modul 4 keamanan informasi & penjaminan informasi
TRANSCRIPT
Kementerian Komunikasi dan Informatika bekerja sama dengan
Institut Teknologi BandungInstitut Teknologi Sepuluh November
Universitas Gajah MadaUniversitas Indonesia KEMKOMINFO
SERTIFIKASI KOMPETENSI DASAR - CHIEF INFORMATION OFFICER
“OPTIMALISASI STRATEGI SUMBER DAYA INFORMASI SERA TEKNOLOGI INFORMASI”
Keamanan Informasi & Penjaminan Informasi
KEMKOMINFO
2
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
KEMKOMINFO
3
Apakah informasi itu?
Dari perspektif Keamanan Informasi Informasi diartikan sebagai sebuah
‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi
Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan
KEMKOMINFO
4
Bentuk informasi
Gagasan, pikiran dalam bentuk tulisan, pidato
Hardcopy (asli, salinan, transparan, fax)
Softcopy (tersimpan di media tetap atau portabel)
Pengetahuan perorangan
Ketrampilan teknis
Pengetahuan korporasi
Pertemuan formal dan informal
Percakapan telepon
Telekonferensi video
KEMKOMINFO
5
Penjaminan Informasi
Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan
KEMKOMINFO
6
Keamanan Informasi
Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi
Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol akses dll
Manajemen: strategi, desain, evaluasi, audit
Standar dan sertifikasi
KEMKOMINFO
7
Gambar Besar (Big Picture)
Penjaminan Informasi
Sekuriti Informasi Ketergantungan Informasi
Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas
Keandalan, Ketersediaan, Pencegahan Kegagalan,
Penghindaran dan Toleransi
Kemampuan untuk pulih dari kegagalan dan serangan Y. Qian et al., 2008
KEMKOMINFO
8
Contoh-contoh kasus
2010 – Wikileaks2010 – Virus Stuxnet menyerang PLTN di IranAgs 2008 – Serangan Internet terhadap Situs web GeorgiaApr 2007 – Serangan Cyber terhadap Estonia Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-
Posten)Mei 2005 – Malaysia-Indonesia Apr 2001 – Sino-AS
Stuxnet video
KEMKOMINFO
9
Regulasi
UU RI no. 11 thn 2008 tentang
Informasi dan Transaksi Elektronik
KEMKOMINFO
10
Konsep & Prinsip dasar
CIA dkk
Confidentiality
Integrity
Availability
Non-repudiation
KEMKOMINFO
11
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
KEMKOMINFO
12
Hubungan antara Risiko dan Aset Informasi
Ancaman Vulnerabilityeksploitasi
Resiko
meningkat
Aset
meningkat expose
Manajemen
melindungi
terhadap
mengurangi
Kebutuhansekuriti
NilaiAset
memilikim
eningkat
mengindikasikandipenuhi
oleh
KEMKOMINFO
13
Klasifikasi informasi
Skema Klasifikasi Informasi SederhanaDefinisi Deskripsi
Public (umum) Informasi yang aman dibuka untuk umum (publik)
Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk eksternal
Company confidential (Rahasia perusahaan)
Kriteria klasifikasi• Nilai• Umur• Waktu berlaku (useful life)• Keterkaitan dengan pribadi (personal association)
KEMKOMINFO
14
4R Keamanan Informasi
Right People
(pada orang yg tepat)
Right Time
(pada waktu yg
tepat)
Right Form
(format yg tepat)
Right Informatio
n
(informasi yg tepat)
KEMKOMINFO
15
Jenis-jenis serangan
Hacking Denial of Service (DoS) Kode berbahaya (malicious code) Social engineering
KEMKOMINFO
16
Peningkatan Keamanan
Pengamanan Administratif Strategi, kebijakan, dan pedoman
keamanan informasi Strategi keamanan informasi Kebijakan keamanan informasi Pedoman keamanan informasi Standar keamanan informasi IT Compliance
Proses dan operasi keamanan informasi Program pendidikan dan pelatihan keamanan
informasi Penguatan promosi melalui berbagai kegiatan Pengamanan dukungan
KEMKOMINFO
17
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
KEMKOMINFO
18
Pengamanan dengan Teknologi (I)
Model Defense-in-Depth (DID)
KEMKOMINFO
19
Pengamanan dengan Teknologi (II)
Teknologi Pencegah Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami
One-Time Passwords (OTP)OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan brute-force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Firewall (Dinding api)Firewall mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.
