1 / 76

KEAMANAN SISTEM INFORMASI

03. KEAMANAN SISTEM INFORMASI. Perencanaan Keamanan. Prepared By : Afen Prana e -mail : afen366@yahoo.com http://afenprana.wordpress.com. Mengenali pentingnya perencanaan & menguraikan komponen prinsip tentang perencanaan organisatoris Mengetahui dan memahami

jered
Download Presentation

KEAMANAN SISTEM INFORMASI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 03 KEAMANAN SISTEM INFORMASI Perencanaan Keamanan Prepared By : Afen Pranae-mail : afen366@yahoo.comhttp://afenprana.wordpress.com

  2. Mengenali pentingnya perencanaan & menguraikan komponen prinsip tentang perencanaan organisatoris Mengetahui dan memahami komponen prinsip dari perencanaan implementasi sisitem infosec yg berfungsi di dalam rencana perencanaan yang organisatoris Prepared By : Afen Prana

  3. Organisasi yg sukses menggunakan perencanaan. Mengapa? Prepared By : Afen Prana

  4. Perencanaan Melibatkan • Karyawan • Manajemen • stockholders/pemegang saham • lingkungan fisik • lingkungan politik dan hukum • Lingkungan kompetitif • Lingkungan teknologi Prepared By : Afen Prana

  5. Tujuan rencana keamanan sistem adalah untuk menyediakan suatu ikhtisar kebutuhan keamanan sistem dan menguraikan kendali pada tempatnya atau merencanakan untuk memenuhi kebutuhan keamanan sistem. Keamanan Sistem merencanakan juga gambaran tanggung-jawab dan perilaku yg diharapkan dari semua individu yang mengakses sistem tsbt. Mencerminkan masukan dari para manajer dengan tanggung-jawab mengenai sistem, mencakup pemilik informasi, pemilik sistem, dan petugas keamanan informasi yang senior.(Baca SP800-100, hal 67) Prepared By : Afen Prana

  6. Tugas Dan Tanggung-Jawab Perencanaan Keamanan Para agen perlu mengembangkan kebijakan proses perencanaan keamanan sistem. Rencana Keamanan Sistem dokumen hidup yang memerlukan tinjauan ulang berkala, modifikasi, dan rencana kegiatan untuk menerapkan kendali keamanan. Prosedur harus pada tempatnya siapa yang meninjau ulang rencana itu, menyimpan/memelihara rencana saat ini, dan mengikuti kendali keamanan yg dirancang. Sebagai tambahan, prosedur memerlukan rencana keamanan sistem dikembangkan dan ditinjau sebelum meneruskan proses akreditasi dan sertifikasi keamanan untuk sistem. Prepared By : Afen Prana

  7. Sepanjang proses sertifikasi keamanan dan akreditasi, rencana keamanan sistem dianalisa, dibaharui, dan diterima. Agen Sertifikasi mengkonfirmasikan bahwa kendali renana keamanan konsisten dengankategori keamanan yang ditentukan untuk sistem informasi.Hasil suatu sertifikasi keamanan digunakan untuk menaksir kembali resiko, membaharui rencana keamanan sistem Prepared By : Afen Prana

  8. Perencanaan: Yaitu menciptakan langkah-langkah tindakan ke arah tujuan, & kemudian mengendalikannya Menyediakan arahan untuk masa depan organisasi Prepared By : Afen Prana

  9. Metoda perencanaan Top-down: para pemimpin organisasi memilih arah tersebut Perencanaan dimulai dengan yang umum & berakhir dengan yang spesifik Prepared By : Afen Prana

  10. Perencanaan InfoSec Prepared By : Afen Prana

  11. Perencanaan strategis meliputi: • Statemen Misi • Statemen Visi • Statemen Nilai-Nilai • Strategi • Rencana-rencana yang dikoordinir pada sub-unit Mengetahui bagaimana Proses kerja rencana umum organisasi Yang dapat membantu dalam proses perencanaan infosec Prepared By : Afen Prana

  12. Statemen Misi Umumkan bisnis organisasi & area operasi yang diharapkan Jelaskan apa yang organisasi kerjakan & buat siapa Contoh: Colostomo, Inc. Disain dan buatan Kualitas persediaan medis & peralatan yang dihubungkan, untuk digunakan di dalam lingkungan medis modern & rumah Prepared By : Afen Prana

