Security MANAGEMENT PRACTICES

Slides:



Advertisements
Presentasi serupa
Sistem Terdistribusi 014 – Keamanan Oleh : Muh. Ary Azali.
Advertisements

SISTEM INFORMASI SUMBER DAYA INFORMASI
Suryayusra, M.Kom Website: blog.binadarma.ac.id/suryayusra/ YM:
Pengendalian umum, dan pengendalian aplikasi
Audit Sistem Informasi Berbasis Komputer
Mengaudit Sistem/ Teknologi Informasi
CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.
TUJUAN AUDIT SI/TI Pertemuan 2.
RISK EXPOSURES AND THE INTERNAL CONTROL STRUCTURE
Operasi Komputer Cherrya Dhia Wenny.
BAB XVI KEAMANAN PADA INTRANET
Keamanan Data.
KEBIJAKAN KEAMANAN DATA
Pengendalian dan Sistem Informasi Akuntansi
Konsep Risiko & Sistem Pengendalian Intern
KEAMANAN SISTEM.
L/O/G/O Keamanan Sistem Sistem Operasi. Point – point Pembahasan 4 Keamanan Ancaman Keamanan Otentikasi Pemakai Program – pogram jahat Antivirus.
PROGRAM STUDI AKUNTANSI - STIE MDP
1 Membuat proposal proyek sisfo (PENGENDALIAN) Materi Pertemuan 25.
Chalifa Chazar KEAMANAN SISTEM Chalifa Chazar
AUDIT SISTEM INFORMASI dan TUJUANNYA
Model Pengendalian Sistem Informasi
KEAMANAN SISTEM INFORMASI
Diperbaruhi oleh : Siswanto, Ir. MT. dkk.
KEAMANAN DAN PENGENDALIAN SISTEM
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
INFRASTRUCTURE SECURITY
Presentasi Perkenalan SDMM ISO 9001: 2008
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
EKA ARYANI KORELASI ANTARA KETERAMPILAN SOSIAL DENGAN RESILIENSI PADA SISWA KELAS XII SMK NEGERI 1 SALAM PASCA BENCANA LAHAR DINGIN MERAPI.
Pengendalian dan Sistem Informasi Akuntansi
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
Introduction Security of Networking
Nur fisabilillah, S.Kom, MMSI | UNIVERSITAS GUNADARMA
Brilliani Ayunda Putri
Pertemuan 4 Pengamanan SO
pengamanan semua sumberdaya informasi, tidak hanya Hardware dan data.
PENGELOLAAN KEAMANAN BASIS DATA
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
Pengendalian dan Sistem Informasi Akuntansi
ETIKA, GANGGUAN DAN PERANCANGAN SISTEM KEAMANAN KOMPUTER
KEAMANAN INFORMASI INFORMATION SECURITY
KEAMANAN SISTEM.
Audit Sistem Informasi Berbasis Komputer
PERTEMUAN 6 SISTEM INFORMASI SUMBER DAYA INFORMASI PENDAHULUAN
KONSEP DAN MEKANISME 2.1 Threats (Ancaman)
Pokok Bahasan: Fungsi Manajemen Keuangan dan Akuntansi dalam Bisnis
Pendidikan Berbasis Kearifan Lokal
ETIKA PROFESI Sesi 7.
Manajemen Resiko Dalam Pengembangan SI
Introducing Management
Bisa di akses dengan alamat :
SOSIALISASI UKL MKKS SMP SWASTA SURABAYA
Algoritma dan Pemrograman ARRAY (LARIK) - Prakt
Fauzan Pradana Linggih (M ) Nurmajid Hidayatullah (M )
KONSULTASI AHU ONLINE HOTEL BASKO 2 MARET 2016 PADANG
SUKU BUNGA Nama : Yoga Raditya A. NBI :
UNIVERSITAS SARJANAWIYATA TAMANSISWA
Security+ Guide to Network Security Fundamentals
Keamanan Jaringan Komputer. Tujuan Keamanan Jaringan Komputer  Availability / Ketersediaan  Reliability / Kehandalan  Confidentiality / Kerahasiaan.
Struktur Tugas dan Fungsi Utama Layanan Teknologi Informasi
SOSIALISASI UKL MKKS SMP SWASTA SURABAYA
KEAMANAN SISTEM KOMPUTER
KEAMANAN JARINGAN KOMPUTER
KEAMANAN SISTEM.
BAGIAN 12 PENGARUH TI TERHADAP AUDIT
SISTEM KEAMANAN KOMPUTER Leni Novianti, M.Kom
SISTEM INFORMASI SUMBER DAYA INFORMASI Berbagai pandangan tentang IRM ( Information Resourch Management ) Sumber daya informasi perusahaan mencakup perangkat.
Transcript presentasi:

