11

Mata Kuliah : Keamanan Sistem Informasi

02Perencanaan dan Managemen Keamanan

SistemSTMIK-Mikroskil

Prepared By : Afen Prana

22

Ketika menyelesaikan bab ini,Anda bisa:

Mengenali pentingnya teknologi informasi & memahami siapa yang bertanggung jawab untuk melindungi suatu

aset organization’s informasi

Mengetahui & memahami definisi & karakteristik kunci keamanan informasi

Mengetahui & memahami definisi & karakteristik kunci kepemimpinan & manajemen

Mengenali karakteristik yang membedakan manajemen keamanan informasi dari manajemen umum

33

Pada kenyataannya, tetapi sering tidakdisebutkan, berbagai hal:

Teknologi informasi adalah hal yang kritisuntuk bisnis dan masyarakat

...& selalu begitu( apa yang terjadi jika IT tidak tersedia?)

Keamanan Komputer mengembangkan ke dalam keamanan informasi

Keamanan Informasi adalah tanggung jawab dari tiap anggota dari suatu organisasi, tetapi

para manajer memainkan suatu peran yggenting

44

Review definisi dari security :Review definisi dari security :-- Menurut Menurut Harold F. TiptonHarold F. Tipton ??-- Menurut Menurut Wikipedia “Security” yaitu :

“Security is being free from danger”- Wikipedia “Security (computers)” yaitu :“usaha untuk menciptakan suatu platform secure,

didisain sedemikian sehingga agent (user atau program) hanya dapat melaksanakan tindakan yang telah diijinkan.”

- Menurut Whitman dan mattord : “kualiti atau status menjadi secure – menjadi bebas dari bahaya”“The quality or state of being secure - to be free from danger”

Keamanan dicapai menggunakan beberapa strategi yg dilakukan secara serentak.

55

Area Spesialisasi keamanan :

- Physical security- Personal security- Operations security- Communications security- Network security- Information security (InfoSec)- Computer security

Informaton Security meliputi :- Physical security- Personal security- Operations security- Communications security- Network security - Information security (InfoSec)- Computer security

66

Keamanan Informasi melibatkan 3 komunitas :

1. Keamanan InformasiPara manajer & Para profesional

2. Teknologi informasiPara manajer & Para profesional

3. Bisnis non-teknisPara manajer & Para profesional

77

Minat komunitas/Masyarakat :

InfoSec community :melindungi asset informasi dari ancaman

IT community:mendukung objektifitas bisnis dengan

penyediaan teknologi informasi yg sesuai

Business community :mengartikulasikan & kebijakan komunikasi

& mengalokasikan sumber daya

88

Infosec meliputi :manajemen keamanan informasi, keamanan

komputer, keamanan data,& keamanan jaringan.

Kebijakan adalah pusat bagi semua usaha infosec.

99

Komponen dari InfoSec

1010

Segi tiga C.I.A terdiri dari:

Kerahasiaan/Confidentiality

Integritas/Integrity

Ketersediaan/Availability

( Dari waktu ke waktu daftar karakteristik telah diperluas )C.I.A = standar industri untuk keamanan komputer yg

didasari dari karakteristik informasi.

1111

CIA +

Kerahasiaan/Confidentiality

Integritas/Integrity

Ketersediaan/Availability

Privasi/Privacy

Identifikasi/Identification

otentifikasi/Authentication

Otorisasi/Authorization

Akuntanbilitas/Accountability

1212

Kerahasiaan informasi : -- memastikan bahwa hanya mereka yang mempunyai perlakuan khusus cukup boleh mengakses informasi tertentu.-- Keterjaminan bahwa informasi yang berada pada sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi

Untuk melindungi kerahasiaan informasi, sejumlah ukuran mungkindigunakan, mencakup:

- Penggolongan Informasi-- storage dokumen secure

-- Aplikasi dari kebijakan keamanan umum-Edukasi dari petugas informasi & pemakai akhir

-- kriptograpi

1313

Integritas adalah :-- mutu atau status menjadi utuh, lengkap, & tidak dirusak.-- Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi pihak-pihak yang diotorisasi.- Integritas Data (integrity Data) , yaitu akurasi dari data yang penyesuaiannya terhadap pengertian yang diharapkan, khususnya setelah data dipindahkan atau diproses. Dalam sistem database, pemeliharaan integritas data dapat termasuk pengesahan isi field individu, pemeriksaan nilai field satu terhadap yang lain, pengesahan data dalam satu file atau tabel yang dibandingkan terhadap file atau tabel lain, dan pemeriksaan bahwa sebuah database berhasil dan secara teliti diperbarui untuk setiap transaksi.

