Information Security Edhot Purwoko,ST,MTI

Learning Objectives Memahami kebutuhan organisasi akan kebutuhan keamanan dan kontrol informasi Mengetahui bahwa keamanan informasi terkait dengan pengamanan semua sumber informasi, tidak hanya hardware dan data. Mengetahui tiga tujuan utama dari keamanan informasi Mengetahui bahwa manajemen keamanan informasi terdiri dari dua area yaitu information security management (ISM) dan business continuity management (BCM) Melihat hubungan logis antara ancaman, resiko dan pengendalian

Learning Objectives (Cont’d) Mengenal pentingnya keamanan dalam e-commerce dan bagaimana perusahaan kartu kredit berhadapan dengannya Familiar dengan langkah formal yang melibatkan manajemen resiko Mengetahui proses implementasi sebuah kebijakan keamanan informasi Mengetahui bagaimana mendapatkan sertifikat profesional dalam keamanan dan kontrol Mengetahui jenis rencana yang termasuk dalam contigency plan

Organizational Needs for Security and Control Pengalaman menginspirasikan industri untuk: Menempatkan keamanan pencegahan tindakan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau kehancuran. Menyediakan perusahaan kemampuan untuk melanjutkan operasional setelah gangguan.

Information Security Keamanan sistem berfokus melindungi perangkat keras, data, perangkat lunak, fasilitas komputer, dan personal. Keamanan informasi mendeskripsikan perlindungan baik peralatan komputer dan non-peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-pihak yang tidak berwenang. Termasuk mesin fotokopi, fax, semua jenis media, dokumen kertas

Tujuan Keamanan Sistem Keamanan informasi ini dimaksudkan untuk mencapai tiga tujuan utama: Confidentiality: Melindungi data perusahaan dan informasi dari pengungkapan orang yang tidak berhak. Availability: Memastikan bahwa data perusahaan dan informasi hanya tersedia bagi mereka yang berwenang untuk menggunakannya Integrity: Sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka wakili. Sistem informasi perusahaan harus melindungi data dan informasi dari penyalahgunaan, memastikan ketersediaan untuk pihak pengguna, menampilkan keakuratannya.

Management of Information Security Information security management (ISM) adalah Aktifitas untuk menjaga sumber daya informasi tetap aman Business continuity management (BCM) Adalah aktifitas menjaga fungsi perusahaan dan sumber informasi setelah sebuah bencana Corporate information systems security officer (CISSO) adalah Bertanggung jawab atas keamanan sistem informasi perusahaan Corporate information assurance officer (CIAO) Melaporkan kepada CEO dan mengelola sebuah unit information assurance

Information Security Management Terkait dengan perumusan kebijakan keamanan informasi perusahaan. Pendekatan manajemen risiko berbasis keamanan sumber daya informasi perusahaan pada risiko (ancaman dikenakan) yang dihadapinya. Information security benchmark adalah tingkat keamanan yang direkomendasikan bahwa dalam keadaan normal harus menawarkan perlindungan wajar terhadap gangguan yang tidak sah. Benchmark adalah suatu tingkat kinerja yang direkomendasikan Ditetapkan oleh pemerintah dan asosiasi industri Wewenang apa diyakini sebagai komponen dari suatu program keamanan informasi yang baik. Kepatuhan Benchmark/Benchmark compliance adalah ketika sebuah perusahaan mematuhi patokan keamanan informasi dan standar yang direkomendasikan oleh industri yang berwenang.

Figure 9.1 Information Security Management (ISM) Strategies

Ancaman/Threat Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa yang mempunyai potensi untuk menimbulkan kerugian pada sumber daya informasi perusahaan. Internal and external threats Internal mencakup karyawan perusahaan, para pekerja sementara, konsultan, kontraktor, dan bahkan mitra bisnis. Sebesar 81% kejahatan komputer telah dilakukan oleh karyawan. ancaman internal berpotensi kerusakan lebih serius karena Kebetulan dan disengaja

