keamanan informasi & penjaminan informasi - ft...
TRANSCRIPT
05/04/2012
1
Kementerian Komunikasi dan Informatika bekerja sama dengan
Institut Teknologi Bandung Institut Teknologi Sepuluh November
Universitas Gajah Mada Universitas Indonesia
KEMKOMINFO
Regulasi bidang Keamanan Informasi &
Penjaminan Informasi
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
2
05/04/2012
2
KEMKOMINFO
Apakah informasi itu?
Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah
‘aset’; merupakan sesuatu yang
memiliki nilai dan karenanya harus dilindungi
Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan
penilaian dan pengambilan keputusan
3
KEMKOMINFO
Bentuk informasi
Gagasan, pikiran dalam bentuk tulisan, pidato
Hardcopy (asli, salinan, transparan, fax)
Softcopy (tersimpan di media tetap atau portabel)
Pengetahuan perorangan
Ketrampilan teknis
Pengetahuan korporasi
Pertemuan formal dan informal
Percakapan telepon
Telekonferensi video
4
05/04/2012
3
KEMKOMINFO
Penjaminan Informasi
Penggunaan operasi2 informasi untuk
melindungi informasi, sistem dan jaringan
informasi, dengan cara memastikan:
ketersediaan, integritas, keaslian, kerahasiaan
dan non-repudiasi, dengan
mempertimbangkan resiko akibat ancaman
dari lokal atau tempat yang jauh melalui
jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu
organisasi tidak mempunyai kepastian tentang
informasi yang diperlukan untuk pengambilan
keputusan penting, adalah andal, aman, dan
tersedia saat dibutuhkan
5
KEMKOMINFO
Keamanan Informasi
Konsep, teknik dan hal-hal yang terkait
dengan kerahasian, ketersediaan,
integritas, keaslian dari informasi
Teknik: enkripsi, digital signature,
intrusion detection, firewall, kontrol akses
dll
Manajemen: strategi, desain, evaluasi,
audit
Standar dan sertifikasi
6
05/04/2012
4
KEMKOMINFO
Gambar Besar (Big Picture)
Penjaminan Informasi
Sekuriti Informasi Ketergantungan Informasi
Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas
Keandalan, Ketersediaan, Pencegahan Kegagalan,
Penghindaran dan Toleransi
Kemampuan untuk pulih dari kegagalan dan serangan
7
Y. Qian et al., 2008
KEMKOMINFO
Contoh-contoh kasus
8
2010 – Wikileaks
2010 – Virus Stuxnet menyerang PLTN di Iran
Ags 2008 – Serangan Internet terhadap Situs web Georgia
Apr 2007 – Serangan Cyber terhadap Estonia
Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)
Mei 2005 – Malaysia-Indonesia
Apr 2001 – Sino-AS
Stuxnet video
05/04/2012
5
KEMKOMINFO
Regulasi
UU RI no. 11 thn 2008 tentang
Informasi dan Transaksi Elektronik
9
KEMKOMINFO
Konsep & Prinsip dasar
CIA dkk
Confidentiality
Integrity
Availability
Non-repudiation
10
05/04/2012
6
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
11
KEMKOMINFO
Hubungan antara Risiko dan Aset Informasi
12
Ancaman Vulnerability eksploitasi
Resiko Aset Manajemen mengurangi
Kebutuhan
sekuriti Nilai
Aset
05/04/2012
7
KEMKOMINFO
Klasifikasi informasi
Skema Klasifikasi Informasi Sederhana
13
Definisi Deskripsi
Public (umum) Informasi yang aman dibuka untuk umum (publik)
Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk
eksternal
Company
confidential (Rahasia
perusahaan)