Integritas informasi terancam ketika diarahkanke korupsi, kerusakan, pembinasaan,

atau lain gangguan tentang status asli nya .

Korupsi dapat terjadiselagi informasi sedang

yang di-compile, disimpan, atau ditransmisikan.

1414

Ketersediaan adalah : - membuat informasi dapat diakses kepada akses usertanpa gangguan campur tangan atau penghalang dalam format yang diperlukan.- Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.

Seorang pemakai dalam definisi ini mungkin juga seseorangatau sistem komputer lain.

Ketersediaan berartiketersediaan untuk memberi otorisasi para pemakai.

1515

PRIVASI

Informasi digunakanhanya

untuk tujuan mengenal pemilik data.

Ini tidak difokuskan pada kebebasan dari pengamatan,

tetapi lebih dari ituinformasi itu akan digunakan

dalam cara-cara yang dikenal kepada pemilik.

1616

Sistim informasi menguasaikarakteristik identifikasi

ketika identifikasi tersebut dapatuntuk mengenali para pemakai individu

Identifikasi Dan otentifikasipenting untuk menetapkantingkat akses atau otorisasi

1717

Otentifikasi terjadiketika suatu kendali menyediakan bukti

bahwa seorang pemakai menguasaiidentitasnya atau dia mengakui.

1818

Setelah identitas seorang pemakaidibuktikan keasliannya,

suatu proses disebut otorisasimenyediakan jaminan bahwa pemakai

(apakah seseorang atau suatu komputer)telah dibuat secara rinci & dengan tegas diberi

hak dengan otoritas yang sesuaiuntuk mengakses, update, atau menghapus

muatan dari suatu asset informasi.

1919

Akuntanbilitas Karakteristik ada

ketika suatu kendalimenyediakan jaminan

bahwa tiap-tiap aktivitas dikerjakandapat ditujukan

untuk menamai orang atau mengotomatiskan proses.

2020

To review ... CIA +

Confidentiality

Integrity

Availability

Privacy

Identification

Authentication

Authorization

Accountability

2121

2222

Pikirkan ttg komputer rumah Anda!

Bagaimana anda menjamin secure?

Bagaimana anda menjaminkerahasiaan, integritas,& ketersediaan?

2323

Model Keamanan NSTISSC

2424

Dua pendekatan terkenal pada manajemen:

Traditional management theorymenggunakan prinsip perencanaan/planning,

pengaturan/organizing, susunan kepegawaian/staffing, pengarahan/directing, &

pengendalian/controlling (POSDC).

Popular management theorymenggunakan prinsip manajemen ke dalam

perencanaan/planning, pengaturan/organizing, leading, & pengendalian/controlling (POLC).

2525

2626

Perencanaan adalah proses yangberkembang, menciptakan, & implementasi

strategiuntuk pemenuhan pada sasaran hasil.

Tiga tingkatan perencanaan:

1. strategic2. tactical

3. operational

2727

Secara umum,perencanaan mulai

dengan perencanaan strategisuntuk keseluruhan organisasi.

Untuk melakukan ini dengan sukses,suatu organisasi harus secara menyeluruh

mendefinisikantujuannya & sasaran hasil.

2828

Organisasi :struktur sumber daya

untuk mendukungpemenuhan sasaran hasil.

Tugas mengorganisasikan memerlukan :

Apa yang akan dilaksanakanapa yang di pesan

Oleh siapaMetoda yang bagaimana

Kapan

2929

Kepemimpinan mendorongimplementasi

tentang perencanaan dan mengorganisir fungsi,

termasuk pengawasanperilaku karyawan, hasil, kehadiran, & sikap.

Kepemimpinan biasanya menunjukarah dan motivasi

tentang sumber daya manusia.

3030

Kendali adalah monitoring kemajuanke arah penyelesaian

& membuat penyesuaian untuk mencapai sasaran hasil yang diinginkan.

