IT GOVERNANCE NEWSLETTER
ISSUE 1 - APRIL 2014
IT NEWS
IT TALK
IT CLIP
Serentan Itukah? Sehingga “Penyadapan” Masih Merajalela
Wawancara dengan Roni S. Sutrisno Direktur Proxsis IT
Keamanan Data “Dunia Maya” di Indonesia
page 4
page 7
page 17
KEEPING YOU UP-TO-DATE WITH THE LATEST NEWS FROM THE IT GOVERNANCE
IT EDITORIAL
Hi… Berawal dari mimpi akhirnya IT Gov Newsletter Edisi I bulan April 2014 terbit, mungkin ini bisa disebut Edisi Pertama ditahun 2014. Dalam edisi I ini kami coba mengangkat tentang Information Security, dimulai dari telah keluarnya Standar ISO 27001:2013 yang terbaru, interview dengan salah seorang pakar Information Security, sampai dengan persoalan penyadapan yang sering terjadi di Indonesia. Dalam Newsletter ini kami akan membahas dari sisi IT-nya bukan dari berita kontroversinya.
IT HISTORY ITG.ID (IT Governance Indonesia) didirikan sejak tahun 2010 oleh Proxsis.inc. ITG.ID didirikan sebagai lembaga pengembangan IT Governance, IT Risk dan IT Compliance di Indonesia. Serta Forum bagi praktisi bidang IT Governance di Indonesia. Hal ini dilatar belakangi oleh kurangnya tenaga ahli dibidang sejenis dan perlunya Indonesia sebagai salah satu pemain IT utama dunia, untuk ambil inisiatif dalam mengembangkan IT Governance, Risk & Compliance. Apalagi, semakin banyaknya organisasi yg tergantung kepada IT untuk sustainability nya. Saat itu ITG.ID menjadi pioneer dan satu satunya lembaga pengembangan IT Governance di Indonesia.
Warm Regards, Anastasia P.Ambarsari
Sesuai perkembangan waktu, saat ini ITG.ID melakukan berbagai variasi kegiatan antara lain, research yang dibantu oleh Proxsis, training dan pengembangan sumber daya manusia, asessment/audit, sharing, newsletter dan berbagai event lainnya.
Editor In Chief Anastasia P.Ambarsari Melanie Kurnia
Creative Marya Ulfah Rifyalka
ITG.ID membuka pintu seluas-luasnya untuk semua kalangan untuk bekerjasama dan bergabung dalam forum yang telah disediakan baik di website atau di Group Linked In ITG.ID. Dengan support dan kerjasama, tentu semakin banyak yang bisa kita lakukan bagi perkembangan IT Governance, Risk dan Compliance di Indonesia maupun di dunia.
Editoral Staff Happy Elynn
Information www.itgid.org
Contributor Roni S.Sutrisno
Ged. Permata Kuningan Kawasan Bisnis Epicentrum Jakarta Selatan 12980 P:021-29069519 F:021-83708681
TIM IT EDITORIAL
Saya ucapkan selamat bergabung bagi paraktisi, ahli, pengamat maupun organisasi yang berminat pada IT Governance, IT Risk dan IT Compliance. Warm Regards, Rudi Maulana,CPP Proxsis, Chairman
2
IT REPORT Seperti kita ketahui bersama, sejak sekitar 20 tahun lalu dunia telah memasuki abad informasi, di mana kita rasakan bersama bahwa saat ini pembuatan dan pertukaran informasi adalah menjadi aktivitas utama di hampir setiap sektor bisnis. Dari banyaknya informasi beberapa adalah informasi yang sensitif sehingga harus dijaga keamanannya. Masalah utama dalam penjagaan keamanan informasi adalah bahwa informasi ini dapat terepresentasikan dalam berbagai macam bentuk (verbal, tercetak, maupun tersimpan dalam format digital) dan dapat mengalir dengan sangat cepat dari manusia, ke perangkat teknologi sampai ke media tercetak, sehingga pengendalian keamanannya merupakan isu tersendiri. ISO 27001 adalah suatu standar sistem manajemen yang dikeluarkan oleh ISO (International Organization for Standardization) yang bekerja sama dengan IEC (International Electrotechnical Commission) yang berfokus kepada keamanan informasi. Standar ini menggunakan pendekatan manajemen yang berbasis kontrol berdasarkan analisis risiko. Sejauh standar ini sudah banyak diterapkan di seluruh dunia dan menjadi solusi manajemen bagi keamanan informasi. Standar ini banyak diterapkan terutama bagi perusahaan/organisasi yang menganggap bahwa informasi adalah merupakan aset perusahaan yang harus dilindungi. Di Indonesia diperkirakan sudah ada sekitar 40-an organisasi yang telah berhasil menerapkan dan tersertifikasi ISO 27001.
STANDAR ISO 27001:2013 ISO 27001:2013 adalah versi terbaru dari ISO 27001 yang diterbitkan pada tanggal 1 Oktober 2013 lalu. Versi ini merupakan pembaharuan dari versi sebelumnya, yaitu versi 2005. Banyak penyempurnaan yang telah dilakukan pada versi terbaru ini, tujuannya adalah agar lebih mudah diimplementasikan serta diintegrasikan dengan sistem manajemen berbasis ISO lainnya (misalnya ISO 22301 untuk Business Continuity Management, ISO 20000 untuk IT Service Management, dan sebagainya). ISO 27001:2013 terdiri atas 10 klausul manajemen dan 114 kontrol yang harus diterapkan berdasarkan analisis risiko keamanan informasi.
IMAGE
3
IT NEWS
SERENTAN ITUKAH?
