan akan segera mengambil alih dan sistem akan melanjutkan operasi dengan sedikit atau tanpa interupsi.

2Corrective Controls• File backup digunakan untuk memperbaiki kesalahan.

Page 50: Keamanan Sistem Informasi

Pengendalian Ancaman-ancaman Pasif• Tiga tipe backup:1Full backups2 Incremental backups3Differential backups

Page 51: Keamanan Sistem Informasi

Sasaran Belajar 4

Diskusikan perencanaan kontingensi dan praktek

manajemen resiko bencana lain.

Page 52: Keamanan Sistem Informasi

Manajemen Resiko Bencana• Manajemen resiko bencana sangat penting untuk

memastikan kesinambungan operasi dalam hal terjadi suatu bencana.

• Manajemen resiko bencana berhubungan dengan pencegahan dan perencanaan kontingensi.

• Pencegahan bencana merupakan langkah awal dalam managemen resiko bencana.

Page 53: Keamanan Sistem Informasi

Manajemen Resiko Bencana• Hasil penelitian menunjukkan frekwensi bencana dari

berbagai sebab:• Bencana alam 30% • Tindakan yang disengaja 45% • Kesalahan manusia 25%

• Data ini menunjukkan bahwa prosentase besar dari bencana-bencana itu dapat dikurangi atau dihindarkan.

Page 54: Keamanan Sistem Informasi

Manajemen Resiko Bencana• Rencana pemulihan bencana harus diterapkan di

tingkatan yang paling tinggi di perusahaan.• Langkah pertama untuk mengembangkan rencana

pemulihan bencana harus memperoleh dukungan dari manager senior dan menyiapkan suatu komite perencanaan.

Page 55: Keamanan Sistem Informasi

Manajemen Resiko Bencana• Perancangan rencana pemulihan bencana meliputi

tiga komponen utama: 1. Menilai kebutuhan-kebutuhan penting perusahaan. 2. Membuat daftar prioritas daftar pemulihan. 3. Menetetapkan strategi dan prosedur pemulihan.

Page 56: Keamanan Sistem Informasi

Manajemen Resiko Bencana• Rancangan strategi pemulihan perlu mempertimbangkan

hal-hal:• pusat respons darurat • prosedur-prosedur ekskalasi dan perubahan pelaksanaan

pemrosesan • rencana relokasi dan penggantian pegawai • rencana penyediaan cadangan, dan rencana pengujian dan

pemeliharaan sistim.

Page 57: Keamanan Sistem Informasi

Terima Kasih