keamanan informasi PERTEMUAN – 11 Mata Kuliah: Sistem Informasi Manajemen Toman Sony Tambunan, S.E, M.Si NIP. 19811203 200604 1 004 (Aparatur Sipil Negara, Akademisi, Penulis, Praktisi) Certified ’Auditor Ahli’ ; Certified ’Analis Kepegawaian Ahli’ Certified ’Keuangan Daerah’ ; Certified ’Pengadaan Barang Jasa Pemerintah’
MATERI : 1. Definisi dan Tujuan Keamanan Informasi. 2. Manajemen Keamanan Informasi. 3. Manajemen Risiko. 4. Kebijakan Keamanan Informasi.
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
KEAMANAN INFORMASI Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.
Tujuan Keamanan Informasi a). Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. b). Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. c). Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan Informasi Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM ).
Strategi Manajemen Keamanan Informasi Mengidentifikasi ancaman Mengidentifikasi risiko Tolok ukur Menentukan kebijakan keamanan informasi Menentukan kebijakan keamanan informasi Mengimplementasikan pengendalian Mengimplementasikan informasi Manajemen risiko Kepatuhan terhadap tolok ukur
Ancaman Ancaman Keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.
Jenis Ancaman a). Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. b). Selain virus ada terdapat pula worm, Trojan horse, adware, dan spyware.
Risiko Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Pengungkapan Informasi yang Terotorisasi dan Pencurian Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilki akses, hasilnya adalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.
Persoalan E-Commerce E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.
Kartu Kredit “Sekali Pakai” Pada september 2000, American Ekspress mengumumkan sebuak kartu kredit “sekali pakai” tindakan yang ditunjukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengguanaan internet.
Praktik Keamanan yang Diwajibkan oleh Visa a). Memasang dan memelihara firewall. b). Memperbaharui keamanan. c). Melakukan ekskripsi pada data yang di simpan. d). Melakukan ekskripsi pada data yang di kirimkan. e). Menggunakan dan memperbarui peranti lunak antivirus f). Membatasi akses data kepada orang-orang yang ingin tahu. g). Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data. h). Memantau akses data dengan ID unik. i). Tidak menggunakan kata sandi default yang disediakan oleh vendor. j). Secara teratur menguji sistem keamanan.
Manajemen Risiko a). Menganalisis kelemahan perusahaan tersebut. b). Identifikasi aset-aset bisnis yang harus dilindungi dari risiko. c). Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi. d). Menyadari risikonya.
Penyusunan Kebijakan Keamanan Tiru proyek Fase 1 Inisiasi proyek Komite pengawas proyek keamanan Pihak-pihak berminat dan terpengaruh Fase 2 Penyusunan kebijakan Fase 3 Konsultasi dan persetujuan Manajemen Fase 4 Kesadaran dan pendidikan Unit organisasi Fase 5 Penyebarlasan kebijkan Unit organisasi
Pengendalian Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan damak risiko tersebut pada perusahaan jika risiko tersebut terjadi.
Pengendalian Teknis Pengendalian teknis (technical control) adalah pengendalian yan menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.
Pengendalian Akses a). Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. b). Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui. c). Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu.
Firewall Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi. Fungsi Firewall sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.
Lokasi Fire Wall di Jaringan Firewall penyaring paket Internet Router Jaringan internal Komputer Firewall tingakat sirkuit Firewall tingkat aplikasi
Pengendalian Kriptografis Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat di enkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah Kesalahan penggunaan.
Pengendalian Fisik Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh darikota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.
Pengendalian Formal Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.
MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYA Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.perusahaan biasanya memilih dari daftar ini dan menetapkan kombinasi yang dianggap menawarkan pengamanan yang paling realistis.
Pengendalian Informal Pengendalian informal mencangkup program-program pelatihan dan edukasi serta program pembangunan dan manajemen. Pengendalian ini di tujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
Mencapai Tingkat Pengendalian Yang Tepat Ke tiga jenis pengendalian teknis, formal, dan informal mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan pengendalian harus ditetapkan pada tingkatan yang sesuai.
Dukungan Pemerintah dan Industri Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk manajemen risiko.
Contoh tingkat target keamanan a). BS7799 milik Inggris b). BSI IT Baseline Protection Manual c). COBIT d). GASSP e). ISF Standard of Good Practice
Peraturan Pemerintah Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standar dan menetapkan peraturan yang ditujukan untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan komputer. Beberapa diantaranya: a). Standar Keamanan Komputer Pemerintah Amerika Serikat. b). Undang-Undang Antiterorisme, kejahatan, dan keamanan Inggris (ATSCA) 2001.
Standar Industri The Center for Internet Security (CIS) adalah organisasi yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk yaitu: CIS Benchmark dan CSI Scoring tools.
Sertifikasi Profesional Mulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini. a). Asosiasi Audit Sistem dan Pengendalian. b). Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional. d). Institut SANS.
Meletakan Manajemen Keamanan Informasi Pada Tempatnya Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri.
Manajemen Keberlangsungan Bisnis Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan Bisnis ( business continuity management-BCM). Pada tahun-tahun awal penggunaan komputer, aktifitas ini disebut perencanaan besar (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi populer. Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan,atau ancaman gangguan pada operasi komputasi perusahaan.
Subrencana manajemen kelangsungan bisnis yang umum mencakup: a) Subrencana manajemen kelangsungan bisnis yang umum mencakup: a). Rencana darurat: menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. b). Rencana cadangan: perusahaan mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan. c). Rencana catatan penting: catatan penting perusahaan adalah dokumen kertas dan media penyimpanan yang penting untukmeneruskan bisnis perusahaan tersebut.
SEKIAN & TERIMA KASIH