Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

BAB 9 KEAMANAN INFORMASI.

Presentasi serupa


Presentasi berjudul: "BAB 9 KEAMANAN INFORMASI."— Transcript presentasi:

1 BAB 9 KEAMANAN INFORMASI

2 Nama anggota ; IIE KURNIASIH ( ) SITI NUR’ AINI( ) YULANDA( )

3 Tujuan belajar setelah mempelajari bab ini diharapkan : 1
Tujuan belajar setelah mempelajari bab ini diharapkan : 1. memahami kebutuhan organisasi akan keamanan dan pengendalian 2. memahami bahwa keamanan informasi berkaitan dengan keamanan semua sumber daya informasi,bukan hanya peranti keras dan data 3. memahami tiga tujuan utama keamanan informasi

4 4. Memahami bahwa manajemen keamanan informasi terdiri dari 2 area : manajemen keamanan informasi dan manajemen keberlangsungan bisnis 5. melihat hubungan yang logis antara ancaman,risiko,dan pengendalian 6. memahami apa saja ancaman keamanan yang utama 7. memahami apa saja risiko keamanan yang utama 8. memahami berbagai kekhawatiran keamanan e-commerce dan bagaimana perusahaan-perusahaan kartu kredit mengatasinya

5 8. Mengenali cara formal melakukan manajemen risiko 9
8. Mengenali cara formal melakukan manajemen risiko 9. mengetahui proses implementasi kebijakan keamanan informasi 10. mengenali cara-cara pengendalian keamanan yang populer 11. mengetahui tindakan-tindakan pemerintah dan kalangan industri yang memengaruhi keamanan informasi 12. mengetahui cara mendapatkan sertifikasi profesional dalam keamanan dan pengendalian 13. mengetahui jenis-jenis rencana yang termasuk dalam perencanaan kontinjensi

6 PENDAHULUAN semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga kemananan dari para kriminal komputer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi-organisasi ini mengimplementasikan pengendalian keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.

7 KEBUTUHAN ORGANISASI AKAN
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka,baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam maupun luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah saat perang vietnam ketika sejumlah instalasi komputer dirusak oleh para pemrotes

8 Pemerintah federal amerika serikat sekarang menerapkan pencegahan dan pengendalian yang serupa,melalui otoritas patriot act ( undang-undang patriot ) dan office of homeland security ( dinas keamanan dalam negeri ). Pendekatan-pendekatan yang dimulai oleh kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan , dua isu penting harus diatasi. isu yang pertama adalah keamanan versus hak-hak individu. Tantangannya adalah bagaimana mengimplementasikan kemananan yang cukup serta alat-alat pengendalian yang tidak melanggar hak individu yang dijamin oleh konstitusi.

9 Isu yang kedua adalah keamanan versus ketersediaan
Isu yang kedua adalah keamanan versus ketersediaan. Isu ini amat menonjol pada bidang pelayanan medis,di mana kekhawatiran akan privasi catatan medis individu menjadi pusat perhatian. Keamanan catatan medis saat ini sedang diperluas sehingga melibatkan mikrochip yang ditanamkan pada pasien,selain data medis yang disimpan di komputer.

10 KEAMANAN INFORMASI saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka,perhatian nyaris terfokus secara ekslusif pada perlindungan peranti keras dan data

11 Maka istilah keamanan sistem ( system security ) pun digunakan
Maka istilah keamanan sistem ( system security ) pun digunakan. Istilah keamanan informasi ( information security ) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan non komputer,fasilitas,data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

12 Tujuan keamanan informasi keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu : 1. kerahasiaan. Perusahaan berusaha melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang 2. ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.

13 Manajemen keamanan informasi aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi. Sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis.

14 CIO adalah orang yang untuk memikul tanggung jawab atas keamanan informasi,namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Jabatan direktur keamanan sistem informasi perusahaan (corporate information system security officer-CISSO) digunakan untuk individu di dalam organisasi,biasanya anggota dari unit sistem informasi,yang bertanggung jawab atas keamanan informasi perusahaan tersebut.

