Information security
Sponsored Links
This presentation is the property of its rightful owner.
1 / 30

Information Security PowerPoint PPT Presentation


  • 95 Views
  • Uploaded on
  • Presentation posted in: General

Information Security. Edhot Purwoko,ST,MTI. Organizational Needs for Security and Control. Pengalaman menginspirasikan industri untuk: Menempatkan keamanan pencegahan tindakan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau kehancuran.

Download Presentation

Information Security

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Information Security

Edhot Purwoko,ST,MTI


Organizational Needs for Security and Control

  • Pengalaman menginspirasikan industri untuk:

    • Menempatkan keamanan pencegahan tindakan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau kehancuran.

    • Menyediakan perusahaan kemampuan untuk melanjutkan operasional setelah gangguan.


Information Security

  • Keamanan sistem berfokus melindungi perangkat keras, data, perangkat lunak, fasilitas komputer, dan personal.

  • Keamanan informasi mendeskripsikan perlindungan baik peralatan komputer dan non-peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-pihak yang tidak berwenang.

    • Termasuk mesin fotokopi, fax, semua jenis media, dokumen kertas


Tujuan Keamanan Sistem

  • Keamanan informasi ini dimaksudkan untuk mencapai tiga tujuan utama:

    • Confidentiality:Melindungi data perusahaan dan informasi dari pengungkapan orang yang tidak berhak.

    • Availability:Memastikan bahwa data perusahaan dan informasi hanya tersedia bagi mereka yang berwenang untuk menggunakannya

    • Integrity: Sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka wakili.

  • Sistem informasi perusahaan harus melindungi data dan informasi dari penyalahgunaan, memastikan ketersediaan untuk pihak pengguna, menampilkan keakuratannya.


Management of Information Security

  • Information security management (ISM) adalah Aktifitas untuk menjaga sumber daya informasi tetap aman

  • Business continuity management (BCM) Adalah aktifitas menjaga fungsi perusahaan dan sumber informasi setelah sebuah bencana

  • Corporate information systems security officer (CISSO) adalah Bertanggung jawab atas keamanan sistem informasi perusahaan

  • Corporate information assurance officer (CIAO) Melaporkan kepada CEO dan mengelola sebuah unit information assurance


Information Security Management

  • Terkait dengan perumusan kebijakan keamanan informasi perusahaan.

  • Pendekatan manajemen risiko berbasis keamanan sumber daya informasi perusahaan pada risiko (ancaman dikenakan) yang dihadapinya.

  • Information security benchmark adalah tingkat keamanan yang direkomendasikan bahwa dalam keadaan normal harus menawarkan perlindungan wajar terhadap gangguan yang tidak sah.

    • Benchmark adalah suatu tingkat kinerja yang direkomendasikan

    • Ditetapkan oleh pemerintah dan asosiasi industri

    • Wewenang apa diyakini sebagai komponen dari suatu program keamanan informasi yang baik.

  • Kepatuhan Benchmark/Benchmark compliance adalah ketika sebuah perusahaan mematuhi patokan keamanan informasi dan standar yang direkomendasikan oleh industri yang berwenang.


Figure 9.1 Information Security Management (ISM) Strategies


Ancaman/Threat

  • Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa yang mempunyai potensi untuk menimbulkan kerugian pada sumber daya informasi perusahaan.

  • Internal and external threats

    • Internal mencakup karyawan perusahaan, para pekerja sementara, konsultan, kontraktor, dan bahkan mitra bisnis.

    • Sebesar 81% kejahatan komputer telah dilakukan oleh karyawan.

    • ancaman internal berpotensi kerusakan lebih serius karena

  • Kebetulan dan disengaja


Figure 9.2 Unauthorized Acts Threaten System Security Objectives


Types of Threats

  • Malicious software(malware) terdiri dari program-program lengkap atau segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem (yaitu, menghapus file, sistem berhenti, dll)

  • Virus adalah program komputer yang dapat menggandakan dirinya sendiri tanpa dapat diamati pengguna dan menanamkan salinan dirinya dalam program lain dan boot sektor.

  • Worm tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat mengirimkan copynya melalui e-mail.

  • Trojan horse didistribusikan oleh pengguna sebagai utilitas dan ketika utilitas yang digunakan, menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem; tidak dapat mereplikasi atau menggandakan sendiri.

  • Adware menghasilkan pesan iklan yang mengganggu

  • Spyware mendapatkan data dari mesin pengguna


Risks

  • Risiko keamanan informasi potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi

    • semua risiko merupakan tindakan yang tidak sah

  • Pengungkapan informasi yang tidak terotorisasi dan pencurian

  • Penggunaan yang tidak terotorisasi

  • Penghancuran yang tidak terotorisasi dan penolakan layanan(Denial of Service)

  • Perubahan yang tidak terotorisasi


E-commerce Considerations

  • Disposable credit card/Kartu kredit “sekali pakai”(AMEX) - suatu tindakan yang ditujukan pada 60 sampai 70% dari konsumen yang takut penipuan kartu kredit yang timbul dari penggunaan internet.

  • Visa's memerlukan 10 praktik keamanan bagi para pengecer ditambah 3 praktik umum untuk mencapai keamanan informasi di semua kegiatan pengecer.