  13. Statemen Visi Nyatakan apa yang organisasi inginkan Harus ambisius Contoh: Colostomo akan menjadi pilihan yang disukai dari setiap pabrikan medis dengan suatu device Colostomo yang lebih disukai oleh para doktor& pasien. Prepared By : Afen Prana

  14. Dengan menetapkan prinsip2 organisasi dalam statement nilai2, organisasi melakukan standar yg jelas. “apa yg dapat kita ambil pada suatu premi ?” Apa yg kita gerakkan?” contoh: nilai2 Colostomo komitment, kejujuran, integritas & tanggung jawab sosial antar karyawannya, & merasa terikat dengan pelayanan dalam kesesuainnya dengan perusahaan, sosial, hukum dan alam lingkungan. Prepared By : Afen Prana

  15. Misi, Visi, & Nilai-Nilai statement bersama-sama menyediakan pondasi untuk perencanaan Prepared By : Afen Prana

  16. Strategi adalah dasar untuk arah jangka panjang Perencanaan Strategis : • Panduan usaha organisasi • Memusatkan sumber daya Yang jelas untuk menetapkan tujuan “… perencanaan strategis Adalah suatu disiplin untuk menghasilkan keputusan yang mendasar dan tindakan yg memandu organisasi, apa yg dikerjakan & mengapa itu bekerja dengan fokus pada masa depan” Prepared By : Afen Prana

  17. Prepared By : Afen Prana

  18. Untuk merencanakan suatu organisasi : • Kembangkan suatu strategi umum • Ciptakan rencana strategi spesifik untuk pembagian utama Masing-masing tingkatan bagian menerjemahkan objektifitas tersebut kedalam sasaran hasil yang lebih spesifik untuk tingkatan di bawah Dalam rangka melaksanakan strategi utama ini, Para eksekutif harus menetapkan tanggung jawab manajerial individu. Prepared By : Afen Prana

  19. Prepared By : Afen Prana

  20. tujuan strategis kemudian adalah menterjemahkan kedalam tugas-tugas dengan spesifik, terukur, terjangkau, layak & batas waktu Sasaran hasil (SMART = specific,measurable,achievable,reasonably high & time-bound Objectives) perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific perencanaan strategis kemudian mulai perubahan bentuk umum ke sasaran khusus/specific Prepared By : Afen Prana

  21. Prepared By : Afen Prana

  22. Unsur2 perencanaan strategis • Pengenalan oleh eksekutif senior • Ringkasan eksekutif • Statement misi & Vision Statement • Profil organisasi & Sejarah • Issu strategis & nilai2 ini • Program tujuan & sasaran hasil • Management/tujuan operasi & sasaran hasil Catatan tambahan (optional): Strengths/kekuatan, weaknesses/kelemahan, opportunities and threats /peluang dan ancaman (SWOT) analisis, surveys, budgets Prepared By : Afen Prana

  23. Perencanaan Taktis Fokus lebih pendek dibanding perencanaan strategis Pada umumnya satu sampai 3 tahun Tujuan strategis bisa diterapkan kedalam serangkaian kenaikan sasaran hasil Lalu apakah itu? Jika perencanaan strategis menentukan dimana saya ingin pergi, perencanaan taktis menentukan langkah2 yg terbaik yg digunakan untuk kesana. Prepared By : Afen Prana

  24. Perencanaan Operasional Digunakan oleh para manajer dan karyawan untuk mengorganisir yg berkelanjutan, pencapaian tugas sehari-hari. Meliputi Aktivitas koordinasi dengan jelas dikenali seperti : • Kebutuhan komunikasi • Pertemuan mingguan • Ringkasan • Laporan kemajuan Prepared By : Afen Prana

  25. Perencanaan strategis : Bawa bukit itu malam selasa. Rencana Taktis : Adakan serangan udara dan kemudian serang dari selatan dengan 10 orang. Rencana operasional : periksa ramalan cuaca. Menguji radio. Mengisi perlengkapan amunisi. Mendapatkan ransum Prepared By : Afen Prana