Sehingga “Penyadapan” Masih Merajalela
IT NEWS Terbersit kalimat “Serentan itukah?” muncul, saat membaca berita dari portal-portal berita IT saat ini. Belum lepas rasanya kekagetan kita dengan penyadapan dari negara lain pada pemerintahan kita. Saat ini sudah terbongkar lagi berita penyadapan pada 2 provider telekomunikasi besar di Negara kita Indonesia. Ditambah lagi penyadapan di Rumah Dinas Gubernur DKI Jakarta. Sebelum membuat rangkaian tulisan ini, saya berselancar dengan connection di Linkedin. Dengan sebagian besar adalah orang IT Professional Indonesia. Memang mereka dari latar belakang IT yang berbeda-beda. Tapi, hati rasanya ingin sekali menggabungkan IT Professional Indonesia ini untuk berkumpul dan mengatakan ” Ayo kita lakukan sesuatu untuk Indonesia, Negara tempat kita berpijak dan tinggal ini. Yang memiliki insan-insan IT Professional untuk kita hentikan “penjajahan” ini. “penjajahan” dengan penyadapan informasi-informasi penting negara kita. Heboh pengadilan rahasia dan regulasi yang memberikan kewenangan kepada National Security Agency (NSA) untuk mengumpulkan data email, chatting, dan lainnya dari portal internet global mengundang pertanyaan, adakah penyadapan di Indonesia ini memang dibolehkan? Walaupun Kementerian Kominfo secara tegas menyesalkan penyadapan yang dilakukan pemerintah negara lain karena dianggap melanggar HAM, namun ada juga instansi pemerintah di Indonesia di luar Kominfo yang ternyata secara diam-diam melakukan hal serupa.
Menurut Direktur Eksekutif Indonesia ICT Institute Heru Sutadi, saat ini untuk layanan telepon, begitu banyak lembaga atau aparat penegak hukum yang memiliki kewenangan penyadapan. Walaupun, UU No. 36/1999 tentang Telekomunikasi membatasi yang boleh dilakukan hanya perekaman, namun KPK, Kejagung, Kepolisian RI, Badan Narkotika Nasional, dan Badan Intelijen Negara, punya kewenangan menyadap, baik telepon, SMS, maupun data perekaman BlackBerry Messenger. Untuk internet, lanjut Heru, UU ITE No. 11/2008 menyatakan penyadapan dapat dilakukan. Bahkan sebelum UU ini keluar, terbit Peraturan Menteri yang mewajibkan penyelenggara layanan jasa internet (ISP) untuk menyampaikan trafik internet hingga ke warnetwarnet untuk ditelisik jika ada peristiwa kejahatan terkait dengan penggunaan internet. “Bahkan IDSIRTII sekalipun memasang alat-alat pengintai di penyelenggara NAP maupun ISP untuk memonitor trafik internet,” ujarnya. Dalam kondisi ideal, memang hal itu bisa untuk mengantisipasi jika terjadi kejahatan terkait dengan cybercrime, namun soal privasi juga menjadi bahan yang terus dipertanyakan. Oleh karena itu, setelah Mahkamah Konstitusi menyatakan bahwa penyadapan harus dibuat UU khusus, maka seharusnya hal-hal terkait penyadapan, baik berdasar UU Telekomunikasi maupun UU ITE, dihentikan sampai terbitnya UU khusus tersebut.
5
Sebelumnya, Kementerian Kominfo mengklaim pemerintah RI tidak pernah melakukan perintah penyadapan kepada portal internet global yang beroperasi di Indonesia. “Kami di Kementerian Kominfo tidak pernah meminta Yahoo misalnya, untuk membantu memfasilitasi penyadapan penggunanya,” ujar Kepala Informasi dan Humas Kementerian Kominfo Gatot S. Dewa Broto.
secara geopolitik dan geostrategik, sehingga rawan disadap negara lain yang memiliki kepentingan terhadap Indonesia. Ahmad Atang yang juga Pembantu Rektor I UMK itu mengatakan, Indonesia sebagai negara besar yang secara geografis berbentuk kepulauan, memiliki konsekuensi politik yang relatif besar terhadap kepentingan pihak luar.
Karena itu, dibutuhkan kemampuan negara dalam mengelolah wilayah teritorial dari usaha penyadapan oleh pihak-pihak yang sengaja Karena, tambahnya, selain bertentangan dengan ketentuan larangan memanfaatkan keterbukaan akses informasi untuk mengetahui penyadapan yang diatur dalam Pasal 40 UU Telekomunikasi dan Pasal 31 kelemahan Indonesia. “Kasus penyadapan tersebut dapat dilakukan UU Informasi dan Transaksi Elektronik (ITE), juga karena dianggap karena kita relatif tidak mampu melakukan pengamanan terhadap diri bertentangan UU HAM. kita sendiri sehingga orang luar dengan mudah masuk dan Menurut Ahmad Atang, Indonesia memiliki potensi Saat ini merupakan peluang mencuri informasi tentang yang sangat besar secara geopolitik dan bagi para jago IT, untuk Indonesia,” ucapnya. beraksi dan menghentikan geostrategik, sehingga rawan disadap negara lain “penjajahan” ini. Pengamat Untuk itu, para pemimpin yang memiliki kepentingan terhadap Indonesia. politik dari Universitas bangsa ini harus melakukan Muhammadiyah Kupang Dr introspeksi diri sebelum Ahmad Atang, MSi menilai, menyalahkan pihak lain, tukas kasus penyadapan yang dialami Indonesia menggambarkan bahwa dia. “Artinya, bagi saya, fakta penyadapan tersebut menggambarkan negara masih lemah dalam mengelola teknologi informasi (TI) dalam bahwa negara kita memiliki kelemahan dalam mengelolah teknologi percaturan global. informasi dalam percaturan global. Kita harus berbenah diri dan tidak perlu menyalahkan pihak lain,” katanya, menegaskan. “Penyadapan tersebut menggambarkan bahwa negara kita memiliki kelemahan dalam mengelolah teknologi informasi dalam percaturan Sudah saatnya Indonesia bangun dan melek mata bahwa saat ini kita global,” kata Ahmad Atang terkait kasus penyadapan yang dilakukan sudah berada dalam zaman yang berbeda. “Penjajahan” tidak hanya negara adi daya tersebut. bermainkan “laras panjang” atau “bambu runcing” saja. Namun dengan “kecolongan” informasi-informasi penting ke pihak luar, apakah kita Intelijen negara kangguru tersebut dilaporkan melakukan penyadapan hanya duduk terdiam dan menunggu mukzizat datang tanpa berbuat terhadap telepon Presiden Susilo Bambang Yudhoyono, Wakil Presiden sesuatu apa-apa? Boediono dan Ibu Negara Ani Yudhoyono, serta sejumlah pejabat penting negara Indonesia lainnya.