Kriteria klasifikasi
• Nilai
• Umur
• Waktu berlaku (useful life)
• Keterkaitan dengan pribadi (personal association)
KEMKOMINFO
4R Keamanan Informasi
14
Right People
(pada orang yg tepat)
Right Time
(pada waktu yg
tepat)
Right Form
(format yg tepat)
Right Information
(informasi yg tepat)
05/04/2012
8
KEMKOMINFO
Jenis-jenis serangan
Hacking
Denial of Service (DoS)
Kode berbahaya (malicious code)
Social engineering
15
KEMKOMINFO
Peningkatan Keamanan
Pengamanan Administratif Strategi, kebijakan, dan pedoman
keamanan informasi Strategi keamanan informasi
Kebijakan keamanan informasi
Pedoman keamanan informasi
Standar keamanan informasi
IT Compliance
Proses dan operasi keamanan informasi Program pendidikan dan pelatihan keamanan
informasi
Penguatan promosi melalui berbagai kegiatan
Pengamanan dukungan
16
05/04/2012
9
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
17
KEMKOMINFO
Pengamanan dengan Teknologi (I)
Model Defense-in-Depth (DID)
18
05/04/2012
10
KEMKOMINFO
Pengamanan dengan Teknologi (II)
Teknologi Pencegah Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext)
menjadi sandi, bentuk yang tidak dapat dipahami
One-Time Passwords (OTP)
OTP hanya dapat digunakan sekali. Password statis lebih mudah
disalahgunakan oleh password loss, password sniffing, dan brute-
force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Firewall (Dinding api) Firewall mengatur beberapa aliran lalu lintas antara jaringan
komputer dari trust level yang berbeda.
Alat penganalisis kerentanan
Ada 3 jenis alat penganalisis kerentanan: Alat penganalisis kerentanan jaringan
Alat penganalisis kerentanan server
Alat penganalisis kerentanan web
19
KEMKOMINFO
Pengamanan dengan Teknologi (III)
Teknologi Pendeteksi
Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir
atau mengeliminasi kode berbahaya
IDS (Intrusion Detection System)
IDS mengumpulkan dan menganalisis informasi dari
berbagai area dalam sebuah komputer atau jaringan
untuk mengidentifikasi kemungkinan penerobosan
keamanan
IPS (Intrusion Prevention System)
IPS mengidentifikasi potensi ancaman dan bereaksi
sebelum mereka digunakan untuk menyerang
20
05/04/2012
11
KEMKOMINFO
Pengamanan dengan Teknologi (IV)
Teknologi Terintegrasi
ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan mengoperasikan
solusi keamanan informasi seperti IDS dan IPS mengikuti
kebijakan yang ditetapkan
ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi seluruh
risiko yang terkait dengan organisasi, termasuk area di
luar keamanan informasi, dan mengatur langkah
mengatasinya secara otomatis
21
KEMKOMINFO
Peran & Tanggung Jawab
22
Peran Deskripsi
Manajer senior Tanggung jawab paling besar untuk sekuriti
Pejabat Sekuriti
Informasi
Tanggung jawab fungsional untuk sekuriti
Pemilik Menentukan klasifikasi informasi
Penyimpan
(Custodian)
Memelihara CIA dari informasi
Pengguna/operator Menjalankan kebijakan yang telah ditetapkan
Auditor Memeriksa sekuriti
05/04/2012
12
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
23
KEMKOMINFO
Metodologi Keamanan Informasi
Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System).