Figure 9.2 Unauthorized Acts Threaten System Security Objectives

Types of Threats Malicious software(malware) terdiri dari program-program lengkap atau segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem (yaitu, menghapus file, sistem berhenti, dll) Virus adalah program komputer yang dapat menggandakan dirinya sendiri tanpa dapat diamati pengguna dan menanamkan salinan dirinya dalam program lain dan boot sektor. Worm tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat mengirimkan copynya melalui e-mail. Trojan horse didistribusikan oleh pengguna sebagai utilitas dan ketika utilitas yang digunakan, menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem; tidak dapat mereplikasi atau menggandakan sendiri. Adware menghasilkan pesan iklan yang mengganggu Spyware mendapatkan data dari mesin pengguna

Risks Risiko keamanan informasi potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi semua risiko merupakan tindakan yang tidak sah Pengungkapan informasi yang tidak terotorisasi dan pencurian Penggunaan yang tidak terotorisasi Penghancuran yang tidak terotorisasi dan penolakan layanan(Denial of Service) Perubahan yang tidak terotorisasi

E-commerce Considerations Disposable credit card/Kartu kredit “sekali pakai”(AMEX) - suatu tindakan yang ditujukan pada 60 sampai 70% dari konsumen yang takut penipuan kartu kredit yang timbul dari penggunaan internet. Visa's memerlukan 10 praktik keamanan bagi para pengecer ditambah 3 praktik umum untuk mencapai keamanan informasi di semua kegiatan pengecer. Cardholder Information Security Program (CISP) ditambah praktek-praktek yang diperlukan

Sepuluh Praktik Keamanan yang dilakukan VISA Retailer harus: Memasang dan memelihara firewall Memperbaharui keamanan Melakukan enkripsi pada data yang disimpan Melakukan enkripsi pada data yang akan dikirim Menggunakan dan memperbaharui piranti lunak antivirus Membatasi akses data kepada orang-orang yang ingin tahu Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data Memantau akses data dengan data ID unik Tidak menggunakan kata sandi default yang disediakan oleh vendor Secara teratur menguji sistem keamanan

Risk Management Mendefinisikan resiko terdiri dari 4 tahap Identifikasi aset bisnis yang harus dilindungi dari resiko Menyadari resikonya Menentukan tingkat dampak dalam perusahaan jika resiko benar-benar terjadi Menganalisa kelemahan perusahaan Tingkat keparahan dampak dapat diklasifikasikan sebagai Dampak yang parah(Severe impact) membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi Dampak minor(Minor impact) menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari

Table 9.1 Degree of Impact and Vulnerability Determine Controls

Risk Analysis Report Hasil temuan sebaiknya didokumentasikan dalam laporan analisa resiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini Deskripsi resiko Sumber resiko Tingginya tingkat resiko Pengendalian yang diterapkan pada resiko tersebut Pemilik-pemilik resiko Tindakan yang direkomendasikan untuk mengatasi resiko Jangka waktu yang direkomendasikan untuk mengatasi resiko Apa yang telah dilaksanakan untuk mengatasi resiko tersebut

Kebijakan Keamanan Informasi Lima phase implementasi kebijakan Phase 1: Inisialisasi proyek Phase 2: Pengembangan kebijakan. Phase 3: Konsultasi dan persetujuan. Phase 4:Kesadaran dan edukasi. Phase 5: Penyebarluasan kebijakan.

Figure 9.3 Development of Security Policy

Controls/Pengendalian Control adalah sebuah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Technical controls adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Termasuk internal auditor dalam project team Berdasarkan teknologi hardware dan software

Technical Controls Access control adalah dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi Access control dilakukan melalui proses tiga tahap yang mencakup User identification. User authentication. User authorization. Profil pengguna- deskripsi pengguna yang terotorisasi; digunakan dalam identifikasi dan authorisasi

Figure 9.4 Access Control Functions

Technical Controls (Cont’d) Intrusion detection systems (IDS) mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan Perangkat lunak proteksi virus yang telah terbukti efektif melawan virus yang terkirim melalui email Identifikasi pesan pembawa virus dan memperingatkan pengguna. Tools Prediksi ancaman dari dalam mengklasifikasikan ancaman sebagai berikut Ancaman yang disengaja Potensi ancaman tidak disengaja mencurigakan Tidak berbahaya(Harmless)

Firewalls Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall: Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan jaringan internal router tersebut dapat berlaku sebagai firewall Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan Alamat IP(IP address) adalah serangkaian empat angka(masing-masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing komputer yang terhubung ke internet Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada router Memungkinkan tingkat otentikasi dan penyaringan yang tinggi Firewall tingkat aplikasi berlokasi antara router dan komputer yang menjalankan aplikasi tersebut Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.