15 MANAJEMEN KEAMANAN INFORMASI pada bentuknya yang paling dasar,manajemen keamanan informasi terdiri atas 4 tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan;mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut;menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut. Istilah manajemen risiko dibuat untuk menggambarkan pendekatan inidimana tingkat keamanan sumber daya informasi perusahaan

16 Figur 9.1 strategi keamanan informasi
Mengidentifikasikan ancaman Mendefinisikan risiko Menentukan kebijakan keamanan informasi Mengimplementasikan pengendalian

17 ANCAMAN ancaman keamanan informasi adalah orang,organisasi,mekanisme,atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi,adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja.

18 Figur 9.2 tindakan yang tidak terotorisasi mengancam sasaran keamanan sistem menggambarkan sasaran keamanan informasi dan bagaimana sasaran ini berkaitan dengan 4 jenis risiko.

19 Ancaman internal dan eksternal ancaman internal mencakup bukan hanya karyawan perusahaan,tetapi juga pekerja temporer,konsultan,kontraktor,dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal,dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

20 Tindakan kecelakaan dan disengaja tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakn kecelakaan,yang disebabkan oleh orang-orang di dalam ataupun di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja,sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.

21 JENIS ANCAMAN semua orang pernah mendengar mengenai virus komputer
JENIS ANCAMAN semua orang pernah mendengar mengenai virus komputer. Sebenarnya virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak berbahaya(malicious software). Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti.

22 Terdapat beberapa jenis peranti lunak yang berbahayaselain virus,terdapat pula worm,trojan,adware, dan spyware.virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Tidak seperti virus , worm(cacing) tidak dapat mereplikasi dirinya sendiri di dalam sistem,tapi dapat menyebarkan salinannya melalui . Trojan horse ( kuda troya ) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri si pengguna menyebarkannya sebagai suatu perangkat.

23 hardware memunculkan pesan-pesan iklan yang mengganggu,dan spyware mengumpulkan data dari mesin pengguna. Program anti spyware sering kali menyerang cookies,yaitu file teks kecil yang di letakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program anti spyware menciptakan

24 kekhawatiran di kalangan beberapa pemasar
kekhawatiran di kalangan beberapa pemasar.solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang di simpan perusahaan untuk pelanggannya,tapi hanya menghapus cookies pihak ketiga yang di letakkan oleh perusahaan lain.

25 RISIKO risiko keamanan informasi (information security risk ) didefinisikan sebagai potensi output yang tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang terotorisasi. Risiko-risiko seperti ini dibagi menjadi 4 jenis;pengungkapan informasi yang tidak terotorisasi dan pencurian,penggunaan yang tidak terotorisasi,penghancuran yang tidak terotorisasi dan penolakan layanan,serta modifikasi yang tidak terotorisasi.

26 Pengungkapan Informasi Yang Tidak Terotorisasi dan Pencurian
Suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses., hasilnya adalah hilangnya informasi atau uang. Contoh : mata-mata industri dapat memperoleh informasi mengenai kompetisi yang beharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.

27 Penggunaan yang tidak terotorisasi
Penggunaan ini terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer yang disebut “Hacker” yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Misalnya Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.

28 Modifikasi yang tidak terotorisasi
Perubahan dapat dilakukan pada data,informasi,dan peranti lunak perusahaan.beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan salah, salah satunya adalah perubahan nilai pada catatan akademis seorang siswa.

29 PERSOALAN E-COMMERCE E-commerce: (perdagangan ektronik)memperkenalkan suatu permasalahan keamanan baru. Dan menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.