Security MANAGEMENT PRACTICES This presentation demonstrates the new capabilities of PowerPoint and it is best viewed in Slide Show. These slides are designed to give you great ideas for the presentations you’ll create in PowerPoint 2010! For more sample templates, click the File tab, and then on the New tab, click Sample Templates.

Overview Domain Security Management Practices menjabarkan tentang: proses identifikasi aset perusahaan proses identifikasi aset informasi perusahaan pengembangan dan implementasi dari kebijakan, standar, panduan dan prosedur untuk menentukan tingkat pengamanannya

Overview Domain Security .............. Aset informasi merupakan aset yang paling penting dalam perusahaan dan menjadi nilai strategis bagi perusahaan dalam kompetisi dengan perusahaan sejenis. Oleh karena itu faktor penting dalam nilai suatu informasi (yaitu: kerahasiaan, integritas, dan ketersediaan) merupakan faktor yang harus dikelola dengan baik oleh perusahaan melalui implementasi kebijakan keamanan, agar informasi penting perusahaan terlindung dari berbagai ancaman. 

Company Asset Identification Aset Fisik Gedung, tanah, server, pc client, dll Aset Informasi OS Server, OS Client, Office Application, Finance and Accounting Application, Finance Information, dll

Asset Threat Pencurian (fisik dan non fisik) Data loss kegagalan hardware, malfungsi dari aplikasi, human error, virus dll Pengubahan yang tidak diinginkan Penggunaan yang tidak diinginkan Serangan dari luar

Asset Threat Sumber ancaman : Ancaman Internal dan Eksternal Orang Organisasi Mekanisme Peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.  Ancaman Internal dan Eksternal Kecelakaan dan Tindakan disengaja

Implementation of Security Policy Kebijakan keamanan merupakan dasar dari implementasi keamanan yang bersifat teknis Penyusunan kebijakan keamanan ini menjadi begitu penting agar pengaturan keamanan menjadi lebih efektif dan terfokus

Implementation of Security Policy Prinsip dasar bagi pembuatan kebijakan Keamanan Informasi Kebijakan keamanan informasi sujalan dengan visi dan misi organisasi. Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen. Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai. Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen resmi.

Implementation of Security Policy Prinsip dasar .......... Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar organisasi harus dituangkan secara jelas. Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi. Melakukan evaluasi keamanan informasi secara periodik. Sosialisasi kebijakan keamanan informasi

Policy Kebijakan penggunaan komputer Kebijakan penggunaan sambungan internet dan email Kebijakan password Kebijakan pengamanan data Kebijakan pengamanan server dan jaringan Kebijakan keamanan fisik

Standards Standar menentukan penggunaan teknologi perangkat keras dan perangkat lunak tertentu secara seragam. Standar biasanya bersifat wajib dan diterapkan secara keseluruhan pada organisasi. Dengan adanya standar maka dapat memudahkan penanganan perangkat keras dan lunak dalam perawatannya karena prosedur untuk penanganannya dapat diseragamkan juga

Guidelines Panduan hampir mirip dengan standar, tetapi tidak bersifat wajib dan hanya berupa rekomendasi untuk melakukan suatu tindakan.

