PROTECTION OF INFORMATION ASSETS PERTEMUAN - 12 PROTECTION OF INFORMATION ASSETS

INTRODUCTION Bahasan: Komponen-komponen utama untuk menjamin confidentiality, integrity, and availability (CIA) dari aset informasi. Desain, implementasi dan pengawasan kontrol akses fisik dan logik untuk menjamin CIA Keamanan infrastruktur jaringan, kontrol lingkungan, serta proses dan prosedur untuk store, retrieve, transport dan dispose aset informasi yang penting. Metode dan prosedur organisasi serta peran auditor dalam mengevaluasi prosedur-prosedur tersebut untuk kesesuaian dan efektivitas

OVERVIEW Importance of Information Security Management Logical Access Network Infrastructure Security Auditing Information Security Management Framework Auditing Network Infrastructure Security Environmental Exposures and Controls Physical Access Exposures and Controls Mobile Computing

1. Importance of Information Security Mgmt Faktor terpenting dalam perlindungan aset dan privasi adalah manajemen keamanan informasi. Sasaran pengamanan aset: Menjamin ketersediaan IS Menjamin integritas informasi dalam sistem komputer Menjamin kerahasiaan data sensitif dalam penyimpanan dan pengiriman Menjamin kepatuhan terhadap hukum, regulasi dan standar Menjamin ketepatan dengan kondisi dan kebutuhan individual maupun organisasi Integritas data/ informasi meliputi akurasi, kelengkapan, konsistensi (atau kenetralan), validitas, dan verifiability data sejak diinputkan ke sistem.

Key elements of Information Security Mgmt Kegagalan keamanan dapat menimbulkan kerugian bisnis, baik secara langsung saat kegagalan terjadi, maupun secara tidak langsung berupa biaya tambahan untuk memperbaiki sistem dan mencegah kegagalan terulang lagi. Elemen-elemen: Komitmen dan dukungan senior management Kebijakan dan prosedur Organisasi Kesadaran dan pendidikan keamanan Pengawasan dan kesesuaian Penanganan dan respon insiden

Privacy Management Issues & IS Auditor Role Persoalan privasi perlu penanganan berupa privacy impact analysis/ assessment yang: Mengidentifikasi informasi personal dalam proses bisnis Mendokumentasikan pengumpulan, penggunaan, batasan dan penghapusan informasi personal Menjamin akuntabilitas kemunculan masalah privasi Menjadi dasar kebijakan, operasi dan keputusan desain sistem berdasarkan resiko dan pilihan yang teridentifikasi untuk mitigasi resiko Auditor SI perlu melakukan: Identifikasi dan memahami hukum, regulasi dan kontrak terkait privasi Pengecekan apakah data sensitif personal telah dikelola dengan tepat Verifikasi ketepatan pengukuran keamanan Review kebijakan privasi manajemen

CSF to Information Security Management Komitmen dan dukungan manajemen senior untuk menyediakan pelatihan keamanan bagi karyawan Penerapan pendekatan berbasis resiko untuk mengidentifikasi sumber daya informasi yang sensitif dan kritis dan untuk memastikan bahwa tantangan dan resiko tersebut telah dipahami dengan baik

2. Logical Access Kontrol akses logik merupakan metode utama yang dapat digunakan untuk mengelola dan melindungi aset informasi. Serangan akses logik dapat berupa virus, worms, spyware, malware, logic bombs and trap doors, Denial of Service (DoS), dll Jalur akses logik: Jalur langsung, berupa akses langsung terminal pengguna ke mainframe Melalui LAN Melalui jaringan Internet Kontrol akses logik dapat diselaraskan dengan kebijakan dan prosedur manajemen dalam perlindungan aset serta mengurangi resiko hingga ke level yang dapat diterima dalam organisasi. Auditor SI harus memahami relasi tersebut, serta menganalisis dan evaluasi efektivitas kontrol akses logik terhadap sasaran keamanan dan menghindari kerugian yang mungkin muncul.

Logical access control software Dapat digunakan untuk mencegah akses dan modifikasi ilegal pada data sensitif organisasi dan penggunaan fungsi kritis sistem. Fungsi umum: Membuat atau mengubah profil pengguna Identifikasi dan otentikasi pengguna Menerapkan batasan logon pengguna Notifikasi penggunaan dan akses Akuntabilitas dan auditabilitas individual Menetapkan aturan untuk mengakses sumber daya informasi khusus Log events Laporan kemampuan sistem

Identification, authentication & authorization Identifikasi dan otentikasi diperlukan untuk mengenali pengguna Otentikasi dapat berupa: Something you know (mis. password) Something you have (mis. token card) Something you are/ do (mis. biometric feature) yang dapat digunakan salah satu/ gabungannya Otorisasi diperlukan untuk identifikasi dan membedakan pengguna, misalnya berdasarkan level akses: Read, inquiry, or copy only Write, create, update, or delete only Execute only A combination of the above

