Download - SIM TEORI BAB 9
BAB 9KEAMANAN INFORMASI
Nama : Ade Setiawan (0211-11-109)
Nama : Nuke Eka Mayasari (0211-11-112)
Dosen : Dr. Wonny Ahmad Ridwan,
SE.MM,CPHR.
Fakultas EkonomiUnpak
Tujuan Belajar
Memahami kebuhan organisasi akan keamanan
dan pengendalian
Memaham bahwa keamanan informasi berkaitan
dengan keamanan semua sumberdaya informasi
Memahami tiga tujuan utama keamanan informasi
Melihat hubungan yang logis antara ancaman,
resiko dan pengendalian
Memahami apa saja ancaman keamanan yang
utama
KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIA
Dalam dunia masa kini, banyak organisasi
semakin dasar akan pentingnya menjaga seluruh
sumber daya mereka, baik yang bersifat virtual
maupun fisik, agar aman dari ancaman baik dalam
dan luar sistem komputer yang pertama hanya
memiliki sedikit perlindungan keamanan, namun
hal ini berubah pada saat perang Vietnam ketika
sejumlah instansi komputer di rusak oleh para
pemrotes.
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai
menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris
terpukul secara eksklusif pada perlindungan
perantik keras dab data, maka istilah keamanan
sistem (Sistem security) pun di gunakan. Fokus
sempit ini kemudian di perluas sehingga
mencangkup bukan hanya perantik keras dan data,
namun juga peranti lunak, fasilitas komputer, dan
personel.
TUJUAN KEAMANAN INFORMASI
Kerahasian. Perusahaan berusaha untukmelindungi data dan informasinya daripengungkapan kepada orang-orang yang tidakberwenang.
Ketersediaan. Tujuannya dari infrastruksturinformasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
Integritas. Semua sistem informasi harusmemberikan representasi akurat dan atas sistemfisik yang direpresentasikannya.
MANAJEMEN KEAMANAN
INFORMASI
Seperti halnya cakupan keamanan informasi telahmeluas demikian juga pandangan akan tanggungjawab manajemen tidak hanya di harapkan untukmenjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjagaperusahaan tersebut agar tetap berfungsi setelahsuatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber dayainformasi tetap aman disebut manajemenkeamanan informasi ( informatian security management – ISM )
Tolok ukur
Strategi Manajemen Keamanan InformasiMengindentifikasi
ancaman
Mengidentifikasiresiko
MenentukanKebijakankeamananinformasi
Menginplementasikan
pengendalian
Menginflementasikan
pengendalian
Menentukankebijakankeamananinformasi
A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur
PENGUNGKAPAN INFORMASI YANG
TIDAK TEROTORISASI DAN
PENCURIAN
Ketika suatu basis data dan perpustakaan peranti
lunak tersedia bagi orang-orang yang seharusnya
tidak berhak memilkiakses, hasinya dalah
hilangnya informasi atau atau uang . Sebagai
contoh, mata-mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga, dan
kriminal komputer dapat menyeludupkan dana
perusahaan.
ANCAMAN INFORMASI
Ancaman informasi adalah (information security
tbreat) adalah orang organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi
perusahaan. Ketika kita membayangkan ancaman
keamanan informasi , adalah sesuatunyang di
alami jika kita membayangkan beberapa kelomok
atau beberapa orang di luar perusahaan tersebut
yang melakukan tindakan yang di sengaja.
PERSOALAN E-COMMERCE
E-comerce (perdagangan elektronik) telahmemperkenalkan suatu perusahaan keamananbaru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungandari pemalsuan kartu kredit. Menurut sebuahsurvei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadiuntuk para paritel e-commerce di bandingkandengan para pedagang yang berusan denganpelanggan mereka secara langsung. Untukmengatasi masalah ini,
KARTU KREDIT “SEKALI PAKAI”
Pada september 2000, america ekspres
mengumumkan sebuak kartu kredit “sekali pakai”
tindakan yang ditunjukan bagi 60 hingga 70
persen konsumen yang mengkhawatirkan
pemalsuan kartu kredit dari pengguanaa internet.
PRAKTIK KEAMANAN YANG
DIWAJIBKAN OLEH VISA1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan ekskripsi pada data yang di simpan.
4. Melakukan ekskripsi pada data yang di
kirimkan.
5. Menggunakan dan memperbarui peranti lunak
antivirus
6. Membatasi akses data kepada orang-orang yang
ingin tahu.
MANAJEMEN RISIKO
1. Menganalisis kelemahan perusahaan tersebut.
2. Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko.
3. Menentukan tingkatan dampak pada perusahaan
jika risiko benar-benar terjadi.
4. Menyadari risikonya.
Fase 1 Inisiasi proyek
Fase 2 Penyusunan
Kebijakan
Pihak-pihak yang berminat dan terpengaruh
Fase 3 Konsultasi
dan persetujuan
Fase 5 Penyebarluasan
dan kebijakan
Fase 4 Kesadaran
dan pendidikan
Komite pengawas proyek keamanan
Tim proyek
Manajemen
Unit organisasi
Unit organisasi
Konsultasi
Konsultasi
Pelatihan kesadaran dan edukuasi kebijakan
Kebijakan keamanan
Penetapan
PENGENDALIAN AKSES
1. Identifikasim pengguna. Para pengguna pertamamengidentifikasi mereka dengan cara memberikansesuatu yang mereka ketahui, misalnya kata sandi
2. Otentifikasi pengguna. Setelah identifikasi awaltelah dilakukan, para pengguna memverifikasi hakakses dengan cara memberikan sesuatu yang mereka ketahui
3. Otorisasi pengguna. Setelah pemeriksaanidentifikasi dan autentikasidilalui, seseorang makadapat melakukan otorisasi untuk memasukitingkat/derajat penggunaan tertentu
FIREWALL
Sumber daya komputer selalu berada dalam
resiko jika terhubung ke jaringan. Salah satu
pendekatan keamanan adalah secara fisik
memisahkan situs Web perusahaan dengan
jaringan internal perusahaan yang berisikan data
sensitif dan sistem informasi.