Procedure Prosedur merupakan langkah- langkah detail yang harus diikuti dalam melakukan tugas tertentu. Tujuan dari prosedur adalah memberikan langkah-langkah spesifik untuk menerapkan kebijakan, standar, dan panduan yang sebelumnya sudah dibuat Procedure Include.............

Procedure Prosedur scanning komputer terhadap virus. Prosedur backup data pada server.  Prosedur pemasangan perangkat keras baru.  Prosedur instalasi aplikasi.  Prosedur menghadapi bencana kebakaran, banjir, huru hara dll.  Prosedur pembuatan password.  Prosedur penggantian perangkat keras yang rusak.  Prosedur penyimpanan file. 

ACCESS CONTROL SYSTEM & METHODOLOGY Kendali akses merupakan mekanisme dan metode untuk mengendalikan akses terhadap sistem informasi perusahaan, sehingga kerahasiaan, integritas, dan ketersediaan informasi dapat dilindungi dari pihak-pihak yang tidak berwenang

Control Administrative Controls Melakukan pemeriksaan latar belakang calon karyawan  Melakukan pelatihan pemahaman akan pentingnya keamanan  Penjadwalan cuti  Rotasi pekerjaan dan pembagian tanggung jawab pekerjaan  Penandaan dokumen sensitif/rahasia. 

Control Technical Controls Pembatasan kesalahan pada login. Misal, apabila user salah memasukkan user name atau password selama lima kali berturut- turut pada kurun waktu 1 jam, maka user tersebut akan diblokir tidak dapat masuk ke dalam sistem selama 24 jam berikutnya. Aktivitas ini akan dicatat pada log untuk keperluan audit. 

Control Physical Controls Penggunaan CCTV untuk memantau aktivitas pada tempat yang sensitif keamanannya, misalnya: pada ruang server Penggunaan magnetic ID card untuk dapat memasuki ruang server.

accountablE Dapat dipertanggung jawabkan Tidak bertentangan dengan peraturan UU yang berlaku, baik sumber inputnya, prosesnya, maupun peruntukan/ pemanfaatan outputnya Harus mencapai sasaran baik fisik, keuangan maunpun manfaat bagi kelancaran tugas

Identification Identifikasi merupakan mekanisme untuk mengenali subyek (pengguna, sistem) sebelum memperoleh akses ke sistem informasi.

Authentification Otentifikasi merupakan mekanisme verifikasi untuk membuktikan bahwa identitas yang di klaim oleh subyek untuk masuk ke dalam sistem informasi adalah benar. Otentikasi melakukan verifikasi berdasarkan tiga tipe faktor, yaitu:  Something you know Something you have Personal identity (fingerprint, bioretina, face, etc)

Otorization Otorisasi merupakan proses pemberian hak kepada subyek untuk melakukan akses terhadap sistem informasi sesuai dengan level akses yang telah ditentukan sebelumnya. Proses otorisasi dilakukan dengan mengacu pada access control matrix yang merupakan suatu tabel yang menerangkan tindakan yang dapat dilakukan oleh subyek terhadap sistem informasi. 

Accountability Akuntabilitas merupakan mekanisme untuk mencatat setiap aktivitas yang dilakukan oleh pengguna. Pencatatan ini dapat mempermudah proses audit terhadap sistem informasi dimana semua aktivitas dari setiap pengguna dapat dipertanggungjawabkan.

risk management Bentuk paling dasar dari manajemen keamanan informasi terdiri atas empat tahap yakni: Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut Menentukan kebijakan keamanan informasi Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

risk management Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Tolak ukur (benchmark) adalah tingkat kinerja yang disarankan. Tolak ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

risk management Standar atau tolak ukur biasanya ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas tersebut. Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance), dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.

RISIKO KEAMANAN INFORMASI Risiko Keamanan Informasi (Information Security Risk) : Pengungkapan Informasi yang tidak terotorisasi dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.

RISIKO KEAMANAN INFORMASI Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.