IT NEWS
Menurut Ahmad Atang, Indonesia memiliki potensi yang sangat besar
6
IT TALK
Pria kelahiran Bandung, 28 Agustus 1973 ini sudah sejak tahun 1999 terjun menjadi konsultan dalam berbagai macam tender sertifikasi ISO, baik ISO 27000 maupun ISO 20000. Saat ini beliau juga menjabat sebagai Direktur Utama Proxsis IT - ITG.ID. Dalam edisi perdana ini ITGOV Newsletter akan mengupas lebih jauh sosok beliau.
Bisa diceritakan sedikit latar belakang bapak menjadi konsultan IT padahal latar belakang bapak adalah sarjana teknik elektronika? Saya memang lulus sebagai Sarjana SI Teknik Elektronika ITB. Sebenarnya hal ini juga tidak terlalu jauh dari dunia IT. Selain itu, dunia komputer (cikal bakalnya dunia IT) sebenarnya tidak asing bagi saya. Di tahun 1995 saya mengerjakan Tugas Akhir membuat Chip Dekoder Viterbi (cikal-bakalnya CDMA sekarang) menggunakan komputer berbasis UNIX. Selain itu, bongkar pasang periferal komputer sudah menjadi hari-hari saya (waktu itu masih jamannya prosesor Intel DX4 dan Pentium 90). Saat pertama, saya bekerja tahun 1997 di PT. Schlumberger (Oil and Gas Services ) saya menjadi Data Management Support Engineer yang juga ikut dalam tim pengembangan aplikasi data manajemen saat itu.
Wawancara
RONI S. SUTRISNO Direktur IT.GID
Selain terlibat di development, saya juga “merangkap” sebagai system engineer untuk mesin-mesin berbasis UNIX saat itu. Keluar dari Schlumberger di tahun 1999 kemudian saya bergabung sebagai konsultan junior di dalam proyek implementasi IMS (Inventory Management System) di suatu kementerian di Malaysia. Di sini saya belajar menjadi konsultan, walaupun dalam tingkatan junior, sambil mulai merintis bisnis sendiri.
7
Berbekal pengalaman sebagai konsultan sistem manajemen ,tahun 2003. Pada tahun 2004 saya bekerja di PT.Motorola Indonesia sebagai Quality & Business Process Manager, di antaranya adalah menyusun dan mengimplementaikan TL 9000 baik di Indonesia maupun di negara-negara Asia lainnya. TL sendiri merupakan sistem manajemen untuk perusahaan telekomunikasi yang dikembangkan dari ISO 9001. Pengalaman selanjutnya di Proxsis Consultant adalah mengimplementasikan sistem manajemen mutu berbasis ISO 9001, sistem manajemen lingkungan berbasis ISO 14001 dan sistem manajemen keselamatan dan kesehatan berbasis OHSAS 18001 dari tahun 2006 hingga tahun 2009. Sudah berapa lama bapak menjadi konsultan ISO 27001? Pada tahun 2008, dengan bermodalkan pengalaman di dunia IT, komunikasi dan sistem manajemen, saya mulai mengimplementasikan ISO 27001 (Sistem Manajemen Keamanan Informasi). Klien pertama saya di ISO 27001 adalah sebuah Perusahaan Jepang yang bergerak di bidang produksi Alumunium Profil, yang berlokasi di Tangerang, Banten. Berapa Organisasi yang sudah Bapak Tangani sampai dengan saat ini? Hingga sekarang, sudah belasan organisasi yang saya tangani dan lebih dari 5 organisasi yang saya tangani telah mendapatkan sertifikat ISO 27001 dari Badan Sertifikasi. Sebagai informasi, hingga saat ini saya telah menangani lebih dari 45 perusahaan dalam menerapkan ISO 9001, ISO 20000, ISO 14001 dan OHSAS 18001. Untuk sertifikasi ISO 27001 mengapa sangat penting untuk perusahaanperusahaan besar? Tujuan dari ISO 27001 tiada lain adalah memproteksi informasi. Mengapa informasi menjadi sedemikian penting untuk dilindungi? Hal ini karena saat ini adalah abad informasi, di mana hampir semua kegiatan yang ada di dunia dikendalikan melalui pemrosesan dan pertukaran informasi. Hampir 99,9% pembayaran transaksi besar dilakukan melalui pemrosesan informasi. Perencanaan produksi suatu pabrik besar pada hakekatnya adalah pemrosesan informasi dari data-data kapasitas mesin, stok material dan order pelanggan,
dan lain-lain. Jadi dapat saya gambarkan pada tahun 1900-an awal, sebagian besar orang Indonesia masih bekerja menggunakan otot (membajak sawah, menanam padi), saat ini sebagian besar orang Indonesia yang bekerja pada sektor formil tidak ada yang tidak menggunakan komputer yang terhubung ke dalam suatu jaringan komputer. Dengan kata lain, saat ini “informasi adalah merupakan aset suatu organisasi”. Akibat semakin terhubungnya antara manusia yang satu dengan manusia yang lain melalui berbagai macam perangkat, maka ancaman terhadap informasi yang menjadi aset tersebut. Ancaman dapat datang dari ketidaksengajaan (salah kirim e-mail, tertinggalnya cetakan yang berisi informasi rahasia pada printer yang digunakan secara bersama, dsb.) atau kesengajaan (pihak yang memang berniat mencuri informasi). Masalahnya, ketika kita semakin terhubung satu sama lain, kebocoran informasi di suatu tempat dapat langsung tersebar luas ke seluruh antero dunia. Jadi risiko terhadap informasi saat ini menjadi sedemikian tinggi. Sementara itu, ada berapa banyak informasi yang kita olah dan kita simpan sampai saat ini. Mungkin lebih dari satu milyar kata untuk orang yang bekerja selama 3 tahun, dan terus bertambah. Bagaimanakah caranya kita memproteksi sedemikian banyaknya informasi yang kita kelola? Jawaban yang paling tepat adalah menggunakan “pendekatan manajemen”. Seperti kita ketahui “pendekatan manajemen” sudah mejadi “jurus ampuh” dalam mengelola berbagai aspek dari mulai jaman revolusi industri hingga sekarang. Sejak dari ratusan tahun lalu, dengan teknologi seadanya “pendekatan manajemen” dapat mengelola ratusan ribu pekerja pada suatu pabrik sehingga dihasilkan produk yang berkualitas. Pendekatan inilah yang menjadi dasar dari Sistem Manajemen Keamanan Informasi ISO 27001.