  26. Tips untuk perencanaan:  Ciptakan suatu pernyataan visi yg memaksa dan bertindak seperti magnet untuk orang-orang yang ingin membuat suatu pertikaian.  Rangkul penguna pada pendekatan penilaian seimbang (setiap orang menggunakan ukuran yg sama)  Sebar suatu draft rencana awal tingkat tinggi dan minta masukan dari stakeholder dalam organisasi tersebut.  Membuat susunan rencana yg visibel. Prepared By : Afen Prana

  27. Tips lebih untuk perencanaan (atau untuk suatu pertemuan yg baik ): • Buat proses menyegarkan untuk semua orang • Gigih • Membuat proses yg berkelanjutan • Memberikan arti • Jadilah diri sendiri • Terangi dan bersenanglah Prepared By : Afen Prana

  28. Perencanaan untuk implementasi Infosec CIO & CISO berperan penting dalam menterjemahkan keseluruhan perencanaan strategis dalam operasional dan taktis rencana Infosec dan keamanan informasi CISO berperan lebih aktif dalam pengembangan perencanaan yg detil dibanding CIO Prepared By : Afen Prana

  29. Deskripsi tugas CISO • Ciptakan rencana strategis infosec dengan suatu visi untuk masa datang infosec di perusahaan X • Memahami aktivitas bisnis pokok yg dilakukan perusahaan X • Yang didasari dengan pengertian, menyarankan solusi infosec yang sesuai melindungi aktivitas secara unik • Kembangkan rencana awal, jadwal, laporan status, anggaran dan komunikasi manajemen puncak yg diharapkan untuk meningkatkan status infosec pada perusahaan X Prepared By : Afen Prana

  30. CIO adalah pejabat yang bertanggung jawab untuk mengembangkan dan memelihara suatu agency-wide program keamanan informasi dan mempunyai tanggung-jawab perencanaan keamanan sistem : - Mengembangkan dan memelihara kebijakan keamanan informasi, prosedur, dan teknik pengendalian untuk menunjuk perencanaan keamanan sistem; - Mengatur identifikasi, implementasi, dan penilaian kendali keamanan umum; - Mastikan bahwa personil dengan tanggung-jawab penting untuk rencana keamanan sistem dilatih/terlatih; - Membantu pejabat agen senior dengan tanggung-jawabmereka untuk rencana keamanan sistem; dan - Identifikasi dan mengembangkan kendali keamanan umum untuk agensi. Prepared By : Afen Prana

  31. Sekali rencana telah diterjemahkan kedalam sasaran hasil IT dan infosec dan taktis dan rencana operasional infosec, implementasi dapat dimulai. Implementasi keamanan informasi dapat dicapai dengan 2 jalan : Bottom-up atau Top-down Prepared By : Afen Prana

  32. Prepared By : Afen Prana

  33. The Systems Development Life Cycle/Siklus hidup pengembangan sistem (SDLC) Suatu metodologi untuk merancang dan menerapkan suatu sistem informasi Proyek SDLC-based mungkin diaktipkan oleh peristiwa atau direncanakan Prepared By : Afen Prana

  34. Pada akhir masing2 tahapan, review kembali – Analisis kelayakan – Kapan ditentukan jika proyek harus dilanjutkan, tidak dilanjutkan, diluar sumber atau ditunda. Berbagai nilai pendekatan untuk dipahami Layak ekonomis, teknik, dan tingkah laku Prepared By : Afen Prana

  35. Prepared By : Afen Prana

  36. Tahapan SDLC Prepared By : Afen Prana

  37. 1: Investigation Identifikasi masalah untuk dipecahkan Dimulai dengan sasaran hasil, batasan dan lingkup proyek Suatu persiapan analisis cost/benefit yg dikembangkan untuk mengevaluasi manfaat yg dirasa dan manfaat biaya-biaya Prepared By : Afen Prana

  38. 2: Analysis Mulai dengan informasi sejak tahapan investigasi Kesiap siagaan organisasi, Status sistem pada saat ini, Kemampuan untuk menerapkan dan kemudian mendukung yg diusulkan sistem Analisis menentukan Apa yg diharapkan dapat dilakukan sistem baru, dan bagaimana saling berhubungan dengan sistem yang berjalan Prepared By : Afen Prana

