KEAMANAN SISTEM INFORMASI

06

KEAMANAN SISTEM INFORMASI

MEMBANGUN PROGRAM KEAMANAN

Prepared By : Afen Prana http://afenprana.wordpress.com

Upon completion of this chapter, you should be able to: Recognize & understand the organizational approaches to infosec List & describe the functional components of the infosec program Determine how to plan & staff an organization’s infosec program based on its size Evaluate the internal & external factors that influence the activities & organization of an infosec program Prepared By : Afen Prana

2

more

Æ

Daftar dan Membuat Hak jabatan yg jelas dan fungsi Yg dilakukan dalam program infosec Membuat komponen2 security education, training, & awareness program & memahami bagaimana organisasi menulis Dan mengatur program ini

Prepared By : Afen Prana

3

Bbrp organisasi menggunakan program keamanan Untuk menggambarkan keseluruhan personil, perencanaan, kebijakan, & inisiatif Yg direlasikan pada infosec Program InfoSec : disini digunakan Untuk menggambarkan struktur & organisasi Yg berisi resiko pada aset informasi organisasi


4

Bbrp variables menggambarkan bagaimana struktur suatu program infosec yaitu : 9 Kultur Organisasi 9 Size 9 Security personnel budget 9 Security capital budget


5

“…Ketika organisasi mendapatkan ukuran yg besar, departemen keamanan mereka tidak dapat mengikuti permintaan yg meningkat terus pd infrastruktur organisasi kompleks. Security membelanjakan per user & per mesin yg memundurkan perkembangan organisasi secara eksponensial Ketika itu diimplementasikan prosedur keamanan yg efektif.”


6

Departemen Infosec Dalam organisasi yg besar Cenderung untuk membentuk & membentuk ulang kelompok internal Untuk tantangan jangka panjang Bahkan waktu mereka menangani operasi keamanan sehari-hari. Fungsi kemungkinan besar akan Dipisahkan kedalam kelompok-kelompok


7

Pada organisasi yg sangat besar Dengan lebih dari 10,000 komputer, Anggaran security sering sekali tumbuh lebih cepat dibanding anggaran IT Dengan anggaran besar pun, Rata-rata jumlah yg dibelanjakan atas security per user Masih lebih kecil dibanding jenis organisasi yg lain Dimana organisasi kecil membelanjakan Lebih dari $5,000 per user atas security, Organisasi yg sangat besar membelanjakan sekitar 1/18 dari belanja tsbt, kira-kira $300 per user Prepared By : Afen Prana

8

Organisasi yg sangat besar, bagaimanapun, Melakukan pekerjaan baik dalam kebijakan dan area sumber daya manajemen, Walaupun hanya 1/3 organisasi Menangani insiden menurut rencana IR


9

Dalam organisasi yg besar dengan 1,000 hingga 10,000 komputer, Pendekatan pada security sering sekali telah mendewasakan, Perencanaan integrasi & kebijakan Kedalam kultur organisasi Patut disayangkan, organisasi yg besar Tidak selalu mengambil sumber daya yg besar kedalam security Mempertimbangkan angka2 yg sangat besar Ttg komputer & melibatkan para user Cenderung untuk membelanjakan Secara proporsional lebih sedikit atas security Prepared By : Afen Prana

10

Pendekatan keamanan dalam organisasi yg besar memisahkan 4 fungsi area : 1. Fungsi yg dilakukan oleh Unit bisnis non-technology diluar IT 2. Fungsi yg dilakukan oleh Kelompok IT diluar area infosec 3. Fungsi yg dilakukan dalam departemen infosec sbg customer service 4. Fungsi yg dilakukan dalam departemen infosec sbg pemenuhan Prepared By : Afen Prana

11

Tanggung jawab CISO’s Untuk melihat fungsi infosec Cukup dilakukan disuatu tempat didalam organisasi Penyebaran personil keamanan yg full-time Tergantung pd sejumlah faktor, Mencakup kepekaan info untuk dilindungi, Peraturan industri, & profitabilitas umum Dana yg lebih Suatu perusahaan dapat mendedikasikan Untuk anggaran personil, Kemungkinan besar Untuk memelihara staff infosec yg besar Prepared By : Afen Prana