IT TALK 8
Tahapan-tahapan untuk sertifikasi ISO 27001 A. Gap Analysis. Tujuan dari kegiatan ini adalah kita ingin mengetahui sudah sejauh mana perusahaan tersebut menerapkan apa yang sudah apa yang belum, nah dari itu kita dpat mengetahui gapnya apa dan dimana, sehingga strategi perbaikan dapat dilakukan dengan tepat B. Kajian Risiko. Tujuan dari kegiatan ini adalah kita ingin mengetahui risiko-risiko apa saja yang dapat mengancam asetaset yang terkait dengan pemrosesan informasi serta menentukan bagaimana mitigasi yang paling efektif yang dapat dilakukan guna melindungi aset-aset tersebut. C. Penyusunan Dokumen. Tujuan dari kegiatan ini adalah agar mitigasi risiko sebagai hasil dari kegiatan Kajian Risiko yang telah dilakukan pada tahapan sebelumnya dapat terdokumentasi sehingga dapat diimplementasikan secara konsisten. D. Implementasi. Tujuan dari kegiatan ini adalah mengimplementasikan dokumen-dokumen yang telah disusun sebelumnya, sehingga seluruh gap yang telah teridentifikasi pada tahap awal dapat tertangani.
“
E. Internal Audit. Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilakukan serta menentukan tindakan perbaikan yang perlu dilakukan.
Informasi adalah merupakan aset suatu organisasi.
F. Persiapan Audit Sertifikasi. Tujuan dari tahapan ini adalah melakukan persiapan secara mental dan teknis untuk menghadapi audit sertifikasi. G. Audit Sertifikasi. Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kesesuaiannya terhadap persyaratan ISO 27001. Total waktu secara keseluruhan sampai siap diaudit adalah 5 sampai 7 bulan.
IT TALK 9
“
Saat menangani klien kendala apa saja yang sering bapak temukan, yang hampir rata-rata ada disetiap perusahaan. Padahal mungkin hal itu dapat dihandle oleh perusahaan tersebut sehingga hal itu tidak menjadi bahan temuan? a. Bagi saya ISO 27001 merupakan salah satu sistem manajemen yg paling berat yang pernah saya implementasikan, dimana secara struktur ada ratusan kontrol yang harus diadopsi dan harus diimplementasikan. b. Kita harus melakukan risk assessment, namun risk assessment ini berdasarkan aset dan bukan berdasarkan proses bisnis. Misalnya didalam perusahaan asetnya
Pada saat ini, apakah implementasi ISO 27001 di Indonesia muncul dari kesadaran perusahaan atau permintaan dari klien mereka? Kebanyakan dari kesadaran perusahaan itu sendiri karena mereka sudah sadar bahwa informasi design atau informasi klien-klien mereka. Dimana mereka merasa informasi adalah “harta berharga” mereka. Yang mengetahui mengenai ISO 27001 diindonesia ini memang belum begitu banyak. Tetapi yang sadar akan manfaat yang baik dari ISO 27001 ini dan meminta untuk disertifikasi ISO sangat tinggi.
ada ratusan ribu aset maka bisa dibayangkan berapa banyak daftar risiko yang harus dibuat serta berapa banyak mitigasi yang harus dilakukan. Rata-rata awareness dari sistem manajemen keamanan informasi ini yang masih relatif kurang. Tingkat pengetahuan dari staf-staf IT yang ada terkait dengan pengelolaan keamanan untuk perangkat IT dari mulai server, perangkat network, sistem basis data, dan aplikasi. Sehingga ada tiga hal tadi yaitu
Mungkin ada saran dari bapak untuk perusahaan yang saat ini ingin mendapatkan sertifikasi ISO 27001? Tentunya harus ada komitmen bersama dari manajemen sampai staf yang mana keamanan informasi ini menjadi visi manajemen atas sampai yang rendah, dan itu harus memiliki kesadaran itu terlebih dahulu. Dimana itu bisa dikatakan sebagai modal dasar dimana tanpa itu akan menjadi beban. Contohnya, sebelumnya kita sangat bebas men-share informasi dengan flashdisk dan pada saat implementasi ISO 27001 ini penggunaaan flashdisk dikendalikan, misalnya hanya melalui komputer-komputer tertentu saja. Untuk pengiriman file-file rahasia via e-mail harus menggunakan password di mana password-nya diberikan melalui media lain, dan masih banyak lagi aturan-aturan yang diberlakukan yang seolah-olah “membatasi” gerak kita. Bukan hanya untuk persiapan menu ju sertifikasinya saja tetapi hal ini berlaku untuk diimplementasikan sesudah sertifikasi ini didapat. Dengan kontrol ini sedikit banyak akan menyulitkan dan mengurangi fleksibilitas. Namun tanpa ada kesadaran untuk memproteksi informasi ini manfaatnya untuk kita semua. Hal ini bertujuan agar kita tidak ingin ada satu karyawan yang dituntut karena dia secara tidak sengaja membocorkan rahasia perusahaan tersebut. Begitu kesadaran itu sudah terasa menjadi kebutuhan maka akan kesananya sudah menjadi lancar. Kesadaran membawa semangat, semangat membawa komitmen. Jadi hal-hal yang bersifat teknis itu akan terasa mudah bila semua personil dari perusahaan tersebut sudah memiliki komitmen yang kuat. Kalau ada perusahan yang hanya mengejar karena permintaan dari klien saja tanpa ada komitmen dari masing-masing personil. Itu akan sangat sangat terasa sulit. Mungkin sampai sertifikasi bisa, tetapi mempertahankan sertifikasi itu di tiap tahunnya akan terasa berat. Pernah tidak bapak merasa bosan dengan pekerjaan bapak saat ini?
