Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM

(ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

presented by Melwin Syafrizal

STMIK AMIKOM YOGYAKARTA 2012

1. Latar Belakang

1

Banyak instansi/institusi memiliki kumpulan data dan informasi penting yang harus dikelola dengan benar, dijaga kerahasiannya, integritasnya dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan tersedia saat dibutuhkan.

2. Rumusan Masalah

  Adakah suatu sistem pengelolaan keamanan informasi yang terstandar, yang dapat diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan, sekaligus dapat mengarahkan kinerja karyawan, meningkatkan kepercayaan publik, karena perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi ?

3. Batasan Masalah

  Topik pembahasan dibatasi pada “bagaimana implementasi ISMS sesuai standar ISO/IEC 27001:2005” dengan membuat perhitungan terhadap resiko keamanan (security risk assessment).

Landasan Teori

Keamanan informasi terdiri

dari perlindungan terhadap aspek-

aspek berikut:

KERAHASIAAN (Confidentiality)

INTEGRITAS (Integrity)

KETERSEDIAAN (Availability)

Informasi

I A

C

ANCAMAN KEAMANAN ICT

Ekonomi Politik

Teknis

Keamanan Negara

Mengapa diperlukan keamanan informasi?

  Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha.

  Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh yang benar.

UK business network attack unauthorised outsider in the last year

Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar (31% perusahaan besar mendapat ancaman percobaan pembobolan jaringan, 11% perusahaan kecil menengah, 13% telah terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada perusahaan kecil).

Dasar Manajemen Keamanan Informasi

Informasi Sebagai Aset   Informasi merupakan salah satu aset penting bagi

sebuah perusahaan atau organisasi, (memiliki nilai tertentu bagi perusahaan atau organisasi).

  Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan atau organisasi.

  Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.

Jenis informasi yang perlu dilindungi

  Electronic files   Software files   Data files

  Paper documents   Printed materials   Hand written notes   Photographs

  Recordings   Video recordings   Audio recordings

  Communications   Conversations

•  Telephone conversations

•  Cell phone conversations

•  Face to face conversations

  Messages •  Email messages •  Fax messages •  Video messages •  Instant messages •  Physical messages

Perlukah keamanan informasi bagi perusahaan?

  Bagaimana perusahaan/organisasi mempersiapkan diri dan mengimplementasikan sistem manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi, sesuai kebutuhan dan kemampuan serta ber-standar nasional/internasional.

Bagaimana memulai perlindungan keamanan informasi?

  Implementasi Best Practice   Nasional atau Internasional ?   Cakupan ISMS

Bagaimana menganalisis kebutuhan keamanan informasi?

  ISO IEC 27001:2005 GAP Analysis Tool   Risk Assesment Tools   Risk Management

Best Practice

  Best Practices IT & Security International Standard: 1. BS7799 milik Inggris 2. ISO/IEC 17799 : 2005 3. ISO/IEC 27001 : 2005 4. BSI IT baseline protection manual 5. COBIT 6. GASSP (Generally Accepted System Security Principles)

7. ISF Standard of good practice 8. ITIL •  SNI 27001:2009 (Standar Indonesia)

Model of an ISMS

Identifikasi yang diperlukan

1.  Mengidentifikasi kebutuhan bisnis di masa depan

2.  Mengidentifikasi resiko jika mengalami kegagalan menerapkan sistem keamanan

3.  Mengidentifikasi jenis-jenis informasi yang perlu dilindungi,

4.  Inventarisasi kekayaan (bangunan, hardware, software, sdm, intelektual, sistem, disain, dll) yang perlu dilindungi.

Identifikasi Lanjut …

5.  Mengidentifikasi kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola.

6.  Melakukan penilaian terhadap upaya perlindungan aset (sdm, bangunan, peralatan, teknologi, sistem, informasi, HaKI, dll)

7.  Melakukan pengamatan untuk mempelajari kondisi jaringan komputer

8.  Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem jaringan komputer yang digunakan.

Identifikasi Lebih Lanjut …

9.  Melakukan pentration testing sebagai tindak lanjut apabila ditemukan vulnerability.

10. Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang dikelola.

11. Melakukan perancangan/perbaikan ”security policy” yang digunakan,

12. Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu dibuat security policy yang disesuaikan dengan kondisi di lingkungan Perusahaan/Instansi.