24
Model PDCA yang diterapkan ke Proses ISMS
Sumber: ISO/IEC JTC 1/SC 27
Memelihara dan memperbaiki ISMS
Memantau dan review
ISMS
Implementasi dan operasi
ISMS
Menetapkan
ISMS Pihak-pihak
yang terlibat
Pihak-pihak
yang terlibat
Kebutuhan dan
ekspektasi
sekuriti
informasi
Sekuriti
Informasi
termanaj
05/04/2012
13
KEMKOMINFO
Metodologi Keamanan Informasi
ISO/IEC 27001 (BS7799)
Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi
Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan
Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
25
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
26
05/04/2012
14
KEMKOMINFO
Standar Kegiatan Keamanan Informasi
ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif
CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi
CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis
27
KEMKOMINFO
Aspek-aspek Keamanan Informasi
28
Teknologi
Orang
Operasi
• Pelatihan dan Kepeka-tanggapan
• Administrasi sekuriti
• Sekuriti pribadi
• Sekuriti fisik
• Manajemen fisik
• Auditing dan pemantauan
• Indikasi dan peringatan
• Deteksi dan Tanggapan Kejadian
• Kontingensi dan pemulihan
05/04/2012
15
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
29
KEMKOMINFO
Sekuriti IT, Etika dan Masyarakat
Tanggung jawab etika dari profesional bisnis
Mempromosikan penggunaan etika dalam TI
Menerima tanggung jawab etika dari pekerjaan
Peran yang cocok sebagai SDM berkualitas
Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan
Teknologi informasi
memiliki dampak baik
dan buruk bagi
masyarakat (orang)
Manajemen aktivitas kerja untuk
meminimkan dampak buruk
Berupaya untuk memaksimalkan
dampak baik
05/04/2012
16
KEMKOMINFO
Etika Teknologi Informasi
Tujuan pembelajaran tanggung jawab etika:
Isu-isu etika terkait penggunaan teknologi informasi dalam bisnis yang mempengaruhi
kepegawaian, perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalah-masalah sosial kemasyarakatan.
31
Kepegawaian Privacy
Kriminal
Situasi
Kerja Perorangan
Kesehatan
Etika
Sekuriti TI
dalam
Bisnis
KEMKOMINFO
Ditinjau dari Teori Pertanggungjawaban Sosial
Korporasi (CSR/Corporate Social Responsibility)
Stockholder Theory Teori Kontrak
Sosial Stakeholder
Theory
Manajer adalah agen
dari stockholders.
Tanggung jawab etika
mereka adalah
meningkatkan
keuntungan tanpa
melanggar hukum atau
menipu.
Perusahaan
memiliki
tanggung jawab
etika terhadap
seluruh
komponen
anggota
masyarakat.
Manajer memiliki
tanggung jawab
etika untuk
memanaj
perusahaan agar
menguntungkan
bagi semua
pemegang
saham.
05/04/2012
17
KEMKOMINFO
Profesional Bertanggung Jawab
Bertindak dengan integritas
Selalu meningkatkan kompetensi diri
Menetapkan standar yang tinggi untuk kinerja diri
Menerima tanggung jawab atas kerjanya
Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik
KEMKOMINFO
Kejahatan Komputer (Kejahatan TI)
Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan
Rilis yang tidak sah atas informasi
Salinan yang tidak sah atas perangkat lunak
Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri
Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property
05/04/2012
18
KEMKOMINFO
35
Hacking
Penggunaan obsesif
atas komputer atau
akses tidak sah dan
penggunaan tidak sah
jaringan
Cyber Theft
Meliputi entry (masuk)
jaringan tidak sah dan
pengubahan isi basis
data
Kejahatan Komputer (II)
Pelaku
KEMKOMINFO
Prinsip Etika Teknologi
Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil.
Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya
Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko.
Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.
05/04/2012
19
KEMKOMINFO
Agenda
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
37
KEMKOMINFO
Konsep Privasi (1)
Apakah “Informasi Pribadi”? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.
38
Nama
Hubungan keluarga
Nomor telepon
Alamat
Alamat e-mail
Nomor lisensi mobil
Nomor kartu kredit
Karakteristik fisik
Informasi Pribadi, definisi sempit
05/04/2012
20
KEMKOMINFO
Konsep Privasi (2)
Apakah “Informasi Pribadi”? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.
39
Informasi Pribadi, Definisi Luas
Informasi Kredit
Detail panggilan telepon
Karir
Pendapat
Detail transaksi
Latar belakang akademik
Evaluasi
Catatan kriminal
KEMKOMINFO
Konsep Privasi (3)
Informasi Pribadi dan Privasi
Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak pada
perilaku pihak lain terhadap pribadi yang
bersangkutan dan pada akhirnya berdampak negatif
terhadap kehidupan sosial, harta benda, dan
keselamatan-nya.