Figure 9.5 Location of Firewalls in the Network

Cryptographic and Physical Controls Cryptography adalah menggunakan pengkodean yang menggunakan proses-proses matematika Data dan informasi dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan. Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan. Protocol khusus sepert SET(Secure Electronin Transactions) melakukan pengecekan keamanan menggunakan tanda tangan digital dikembangkan dalam e-commerce Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan Syria Physical controls melindungi dari gangguan yang tidak terotorisasi seperti kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan penjaga keamanan. Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badai

Formal Controls Formal control mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku Management memerlukan banyak waktu untuk menyusunnya. Mendokumentasikan dalam bentuk tertulis Diharapkan dapat berlaku untuk jangka waktu yang panjang Top management harus berpartisipasi aktif dalam menentukan dan memberlakukannya

Informal Controls Edukasi Program pelatihan Program pengembangan management Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut

Government and Industry Assistance United Kingdom's BS7799. The UK standards establish a set of baseline controls. They were first published by the British Standards Institute in 1995, then published by the International Standards Organization as ISO 17799 in 2000, and made available to potential adopters online in 2003. BSI IT Baseline Protection Manual. The baseline approach is also followed by the German Bundesamt fur Sicherheit in der Informationstechnik (BSI). The baselines are intended to provide reasonable security when normal protection requirements are intended. The baselines can also serve as the basis for higher degrees of protection when those are desired. COBIT. COBIT, from the Information Systems Audit and Control Association and Foundation (ISACAF), focuses on the process that a firm can follow in developing standards, paying special attention to the writing and maintaining of the documentation. GASSP. Generally Accepted System Security Principles (GASSP) is a product of the U. S. National Research Council. Emphasis is on the rationale for establishing a security policy. ISF Standard of Good Practice. The Information Security Forum Standard of Good Practice takes a baseline approach, devoting considerable attention to the user behavior that is expected if the program is to be successful. The 2005 edition addresses such topics as secure instant messaging, Web server security, and virus protection.

Government Legislation Both United States and United Kingdom established standards and passed legislation aimed at addressing the increasing importance of information security. U.S. Government Computer Security Standards. Set of security standards organizations should meet. Availability of software program that grades users’ systems and assists them in configuring their systems to meet standards. U.K. Anti-terrorism, Crime and Security Act (ATCSA) 2001.

Industry Standards Center for Internet Security (CIS) adalah organisasi nonprofit didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. CIS Benchmarks membantu mengamankan pengguna mengamankan sistem informasi dengan cara menerapkan pengendalian khusus teknologi CIS Scoring Tools memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem

Professional Certification Dimulai tahun 1960 profesi IT mulai menawarkan program sertifikasi: Information Systems Audit and Control Association (ISACA) International Information System Security Certification Consortium (ISC) SANS (SysAdmin, Audit, Network, Security) Institute

Business Continuity Management Business continuity management(BCM) aktifitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi Aktifitas ini disebut Perencanaan bencana(Disaster planning), namun istilah yang lebih positif adalah Contigency Plan Contigency Plan merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan pada operasional perusahaan.

Contingency Subplans Emergency plan specifies those measures that ensure the safety of employees when disaster strikes. Include alarm systems, evacuation procedures, and fire-suppression systems. Backup plan is the arrangements for backup computing facilities in the event that the regular facilities are destroyed or damaged beyond use. Backup can be achieved by some combination of redundancy, diversity, and mobility. Vital records are those paper documents, microforms, and magnetic and optical storage media that are necessary for carrying on the firm’s business. Vital records plan specifies how the vital records will be protected and should include offsite backup copies.