Kepatuhan Terhadap Security Budi Rahardjo Cisco Security Summit Shangri La Hotel, Jakarta, Desember 2005

Dec - Cisco Security Summit2 Top CIO Priorities Security 2.Disaster Recovery / Business Continuity 3.PC Replacements 4.Existing Application Upgrades 5.Compliance with Government Regulation

Dec - Cisco Security Summit3 Masalah keamanan Virus Phising Perangkat makin kecil –USB flash disk –Handphone berkamera Credit card fraud Internal fraud Banking fraud Telecommunication fraud … Mulai beranjak dari teknis (teknologi) ke masalah non-teknis –Manusia –Proses, Prosedur

Dec - Cisco Security Summit4 Masalah non-teknis Terkait dengan kebijakan keamanan (security policy) –Belum ada kebijakan –Kebijakan tidak diketahui keberadaannya –Kebijakan tidak dimengerti (lack of awareness) –Kebijakan tidak dipatuhi –Kebijakan tidak ditegakkan (lack of enforcement)

Dec - Cisco Security Summit5 Perlunya Kendali Perlu adanya kendali (control) untuk menangani masalah keamanan Tanpa kendali, resiko terlalu besar

Dec - Cisco Security Summit6 Kepatuhan (compliance) Kepatuhan terhadap regulasi –Dari Pemerintah / Regulator Sabarnes – Oxley (untuk perusahaan terbuka) –Dari Industri HIPPA – Kesehatan (USA) Basel II – Perbankan … –Umum ISO 17799: Code of practice for information security management Kebiasaan baik (best practice)

Dec - Cisco Security Summit7 ISO Merupakan “kelanjutan” dari British Standard (BS) 7799

Dec - Cisco Security Summit8 ISO control objectives 1.Security policy 2.Organizational security 3.Asset classification and control 4.Personel security 5.Physical and environmental security 6.Communication dan operations management 7.Access control 8.System development and maintenance 9.Business continuity management 10.Compliance

Dec - Cisco Security Summit9 Security Policy Policy Lifecycle –Development –Implementation –Maintenance –Disposal

Dec - Cisco Security Summit10 Organizational Security Information Security Infrastructure Management Information Security Forum Information Security Coordination Allocation of Information Security Responsibilities Authorisation process for information processing facilities … Security of third party access Identification of risk from third party access Security requirement from third party access Outsourcing Security requirements in outsourcing contracts

Dec - Cisco Security Summit11 Asset Classification & Control Aset harus diklasifikasikan berdasarkan tingkat keamanannya Bagaimana dengan aset informasi? Sudahkah Anda memiliki mekanisme untuk klasifikasi informasi?

Dec - Cisco Security Summit12 Personel Security Masalah paling sulit: manusia The man behind the gun! Masalah yang paling sedikit rujukannya

Dec - Cisco Security Summit13 Physical & Environmental Security Mulai mendapat perhatian –Permasalahan dengan akses ke data center –Adanya kasus pencurian perangkat Dahulu diabaikan karena dianggap “kurang bergengsi”

Dec - Cisco Security Summit14 Lebih jauh lagi ISO akan diadopsi menjadi Standar Nasional Indonesia (SNI) Siapkah Anda dan Perusahaan Anda?

Dec - Cisco Security Summit15 Penutup Masalah keamanan mulai mendapat perhatian dari pimpinan Mulai muncul aturan / regulasi yang terkait dengan masalah keamanan Kepatuhan terhadap regulasi ini menjadi perhatian banyak pihak