sosialisasi keamanan informasi_penyelenggaraan telekomunikasi

Telkomsel 2016 – Confidential – All Rights Reserved

Sharing Session

Isyu Keamanan Sistem Informasi

pada Industri Telekomunikasi

Ariyanto A Setyawan

Network Security Management

Network Quality Management Group


Bisnis yg dikelola:

Sektor

kritis

Sub sektor

kritis

Layanan kritis Keterangan Tambahan

ICT

Teknologi

Informasi

Layanan web

Data Center/ Layanan

Cloud

Software as Service

Komunikasi

Komunikasi Voice/

DataX (Voice, SMS, APN Corp.)

Konektifitas Internet X (Flash)

Layanan

keuangan

Perbankan

Penanaman Modal

Asuransi

Transaksi Pembayaran X (Pulsa, TCash)

Pengadilan dan

pemberian hukum

2

PT Telekomunikasi Selular


Sosialisasi Kesadaran Keamanan Informasi

pada Sektor Strategis

Tema: Isu-isu strategis keamanan Informasi pada sektor strategis

Konten Paparan:

– Seberapa penting informasi dan sistem informasi di dalam

pelaksanaan pekerjaan di sektor Anda.

– Bagaimana rantai kegiatan di dalam sektor Anda, dan jelaskan

peranan informasi di tiap rantai kegiatan tersebut.

– Apa yang terjadi bila sistem tersebut gagal tak beroperasi?

Apakah menjadi sama sekali sektor Anda tidak dapat

beroperasi, atau hanya berkurang kinerjanya.

– Apakah ada unit khusus di tempat Anda yang menangani

keamanan ataupun menjamin keberlangsungan pengoperasian

sistem dan teknologi informasi

– Apakah Anda melaksankaan audit keamanan sistem informasi

Anda secara rutin?

– Organisasi manakah yang anda kontak, ketika terjadi

permasalahan dalam sistem informasi atau pada informasi

sehingga mengganggu jalannya lembaga Anda.

3


Jasa Layanan Telekomunikasi Selular

4

Voice Voice On Net

Off Net

Roaming

Data &

Internet

SMS

Data & Internet Internet Access

APN Corporate

M2M

VAS Konten via SMS

via Data/ Internet

via USSD

e-Money (server based)

…


Pentingnya Keamanan Informasi pada Sektor Telekomunikasi

Fakta:

– Telco sudah menjadi kebutuhan pokok masyarakat

– Infra Telco full TIK

– Pertumbuhan smartphone & aplikasi serta trend digital

– Data menjadi “mata uang” baru

– Perang masa depan melibatkan pelumpuhan telco

– Meningkatnya kejahatan memanfaatkan telco sebagai media

5

Tujuan Keamanan Sistem Informasi dan Informasi:

Menjamin keberlangsungan operasional dan bisnis perusahaan

Mengelola keamanan informasi perusahaan


Informasi dalam Telekomunikasi

6

Data Pelanggan Data Operasional Data Transaksi Data Payload

• Customer profile

• Account info

• Billing

• Payment

• Complain

• BTS

• Topology

• Utilization

• Quality

• Inventory

• OSS data

• Logs

• CDR

• Location

• Data usage

• URL logs

• Percakapan

• SMS

• Trafik data

Dampak yg mungkin terjadi jika terjadi insiden terhadap informasi:

Tuntutan hukum dari Pemerintah dan Pelanggan

Sanksi administrasi dari Regulator

Kalah dalam persaingan usaha

Berpotensi menjadi alat bantu kejahatan lainnya


Backbone

Resume Komponen Utama Infrastruktur Selular

7

Core Network

Transport

Radio Access Network

MSC BSCBilling

System

NMS

OSS

Telecommunication Center Data Center

GGSN GW

Support System

CRM

Dampak yg mungkin terjadi jika terjadi insiden terhadap infrastruktur:

Service degradation

Service interrupt

Revenue loss

Fraud

Berpotensi menjadi alat bantu kejahatan

lainnya

BTSBTS


Tantangan ke depan…

8

Perkembangan Isyu

Penyadapan tidak sah • OpenBTS

• Kelemahan standart/ teknologi

• Keamanan negara

Big Data • Privasi

• Pihak yg tidak berhak

• Hak komersialisasi data

Cyber War • Pelumpuhan infrastruktur

• Penyusupan agen asing

• Perang antar Telco

• Peran regulator

SDN & NFV • Perangkat tidak lagi berupa fisik

• Sertifikasi kominfo belum diatur

• Standart security baru (terkait virtualisasi)

Infrastructure Sharing • Kewajiban para pihak

• Standart security baru

Hak & Kewajiban Pelanggan • Tuntutan hukum yg mengada2

• Kepastian identitas Pelanggan

Security Compliance • Belum semua memiliki standart

• Belum semua di kontrol compliance-nya


Tantangan ke depan…

9

Perkembangan Isyu

Security Mobile Device • Awareness terhadap aspek security

• Privacy

• Malware

• Botnet/ Zombie

M2M • Hacking


Organisasi Keamanan Informasi

10

Information Security

Advisory Board

Level K

ebija

kan

Level O

pera

sio

nal

Divisi Network Security

Management

Divisi IT Security

Management

Steering Committee:

VP yg membawahi fungsi risk

management dan security di IT dan

Network (6 VP)

Member:

GM yang membawahi fungsi risk

management dan security di IT dan

Network (10 GM)

• Policy & Compliance

• Infra. Sec. Operation

• User Access Mngmnt.

• Vulnerability Mngmnt.

• Infra. Security Engineering

• Lawful Intercept Service

• Policy & Compliance

• Appl. Security Monitoring

• Infra. Sec. Operation

• User Access Mngmnt.

• Security Monitoring

Tugas:

• Menyusun security policy corporate wide

• Rekomendasi cetak biru security

• Menetapak sasaran mutu

• Monitoring & review implementasi security

• Eskalasi incident handling


Audit Keamanan Informasi

11

ISO 27001:2013Scope:

The Operation of Broadband Services, Recharging

System, E-Wallet System, Service Desk System,

Customer Care, Billing System for Postpaid and Prepaid

By: Bereau Veritas Certication

Merupakan re-sertifikasi sejak tahun 2009

Motode Periode Keterangan

Self Assessment Bulanan Dibantu aplikasi GRC*

Internal Audit Tahunan Dilaporkan ke Dirut dan merupakan salah satu

agenda Komite Audit Komisaris

External Audit Tahunan Untuk sertifikasi


Implementasi Business Continuity Management

12


Eskalasi Eksternal Masalah Keamanan Informasi

Kasus Eskalasi Keterangan

Serangan dari internet • Telkom Group

• IDSIRTII

• B2B

SOC

konten

Tindakan kriminal • Kepolisian

Permintaan data telekomunikasi

diluar Permen Kominfo

• Kominfo Call Center Emergency

Situs penipuan • IDCERT

13


“ Kemenangan itu direncanakan “ - AY

Terima kasih

14

sosialisasi keamanan informasi_penyelenggaraan telekomunikasi

Government & Nonprofit