Pengantar Keamanan Informasi

Slides:



Advertisements
Presentasi serupa
Risk Assessment (Penilaian Resiko)
Advertisements

SOP 03 : PEDOMAN MANAJEMEN RESIKO PENUGASAN
MANAJEMEN RISIKO PROYEK
Keamanan Jaringan Komputer Komponen Keamanan Komputer
CRM Development Strategy
Kebijakan dan Strategi Pengaturan Terhadap Infrastruktur ICT Vital Budi Rahardjo Institut Teknologi Bandung.
Management Risiko.
Manajemen Resiko Proyek
Oleh : Saripudin,MT.  After studying this chapter, you will be able to:  Recognize the difficulties in managing information resources.  Understand.
RUANG LINGKUP MANAJEMEN RISIKO
Control Objectives for Information and related Technology
Konsep Risiko & Sistem Pengendalian Intern
AUDIT SISTEM INFORMASI
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Manajemen Resiko 1.
PENDAHULUAN Perkembangan Teknologi Informasi (TI)
Pengantar Manajemen Resiko
Manajemen Sumber Daya Teknologi Informasi
MANAJEMEN PROYEK PERANGKAT LUNAK
ATM Hak Akses dan Keamanan ASET PENGETAHUAN PERGURUAN TINGGI
KEAMANAN DAN PENGENDALIAN SISTEM
PROTEKSI ASET INFORMASI
Keamanan PC dan LAN.
KEAMANAN SISTEM INFORMASI
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
Dosen : Yusuf Kurniawan, Dr. Ir.
Rahmat Robi Waliyansyah, M.Kom.
SISTEM KEAMANAN KOMPUTER
Estimasi anggaran proyek sistem informasi
E- BUSINESS SECURITY.
RUANG LINGKUP MANAJEMEN RISIKO
DATABASE ADMINISTRATION
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
Manajemen Risiko TI Magister Teknologi Informasi Universitas Indonesia
MANAJEMEN RISIKO PROYEK
DISASTER RECOVERY.
SOP DAN AUDIT KEAMANAN.
Keamanan Sistem Informasi
Prinsip-Prinsip Pengukuran Risiko
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
MANAJEMEN RISIKO PROYEK
ETIKA, GANGGUAN DAN PERANCANGAN SISTEM KEAMANAN KOMPUTER
Kuesioner Pengelolaan Teknologi Informasi berdasarkan CobIT
Database Change Management source : Database Administration the complete guide to practices and procedures chapter 7 by. Craig S. Mullins.
Keamanan.
KEAMANAN INFORMASI INFORMATION SECURITY
PERTEMUAN 6 SISTEM INFORMASI SUMBER DAYA INFORMASI PENDAHULUAN
KONSEP DAN MEKANISME 2.1 Threats (Ancaman)
Keamanan Informasi dan Administrasi jaringan
DATABASE ADMINISTRATION
PENGIDENTIFIKASIAN RESIKO OLEH : ROBANIA AFIATI
Manajemen Resiko TI dan Sistem Informasi
Manajemen Resiko Dalam Pengembangan SI
Keamanan Komputer Komponen Keamanan Komputer X.800 Standar OSI
PENDAHULUAN Perkembangan Teknologi Informasi (TI)
PROGRAM KAMPANYE PENDIDIKAN KEAMANAN INFORMASI 25 Maret, 2017.
HAZARD MANAGEMENT Keselamatan Kerja.
Pentingnya Audit Sistem Informasi
Keamanan Informasi Week1-Prolog, silabus,
Manajemen Resiko 1.
Security+ Guide to Network Security Fundamentals
PENDAHULUAN Perkembangan Teknologi Informasi (TI)
Tri rahajoeningroem, MT Jurusan Manajemen Informatika UNIKOM
Manajemen Resiko 1.
SISTEM KEAMANAN KOMPUTER
PENDAHULUAN Perkembangan Teknologi Informasi (TI)
PENDAHULUAN Perkembangan Teknologi Informasi (TI)
Keamanan Sistem E-Bisnis
Computer Network Defence
RESIKO USAHA, RESIKO INFORMASI DAN RESIKO AUDIT SERTA PROSEDUR TELAAH ANALITIS KHAERANI M A HAYU A MAYA C.
Transcript presentasi:

Pengantar Keamanan Informasi

Resiko & sistem keamanan Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan perusahaan” Sistem keamanan: “Semua tindakan yang dilakukan maupun aset yang digunakan untuk menjamin keamanan perusahaan”

Klasifikasi resiko Hazard risk: fire, flood, theft, etc. Financial risk: price, credit, inflation, etc. Strategic risk: competition, technological innovation, regulatory changes, brand image damage etc. Operational risk: IT capability, business operations, security threat, etc. …

Resiko sebagai ‘fungsi’ RISK = Probability x Frequency x Impact RISK Threats + Vulnerability + Asset value

