MANAJEMEN KEAMANAN SISTEM INFORMASI ksi 1601 / 2 sks Antonius C.P. & Yanuar Nurdiansyah

Materi (1) Introduksi Keamanan Informasi Kebutuhan akan Keamanan Legalitas, Etika dan Permasalahan Keamanan Informasi Managemen Resiko Perencanaan Keamanan Teknologi Keamanan: Firewall dan VPN

Materi (2) Teknologi Keamanan: Deteksi Intrusi, Kontrol Akses dan Peralatan Keamanan Lainnya Kriptografi Keamanan Fisik Implementasi Keamanan Informasi Keamanan dan Personel Pengelolaan Keamanan Informasi

Sumber pustaka Harold F. Tipton & Micki Krause, Information Security Management Handbook, Auerbach Publications, 2005 Michael E. Whitman & Herbert J. Mattord, Principles of Information Security, Course Technology, 2012

Kebutuhan akan keamanan informasi Antonius C.P. & Yanuar Nurdiansyah

Informasi Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information- based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).

Masalah (1) Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, terus meningkat karena beberapa hal: Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.

Masalah (2) Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.

Masalah (3) Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.

Pentingnya Keamanan SI Mengapa keamanan sistem informasi diperlukan ? Teknologi komunikasi modern (mis: Internet) membawa beragam dinamika dari dunia nyata ke dunia virtual Dalam bentuk transaksi elektronis (mis: e-banking) atau komunikasi digital (mis: e-mail, messenger) Membawa baik aspek positif maupun negatif (contoh: pencurian, pemalsuan, penggelapan, …) Informasi memiliki “nilai” (ekonomis, politis)  obyek kepemilikan yang harus dijaga Kartu kredit Laporan keuangan perusahaan Dokumen-dokumen rancangan produk baru Dokumen-dokumen rahasia kantor/organisasi/perusahaan

Pentingnya Keamanan SI Mengapa sistem informasi rentan terhadap gangguan keamanan Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) Tidak ada batas fisik dan kontrol terpusat Perkembangan jaringan (internetworking) yang amat cepat Sikap dan pandangan pemakai Aspek keamanan belum banyak dimengerti Menempatkan keamanan sistem pada prioritas rendah Ketrampilan (skill) pengamanan kurang

Keamanan Sistem Informasi Keamanan merujuk pada kualitas untuk bebas dari bahaya. Misi utama keamanan informasi adalah untuk memastikan sistem dan isinya tetap sama Jika tidak ada gangguan (threat), sumberdaya dapat difokuskan untuk memperbaiki sistem, menjadikannya mudah digunakan dan berdayaguna Serangan pada sistem informasi merupakan sebuah kejadian harian

Threat (Ancaman) Merupakan suatu obyek, personal atau aktor lainnya yang merepresentasikan sebuah gangguan tetap terhadap sebuah aset

Macam-macam Ancaman

Serangan (Attack) Serangan merukan sebuah aksi secara sengaja untuk mengeksploitasi sebuah kelemahan sistem guna mengacaukan sistem tersebut Sebuah serangan dilakukan oleh sebuah agen pengganggu yang merusak atau mencuri informasi organisasi atau aset fisik

Vektor-vektor serangan

Beberapa Jenis Serangan/Gangguan Serangan untuk mendapatkan akses (access attacks) Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi Serangan untuk melakukan modifikasi (modification attacks) Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah Serangan untuk menghambat penyediaan layanan (denial of service attacks) Menghambat penyediaan layanan dengan cara mengganggu jaringan komputer

Beberapa Cara Melakukan Serangan Sniffing (Tipuan) Memanfaatkan metode broadcasting dalam LAN “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer Mencegah efek negatif sniffing Pendeteksian sniffer (local & remote) Penggunaan kriptografi (mis: ssh sbg pengganti telnet)

Beberapa Cara Melakukan Serangan Spoofing (Tipuan) Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password) Client Penyerang Server Logon Invalid logon Client Server Logon Logon berhasil Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server

Beberapa Cara Melakukan Serangan Man-in-the-middle Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) Client Man-in-the-middle Server

Beberapa Cara Melakukan Serangan Menebak password Dilakukan secara sistematis dengan teknik brute-force atau dictionary Teknik brute-force: mencoba semua kemungkinan password Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)

Modification Attacks Biasanya didahului oleh access attack untuk mendapatkan akses Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi Contoh: Pengubahan nilai kuliah Penghapusan data utang di bank Mengubah tampilan situs web

Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb) Teknik DoS Mengganggu aplikasi (mis: membuat webserver down) Mengganggu sistem (mis: membuat sistem operasi down) Mengganggu jaringan (mis: dengan TCP SYN flood)

Keamanan Sistem Informasi Untuk melindungi informasi dan sistemnya dari bahaya, sarana-sarana seperti kebijakan, kewaspadaan, pelatihan, edukasi dan teknologi sangat diperlukan. Sistem Informasi mencakup aspek hardware, software, storage media, data dan manusia. Semua komponen-komponen tersebut bekerjasama utk mengelola dan menghasilkan Informasi Nilai informasi menentukan tingkat sekuriti yang perlu disediakan Melindungi informasi, berarti melindungi semua aspek sistem informasi. Segitiga C.I.A. (Confidentiality, Integrity dan Availability) merupakan standar industri untuk keamanan komputer sejak sistem dibangun

Confidentiality Bagaimana menyembunyikan informasi atau sumberdaya Tujuannya mencegah akses yg tidak terotorisasi (unauthorized) terhadap informasi/sumberdaya Contoh: kriptografi

Integrity Apakah data/info bisa dipercaya atau tidak Yang dimaksud dengan integritas: Integritas isi informasi Integritas sumber informasi • Mekanisme integritas: Pencegahan (prevention) Deteksi (detection)

Availability Apakah data bisa diakses/ digunakan atau tidak. Sejauh mana kita bisa menjamin avalability data dengan confidentiality dan integrity yang terjamin.

Keamanan informasi berperan dalam Melindungi fungsi organisasi Memungkinkan operasi yang aman bagi aplikasi yang diimplementasikan dalam sistem IT organisasi Melindungi organisasi data: pengumpulan dan penggunannya Melindungi aset teknologi yang digunakan dalam organisasi