  39. 3: Logical Design Informasi diperoleh dari tahap analisis digunakan untuk menciptakan suatu solusi usulan Untuk masalah Suatu sistem dan/atau aplikasi dipilih berdasarkan kebutuhan bisnis tersebut logical design adalah implementasi cetak biru yg berdiri sendiri untuk solusi yg diinginkan Prepared By : Afen Prana

  40. 4: Physical Design sepanjang mendisain tahap phisik, tim memilih teknologi yg spesifik Komponen2 yg dipilih Dievaluasi lebih lanjut keputusan membuat atau membeli Disain akhir dipilih mengintegrasikan secara optimum Komponen2 yg diperlukan Prepared By : Afen Prana

  41. 5: Implementation Kembangkan perangkat lunak yg tidak dibeli, & ciptakan kemampuan mengintegrasikan unsur2 kebiasaan Diuji dan didokumentasikan Para user dilatih & dokumentasi pendukung diciptakan Ketika semua komponen telah diuji secara individu, diinstal dan diuji secara menyeluruh Prepared By : Afen Prana

  42. 6: Maintenance tugas2 diperlukan untuk mendukung & modifikasi sistem untuk sisa waktu masa penggunaannya Sistem diuji secara periode untuk pemenuhan dgn spesifikasinya Kelayakan Berkelanjutan versus tidak berkelanjutan dievaluasi Upgrades, updates, & patches diatur Bila sistem saat ini Tidak bisa lagi mendukung misi organisasi, diakhiri dan Proyek pengembangan sistem baru dikerjakan Prepared By : Afen Prana

  43. Tinjau ulang ... Tahapan SDLC Prepared By : Afen Prana

  44. Siklus hidup pengembangan sistem keamanan (SecSDLC) Dapat berbeda dlm bbrp pokok, tetapi keseluruhan metodologi serupa dengan SDLC Proses SecSDLC melibatkan : • Identifikasi ancaman-ancaman tertentu • & resiko2 yg mewakilinya • Akibat desain & implementasi Ttg kendali spesifik ancaman dan membantu Didalam manajemen resiko Prepared By : Afen Prana

  45. 1. SecSDLC: Investigation sering mulai ketika petunjuk dari manajemen Menetapkan proses tersebut, hasil, & tujuan Tentang proyek dan anggaran tsbt sering mulai dengan Pernyataan atau ciptaan kebijakan keamanan tim berkumpul untuk menganalisis masalah, Menetapkan tujuan, & mengidentifikasi batasan Analisis kelayakan menentukan apakah organisasi mempunyai sumber daya dan komitmenUntuk melakukan suatu analisis dan disain keamanan yg sukses Prepared By : Afen Prana

  46. 2. SecSDLC: Analysis Suatu analisis persiapan tentang program atau keberadaan kebijakan keamanan Yg disiapkan bersama dengan ancaman2 yang dikenal & pengendalian saat ini meliputi suatu analisis pada isu relevant tentang undang-undang yg bisa mempengaruhi disain tentang solusi keamanan Manajemen resiko mulai dalam langkah ini Prepared By : Afen Prana

  47. Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi tingkat resiko yang dihadapi organisasi tersebut khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi Untuk lebih baik memahami tahap analisa tentang SecSDLC, Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas tertentu menghadirkan suatu bahaya terus menerus bagi suatu asset Prepared By : Afen Prana

  48. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko(risk management). Lawrie Brown menyarankan menggunakan“Risk Management Model” untuk menghadapi ancaman (managingthreats). Ada tiga komponen yang memberikan kontribusi kepada Risk,yaitu Asset, Vulnerabilities, dan Threats. Perhatikan Tabel di bawah ini : tabel kontribusi terhadap resiko Prepared By : Afen Prana

  49. Prepared By : Afen Prana

  50. Manajemen Resiko: proses mengidentifikasi, menaksir,& mengevaluasi tingkat resiko yang dihadapi organisasi tersebut khususnya, ancaman kepada informasi yang disimpan dan yang diproses oleh organisasi Untuk lebih baik memahami tahap analisa tentang SecSDLC, Anda perlu mengetahui tentang sesuatu macam2 ancaman yang dihadapi organisasi Di dalam konteks ini, suatu ancaman adalah seorang obyek, orang, atau entitas tertentu menghadirkan suatu bahaya terus menerus bagi suatu asset Prepared By : Afen Prana

More Related