Alat penganalisis kerentananAda 3 jenis alat penganalisis kerentanan: Alat penganalisis kerentanan jaringan Alat penganalisis kerentanan server Alat penganalisis kerentanan web
KEMKOMINFO
20
Pengamanan dengan Teknologi (III)
Teknologi Pendeteksi Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya
IDS (Intrusion Detection System)IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan
IPS (Intrusion Prevention System)IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang
KEMKOMINFO
21
Pengamanan dengan Teknologi (IV)
Teknologi Terintegrasi
ESM (Enterprise Security Management)Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan
ERM (Enterprise Risk Management)Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis
KEMKOMINFO
22
Peran & Tanggung Jawab
Peran Deskripsi
Manajer senior Tanggung jawab paling besar untuk sekuriti
Pejabat Sekuriti Informasi
Tanggung jawab fungsional untuk sekuriti
Pemilik Menentukan klasifikasi informasi
Penyimpan (Custodian)
Memelihara CIA dari informasi
Pengguna/operator Menjalankan kebijakan yang telah ditetapkan
Auditor Memeriksa sekuriti
KEMKOMINFO
23
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
KEMKOMINFO
Metodologi Keamanan Informasi
Model Proses ISO/IEC 27001 (BS7799)ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System).
24
Model PDCA yang diterapkan ke Proses ISMS
Sumber: ISO/IEC JTC 1/SC 27
Memelihara dan memperbaiki ISMS
Memantau dan review
ISMS
Implementasi dan operasi
ISMS
Menetapkan
ISMSPihak-pihakyang terlibat
Pihak-pihak yang terlibat
Kebutuhan dan ekspektasi
sekuritiinformasi
Sekuriti Informasitermanaj
KEMKOMINFO
25
Metodologi Keamanan Informasi
ISO/IEC 27001 (BS7799)
Analisis kesenjanganProses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi
Kajian risikoTerdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan
Penerapan kontrolDiperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
KEMKOMINFO
26
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
KEMKOMINFO
27
Standar Kegiatan Keamanan Informasi
ISO [International Standards Organization]ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif
CISA [Certified Information Systems Auditor]CISA fokus pada kegiatan audit dan pengendalian sistem informasi
CISSP [Certified Information Systems Security Professional]CISSP fokus utamanya pada keamanan teknis
KEMKOMINFO
28
Aspek-aspek Keamanan Informasi
Teknologi
Orang
Operasi
• Pelatihan dan Kepeka-tanggapan• Administrasi sekuriti• Sekuriti pribadi• Sekuriti fisik• Manajemen fisik• Auditing dan pemantauan• Indikasi dan peringatan• Deteksi dan Tanggapan Kejadian• Kontingensi dan pemulihan
KEMKOMINFO
29
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
KEMKOMINFO
Sekuriti IT, Etika dan Masyarakat
Tanggung jawab etika dari profesional bisnis
Mempromosikan penggunaan etika dalam TI
Menerima tanggung jawab etika dari pekerjaan
Peran yang cocok sebagai SDM berkualitas
Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan
Teknologi informasi memiliki dampak baik
dan buruk bagi masyarakat (orang)
Manajemen aktivitas kerja untuk meminimkan dampak buruk
Manajemen aktivitas kerja untuk meminimkan dampak buruk
Berupaya untuk memaksimalkan dampak baik
Berupaya untuk memaksimalkan dampak baik
KEMKOMINFO
31
Etika Teknologi Informasi
Tujuan pembelajaran tanggung jawab etika:
Isu-isu etika terkait penggunaan teknologi informasi dalam bisnis yang mempengaruhi kepegawaian, perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalah-masalah sosial kemasyarakatan.
Kepegawaian Privacy
Kriminal
Situasi Kerja
Perorangan
Kesehatan
Etika Sekuriti TI
dalamBisnis
KEMKOMINFO
Ditinjau dari Teori Pertanggungjawaban Sosial Korporasi (CSR/Corporate Social Responsibility)
Stockholder TheoryTeori Kontrak
SosialStakeholder
Theory
Manajer adalah agen dari stockholders.
Tanggung jawab etika mereka adalah meningkatkan
keuntungan tanpa melanggar hukum atau
menipu.
Perusahaan memiliki
tanggung jawab etika terhadap
seluruh komponen anggota
masyarakat.
Manajer memiliki tanggung jawab
etika untuk memanaj
perusahaan agar menguntungkan
bagi semua pemegang
saham.
KEMKOMINFO
Profesional Bertanggung Jawab
Bertindak dengan integritas
Selalu meningkatkan kompetensi diri
Menetapkan standar yang tinggi untuk kinerja diri
Menerima tanggung jawab atas kerjanya
Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik
KEMKOMINFO
Kejahatan Komputer (Kejahatan TI)
Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan
Rilis yang tidak sah atas informasi
Salinan yang tidak sah atas perangkat lunak
Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri
Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property
KEMKOMINFO
35
Hacking Penggunaan obsesif
atas komputer atau akses tidak sah dan penggunaan tidak sah jaringan
Cyber Theft Meliputi entry (masuk)
jaringan tidak sah dan pengubahan isi basis data
Kejahatan Komputer (II)
Pelaku
KEMKOMINFO
Prinsip Etika Teknologi
Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil.
Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya
Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko.
Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.
KEMKOMINFO
37
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
KEMKOMINFO
38
Konsep Privasi (1)
Apakah “Informasi Pribadi”?
Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.
Nama
Hubungan keluarga
Nomor telepon
Alamat
Alamat e-mail
Nomor lisensi mobil
Nomor kartu kredit
Karakteristik fisik
Informasi Pribadi, definisi sempit
KEMKOMINFO
39
Konsep Privasi (2)
Apakah “Informasi Pribadi”?
Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit
Detail panggilan telepon
Karir
Pendapat
Detail transaksi
Latar belakang akademik
Evaluasi
Catatan kriminal
KEMKOMINFO
40
Konsep Privasi (3)
Informasi Pribadi dan Privasi
Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya.
Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.
KEMKOMINFO
Opt-in Versus Opt-out
Opt-In (Opsi Masuk)Opt-In (Opsi Masuk)
Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh dikompilasi
Default di Europe
Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh dikompilasi
Default di Europe
Opt-Out (Opsi Keluar)
Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan
Default di AS.
Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan
Default di AS.
KEMKOMINFO
Isu-isu Tambahan Privacy
Pelanggaran Privacy Mengakses email pribadi, percakapan pribadi dan rekaman komputer
pribadi
Mengumpulkan dan berbagi informasi tentang seseorang dari kunjungannya ke situs-situs Internet
Pemantauan Komputer Selalu tahu di mana seseorang berada Layanan seluler cenderung dekat dengan asosiasi di mana seseorang
berada Computer Matching
Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis
Akses Tidak Sah atas File-file Pribadi
Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang
KEMKOMINFO
Melindungi Privacy di Internet
Menyandi surel
Mengirim posting surel lewat remailer anonim
Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan pengguna jasa broadcast lainnya. (Meminta operator seluler?)
Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web
KEMKOMINFO
Kebebasan Komputer dan Sensor
Sisi berlawanan dari debat privacy Kebebasan informasi, kebebasan berbicara dan kebebasan
pers
Tempat-tempat Bulletin boards (kaskus, kompasiana, surel pembaca) Email boxes Online files of Internet and public networks
“Persenjataan dalam Pertempuran” Spamming
Pengiriman e-mail ke banyak pengguna unsolicited
Flame mail Sending extremely critical, derogatory, and often vulgar email
messages or newsgroup postings to other Internet users or online services
Especially prevalent on special-interest newsgroups
KEMKOMINFO
Cyberlaw
Irisan antara teknologi dan hukum merupakan bahan perdebatan Perlukah regulasi Internet?
Kriptografi menyulitkan bila regulasinya tradisional
Komunitas Internet menganggap sensor merupakan penghambat dan beberapa pihak malah melakukan by-pass
UU ITE
Hukum diniatkan untuk mengatur aktivitasber-Internet via perangkat komunikasi
Mencakup sejumlah isuhukum dan politik
Meliputi properti intelektual, privacy,kebebasan berekspresi dan jurisdiksi
KEMKOMINFO
46
Ringkasan
Informasi adalah salah satu aset yg sangat berharga bagi suatu organisasi. Ancaman terhadap keamanan informasi datang berupa pembeberan yang tidak sah, korupsi atau halangan terhadap layanan.
Tujuan dari keamanan adalah untuk melindungi aset yang sangat berharga, khususnya berkaitan dengan kerahasiaan, integritas dan ketersediaan dari informasi dan aset yang mengolah, menyimpan dan mengirim informasi tersebut.
Regulasi, kebijakan dan petunjuk tentang keamanan didasarkan pada konsep dan prinsip kemanan.
Pemahaman terhadap konsep dan prinsip tersebut memungkinkan seorang staf IA mengambil keputusan yang benar dan efektif.
KEMKOMINFO
47
Informasi lebih lanjut
www.cert.or.id - Indonesia Computer Emergency Response Team
www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi
KEMKOMINFO
48
Diskusi
Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda.
Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda.
Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa?
Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda?
Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?
KEMKOMINFO
Akhir dari Modul 4Terima kasih
KEMKOMINFO
Ethical Guidelines of the AITP
KEMKOMINFO
Privacy Issues
The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy
Personal information is collected with every visit to a Web site
Confidential information stored by credit bureaus, credit card companies, and the government has been stolen or misused