tugas sim
DESCRIPTION
pTRANSCRIPT
BAB 9KEAMANAN INFORMASI
Nama : Ade Setiawan (0211-11-109)Nama : Nuke Eka Mayasari (0211-11-112)
Dosen : Dr. Wonny Ahmad Ridwan, SE.MM,CPHR.
Fakultas EkonomiUnpak
Tujuan Belajar
Memahami kebuhan organisasi akan keamanan dan pengendalian
Memaham bahwa keamanan informasi berkaitan dengan keamanan semua sumberdaya informasi
Memahami tiga tujuan utama keamanan informasi Melihat hubungan yang logis antara ancaman,
resiko dan pengendalian Memahami apa saja ancaman keamanan yang
utama
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIA
Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.
TUJUAN KEAMANAN INFORMASI
Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.
MANAJEMEN KEAMANAN INFORMASI
Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM )
Tolok ukur
Strategi Manajemen Keamanan InformasiMengindentifikasi ancaman
Mengidentifikasi resiko
Menentukan Kebijakan keamanan informasi
Menginplementasikan pengendali
an
Menginflementasikan
pengendalian
Menentukan kebijakan keamanan informasi
A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur
PENGUNGKAPAN INFORMASI YANG TIDAK TEROTORISASI DAN PENCURIAN
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilkiakses, hasinya dalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.
ANCAMAN INFORMASI
Ancaman informasi adalah (information security tbreat) adalah orang organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi , adalah sesuatunyang di alami jika kita membayangkan beberapa kelomok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang di sengaja.
PERSOALAN E-COMMERCE
E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini,
KARTU KREDIT “SEKALI PAKAI”
Pada september 2000, america ekspres mengumumkan sebuak kartu kredit “sekali pakai” tindakan yang ditunjukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengguanaa internet.
PRAKTIK KEAMANAN YANG DIWAJIBKAN OLEH VISA
1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan ekskripsi pada data yang di simpan.
4. Melakukan ekskripsi pada data yang di kirimkan.
5. Menggunakan dan memperbarui peranti lunak antivirus
6. Membatasi akses data kepada orang-orang yang ingin tahu.
MANAJEMEN RISIKO
1. Menganalisis kelemahan perusahaan tersebut.
2. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.
4. Menyadari risikonya.
Fase 1 Inisiasi proyek
Fase 2 Penyusuna
n Kebijakan
Pihak-pihak yang berminat dan terpengaruh
Fase 3 Konsultasi
dan persetujua
n
Fase 5 Penyebarluas
an dan kebijakan
Fase 4 Kesadaran
dan pendidikan
Komite pengawas proyek keamanan
Tim proyek
Manajemen
Unit organisasi
Unit organisa
si
Konsultasi
Konsultasi
Pelatihan kesadaran dan edukuasi kebijakan
Kebijakan keamanan
Penetapan
PENGENDALIAN AKSES
1. Identifikasim pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi
2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu
FIREWALL
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.
Fungsi Firewallsebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan interner
internet
Fireewall
tingkat aplikasi
router
Firewall tingkat sirkuit
Jaringan internet
Firawall penyaring paket
komputer
Lokasi firewall di jaringan
PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan
PENGENDALIAN FORMAL
Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan,
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup program-program pelatihan dan edukasi serta program pembangunan dan manajemen. Pengendalian ini di tujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut
Pengendalian Kriptografisinformasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak Terotorisasi dengan kriptografi.
Yaitu Penggunaan kode yang menggunakan proses- proses
matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditranmisikan ke dalam
jaringan. Jika seseorang yang tidak memiliki Otorisasi
memperoleh akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah
Kesalahan penggunaan.
PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih
yang dibuka dengan cetakan telapak tangan dan cetakan suara,
serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendaliian fisik hingga
Pada tahap tertinggi dengan cara menempatkan pusat
komputernya ditempat terpencil yang jauh darikota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYA
Pengendalian teknis dikenal sebagai yang
terbaik untuk keamanan.perusahaan biasanya
memilih dari daftar ini dan menetapkan
kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
PENGENDALIAN FORMAL
Pengendalian formal mencangkup penentuan
cara berperilaku, dokumentasi prosedur dan
pratik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal
karena manajemen menghabiskan banyak waktu
untuk menyusunnya mendokumentasikannya
dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup
program- program pelatihan dan edukasi serta
program pembangunan manajemen.
Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan pemahami
serta mendukung program keamanan
tersebut.
MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
Ke tiga jenis pengendalian teknis, formal,dan
informal mengharuskan biaya. Karena
Bukanlah merupakan praktik bisnis yang baik
untuk menghabiskan lebih banyak uang pada
pengendalian dibandingkan biaya yang
diharapkan dari resiko yang akan terjadi,
maka pengendalian harus ditetapkan pada
tingkatan yang sesuai.
Dengan demikian, keputusan untuk
mengendalikan pada akhirnya di buat
berdasarkan biaya versus keuntungan, tapi
dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-
standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa
standar ini berbentuk tolok ukur, yang telah
diidentifikasikan sebelumnya sebagai
penyedia strategi
alternatif untuk manajemen resiko. Beberapa
pihak penentu standar menggunakan istilah
baseline(dasar) dan Bukannya benchmark
(tolok ukur).Organisasi tidak diwajibkan
mengikuti standar ini. Namun, standar ini
ditunjukan untuk memberikan bantuan
kepada perusahaan dalam menentukan
tingkat target keamanan.
Berikut ini adalah beberapa contohnya: BS7799 milik inggris BSI IT Baseline Protection Manual Cobit GASSP ISF Standard Of Good Practice
PERATURAN PEMERINTAH
Pemerintah baik di amerika serikat maupun
inggris telah menentukan standar dan
menetapkan peraturan yang ditujukan untuk
menanggapi masalah pentinggnya keamanan
informasi yang makin meningkat,terutama
setelah peristiwa 9/11 dan semakin
memperluasnya internet serta peluang
terjadinya kejahatan komputer.
Beberapa diantaranya adalah: Standar keamanan komputer pemerintah
amerika serikat Undang- undang antiterorisme, kejahatan,
dan keamanan inggris (ATCSA)
STANDAR INDUSTRIThe center for internet security(CIS) adalah
organisasi nirlaba yang didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk yaitu:
CIS Benchmarks dan CIS Scoring Tools.
SERTIFIKASI PROFESIONALMulai tahun 1969-an, profesi IT mulai
menawarkan prorgam sertifikasi. Tiga contoh
berikut mengilustrasikan cakupan dari
program- program ini. Asosiasi Audit Sistem dan Pengendalian Konsorsium Sertifikasi Keamanan Sistem
Informasi Internasional Institut SANS
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA
TEMPATNYAPerusahaan harus merancang kebijakan
manajemen keamanan informasi sebelum
menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkanidentifikasi ancaman
atau resiko ataupun berdasarkan panduan
yang diberikan oleh pemerintah dan asosiasi
industri.
MANAJEMEN KEBERLANGSUNGAN BISNIS
Aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen
keberlangsungan Bisnis ( business continuity
management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut
perencanaan besar (disaster planning),
namun istilah yang lebih positif, perencanaan
kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi
(contingency plan), yang merupakan
dokumen tertulis formal yang menyebutkan
secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan
TERIMA KASIH
TERIMA KASIH