12


13


14

Organisasi Medium-sized 100-1,000 komputer ... 9 Mempunyai total anggaran kecil 9 Mempunyai ukuran staff keamanan yg sama Sebagai organisasi yg kecil, tapi kebutuhan lebih besar Harus bersandar atas bantuan Dari staff IT untuk perencanaan & praktek 9

Kemampuan menetapkan set kebijakan, Insident yg ditangani dalam cara reguler, & alokasi sumber daya yg efektif, Secara keseluruhan Prepared By : Afen Prana

15

Organisasi Medium-sized 100-1,000 komputer Mungkin cukup besar utk menerapkan Pendekatan multi-tiered Untuk security dengan lebih sedikit kelompok yg didedikasikan & fungsi lebih yg ditugaskan untuk ke masing2 kelompok Organisasi Medium-sized Cenderung untuk mengabaikan bbrp fungsi keamanan


16


17

Organisasi yg kecil 10-100 komputer sederhana, sentralisasi Model IT organisasi Membelanjakan lebih tidak sebanding atas security InfoSec dalam organisasi kecil Seringsekali tanggung jawab tunggal more ... Æ Prepared By : Afen Prana

18

Seperti halnya organisasi memiliki jalan yg sederhana Ttg kebijakan formal, perencanaan atau ukurannya Commonly outsource their Web presence or electronic commerce operations Pelatihan keamanan & kesadaran Biasanya diselenggarakan Atas basis 1-on-1 more ... Æ Prepared By : Afen Prana

19

Kebijakan issue-specific Ancaman dari orang dalam mungkin lebih sedikit dimana setiap karyawan Saling mengetahui semua karyawan yg lainnya


20


21

Dalam organisasi yg besar, InfoSec sering sekali ditempatkan dalam departemen IT, Dipimpin oleh CISO Yg melaporkan secara langsung ke executive, atau CIO Sangat alami, Suatu program InfoSec Kadang kadang berselisih dengan tujuan dan sasaran hasil ttg departemen IT secara keseluruhannya


22

Sebab tujuan dan sasaran hasil CIO & CISO Tidak sulit untuk memahami untuk memisahkan infosec dari divisi IT Tantangannya Adalah untuk mendesign suatu struktur laporan Untuk program InfoSec Yg menyeimbangkan kebutuhan dari tiap-tiap masyarakat


23


24


25


26


27


28


29

Opsi lain: Option 7: Internal Audit Option 8: Help Desk Option 9: Accounting & Finance melalui IT Option 10: Human Resources Option 11: Facilities Management Option 12: Operations Prepared By : Afen Prana

30

Komponen Program Keamanan Kebutuhan InfoSec organisasi adalah unik dengan kultur, ukuran & budget organization Menentukan tingkatan apa dalam menjalankan program infosec atas Rencana strategis organisasi; Khususnya, atas rencana statement visi dan misi CIO & CISO Perlu menggunakan 2 dokumen ini Untuk merumuskan statement misi untuk Program infosec Prepared By : Afen Prana

31

Posisi InfoSec dapat diklasifikasikan Kedalam 1 - 3 tipe : 1. Menetapkan, 2. Membangun, & 3. Mengelola


32

Menetapkan 9 Menyediakan kebijakan, petunjuk dan standar 9 melaksanakan konsoltasi & penilaian resiko 9 memperkuat product & technical architectures 9 orang2 senior dengan memiliki pengetahuan yg luas, Membangun 9 secara teknis nyata 9 menciptakan & menginstal solusi security Pengelolaan 9 Mengoperasikan & mengurus tools security & fungsi monitoring security 9 Bekerja berkesinambungan untuk meningkatkan proses Prepared By : Afen Prana

33

Organisasi khusus Memiliki sejumlah individu Dengan tanggung jawab infosec Walaupun sebutan dapat digunakan berbeda, Kebanyakan fungsi pekerjaan berkait dengan salah satu di bawah ini : 9 Chief infosec Officer (CISO) 9 Security managers 9 Security administrators & analysts 9 Security technicians 9 Security staff Prepared By : Afen Prana

