sosialisasi keamanan informasi_penyelenggaraan telekomunikasi
TRANSCRIPT
Telkomsel 2016 – Confidential – All Rights Reserved
Sharing Session
Isyu Keamanan Sistem Informasi
pada Industri Telekomunikasi
Ariyanto A Setyawan
Network Security Management
Network Quality Management Group
Telkomsel 2016 – Confidential – All Rights Reserved
Bisnis yg dikelola:
Sektor
kritis
Sub sektor
kritis
Layanan kritis Keterangan Tambahan
ICT
Teknologi
Informasi
Layanan web
Data Center/ Layanan
Cloud
Software as Service
Komunikasi
Komunikasi Voice/
DataX (Voice, SMS, APN Corp.)
Konektifitas Internet X (Flash)
Layanan
keuangan
Perbankan
Penanaman Modal
Asuransi
Transaksi Pembayaran X (Pulsa, TCash)
Pengadilan dan
pemberian hukum
2
PT Telekomunikasi Selular
Telkomsel 2016 – Confidential – All Rights Reserved
Sosialisasi Kesadaran Keamanan Informasi
pada Sektor Strategis
Tema: Isu-isu strategis keamanan Informasi pada sektor strategis
Konten Paparan:
– Seberapa penting informasi dan sistem informasi di dalam
pelaksanaan pekerjaan di sektor Anda.
– Bagaimana rantai kegiatan di dalam sektor Anda, dan jelaskan
peranan informasi di tiap rantai kegiatan tersebut.
– Apa yang terjadi bila sistem tersebut gagal tak beroperasi?
Apakah menjadi sama sekali sektor Anda tidak dapat
beroperasi, atau hanya berkurang kinerjanya.
– Apakah ada unit khusus di tempat Anda yang menangani
keamanan ataupun menjamin keberlangsungan pengoperasian
sistem dan teknologi informasi
– Apakah Anda melaksankaan audit keamanan sistem informasi
Anda secara rutin?
– Organisasi manakah yang anda kontak, ketika terjadi
permasalahan dalam sistem informasi atau pada informasi
sehingga mengganggu jalannya lembaga Anda.
3
Telkomsel 2016 – Confidential – All Rights Reserved
Jasa Layanan Telekomunikasi Selular
4
Voice Voice On Net
Off Net
Roaming
Data &
Internet
SMS
Data & Internet Internet Access
APN Corporate
M2M
VAS Konten via SMS
via Data/ Internet
via USSD
e-Money (server based)
…
Telkomsel 2016 – Confidential – All Rights Reserved
Pentingnya Keamanan Informasi pada Sektor Telekomunikasi
Fakta:
– Telco sudah menjadi kebutuhan pokok masyarakat
– Infra Telco full TIK
– Pertumbuhan smartphone & aplikasi serta trend digital
– Data menjadi “mata uang” baru
– Perang masa depan melibatkan pelumpuhan telco
– Meningkatnya kejahatan memanfaatkan telco sebagai media
5
Tujuan Keamanan Sistem Informasi dan Informasi:
Menjamin keberlangsungan operasional dan bisnis perusahaan
Mengelola keamanan informasi perusahaan
Telkomsel 2016 – Confidential – All Rights Reserved
Informasi dalam Telekomunikasi
6
Data Pelanggan Data Operasional Data Transaksi Data Payload
• Customer profile
• Account info
• Billing
• Payment
• Complain
• BTS
• Topology
• Utilization
• Quality
• Inventory
• OSS data
• Logs
• CDR
• Location
• Data usage
• URL logs
• Percakapan
• SMS
• Trafik data
Dampak yg mungkin terjadi jika terjadi insiden terhadap informasi:
Tuntutan hukum dari Pemerintah dan Pelanggan
Sanksi administrasi dari Regulator
Kalah dalam persaingan usaha
Berpotensi menjadi alat bantu kejahatan lainnya
Telkomsel 2016 – Confidential – All Rights Reserved
Backbone
Resume Komponen Utama Infrastruktur Selular
7
Core Network
Transport
Radio Access Network
MSC BSCBilling
System
NMS
OSS
Telecommunication Center Data Center
GGSN GW
Support System
CRM
Dampak yg mungkin terjadi jika terjadi insiden terhadap infrastruktur:
Service degradation
Service interrupt
Revenue loss
Fraud
Berpotensi menjadi alat bantu kejahatan
lainnya
BTSBTS
Telkomsel 2016 – Confidential – All Rights Reserved
Tantangan ke depan…
8
Perkembangan Isyu
Penyadapan tidak sah • OpenBTS
• Kelemahan standart/ teknologi
• Keamanan negara
Big Data • Privasi
• Pihak yg tidak berhak
• Hak komersialisasi data
Cyber War • Pelumpuhan infrastruktur
• Penyusupan agen asing
• Perang antar Telco
• Peran regulator
SDN & NFV • Perangkat tidak lagi berupa fisik
• Sertifikasi kominfo belum diatur
• Standart security baru (terkait virtualisasi)
Infrastructure Sharing • Kewajiban para pihak
• Standart security baru
Hak & Kewajiban Pelanggan • Tuntutan hukum yg mengada2
• Kepastian identitas Pelanggan
Security Compliance • Belum semua memiliki standart
• Belum semua di kontrol compliance-nya
Telkomsel 2016 – Confidential – All Rights Reserved
Tantangan ke depan…
9
Perkembangan Isyu
Security Mobile Device • Awareness terhadap aspek security
• Privacy
• Malware
• Botnet/ Zombie
M2M • Hacking
Telkomsel 2016 – Confidential – All Rights Reserved
Organisasi Keamanan Informasi
10
Information Security
Advisory Board
Level K
ebija
kan
Level O
pera
sio
nal
Divisi Network Security
Management
Divisi IT Security
Management
Steering Committee:
VP yg membawahi fungsi risk
management dan security di IT dan
Network (6 VP)
Member:
GM yang membawahi fungsi risk
management dan security di IT dan
Network (10 GM)
• Policy & Compliance
• Infra. Sec. Operation
• User Access Mngmnt.
• Vulnerability Mngmnt.
• Infra. Security Engineering
• Lawful Intercept Service
• Policy & Compliance
• Appl. Security Monitoring
• Infra. Sec. Operation
• User Access Mngmnt.
• Security Monitoring
Tugas:
• Menyusun security policy corporate wide
• Rekomendasi cetak biru security
• Menetapak sasaran mutu
• Monitoring & review implementasi security
• Eskalasi incident handling
Telkomsel 2016 – Confidential – All Rights Reserved
Audit Keamanan Informasi
11
ISO 27001:2013Scope:
The Operation of Broadband Services, Recharging
System, E-Wallet System, Service Desk System,
Customer Care, Billing System for Postpaid and Prepaid
By: Bereau Veritas Certication
Merupakan re-sertifikasi sejak tahun 2009
Motode Periode Keterangan
Self Assessment Bulanan Dibantu aplikasi GRC*
Internal Audit Tahunan Dilaporkan ke Dirut dan merupakan salah satu
agenda Komite Audit Komisaris
External Audit Tahunan Untuk sertifikasi
Telkomsel 2016 – Confidential – All Rights Reserved
Eskalasi Eksternal Masalah Keamanan Informasi
Kasus Eskalasi Keterangan
Serangan dari internet • Telkom Group
• IDSIRTII
• B2B
SOC
konten
Tindakan kriminal • Kepolisian
Permintaan data telekomunikasi
diluar Permen Kominfo
• Kominfo Call Center Emergency
Situs penipuan • IDCERT
13