Ÿ Banyaknya kontrol Ÿ Risiko berbasis aset Ÿ Awareness dan kompetensi
Yang itu memang dikombinasikan menjadi keunikan tersendiri yang mana kerumitannya diatas sistem manajemen lainnya.
Sampai saat ini saya sangat enjoy menjalani pekerjaan saya, karena setiap pekerjaan dalam proses ISO 27001 ini memiliki tantangan berbeda di tiap perusahaan.. Kemudian ISO 27001 ini sudah ada revisi yang terbarunya. Secara beban memang berat tapi tidak membuat saya jenuh. Saya menganggap ini menjadi suatu tantangan.
TRAINING CISA Exam Preparation CISM Exam Preparation CGEIT Exam Preparation CISSP Exam Preparation CIRSC Exam Preparation Lead Auditor ISO 27001 Lead Implementer ISO 27001 Internal Audit ISO 27001 SMKI Audit based on ISO 27001
APR
7-11
MAY 5-9 19-23 5-7 5-9 19-23
AGENDA TRAINING ITG.ID 2014
5-9 7-9 21-23 9-11
Lead Auditor ISO 20001 Internal Audit ISO 20001 Lead Implementer ISO 20001
21-23 12-14
ITSM Audit based on ISO 20001
21-23
Lead Auditor ISO 22301-BCM Lead Implementer ISO 22301 Internal Audit ISO 22301-BCM BCM Audit based on ISO 22301-BCM
JUN
2-6
Untuk informasi lebih lanjut:
[email protected] / +628118455731
[email protected] / +628118455723 www.itgid.org
7-11 2-4 16-18 9-11
Phone 021-29069519 Fax 021-83708681
IT AGENDA 11
SCREENSHOTS
Sharing Discussion Acara yang berlangsung di ruang VIP Bluegrass Bar & Grill ini dibuka oleh MC pada pukul 10.00wib, yang diawali dengan sambutan oleh Bpk.Roni S Sutrisno dan Ibu Anastasia Ambarsari. Materi pertama dibawakan oleh Bpk.Fajar Hidayat (SSA – Proxsis Group) dengan topik yang disampaikan mengenai apa itu IT Masterplan. Acara yang dikemas dengan konsep santai namun serius, membuat sharing ini cukup kondusif. Dalam acara sharing discussion salah satu peserta, Pak Yudistira dari PT Quint Wellington Redwood sharing mengenai alur IT Masterplan yang menggunakan ITIL. Pembicara kedua adalah Bpk.Doni dari (Telkom Sigma) yang berbagi cerita mengenai pengalaman dalam implementasi IT Masterplan di Telkom.
IT EVENT 12
Sharing Discussion Venue: BlueGrass Bar & Grill Date: Februari 2014
IT EVENT 13
SCREENSHOTS
Training Penetration Testing Training Penetration Testing yang dilaksanakan pada tanggal 3-7 Maret 2014 bertempat di Gedung Permata Kuningan Lt.17, Jakarta. Training ini diikuti oleh Sdr.Reiner Andilolo dan Sdr.Gita Angga dari PT.Suzuki Finance Indonesia.
IT EVENT 14
SCREENSHOTS
Training BCM
Training Inhouse BCM yang dilaksanakan pada tanggal 18- Maret-2014 yang bertempat di gedung PT.Aetra, Jakarta. Training ini merupakan tahap pertama yang dibuat khusus untuk President Director beserta jajaranya. Akan ada tahap II dan tahap III yang akan diperuntukan untuk senior Manager beserta jajarannya.
15
SCREENSHOTS
Training ITSM Based on ISO 20000 Training ini dilaksanakan pada tanggal 12-14 Februari 2014, bertempat di Training Patners – Menara Kadin, Jakarta. Training ini diikuti oleh Bpk I Made Swarnawa dan Bpk Arief Sunandar dari PT.Bank Mandiri (Persero) Tbk Jakarta.