34


35

Help desk merupakan bagian penting Dari tim infosec, Meningkatkan kemampuan Untuk mengidentifikasikan masalah potensial Ketika seorang user menghubungi help desk Dengan keluhan komputernya, Koneksi jaringan, atau Internet, Masalah user tersebut dapat menjadi suatu masalah yg besar, Seperti serangan hacker, serangan DoS atau virus Karena teknisi help desk Melaksanakan tugas khusus dalam infosec, Mereka membutuhkan pelatihan khusus Prepared By : Afen Prana

36

Security Education, Training, & Awareness Programs Di design untuk mengurangi Pelanggaran keamanan Awareness, training, & education programs Menawarkan 2 manfaat utama: 1. Meningkatkan perilaku karyawan 2. Memungkinkan organisasi Untuk menjaga karyawannya yg dapat dipertanggung jawabkan pada tindakan yg mereka lakukan Prepared By : Afen Prana

37

Program SETA terdiri dari 3 unsur: 1. security education 2. security training 3. security awareness


38

Tujuan SETA adalah Untuk meningkatkan keamanan ... 9 dengan membangun pengetahuan yg mendalam, Jika dibutuhkan, Untuk design, implementasi, atau operasi Program security Pada organisasi dan sistem 9 dengan mengembangkan skills & pengetahuan Sedemikian sehingga pengguna komputer Dapat melaksanakan pekerjaan mereka Selagi menggunakan sistem IT lebih ‘secure’ 9 Dengan meningkatkan kesadaran yg dibutuhkan untuk melindungi sumber daya sistem Prepared By : Afen Prana

39

Perbandingan Framework SETA


40

Security training melibatkan Tersedianya informasi yg rinci & catatan instruksi Yg memberi skill ke user Untuk melaksanakan tugas-tugas mereka secara benar


41

Dua metode pada kebiasaan training 1. Latar belakang fungsional 9 General

user 9 Managerial user 9 Technical user 2. Tingkat terampil/Skill 9 Baru 9 Menengah 9 Lanjutan Prepared By : Afen Prana

42

Menggunakan metoda pelatihan yg salah dapat : 9 Merintangi transfer

pengetahuan

9 Mengakibatkan

pengeluaran yg tidak perlu & kekecewaan, pekerja dilatih kurang baik.


43

Program training yg baik : 9 Menggunakan teknologi pengetahuan yg terakhir dan mempraktek-kan yg terbaik 9 Menggunakan Kursus publik yg tersentralisasi & on-site training 9 Task-oriented modules & training sessions


44

Pemilihan metode pelatihan Tidak selalu didasari pada Hasil terbaik para peserta Faktor-faktor lain, Seperti budget, scheduling, & kebutuhan organisasi Sering menjadi nomor satu


45

Training delivery methods: 9 One-on-One 9 Formal Class 9 Computer-Based Training (CBT) 9 Distance Learning/Web Seminars 9 User Support Group 9 On-the-Job Training 9 Self-Study (Noncomputerized) Prepared By : Afen Prana

46

Where can you find trainers? 9 Local training program 9 Continuing education department 9 External training agency 9 Professional trainer, consultant, or someone from accredited institution to conduct on-site training 9 In-house training using organization’s own employees Prepared By : Afen Prana

47

While each organization develops its own strategy, the following 7-step methodology generally applies: Step 1: Identify program scope, goals, & objectives Step 2: Identify training staff Step 3: Identify target audiences Step 4: Motivate management & employees Step 5: Administer the program Step 6: Maintain the program Step 7: Evaluate the program


48

Security awareness program: one of least frequently implemented, but most effective security methods Security awareness programs: 9 set the stage for training

by changing organizational attitudes to realize the importance of security & the adverse consequences of its failure 9 remind users

of the procedures to be followed Prepared By : Afen Prana

49

SETA best practices When developing an awareness program: 9 Focus on people 9 Refrain from using technical jargon 9 Use every available venue 9 Define learning objectives, state them clearly, & provide sufficient detail & coverage 9 Keep things light more ... Æ Prepared By : Afen Prana