Fungsi Pengendalian menentukanapa yang harus dimonitor jugapenggunaan tool kendali spesifik

untuk mengumpulkan dan mengevaluasi informasi.

3131

Empat kategori alat kendali :

Informasi/Information

Finansial/Financial

Operasional/Operational

Tingkah laku/Behavioral

3232

Kendali Proses

3333

Bagaimana cara Memecahkan Permasalahan

Langkah 1:Mengenali & mendefinisikan masalah tersebut

Langkah 2:kumpulkan fakta dan buat asumsi

Langkah 3: Kembangkan kemungkinan pemecahan

Langkah 4:Analisa & bandingkan kemungkinan solusi

Langkah 5:Pilih, terapkan,& evaluasi suatu solusi

3434

Analisis Kelayakan

Kelayakan ekonomi menilaibiaya-biaya & keuntungan-keuntungan suatu solusi

Kelayakan teknologi menilaisuatu kemampuan organisasi

untuk memperoleh & mengatur suatu solusi

Kelayakan tingkah laku menilaiapakah anggota dari suatu organisasi

akan mendukung suatu solusi

Kelayakan operasional menilaijika suatu organisasi dapat mengintegrasikan suatu

solusi

3535

Karakteristik yang diperluasatau prinsip

tentang infosec manajemen ( AKA, 6 P)

Perencanaan/planning

Kebijakan/policy

Program-program/programs

Proteksi/protection

Orang/people

Manajemen Proyek/project management

3636

1. Perencanaansebagai bagian dari manajemen Infosec

yaitu suatu perluasantentang model dasar perencanaan

Tercakup di Infosec Model Perencanaanyaitu aktivitas yg diperlukan untuk mendukung

disain, ciptaan, dan implementasitentang strategi keamanan informasi

ketika mereka adadi dalam lingkungan perencanaan IT.

3737

Beberapa tipe InfoSec rencana ada :

Tanggap peristiwa/Incident response

Kesinambungan usaha/Business continuity

Pemulihan bencana/Disaster recovery

Kebijakan/Policy

Personil/Personnel

Pemaparan teknologi/Technology rollout

Management resiko/Risk management

Program keamanan, termasuk pendidikan, pelatihan dan kesadaran/Security program,

including education, training, & awareness

3838

2. Kebijakan:

satuan petunjuk organisatorisdari perilaku tertentudi dalam organisasi.

Di dalam Infosec, ada3 kategori kebijakan umum:

1. Kebijakan Program umum( Kebijakan Keamanan Perusahaan)

2. Kebijakan keamanan issue-specific ( ISSP = issue-specific security policy )

3. Kebijakan System-specific ( SSSPS = System-specific policies )

3939

3. Program-program:

kesatuan spesifik mengaturdi dalam daerah keamanan informasi.

Satu kesatuan:Program pelatihan pendidikan keamanan & kesadaran

( SETA = security education training & awareness)

program2 lain yang muncul meliputiprogram keamanan phisik,

lengkap dengan api, akses phisik,gerbang, pengawal

4040

4. Proteksi:

Aktivitas Manajemen resiko,mencakup penilaian resiko dan kendali,

seperti halnya mekanisme proteksi, teknologi, & tools.

Masing-Masing mekanisme inimenghadirkan beberapa aspek

tentang manajemen ttg kendali spesifikdidalam keseluruhan rencana keamanan informasi.

4141

5. Orang :Adalah mata rantai yang paling kritisdidalam program keamanan informasi.

sangat mendesak untukpara manajer yang secara terus-menerus mengenali

tugas yang rumit dari permainan orang.

meliputi personil keamanan informasi dan keamanan personil, seperti halnya aspek program SETA.

4242

6. Manajemen ProyekDisiplin yg

harus disajikan keseluruhannyasemua unsur-unsur

tentang program keamanan informasi.

Ini melibatkan:

Identifikasi dan Pengendaliansumber daya berlaku untuk proyek

Ukur kemajuan& menyesuaikan proses

sebagai kemajuan dibuat ke arah tujuan

4343

Thank you!

4444

FFile Dapat didownload pada alamat :ile Dapat didownload pada alamat :

http://afenprana.wordpress.comhttp://afenprana.wordpress.com