Oleh karena itu, informasi pribadi harus dilindungi dari
akses, pengumpulan, penyimpanan, analisis dan
penggunaan yang salah. Dalam hal ini, informasi
pribadi adalah subyek perlindungan.
40
05/04/2012
21
KEMKOMINFO
Opt-in Versus Opt-out
Opt-In (Opsi Masuk)
Anda harus secara
eksplisit menyatakan
bahwa data tentang
Anda boleh
dikompilasi
Default di Europe
Opt-Out (Opsi Keluar)
Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan
Default di AS.
KEMKOMINFO
Isu-isu Tambahan Privacy
Pelanggaran Privacy
Mengakses email pribadi, percakapan pribadi dan rekaman komputer
pribadi
Mengumpulkan dan berbagi informasi tentang seseorang dari
kunjungannya ke situs-situs Internet
Pemantauan Komputer
Selalu tahu di mana seseorang berada
Layanan seluler cenderung dekat dengan asosiasi di mana seseorang
berada
Computer Matching
Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis
Akses Tidak Sah atas File-file Pribadi
Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang
05/04/2012
22
KEMKOMINFO
Melindungi Privacy di Internet
Menyandi surel
Mengirim posting surel lewat remailer anonim
Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan
pengguna jasa broadcast lainnya. (Meminta operator seluler?)
Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web
KEMKOMINFO
Kebebasan Komputer dan Sensor
Sisi berlawanan dari debat privacy Kebebasan informasi, kebebasan berbicara dan kebebasan
pers
Tempat-tempat Bulletin boards (kaskus, kompasiana, surel pembaca)
Email boxes
Online files of Internet and public networks
“Persenjataan dalam Pertempuran”
Spamming Pengiriman e-mail ke banyak pengguna unsolicited
Flame mail Sending extremely critical, derogatory, and often vulgar email
messages or newsgroup postings to other Internet users or online
services
Especially prevalent on special-interest newsgroups
05/04/2012
23
KEMKOMINFO
Cyberlaw
Irisan antara teknologi
dan hukum merupakan
bahan perdebatan
Perlukah regulasi Internet?
Kriptografi menyulitkan bila
regulasinya tradisional
Komunitas Internet
menganggap sensor
merupakan penghambat
dan beberapa pihak malah
melakukan by-pass
UU ITE
Hukum diniatkan untuk mengatur aktivitas
ber-Internet via perangkat komunikasi
Mencakup sejumlah isu
hukum dan politik
Meliputi properti intelektual, privacy,
kebebasan berekspresi dan jurisdiksi
KEMKOMINFO
Ringkasan
Informasi adalah salah satu aset yg sangat berharga bagi
suatu organisasi. Ancaman terhadap keamanan informasi
datang berupa pembeberan yang tidak sah, korupsi atau
halangan terhadap layanan.
Tujuan dari keamanan adalah untuk melindungi aset
yang sangat berharga, khususnya berkaitan dengan
kerahasiaan, integritas dan ketersediaan dari informasi
dan aset yang mengolah, menyimpan dan mengirim
informasi tersebut.
Regulasi, kebijakan dan petunjuk tentang keamanan
didasarkan pada konsep dan prinsip kemanan.
Pemahaman terhadap konsep dan prinsip tersebut
memungkinkan seorang staf IA mengambil keputusan
yang benar dan efektif.
46
05/04/2012
24
KEMKOMINFO
Informasi lebih lanjut
www.cert.or.id - Indonesia Computer Emergency Response Team
www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi
47
KEMKOMINFO
Diskusi
Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda.
Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda.
Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa?
Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda?
Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?
48
05/04/2012
26
KEMKOMINFO
Privacy Issues
The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy
Personal information is collected with every
visit to a Web site
Confidential information stored by credit
bureaus, credit card companies, and the government has
been stolen or misused