50

9 Don’t overload the users 9 Help users understand their roles in InfoSec 9 Take advantage of in-house communications media 9 Make the awareness program formal; plan & document all actions 9 Provide good information early, rather than perfect information late


51

10 Commandments of InfoSec Awareness Training I. InfoSec is a people, rather than a technical, issue II. If you want them to understand, speak their language III. If they cannot see it, they will not learn it IV. Make your point so that you can identify it & so can they V. Never lose your sense of humor Prepared By : Afen Prana

more ... Æ 52

VI. Make your point, support it, & conclude it VII. Always let the recipients know how the behavior that you request will affect them VIII. Ride the tame horses IX. Formalize your training methodology X. Always be timely, even if it means slipping schedules to include urgent information Prepared By : Afen Prana

53

Security awareness & security training are designed to modify any employee behavior that endangers the security of the organization’s information Security training & awareness activities can be undermined, however, if management does not set a good example Prepared By : Afen Prana

54

Effective training & awareness programs make employees accountable for their actions Dissemination & enforcement of policy become easier when training & awareness programs are in place Demonstrating due care & due diligence can help indemnify the institution against lawsuits Prepared By : Afen Prana

55

Awareness can take on different forms for particular audiences A security awareness program can use many methods to deliver its message Effective security awareness programs need to be designed with the recognition that people tend to practice a tuning out process (acclimation) Awareness techniques should be creative & frequently changed Prepared By : Afen Prana

56

Komponen Security awareness Dari yang murah hingga sangat mahal Security awareness components Meliputi: 9 Videos 9 Posters & banners 9 Lectures & conferences 9 Computer-based training 9 Newsletters 9 Brochures & flyers 9 Trinkets (coffee cups, pens, pencils, T-shirts) 9 Bulletin boards Prepared By : Afen Prana

57

Security newsletter is a cost-effective way to disseminate security information In the form of paper, e-mail, or intranet Goal: keep infosec uppermost in users’ minds & stimulate them to care about security


58

Newsletters might include: 9 Threats to the organization’s info assets 9 Schedules for upcoming security classes & presentations 9 Addition of new security personnel 9 Summaries of key policies 9 Summaries of key news articles 9 Announcements relevant to infosec 9 How-to’s


59

Security poster series can be a simple & inexpensive way to keep security on people’s minds Professional posters can be quite expensive, so in-house development may be best solution


60

Keys to a good poster series: 9 Varying the content

& keeping posters updated 9 Keeping them simple,

but visually interesting 9 Membuat pesan yg jelas 9 Menyediakan informasi

Atas pemberitaan pelanggaran Prepared By : Afen Prana

61


62

I like some other posters better.

(see www.despair.com)


63

Trinkets (perhiasan kecil) may not cost much on a per-unit basis, but they can be expensive to distribute throughout an organization Several types of common trinkets: 9 Pens & pencils 9 Mouse pads 9 Coffee mugs 9 Plastic cups 9 Hats 9 T-shirts Prepared By : Afen Prana

64


65

Organizations can establish Web pages or sites dedicated to promoting infosec awareness As with other SETA awareness methods, the challenge lies in updating the messages frequently enough to keep them fresh Prepared By : Afen Prana

66

Some tips on creating & maintaining an educational Web site: 9 See what’s already out there 9 Plan ahead 9 Keep page loading time to a minimum 9 Seek feedback 9 Assume nothing & check everything 9 Spend time promoting your site Prepared By : Afen Prana

67

Another means of renewing the infosec message is to have a guest speaker or even a mini-conference dedicated to the topic of infosec Perhaps in association with National Computer Security Day: November 30


68

Summary Organizing for Security Placing InfoSec Within An Organization Components of the Security Program InfoSec Roles & Titles Implementing Security Education, Training, & Awareness Programs Prepared By : Afen Prana

69

KEAMANAN SISTEM INFORMASI

Recommend Documents