Storing, retrieving, transporting and disposing Manajemen juga harus menentukan prosedur untuk mencegah akses ilegal ke informasi dan PL sensitif dari komputer, disk, maupun perangkat/ media lain saat disimpan, dihapus, atau dipindahkan. Meliputi pengelolaan: File backup dari basis data Data banks Pembersihan media yang pernah menyimpan informasi rahasia Manajemen perangkat yang dikirim untuk maintenance di luar organisasi Agen publik dan organisasi yang berkepentingan pada informasi sensitif, kritis dan rahasia E-token electronic keys Penyimpanan data komersial

3. Network Infrastructure Security Contoh kontrol yang dapat diterapkan: Kontrol jaringan oleh individu yang terlatih dan berpengalaman Fungsi kontrol harus terpisah dari kegiatan operasional jaringan Operator memiliki hak akses terbatas untuk fungsi-fungsi tertentu PL kontrol jaringan harus mencatat setiap aktivitas operator Manajemen operasi harus mengevaluasi catatan secara rutin Standar dan protokol jaringan harus terdokumentasi Akses jaringan oleh teknisi sistem harus diawasi dan di-review Analisis dilakukan untuk memastikan workload balance dan efisiensi File identifikasi harus dikelola PL untuk otentikasi Enkripsi data digunakan untuk melindungi pengiriman data/ pesan

4. Auditing Information Security Mgmt Framework Meliputi: Audit akses logik Cek resiko keamanan yang dihadapi Cek ketersediaan kontrol jalur akses ke sistem (lengkap, efektif, efisien) Evaluasi lingkungan kontrol akses dan keamanannya Penggunaan teknik pengujian keamanan Tes kebutuhan perubahan periodik Tes dengan menonaktifkan/ menghapus ID dan password untuk logon Tes sintaks dari password (terlalu pendek, terlalu panjang, dst) Penggunaan teknik investigasi Investigasi computer crime Perlindungan bukti dan penelusuran lanjutannya

5. Auditing Network Infrastructure Security Auditor SI harus: Mereview diagram jaringan (LAN, WAN, MAN) dan komponennya yang mengidentifikasi infrastruktur jaringan dalam organisasi Mengidentifikasi desain jaringan yang diimplementasikan Menentukan kebijakan, standar, prosedur dan panduan yang tepat dalam manajemen dan penggunaan jaringan Mengidentifikasi siapa yang bertanggung jawab untuk keamanan dan operasi koneksi Internet, serta pengetahuan dan pengalamannya Mempertimbangkan permasalahan hukum yang mungkin muncul Jika layanan di-outsource-kan, review SLA dari layanan tersebut Review prosedur administrasi jaringan untuk memastikan bahwa komponen hardware dan software telah sesuai dengan kebutuhan

6. Environmental Exposures and Controls Masalah yang mungkin muncul: Total failure (blackout) – mati listrik Severely reduced voltage (brownout) – penurunan daya Sags, spikes and surges – penurunan/ peningkatan daya tiba-tiba Electromagnetic interference (EMI) Kontrol yang dapat diterapkan: Panel kontrol alarm Detektor air Fire extinguishers Alarm api manual Detektor asap Auditor harus mengecek kelengkapan kontrol dan prosedur penerapan kontrol tersebut

7. Physical Access Exposures and Controls Pelanggaran akses fisik dapat menyebabkan kerugian finansial, pelanggaran hukum, serta turunnya kredibilitas organisasi. Masalah-masalah akses fisik yang mungkin muncul: Penyusup Pencurian perangkat/ dokumen Copy informasi sensitif Kontrol yang dapat diterapkan: Pembatasan akses kunci pintu Kombinasi kunci pintu Kamera CCTV Penjaga keamanan

8. Mobile Computing Penggunaan perangkat mobile memungkinkan penyimpanan data sensitif pada PC, laptop dan disk, yang semakin mempersulit kontrol akses logik dan fisik. Resiko pelanggaran akses dapat dikurangi dengan: Menggunakan sistem pengunci yang dipasangi alarm Melakukan backup data kritis dan sensitif secara reguler Enkripsi data dengan PL enkripsi Gunakan password per individu

Tugas 2 After MID Cari UU ITE yang dikeluarkan Maret 2008, beberapa Pasal yang mengatur tentang perlindungan terhadap Informasi dan Transaksi Elektronik (ITE), hasilnya copy paste ke MS-Word Cari Sebuah situs yang terkait Multiple Protection dari eLearning atau eCommerce, minimal akses Loginnya menggunakan Username, password, dan Level Access. Nama file MS-word Nobp_Nama dikirim menggunakan attack file ke email : soe@upiyptk.org Note : Dikumpulkan paling Lambat Sabtu / 15 Desember 2014, Jam 00:00 WIB