30 Praktik Keamanan yang Diwajibkan oleh Visa
Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan ini. Untuk diikuti oleh paritelnya. Diantaranya yaitu : a .memasang dan memelihara firewall b. memperbarui keamanan c. melakukan enkripsi pada data yang disimpan d. melakukan ekripsi pada data yang dikirimkan e. menggunakan dan memperbaiki peranti lunak antivirus F. membatasi akses data kepada orang-orang yang ingin tahu

31 g. memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data
h. memantau akses data dengan ID unik I. Tidak menggunakan kata sandi default yang disediakan oleh vendor

32 Manajemen Risiko Diidentifikasikan sebagai salah satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Terdiri atas 4 langkah. 1. identifikasi aset bisnis yang harus dilindungi dari risiko 2. menyadari risikonya 3. menentukan tingkatan dampak pada perusahaan jika risiko benar terjadi 4. menganalisis kelemahan perusahaan tersebut

33 Tingkat keparahan dampak diklasifikasikan menjadi :
* dampak yang parah(several impact) yaitu membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan. *dampak signifikan(signifikan impact) menyebabkan kerusakan dan biaya yang signifikan tetapi perusahaan tersebut akan selamat. *dampak minor(minor impact) menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari.

34 Tingkat Dampak dan Kelemahan Menentukan Pengendalian
Dampak parah Dampak signifikan Dampak minor Kelemahan tingkat tinggi Melaksanakan analisis kelemahan.harus meningkatkan pengendalian Melaksanakan analisis kelemahan.harus meningkatkan pengendalian. Analisis kelemahan tidak dibutuhkan Kelemahan tingkat menegah Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian Melaksananakan analisis kelemahan, sebaiknya meningkatkan pengendalian Kelemahan tingkat rendah Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat. Analisis kelemahan tidak dibutuhkan.

35 Kebijakan Keamanan Informasi
Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap.figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan. Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite akan mencangkup manajer dari wilayah dimana kebijakan akan diterapkan

36 Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak yang berminat & berpengaruh oleh proyek.

37 Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk memberitaukan temuannya. Serta untuk mendapatkan pandangan mengenai persyaratan kebijakan Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi dilaksanakan dalam unit organisasi Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan.

38 Figur 9.3 {penyusunan kebijakan keamanan}
Tim proyek Fase 1 Inislasi proyek Penetapan Komite pengawas proyek keamanan Fase 2 Penyusunan kebijakan Pihak yang berminat dan terpengaruh konsultasi Fase 3 konsultasi dan persetujuan manajemen konsultasi Pelatihan kesadaran & edukasi kebijakan Fase 4 Kesadaran dan pendidikan Unit organisasi Fase 5 Penyebarluasan kebijakan Kebijakan keamanan Unit organisasi

39 pengendalian Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori yaitu : Teknis Formal Dan Informal

40 PENGENDALIAN TEKHNIS(tehnical control)
pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus penyusunan sistem.

41 Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi virus” yang terbukti efektif elewan virus yang terkirim melalui .

42 Figur 9.4 Fungsi pengendalian akses pengguna Profil Pengguna Identifikasi Autentikasi Catatan Audit File Pengendalian askses Otorisasi Penulis laporan Basis Data Perpustakaan Peranti lunak Laporan Keamanan

43 firewall Berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah untuk untuk masing-masing komputer. Tiga jenis firewall adalah 1. penyaring paket Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara internet dan jaringan internal, router tersebut dapat berlaku sebagai firewall.

44 2. Firewall tingkat sirkuit salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit)daripada router. 3.Firewall tingkat aplikasi. Beralokasi antara router dan komputer yang menjalankan aplikasi tersebut.

45 Figur 9.5 lokasi firewall di jaringan
Penyaring paket Internet Router Jaringan Internet Komputer Firewall Tingkat Aplikasi Firewall Tingkat sirkuit

46 Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses matematika. Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untuk meningkatkan keamanan e-commerence

47 PENGENDALIAN FORMAL mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan. Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya, mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang.

48 Pengendalian Informal
Mencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

49 Meletakan manajemen keberlangsungan bisnis pada tempatnya
manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer dimana kita dapat melihat perkembangan besar. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasi ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarkan sistem pemulihan bencana yang mencangkup sistem manajemen basis data, intruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan.

50 Sekian Presentasi Bab 9 Terimakasih dan Wasalamualaikum.WR.WB


Download ppt "BAB 9 KEAMANAN INFORMASI."

Presentasi serupa


Iklan oleh Google