IT EVENT 16
IT CLIP
Keamanan Data “Dunia Maya” di Indonesia
Saat ini siapa yang tidak pernah sama sekali menggunakan fasilitas via internet? Baik dari sosmed, bertransaksi, dll..? Saya rasa di jaman ini sudah tidak ada lagi. Kemajuan teknologi, mendorong kita juga sebagai user untuk terbiasa dengan kemudahan kemudahan yang terjadi saat ini. Namun, dibalik kemudahan itu kitapun tidak bisa menutup mata dengan keamanan data yang berselancar dalam dunia maya. Kabar mengenai peretasan yang terjadi baru-baru ini kembali mengingatkan akan pentingnya sistem keamanan di internet. Tak bisa disangkal, data mengenai banyaknya peretasan yang dialami oleh berbagai situs di Indonesia menjadi bukti lemahnya sistem keamanan di Indonesia. Berdasarkan laporan banyaknya peretasan yang diterima oleh Indonesia Computer Emergency Respon Team (ID-CERT), menunjukkan kurangnya kesadaran masyarakat Indonesia akan pentingnya data-data yang ada di internet untuk diamankan. Namun semua tak bisa disamaratakan, ada pula situs-situs di Indonesia yang menanamkan sistem keamanan tingkat tinggi pada situsnya. Meski sebagian lainnya juga sadar akan pentingnya keamanan di dunia cyber, masih ada juga kesalah pahaman dalam mempertahankan situs miliknya. Lebih sederhananya, sebagian orang kurang tepat dalam melakukan pengamanan. “Kebanyakan kasus peretasan itu ya deface (pengubahan halaman muka situs), dan orang-orang mengamankan situsnya agar tak dapat di-deface, tapi serangan lain bisa dilancarkan. Di situlah kesalahannya,” kata Ahmad Alkazimy, peneliti sekaligus manajer dari ID-CERT, menjelaskan.
Source: http://techno.okezone.com/read/2013/11/18/55/898830/kesadar an-masyarakat-indonesia-akan-keamanan-internet-minim
Menurut Ahmad, peretasan yang lebih membahayakan dari deface adalah kebocoran data. Sang hacker bisa mencuri dan memanipulasi data yang ada pada situs tersebut. Dan jika sudah dibobol, hacker bebas menanamkan malware atau mengubah data-data yang ada. “Coba bayangkan kalau yang diretas itu bukan sistem penerbangan, tapi bank di Indonesia atau situs pemerintahan, berbagai data bisa dicuri,” terang Ahmad.
17
Meski tahun 2014 baru menapaki bulan kedua, namun serangkaian masalah keamanan sudah ramai mewarnai dunia maya. Kebocoran-kebocoran data dari server pun banyak ditemukan, baik di perusahaan maupun lembaga pemerintahan. Data yang diincar biasanya adalah data konsumen terutama data keuangan. Jaringan toko Neimann Marcus mencatat setidaknya ada sekitar 1,1 juta data kartu kredit customer-nya yang terungkap oleh pelaku kejahatan. Apple pun juga sudah memperoleh “kado” awal tahun 2014 dengan penyebaran phishing di iTunes. Meski vendor antivirus ESET mendeteksi serangan tersebut baru terjadi di wilayah Irlandia, tetapi pengguna iTunes di wilayah geografis lain, termasuk Indonesia juga perlu mewaspadai hal ini.
JELANG PEMILU
Pesta demokrasi yang bakal digelar di Indonesia juga patut menjadi perhatian. Di era digital seperti saat ini, tak dipungkiri bila kampanye politik juga ikut beralih ke bentuk digital. Sebagai imbasnya, pelaku kejahatan internet tentu akan memanfaatkan momen ini untuk melakukan aksinya.
Fenomena di atas memang umum terjadi, dimana ketika kita menghadapi atau memasuki sebuah peristiwa yang menghebohkan seperti bencana, maupun pemilihan umum, semua mata dan telinga masyarakat akan tertuju. Saat-saat seperti itulah yang biasanya dimanfaatkan oleh pelaku kejahatan internet untuk melakukan aksinya demi menjaring korban sebanyak-banyaknya.
Pengguna Internet Jangan Lengah
Secara umum, terdapat 10 malware teratas yang marak beredar bagi pengguna internet di Indonesia. Dari daftar tersebut, Indonesia menduduki peringkat kedua untuk dua sarang malware teratas, yaitu Ramnit dan JS/FBook. Ramnit (ESET mendeteksinya sebagai Win32/Ramnit) masih kerasan menghuni jagat maya Indonesia sejak lama. Prevalensinya cenderung berada pada level di atas 10% sehingga Ramnit selalu menduduki posisi teratas dalam daftar 10 besar malware yang beredar di Indonesia. Yang menarik adalah ditingkatan global, Indonesia berada pada posisi kedua sebagai “sarang” Ramnit dengan angka 15,05% (saat ini) atau di bawah Bangladesh dengan 17,02%. Yudhi Kukuh (Technical Consultant PT. Prosperita-ESET Indonesia) menuturkan, tahun 2014 ini merupakan tahun politik bagi Indonesia. Pasalnya pada tahun ini masyarakat Indonesia akan melakukan pemilihan umum. Internet dan media sosial (Facebook, Twitter) pun diprediksi bakal menjadi lahan kampanye. Untuk itu, kesadaran akan keamanan data di Indonesia dirasa perlu menjadi prioritas mengingat ada banyak momen dimana Indonesia akan mengalami lonjakan penggunaan dan koneksi internet, baik melalui desktop maupun smartphone. source : http://www.infokomputer.com/2014/02/berita/berita-reguler/jelang-pemilu-pengguna-internet-harus-mawas/
IT CLIP
18