Hal-hal yang perlu dipersiapkan

  Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen Keamanan Informasi

  Mempersiapkan mental karyawan untuk menghadapi perubahan budaya kerja, bila jadi implementasi Best Practice Standar Sistem Manajemen Keamanan Informasi

  Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi Standar Sistem Manajemen Keamanan Informasi

  Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll

Kesulitan-kesulitan

  Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam proses penerapan

  pemilihan metode pendekatan untuk risk assessment,   melakukan identifikasi resiko,   memperkirakan resiko, dan   memilih kendali yang tepat untuk diterapkan. Kesulitan lain untuk penerapan ISO/IEC 27001:2005

  pimpinan perusahaan/organisasi tidak memahami pentingnya mengelola keamanan informasi,

  tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan.

11 control clause

  Security policy.   Organization of information security.   Asset management.   Human resources security.   Physical and environmental security.   Communications and operations management.   Access control.   Information system acquisition, development, and

maintenance.   Information security incident management.   Business continuity management.   Compliance.

Cakupan ISMS

  Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan.

  Information Security sering menjadi tantangan besar bagi para praktisi information security untuk dapat “dijual” ke manajemen dan para “decision maker”.

Contoh Hasil identifikasi kondisi jaringan  Awalnya, jaringan komputer di instansi dibangun

tanpa perencanaan yang matang.  Organisasi belum mempersiapkan diri untuk

mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat,

 Perencanaan pengembangan menyedot energi sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih program atau resource mana yang akan dikembangkan terlebih dulu.

 Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer.

HASIL PENILAIAN

Topologi Network yang direncanakan

Kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola.

  Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan maupun informasi yang dimiliki,

  ”security policy” yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau network engineer.

  Banyak aturan belum tertulis dan ditetapkan oleh pimpinan namun di implementasikan oleh administrator, hanya berdasarkan keinginan pribadi.

Assesment

  Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu melayani dan mengamankan infrastruktur jaringan yang sudah besar,

  Fasilitas komputer tidak dipelihara dengan baik, tidak ada sosialisasi pemanfaatan jaringan komputer yang ada, penggunaan jaringan belum efektif.

  Staf teknis biasanya bekerja berdasarkan komplain dari staf/karyawan atau permintaan pimpinan,

  Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi.

  Tidak ada job description tertulis, biasanya masing-masing staf bekerja berdasarkan kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasing-masing bagian.

Vulnerability di sistem jaringan komputer

Hasil pengamatan topologi jaringan

  Hasil pengamatan topologi jaringan dan capture / monitoring jaringan dari access point dibeberapa titik, mengindikasikan masih buruknya topologi jaringan

  Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal.

  Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer gateway maupun server, memiliki IP Publik yang terhubung langsung dengan jaringan internet

  Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung langsung ke internet, masih sangat minim (konfigurasi minimal).

Hal yang harus disadari dari ISMS

  Information Security adalah sebuah proses bukan produk, sebuah proses yang bertujuan untuk mengidentifikasi dan meminimalkan resiko sampai ke tingkat yang dapat diterima, proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu industri.

  ISMS merupakan sebuah kerangka kerja dalam business plan perusahaan, bukan sekedar program IT Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan organisasi, seperti: perbankan, pemerintahan, manufaktur, dan lain-lain.

Langkah-langkah untuk mendesain ISMS

  Langkah pertama adalah memilih kerangka kerja yang sesuai dengan industri/perusahaan yang akan di aplikasikan (diimplementasikan).

  Langkah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak dipahami) pada saat ISMS sudah dijalankan.

  Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses implementasi policy dan prosedur ISMS dapat dijalankan dengan baik dan benar oleh seluruh jajaran pimpinan dan karyawan.

  Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul environment dimana ISMS akan dibangun, baik dari sisi organisasi atau teknologi yang ada disana.

Enam langkah persiapan dalam membangun ISMS

1.  Risk assessment 2.  Top down approach 3.  Functional roles 4.  Write the policy 5.  Write the standards 6.  Write guidelines and procedures

Kesimpulan

  ISO/IEC 27001 dapat diimplementasikan sebagai Information Security Management System (ISMS).

  ISO/IEC 27001:2005 mencakup semua jenis organisasi/perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba).

  ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan.

Saran

Beberapa saran umum bagi instansi   berfikir positip dan melakukan analisa yang lebih dalam

untuk melihat manfaat yang dapat diperoleh dari implementasi ISMS,

  bila belum berkenan mengimplementasikan ISMS secara menyeluruh, dapat mencoba implementasi beberapa kontrol yang sesuai untuk diterapkan,

  mulai mendokumentasikan rencana kerja dan rencana pengembangan bisnis (menulis apa yang akan dikerjakan dan mengerjakan apa yang dituliskan),

  membuat laporan hasil pekerjaan yang telah dilakukan dan mengevaluasi segala hal yang telah dikerjakan