Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

MANAJEMEN KEAMANAN SISTEM INFORMASI KSI 1601 / 2 SKS Antonius C.P. & Yanuar Nurdiansyah.

Presentasi serupa


Presentasi berjudul: "MANAJEMEN KEAMANAN SISTEM INFORMASI KSI 1601 / 2 SKS Antonius C.P. & Yanuar Nurdiansyah."— Transcript presentasi:

1 MANAJEMEN KEAMANAN SISTEM INFORMASI KSI 1601 / 2 SKS Antonius C.P. & Yanuar Nurdiansyah

2 Materi (1)  Introduksi Keamanan Informasi  Kebutuhan akan Keamanan  Legalitas, Etika dan Permasalahan Keamanan Informasi  Managemen Resiko  Perencanaan Keamanan  Teknologi Keamanan: Firewall dan VPN

3 Materi (2)  Teknologi Keamanan: Deteksi Intrusi, Kontrol Akses dan Peralatan Keamanan Lainnya  Kriptografi  Keamanan Fisik  Implementasi Keamanan Informasi  Keamanan dan Personel  Pengelolaan Keamanan Informasi

4 Sumber pustaka  Harold F. Tipton & Micki Krause, Information Security Management Handbook, Auerbach Publications, 2005  Michael E. Whitman & Herbert J. Mattord, Principles of Information Security, Course Technology, 2012

5 KEBUTUHAN AKAN KEAMANAN INFORMASI Antonius C.P. & Yanuar Nurdiansyah

6 Informasi  Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information- based society”.  Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).

7 Masalah (1) Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, terus meningkat karena beberapa hal:  Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat.  Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.

8 Masalah (2)  Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.  Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.  Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.

9 Masalah (3)  Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.  Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.

10 Pentingnya Keamanan SI  Mengapa keamanan sistem informasi diperlukan ?  Teknologi komunikasi modern (mis: Internet) membawa beragam dinamika dari dunia nyata ke dunia virtual Dalam bentuk transaksi elektronis (mis: e-banking) atau komunikasi digital (mis: , messenger) Membawa baik aspek positif maupun negatif (contoh: pencurian, pemalsuan, penggelapan, …)  Informasi memiliki “nilai” (ekonomis, politis)  obyek kepemilikan yang harus dijaga Kartu kredit Laporan keuangan perusahaan Dokumen-dokumen rancangan produk baru Dokumen-dokumen rahasia kantor/organisasi/perusahaan

11 Pentingnya Keamanan SI  Mengapa sistem informasi rentan terhadap gangguan keamanan  Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) Tidak ada batas fisik dan kontrol terpusat Perkembangan jaringan (internetworking) yang amat cepat  Sikap dan pandangan pemakai Aspek keamanan belum banyak dimengerti Menempatkan keamanan sistem pada prioritas rendah  Ketrampilan (skill) pengamanan kurang

12 Keamanan Sistem Informasi  Keamanan merujuk pada kualitas untuk bebas dari bahaya.  Misi utama keamanan informasi adalah untuk memastikan sistem dan isinya tetap sama  Jika tidak ada gangguan (threat), sumberdaya dapat difokuskan untuk memperbaiki sistem, menjadikannya mudah digunakan dan berdayaguna  Serangan pada sistem informasi merupakan sebuah kejadian harian

13 Threat (Ancaman)  Merupakan suatu obyek, personal atau aktor lainnya yang merepresentasikan sebuah gangguan tetap terhadap sebuah aset

14 Macam-macam Ancaman

15 Serangan (Attack)  Serangan merukan sebuah aksi secara sengaja untuk mengeksploitasi sebuah kelemahan sistem guna mengacaukan sistem tersebut  Sebuah serangan dilakukan oleh sebuah agen pengganggu yang merusak atau mencuri informasi organisasi atau aset fisik

16 Vektor-vektor serangan

17 Beberapa Jenis Serangan/Gangguan  Serangan untuk mendapatkan akses (access attacks)  Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi  Serangan untuk melakukan modifikasi (modification attacks)  Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah  Serangan untuk menghambat penyediaan layanan (denial of service attacks)  Menghambat penyediaan layanan dengan cara mengganggu jaringan komputer

18 Beberapa Cara Melakukan Serangan  Sniffing (Tipuan)  Memanfaatkan metode broadcasting dalam LAN  “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous  Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer  Mencegah efek negatif sniffing Pendeteksian sniffer (local & remote) Penggunaan kriptografi (mis: ssh sbg pengganti telnet)

19 Beberapa Cara Melakukan Serangan  Spoofing (Tipuan)  Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid  Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password) Logon Invalid logon ClientPenyerangServer Logon Logon berhasil ClientServer Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server

20 Beberapa Cara Melakukan Serangan  Man-in-the-middle  Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) ClientMan-in-the-middleServer

21 Beberapa Cara Melakukan Serangan  Menebak password  Dilakukan secara sistematis dengan teknik brute-force atau dictionary  Teknik brute-force: mencoba semua kemungkinan password  Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)

22 Modification Attacks  Biasanya didahului oleh access attack untuk mendapatkan akses  Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi  Contoh:  Pengubahan nilai kuliah  Penghapusan data utang di bank  Mengubah tampilan situs web

23 Denial of Service Attacks  Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi  Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb)  Teknik DoS  Mengganggu aplikasi (mis: membuat webserver down)  Mengganggu sistem (mis: membuat sistem operasi down)  Mengganggu jaringan (mis: dengan TCP SYN flood)

24 Keamanan Sistem Informasi  Untuk melindungi informasi dan sistemnya dari bahaya, sarana-sarana seperti kebijakan, kewaspadaan, pelatihan, edukasi dan teknologi sangat diperlukan. Sistem Informasi mencakup aspek hardware, software, storage media, data dan manusia. Semua komponen-komponen tersebut bekerjasama utk mengelola dan menghasilkan Informasi Nilai informasi menentukan tingkat sekuriti yang perlu disediakan Melindungi informasi, berarti melindungi semua aspek sistem informasi.  Segitiga C.I.A. (Confidentiality, Integrity dan Availability) merupakan standar industri untuk keamanan komputer sejak sistem dibangun

25 Bagaimana menyembunyikan informasi atau sumberdaya Tujuannya mencegah akses yg tidak terotorisasi (unauthorized) terhadap informasi/sumberdaya Contoh: kriptografi Confidentiality

26 Apakah data/info bisa dipercaya atau tidak Yang dimaksud dengan integritas: 1.Integritas isi informasi 2.Integritas sumber informasi Mekanisme integritas: 1.Pencegahan (prevention) 2.Deteksi (detection) Integrity

27 Apakah data bisa diakses/ digunakan atau tidak. Sejauh mana kita bisa menjamin avalability data dengan confidentiality dan integrity yang terjamin. Availability

28 Keamanan informasi berperan dalam  Melindungi fungsi organisasi  Memungkinkan operasi yang aman bagi aplikasi yang diimplementasikan dalam sistem IT organisasi  Melindungi organisasi data: pengumpulan dan penggunannya  Melindungi aset teknologi yang digunakan dalam organisasi


Download ppt "MANAJEMEN KEAMANAN SISTEM INFORMASI KSI 1601 / 2 SKS Antonius C.P. & Yanuar Nurdiansyah."

Presentasi serupa


Iklan oleh Google