WASPADA SERANGAN CYBER BERKEDOK LINKEDIN INVITATION Serangan cyber melalui sosial media semakin berkembang, dan yang paling sering memakan korban adalah pengguna LinkedIn, social media khusus untuk jaringan profesional. Serangan berkedok “undangan pertemanan dari LinkedIn” ini mulai marak digunakan untuk menyerang komputer milik karyawan tertentu dari suatu perusahaan, dengan tujuan mengetahui data yang bisa dicuri dan celah-celah yang bisa dimanfaatkan untuk serangan lain. Proofpoint, perusahaan security yang fokus pada perlindungan email merilis sebuah laporan yang menyatakan bahwa serangan cyber melalui email notifikasi “LinkedIn invitation” terbukti sangat berhasil menjebak korbannya untuk mengklik link berbahaya tersebut. Berdasarkan laporan Proofpoint ini, template email yang paling banyak digunakan peretas untuk menyerang korbannya adalah komunikasi social network, peringatan dari akun finansial dan konfirmasi pemesanan palsu. Tetapi, jumlah korban yang terjebak undangan LinkedIn palsu dua kali lebih banyak dari jenis email palsu lainnya. Bahkan jumlahnya empat kali lebih banyak dari email notifikasi palsu dengan social media lainnya seperti Twitter atau Facebook. Ahli IT security Graham Cluley menulis dalam blognya bahwa hackers sudah sadar akan keberhasilan serangan melalui email LinkedIn plasu ini, dan akan terus menggunakannya. LinkedIn memang merupakan social media yang sudah populer dan terpercaya sehingga pengguna sulit untuk mengabaikan notifikasi dari situs ini, terutama undangan untuk berkoneksi. Menurut Cluley, tidak mudah bagi pengguna internet untuk membedakan antara email asli dan palsu, apalagi jika mereka ditulis dan didesain secara profesional. Pendidikan terhadap serangan melalui email saja belum cukup, perusahaan-perusahaan harus meningkatkan teknologi IT security mereka untuk meminimalkan risiko serangan. Cara yang paling mudah untuk membedakan invitation palsu adalah mengecek akun LinkedIn Anda, dan melihat apakah email invitation tersebut sama dengan yang ada di message akun LinkedIn Anda. Jadi sebaiknya untuk keperluan menerima permintaan koneksi, sebaiknya Anda langsung mengakses akun LinkedIn Anda dan tidak menerima invitation LinkedIn dari notifikasi email. Source : http://www.ciso.co.id/2014/03/waspada-serangan-cyber-berkedok-linkedin-invitation/
19
Dunia cyber kembali dikejutkan dengan ditemukannya sebuah kumpulan data personal berisi lebih dari 360 juta akun dan sekitar 1,25 miliar alamat email yang dijual di pasar gelap online. Penemuan ini berdasarkan hasil investigasi yang dilakukan selama tiga minggu terakhir oleh perusahaan cybersecurity Hold Security LLC, yang juga menyebutkan bahwa data tersebut dicuri oleh hackers dengan melancarkan beberapa serangan terpisah. Salah satu dari rangkaian serangan tersebut berhasil mencuri 105 juta dokumen dalam satu kali peretasan, dan ini membuatnya menjadi peretasan terbesar dalam sejarah cybercrime. “Jumlah pencurian data yang sangat luar biasa,” ujar Alix Holden, kepala keamanan informasi dari Hold Security. Milyaran alamat email yang dicuri tersebut berasal dari seluruh provider besar termasuk Google, Microsoft dan Yahoo, serta organisasi-organisasi nirlaba dan hampir seluruh dari perusahaan yang masuk daftar 500 Perusahaan Teratas Versi Majalah Fortune. Holden menambahkan bahwa banyak peretasan yang belum disampaikan ke khalayak oleh perusahaanperusahaan tersebut, bahkan ada yang tidak sadar bahwa sistem mereka telah diretas. “Staf kami sedang berusaha untuk mengidentifikasi korban-korban peretasan tersebut,” katanya.
Kejahatan Cyber Terbesar Dalam Sejarah
1,25 Miliar Alamat Email Diretas
Peretasan ini bisa membahayakan perusahaan dan konsumen mereka. Meskipun tidak ada dokumen financial yang dicuri seperti nomor kartu kredit, peretas bisa menggunakan alamat email dan password dari pasar gelap untuk mengakses informasi banyak akun bank sampai dokumen perusahaan. “Mungkin ada beberapa duplikasi data, tetapi kalaupun benar, itu terdengar seperti harta karun bagi penjahatcyber,” ujar Cluley. Dokumen curian tersebut mungkin tidak digunakan untuk mengakses akunakun, tetapi untuk menemukan pola-pola baru dalam peretasan di masa depan. “Jika suatu kelompok punya sebuah database password yang besar, mereka bisa menggunakannya untuk mengetahui password-password apa yang biasanya digunakan. Saat mereka ingin meretas suatu akun, mereka tinggal menggunakan password yang paling sering digunakan yang ditentukan berdasarkan database tersebut.” Tambahnya. source : http://www.ciso.co.id/2014/03/kejahatan-cyber-terbesar-dalam-sejarah-125-miliar-alamat-emaildi-hack/
20
Hacker Lebih Pilih Password Twitter Ketimbang Kartu Kredit
Password Twitter ternyata jauh lebih berharga ketimbang informasi tentang kartu kredit bagi hacker. Demikian penelitian yang dilakukan oleh perusahaan kenamaan Juniper Network. Menurut Juniper, ketika peretas mendapatkan informasi kartu kredit maka yang didapatkan hanya kartu kredit saja. Berbeda dengan akun Twitter, bisa saja mengakses ke informasi pribadi. Nilai akun Twitter pun bisa lebih mahal dimulai dari USD 16 sampai dengan USD 325, tergantung seberapa sensitif didapatkannya. Sedangkan USD 20 hingga USD 40 bisa didapatkan pencurian kartu kredit.
“Nama akun Twitter bisa memberikan akses dan serangan ke situs lain. Jadi tak sekadar mencuri identitas dari pelaku saja.”
“Nama akun Twitter bisa memberikan akses dan serangan ke situs lain. Jadi tak sekadar mencuri identitas dari pelaku saja,” ungkap pihak Juniper. Laporan terbaru mengungkapkan bahwa melalui Twitter, pengguna juga mampu diserang dengan membenamkan malware. Sehingga, pengguna akun Twitter yang diterabas bisa memberikan ‘koneksi’ lain ke jaringan lainnya. “Pencurian informasi Twitter dapat digunakan untuk mengecoh akun teman-teman, keluarga, dan rekan kerja untuk keuntungan finansial tambahan,” tandas Juniper. Source : http://inet.detik.com/read/2014/04/01/172051/2542297/323/hacker-lebih-pilih-passwordtwitter-ketimbang-kartu-kredit
21
MUST-READ:
Sekarang Mesin ATM Bisa Dirampok via SMS!
