Security MANAGEMENT PRACTICES This presentation demonstrates the new capabilities of PowerPoint and it is best viewed in Slide Show. These slides are designed to give you great ideas for the presentations you’ll create in PowerPoint 2010! For more sample templates, click the File tab, and then on the New tab, click Sample Templates.

Overview Domain Security Management Practices menjabarkan tentang: proses identifikasi aset perusahaan proses identifikasi aset informasi perusahaan pengembangan dan implementasi dari kebijakan, standar, panduan dan prosedur untuk menentukan tingkat pengamanannya

Overview Domain Security .............. Aset informasi merupakan aset yang paling penting dalam perusahaan dan menjadi nilai strategis bagi perusahaan dalam kompetisi dengan perusahaan sejenis. Oleh karena itu faktor penting dalam nilai suatu informasi (yaitu: kerahasiaan, integritas, dan ketersediaan) merupakan faktor yang harus dikelola dengan baik oleh perusahaan melalui implementasi kebijakan keamanan, agar informasi penting perusahaan terlindung dari berbagai ancaman. 

Company Asset Identification Aset Fisik Gedung, tanah, server, pc client, dll Aset Informasi OS Server, OS Client, Office Application, Finance and Accounting Application, Finance Information, dll

Asset Threat Pencurian (fisik dan non fisik) Data loss kegagalan hardware, malfungsi dari aplikasi, human error, virus dll Pengubahan yang tidak diinginkan Penggunaan yang tidak diinginkan Serangan dari luar

Asset Threat Sumber ancaman : Ancaman Internal dan Eksternal Orang Organisasi Mekanisme Peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.  Ancaman Internal dan Eksternal Kecelakaan dan Tindakan disengaja

Implementation of Security Policy Kebijakan keamanan merupakan dasar dari implementasi keamanan yang bersifat teknis Penyusunan kebijakan keamanan ini menjadi begitu penting agar pengaturan keamanan menjadi lebih efektif dan terfokus

Implementation of Security Policy Prinsip dasar bagi pembuatan kebijakan Keamanan Informasi Kebijakan keamanan informasi sujalan dengan visi dan misi organisasi. Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen. Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai. Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen resmi.

Implementation of Security Policy Prinsip dasar .......... Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar organisasi harus dituangkan secara jelas. Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi. Melakukan evaluasi keamanan informasi secara periodik. Sosialisasi kebijakan keamanan informasi

Policy Kebijakan penggunaan komputer Kebijakan penggunaan sambungan internet dan email Kebijakan password Kebijakan pengamanan data Kebijakan pengamanan server dan jaringan Kebijakan keamanan fisik

Standards Standar menentukan penggunaan teknologi perangkat keras dan perangkat lunak tertentu secara seragam. Standar biasanya bersifat wajib dan diterapkan secara keseluruhan pada organisasi. Dengan adanya standar maka dapat memudahkan penanganan perangkat keras dan lunak dalam perawatannya karena prosedur untuk penanganannya dapat diseragamkan juga

Guidelines Panduan hampir mirip dengan standar, tetapi tidak bersifat wajib dan hanya berupa rekomendasi untuk melakukan suatu tindakan.

Procedure Prosedur merupakan langkah- langkah detail yang harus diikuti dalam melakukan tugas tertentu. Tujuan dari prosedur adalah memberikan langkah-langkah spesifik untuk menerapkan kebijakan, standar, dan panduan yang sebelumnya sudah dibuat Procedure Include.............

Procedure Prosedur scanning komputer terhadap virus. Prosedur backup data pada server.  Prosedur pemasangan perangkat keras baru.  Prosedur instalasi aplikasi.  Prosedur menghadapi bencana kebakaran, banjir, huru hara dll.  Prosedur pembuatan password.  Prosedur penggantian perangkat keras yang rusak.  Prosedur penyimpanan file. 

ACCESS CONTROL SYSTEM & METHODOLOGY Kendali akses merupakan mekanisme dan metode untuk mengendalikan akses terhadap sistem informasi perusahaan, sehingga kerahasiaan, integritas, dan ketersediaan informasi dapat dilindungi dari pihak-pihak yang tidak berwenang

Control Administrative Controls Melakukan pemeriksaan latar belakang calon karyawan  Melakukan pelatihan pemahaman akan pentingnya keamanan  Penjadwalan cuti  Rotasi pekerjaan dan pembagian tanggung jawab pekerjaan  Penandaan dokumen sensitif/rahasia. 

Control Technical Controls Pembatasan kesalahan pada login. Misal, apabila user salah memasukkan user name atau password selama lima kali berturut- turut pada kurun waktu 1 jam, maka user tersebut akan diblokir tidak dapat masuk ke dalam sistem selama 24 jam berikutnya. Aktivitas ini akan dicatat pada log untuk keperluan audit. 

Control Physical Controls Penggunaan CCTV untuk memantau aktivitas pada tempat yang sensitif keamanannya, misalnya: pada ruang server Penggunaan magnetic ID card untuk dapat memasuki ruang server.

accountablE Dapat dipertanggung jawabkan Tidak bertentangan dengan peraturan UU yang berlaku, baik sumber inputnya, prosesnya, maupun peruntukan/ pemanfaatan outputnya Harus mencapai sasaran baik fisik, keuangan maunpun manfaat bagi kelancaran tugas

Identification Identifikasi merupakan mekanisme untuk mengenali subyek (pengguna, sistem) sebelum memperoleh akses ke sistem informasi.

Authentification Otentifikasi merupakan mekanisme verifikasi untuk membuktikan bahwa identitas yang di klaim oleh subyek untuk masuk ke dalam sistem informasi adalah benar. Otentikasi melakukan verifikasi berdasarkan tiga tipe faktor, yaitu:  Something you know Something you have Personal identity (fingerprint, bioretina, face, etc)

Otorization Otorisasi merupakan proses pemberian hak kepada subyek untuk melakukan akses terhadap sistem informasi sesuai dengan level akses yang telah ditentukan sebelumnya. Proses otorisasi dilakukan dengan mengacu pada access control matrix yang merupakan suatu tabel yang menerangkan tindakan yang dapat dilakukan oleh subyek terhadap sistem informasi. 

Accountability Akuntabilitas merupakan mekanisme untuk mencatat setiap aktivitas yang dilakukan oleh pengguna. Pencatatan ini dapat mempermudah proses audit terhadap sistem informasi dimana semua aktivitas dari setiap pengguna dapat dipertanggungjawabkan.

risk management Bentuk paling dasar dari manajemen keamanan informasi terdiri atas empat tahap yakni: Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut Menentukan kebijakan keamanan informasi Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

risk management Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Tolak ukur (benchmark) adalah tingkat kinerja yang disarankan. Tolak ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

risk management Standar atau tolak ukur biasanya ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas tersebut. Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance), dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.

RISIKO KEAMANAN INFORMASI Risiko Keamanan Informasi (Information Security Risk) : Pengungkapan Informasi yang tidak terotorisasi dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.

RISIKO KEAMANAN INFORMASI Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.