Fungsi Firewallsebagai penyaring dan penghalang
yang membatasi aliran data ke dan dari
perusahaan tersebut dan interner
internet
Fireewall tingkat aplikasi
router
Firewall tingkat sirkuit
Jaringan internet
Firawall penyaring
paket
komputer
Lokasi firewall di jaringan
PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan
ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan
kriptografi, yaitu penggunaan kode yang
menggunakan proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga di transmisikan ke dalam
jaringan
PENGENDALIAN FORMAL
Pengendalian formal mecangkup penemuan cara
berprilaku, dokumentasi produsen dan praktik
yang di harapkan. Pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk
menyusunnya. Dokumentasikan dalam bentuk
tulisan,
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup program-
program pelatihan dan edukasi serta program
pembangunan dan manajemen. Pengendalian ini
di tujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program
keamanan tersebut
Pengendalian Kriptografis
informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak Terotorisasi dengan kriptografi.
Yaitu Penggunaan kode yang menggunakan proses- proses
matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditranmisikan ke dalam
jaringan. Jika seseorang yang tidak memiliki Otorisasi
memperoleh akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah
Kesalahan penggunaan.
PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih
yang dibuka dengan cetakan telapak tangan dan cetakan suara,
serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendaliian fisik hingga
Pada tahap tertinggi dengan cara menempatkan pusat
komputernya ditempat terpencil yang jauh darikota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
MELETAKAN PENGENDALIAN TEKNIS
PADA TEMPATNYA
Pengendalian teknis dikenal sebagai yang
terbaik untuk keamanan.perusahaan biasanya
memilih dari daftar ini dan menetapkan
kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
PENGENDALIAN FORMAL
Pengendalian formal mencangkup penentuan
cara berperilaku, dokumentasi prosedur dan
pratik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal
karena manajemen menghabiskan banyak waktu
untuk menyusunnya mendokumentasikannya
dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup
program- program pelatihan dan edukasi serta
program pembangunan manajemen.
Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan pemahami
serta mendukung program keamanan
tersebut.
MENCAPAI TINGKAT PENGENDALIAN
YANG TEPATKe tiga jenis pengendalian teknis, formal,dan
informal mengharuskan biaya. Karena
Bukanlah merupakan praktik bisnis yang baik
untuk menghabiskan lebih banyak uang pada
pengendalian dibandingkan biaya yang
diharapkan dari resiko yang akan terjadi,
maka pengendalian harus ditetapkan pada
tingkatan yang sesuai.
Dengan demikian, keputusan untuk
mengendalikan pada akhirnya di buat
berdasarkan biaya versus keuntungan, tapi
dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-
standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa
standar ini berbentuk tolok ukur, yang telah
diidentifikasikan sebelumnya sebagai
penyedia strategi
alternatif untuk manajemen resiko. Beberapa
pihak penentu standar menggunakan istilah
baseline(dasar) dan Bukannya benchmark
(tolok ukur).Organisasi tidak diwajibkan
mengikuti standar ini. Namun, standar ini
ditunjukan untuk memberikan bantuan
kepada perusahaan dalam menentukan
tingkat target keamanan.
Berikut ini adalah beberapa contohnya:
BS7799 milik inggris
BSI IT Baseline Protection Manual
Cobit
GASSP
ISF Standard Of Good Practice
PERATURAN PEMERINTAH
Pemerintah baik di amerika serikat maupun
inggris telah menentukan standar dan
menetapkan peraturan yang ditujukan untuk
menanggapi masalah pentinggnya keamanan
informasi yang makin meningkat,terutama
setelah peristiwa 9/11 dan semakin
memperluasnya internet serta peluang
terjadinya kejahatan komputer.
Beberapa diantaranya adalah:
Standar keamanan komputer pemerintah
amerika serikat
Undang- undang antiterorisme, kejahatan,
dan keamanan inggris (ATCSA)
STANDAR INDUSTRIThe center for internet security(CIS) adalah
organisasi nirlaba yang didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk yaitu:
CIS Benchmarks dan CIS Scoring Tools.
SERTIFIKASI PROFESIONAL
Mulai tahun 1969-an, profesi IT mulai
menawarkan prorgam sertifikasi. Tiga contoh
berikut mengilustrasikan cakupan dari
program- program ini.
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem
Informasi Internasional
Institut SANS
MELETAKKAN MANAJEMEN
KEAMANAN INFORMASI PADA
TEMPATNYAPerusahaan harus merancang kebijakan
manajemen keamanan informasi sebelum
menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkanidentifikasi ancaman
atau resiko ataupun berdasarkan panduan
yang diberikan oleh pemerintah dan asosiasi
industri.
MANAJEMEN KEBERLANGSUNGAN
BISNIS
Aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen
keberlangsungan Bisnis ( business continuity
management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut
perencanaan besar (disaster planning),
namun istilah yang lebih positif, perencanaan
kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi
(contingency plan), yang merupakan
dokumen tertulis formal yang menyebutkan
secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan
TERIMA KASIH
TERIMA KASIH