Klasifikasi ancaman dikaitkan dengan informasi dan data Loss of confidentiality of information Informasi diperlihatkan kepada pihak yang tidak berhak untuk melihatnya Loss of integrity of information Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi Loss of availability of information Informasi tidak tersedia saat dibutuhkan Loss of authentication of information Informasi tidak benar atau tidak sesuai fakta atau sumbernya tidak jelas

Metodologi Manajemen Resiko Identifikasi Aset Analisis Resiko Tindak Lanjut

1-Identifikasi Aset Aset informasi: database, file data, dokumentasi sistem,manual pengguna, materi training, prosedur Aset perangkat keras: perangkat komputer (server, storage, workstation dll), perangkat jaringan (router, switch, hub, modem dll), perangkat komunikasi (PABX, telepon, facsimile), termasuk komponen di dalam perangkat

Identifikasi Aset (cont’d) Aset perangkat lunak: sistem operasi, perangkat lunak aplikasi, perangkat lunak bantu Aset infrastruktur: power supply, AC, rak Aset layanan: layanan komputer dan komunikasi FAZ: manusia  aset?

Dasar penilaian terhadap aset Nilai beli: pembelian awal dan biaya pengembangan aset Nilai wajar pasar Nilai buku: nilai pembelian dikurangi penyusutan

Pentingnya nilai aset Bisa digunakan untuk menentukan analisis biaya-keuntungan Bisa digunakan untuk keperluan asuransi Dapat membantu pengambil keputusan dalam memilih tindakan penanggulangan terhadap pelanggaran keamanan

Klasifikasi nilai aset Rendah: kehilangan fungsi aset tidak mengganggu proses bisnis untuk sementara waktu Sedang: kehilangan fungsi aset mengganggu proses bisnis Tinggi: kehilangan fungsi aset menghentikan proses bisnis

Identifikasi Aset Analisis Resiko Tindak Lanjut

“Mencegah lebih baik daripada memperbaiki” 2- Analisis resiko “Mencegah lebih baik daripada memperbaiki”

Perlunya analisis resiko Memberi gambaran biaya perlindungan keamanan Mendukung proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan Menentukan aset tambahan (orang, HW, SW, infrastruktur, layanan)

Perlunya analisis resiko (cont’d) Memperkirakan aset mana yang rawan terhadap ancaman Memperkirakan resiko apa yang akan terjadi terhadap aset Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali

Pendekatan analisis resiko Kuantitatif: pendekatan nilai finansial Kualitatif: menggunakan tingkatan kualitatif Bisa dilakukan secara bersama atau terpisah  pertimbangan waktu dan biaya

Analisis resiko kuantitatif NILAI FINANSIAL Dapat dijabarkan dlm bentuk neraca, laporan tahunan, analisis pasar dll Digunakan untuk mengestimasi dampak, frekuensi, dan probabilitas

Annualized Loss Expectation ALE = nilai aset x EF x ARO ALE: Annualized Loss Expectation (perkiraan kerugian per tahun) EF: Exposure factor (persentase kehilangan karena ancaman pada aset tertentu) ARO: Annualized Rate of Occurrence (perkiraan frekuensi terjadinya ancaman per tahun)

Analisis resiko kualitatif Penilaian terhadap aset, ancaman, kemungkinan dan dampak terjadinya resiko menggunakan ranking atau tingkatan kualitatif Lebih sering digunakan daripada metode kuantitatif

Pendekatan kualitatif lebih sering digunakan Sulitnya melakukan kuantifikasi terhadap nilai suatu aset (contoh: informasi) Sulitnya mendapatkan data statistik yang detail mengenai kecelakaan komputer Buruknya pencatatan insiden komputer dalam perusahaan (banyak hal [angka] sebenarnya bisa diambil dari sejarah) Kesulitan dan mahalnya melakukan prediksi masa depan

Kuantitatif vs kualitatif

Identifikasi Aset Analisis Resiko Tindak Lanjut

3-Respon terhadap resiko Avoidance: pencegahan terjadinya resiko Transfer: pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi Mitigation: pengurangan probabilitas terjadinya resiko dan/atau pengurangan nilai resiko Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency plan

Matriks pengelolaan resiko

Mitigasi Pendekatan yang paling umum dilakukan Melibatkan: Penyusunan kendali untuk mengurangi dampak resiko Kemampuan pengawasan untuk menjamin analisis yang benar terhadap resiko The most important element of any risk management effort is managing risk to an acceptable level

IT Security Risks Major Areas Asset protection: bagaimana kita menjamin sumber daya organisasi tetap aman, hanya bisa diakses oleh yang berhak untuk keperluan yang benar? Service continuity: bagaimana kita menjamin ketersediaan layanan -tanpa penurunan kualitas- untuk pegawai, partner, dan pelanggan? Compliance: bagaimana kita membuktikan bahwa semua requirement dari regulasi telah terpenuhi?

Terima Kasih