  • Cardholder Information Security Program (CISP) ditambah praktek-praktek yang diperlukan


Sepuluh Praktik Keamanan yang dilakukan VISA

Retailer harus:

  • Memasang dan memelihara firewall

  • Memperbaharui keamanan

  • Melakukan enkripsi pada data yang disimpan

  • Melakukan enkripsi pada data yang akan dikirim

  • Menggunakan dan memperbaharui piranti lunak antivirus

  • Membatasi akses data kepada orang-orang yang ingin tahu

  • Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data

  • Memantau akses data dengan data ID unik

  • Tidak menggunakan kata sandi default yang disediakan oleh vendor

  • Secara teratur menguji sistem keamanan


Risk Management

  • Mendefinisikan resiko terdiri dari 4 tahap

    • Identifikasi aset bisnis yang harus dilindungi dari resiko

    • Menyadari resikonya

    • Menentukan tingkat dampak dalam perusahaan jika resiko benar-benar terjadi

    • Menganalisa kelemahan perusahaan

  • Tingkat keparahan dampak dapat diklasifikasikan sebagai

    • Dampak yang parah(Severe impact) membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi

    • Dampak minor(Minor impact) menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari


Table 9.1 Degree of Impact and Vulnerability Determine Controls


Risk Analysis Report

  • Hasil temuan sebaiknya didokumentasikan dalam laporan analisa resiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini

    • Deskripsi resiko

    • Sumber resiko

    • Tingginya tingkat resiko

    • Pengendalian yang diterapkan pada resiko tersebut

    • Pemilik-pemilik resiko

    • Tindakan yang direkomendasikan untuk mengatasi resiko

    • Jangka waktu yang direkomendasikan untuk mengatasi resiko

    • Apa yang telah dilaksanakan untuk mengatasi resiko tersebut


Kebijakan Keamanan Informasi

  • Lima phase implementasi kebijakan

    • Phase 1: Inisialisasi proyek

    • Phase 2: Pengembangan kebijakan.

    • Phase 3: Konsultasi dan persetujuan.

    • Phase 4:Kesadaran dan edukasi.

    • Phase 5: Penyebarluasan kebijakan.


Figure 9.3 Development of Security Policy


Controls/Pengendalian

  • Control adalah sebuah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.

  • Technical controls adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.

    • Termasuk internal auditor dalam project team

    • Berdasarkan teknologi hardware dan software


Technical Controls

  • Access control adalah dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi

  • Access control dilakukan melalui proses tiga tahap yang mencakup

    • User identification.

    • User authentication.

    • User authorization.

  • Profil pengguna- deskripsi pengguna yang terotorisasi; digunakan dalam identifikasi dan authorisasi


Figure 9.4 Access Control Functions


Technical Controls (Cont’d)

  • Intrusion detection systems (IDS) mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan

  • Perangkat lunak proteksi virus yang telah terbukti efektif melawan virus yang terkirim melalui email

    • Identifikasi pesan pembawa virus dan memperingatkan pengguna.

  • Tools Prediksi ancaman dari dalam mengklasifikasikan ancaman sebagai berikut

    • Ancaman yang disengaja

    • Potensi ancaman tidak disengaja

    • mencurigakan

    • Tidak berbahaya(Harmless)


Firewalls

  • Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:

  • Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan jaringan internal router tersebut dapat berlaku sebagai firewall

    • Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan

    • Alamat IP(IP address) adalah serangkaian empat angka(masing-masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing komputer yang terhubung ke internet

  • Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada router

    • Memungkinkan tingkat otentikasi dan penyaringan yang tinggi

  • Firewall tingkat aplikasi berlokasi antara router dan komputer yang menjalankan aplikasi tersebut

    • Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.


Figure 9.5 Location of Firewalls in the Network


Cryptographic and Physical Controls

  • Cryptography adalah menggunakan pengkodean yang menggunakan proses-proses matematika

  • Data dan informasi dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.

  • Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.

  • Protocol khusus sepert SET(Secure Electronin Transactions) melakukan pengecekan keamanan menggunakan tanda tangan digital dikembangkan dalam e-commerce

  • Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan Syria

  • Physical controls melindungi dari gangguan yang tidak terotorisasi seperti kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan penjaga keamanan.

    • Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badai


Formal Controls

  • Formal control mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku

    • Management memerlukan banyak waktu untuk menyusunnya.

    • Mendokumentasikan dalam bentuk tertulis

    • Diharapkan dapat berlaku untuk jangka waktu yang panjang

  • Top management harus berpartisipasi aktif dalam menentukan dan memberlakukannya


Informal Controls

  • Edukasi

  • Program pelatihan

  • Program pengembangan management

  • Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut


Industry Standards

  • Center for Internet Security (CIS) adalah organisasi nonprofit didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman.

    • CIS Benchmarks membantu mengamankan pengguna mengamankan sistem informasi dengan cara menerapkan pengendalian khusus teknologi

    • CIS Scoring Tools memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem


Professional Certification

  • Dimulai tahun 1960 profesi IT mulai menawarkan program sertifikasi:

    • Information Systems Audit and Control Association (ISACA)

    • International Information System Security Certification Consortium (ISC)

    • SANS (SysAdmin, Audit, Network, Security) Institute


Business Continuity Management

  • Business continuity management(BCM) aktifitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi

  • Aktifitas ini disebut Perencanaan bencana(Disaster planning), namun istilah yang lebih positif adalah Contigency Plan

  • Contigency Plan merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan pada operasional perusahaan.


  • Login