Para perampok ATM kini punya cara canggih untuk menguras isi mesin uang tersebut, yakni hanya dengan menuliskan pesan singkat. Bagaimana caranya? Daniel Regalado, analis malware dari Symantec, mengungkap bagaimana cara para penjahat cyber bisa menguras uang dengan mudah dari mesin ATM berbasis Windows XP. Pertama-tama para penjahat tersebut harus menghubungkan mesin ATM dengan ponsel selular. Ada beberapa cara yang bisa dipakai, tapi yang paling umum adalah menggunakan USB tethering. Ini dilakukan untuk berbagai koneksi internet dari ponsel ke mesin ATM. Ya, menurut Symantec hal itu bisa saja terjadi. Sebab hampir seluruh mesin ATM yang beredar saat ini masih menggunakan Windows XP. Dan bukan rahasia lagi jika sistem operasi itu memiliki banyak celah. Sekitar 95% mesin ATM yang beredar memiliki beberapa kelemahan, bahkan salah satunya memungkinkan penjahat menguras uang di dalamnya hanya melalui pesan singkat. “Dengan berakhirnya dukungan Windows XP pada 8 April nanti, industri perbankan akan menghadapi masalah yang serius, karena serangan cyber mulai membidik ATM,” kata Daniel Regalado, analis malware dari Symantec. “Risiko ini bukan hipotesis, tapi sudah terjadi. Penjahat di dunia maya menargetkan ATM dengan serangan yang cukup canggih,” lanjutnya, melalui blog Symantec , Rabu (26/3/2014). Lebih lanjut Regalado menceritakan soal temuan malware yang bernama Backdoor.Ploutus, program jahat ini diketahui beredar di Amerika Selatan. Backdoor.Ploutus terbilang canggih. Setelah masuk ke dalam mesin ATM, pembuat malware tersebut tinggal memberi untuk mengeluarkan uang melalui SMS. Setelah duit yang diinginkan mengucur, maka penjahat cyber tinggal berjalan masuk dan mengambilnya. Setelah berhasil menghubungkan ponsel dengan mesin ATM, maka langkah berikut yang dilakukan peretas adalah memasukkan malware bernama Ploutus. Setelah semua proses instalasi selesai, kini tinggal melakukan eksekusi. Para penjahat bisa mengirim SMS dengan format spesifik kepada ponsel yang sudah dihubungkan ke mesin ATM. Isi pesan tersebut kemudian akan diteruskan ke mesin ATM oleh ponsel dengan format berbeda, inilah yang akhirnya menipu mesin ATM untuk menggeluarkan uang dengan jumlah yang sudah ditentukan pelaku.
Source : http://inet.detik.com/read/2014/03/26/161955/2537508/323/sssttbegini-cara-merampok-atm-lewat-sms?i991101mainnews http://inet.detik.com/read/2014/03/26/132620/2537181/323/canggih -mesin-atm-bisa-dirampok-via-sms?i991104topnews
Dengan begitu, ada beberapa cara yang bisa dilakukan oleh para bank pemiliki ATM, misalnya dengan melakukan enkripsi pada hardisk, mengunci BIOS untuk tidak melakukan booting dari perangkat lain, memasang kamera CCTV, atau langsung mengupgrade sistem operasi ke Windows 7 atau 8.
22
Consulting and Management Solutions
ABOUT US
PROXSIS CONSULTANT - PT. PROXIS SOLUSI BISNIS PROXSIS IT - PT PROXSIS GLOBAL SOLUSI SYNERGI SOLUSI - PT. SINERGI SOLUSI INDONESIA PROXSIS INC. SURABAYA - PT.PROXSIS MANAJEMEN INTERNASIONAL PROXSIS FOOD AND AGRO PROXSIS ENVIRO AND ENERGY MANAGENT PROXSIS ADVANCE QUALITY AND ASSET MANAGEMENT PROXSIS ADVANCE QUALITY AND ASSET MANAGEMENT PROXSIS BPM SECURE INC. - IT SECURITY SOLUTION AND SERVICES PROXSIS TAX AND ACCOUNTING SERVICES - PROXSIS TAX
Consulting Group
Professionals Development and Knowledge Center ISC - INDONESIA SAFETY CENTER IPQI - INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE ITG.ID - IT GOVERNANCE INDONESIA INDONESIA TAX CENTER
IT GOVERNANCE INDONESIA INDONESIA TAX CENTER
- BUSINESS CONTINUITY MANAGEMENT - PERSONAL EXAM PREPARATION - IT GOVERNANCE & MANAGEMENT - IT SECURITY - QUALITY MANAGEMENT SYSTEM - IT RISK MANAGEMENT - GREEN IT
- COMPANY INCOME TAX - PERSONAL INCOME TAX - EMPLOYEE INCOME TAX - WITHOLDING TAX - VALUE ADDED TAX - TAX AUDIT - TRANSFER PRICING - TAX ACCOUNTING
INDONESIA SAFETY CENTER - ADVANCE & CERTIFIED SAFETY - AK3 - HSE & SAFETY MANAGEMENT - ISO - HEALTH & INDUSTRIAL HYGINE
INDONESIA PRODUCTIVITY AND QUALITY INSTITUTE - ADVANCE QUALITY - BUSINESS PROCESS MGT. - FOOD AND AGRO - ENVIRO AND ENERGY
IT GOVERNANCE INDONESIA Permata Kuningan lt. 17 Kawasan Bisnis Epicentrum HR. Rasuna Said Jl. Kuningan Mulia Kav.9C Telp: 021 29069519 Fax: 021 8370 8681