1 RAPAT KERJA NASIONAL LPSE 2015 Manajemen Keamanan Informasi Dipaparkan oleh Lembaga Sandi Negara Jakarta, 11 November 20152 Definisi TIK Teknologi I...
Manajemen Keamanan Informasi Dipaparkan oleh Lembaga Sandi Negara
Jakarta, 11 November 2015
Definisi TIK • Teknologi Informasi & Komunikasi • Terdiri dari dua aspek yaitu Teknologi Informasi dan Teknologi Komunikasi. • Teknologi Informasi dan Komunikasi, sering disingkat TIK atau ICT (information and communication technology). Ada juga yang menyebut dengan istilah “telematika” yaitu singkatan dari telekomunikasi dan informatika. • Haag dan Keen (1996) : TI adalah seperangkat alat yang membantu dan melakukan tugas-tugas yang berhubungan dengan pemrosesan informasi. • Martin (1999) : Teknologi informasi tidak hanya terbatas pada teknologi komputer, melainkan juga mencakup teknologi komunikasi.
Definisi TIK (2) • Teknologi Informasi adalah segala hal yang berkaitan dengan proses manipulasi dan pemrosesan informasi. Sedangkan Teknologi Komunikasi adalah segala hal yang berkaitan dengan proses menyampaikan informasi dari pengirim ke penerima. • Secara garis besar, teknologi informasi & komunikasi diartikan sebagai teknologi untuk memperoleh, mengolah, menyimpan, dan menyebarkan berbagai jenis file informasi dengan memanfaatkan komputer dan telekomunikasi. [Sumber: Bahan Ajar TIK – TIK Dalam Bidang Pemerintahan]
Pemanfaatan TIK • E- Banking (Perbankan) • E- Commerce (Bisnis) • E- Government (Pemerintahan)
• dsb
Latar Belakang (Kerawanan & Penyalahgunaan TIK)
Statistik Kerawanan TIK Kerawanan TIK meningkat dari tahun ke tahun Sumber : http://www.zone-h.org/ stats/ymd • Setiap hari, terdapat 20-50 buah situs instansi pemerintah RI dibobol oleh hacker. • Tujuan : pencurian informasi, akses info secara tidak sah, tindakan iseng/tidak bertanggung jawab http://www.zone-h.org/archive
Latar Belakang (Kerawanan & Penyalahgunaan TIK) Kasus Wikileaks Wikileaks banyak mendapatkan informasi rahasia (melalui hacking) dg tujuan menciptakan transparansi utk memerangi korupsi dan kejahatan kemanusiaan Kerugian : Penyebaran informasi kawat diplomatik rahasia, termasuk Indonesia
Risiko Kerawanan & Penyalahgunaan TIK • Dicuri • Diubah isi/konten-nya • Disebar luaskan tanpa izin • Disalah gunakan • Diakses/dibuka tanpa izin • dsb ..
Klasifikasi Ancaman Keamanan pada TIK • Interception • Informasi diketahui oleh pihak yang tidak sah • Ancaman terhadap : Kerahasiaan • Contoh : penyadapan
Sumber
Tujuan
Sumber
Tujuan
• Interruption • Menghilangkan informasi sehingga tidak dapat diakses oleh penerima • Ancaman terhadap : Ketersediaan • Contoh : penyadapan
Klasifikasi Ancaman Keamanan pada TIK • Modification • Mengubah informasi sehingga penerima menerima informasi yang salah / tidak valid • Ancaman terhadap : Integritas • Contoh : perusakan website
Sumber
Tujuan
Sumber
Tujuan
• Fabrication • Penerima menerima informasi yang seakan-akan dikirim oleh pengirim yang sah • Ancaman terhadap : Otentikasi • Contoh : perusakan website
Sumber Serangan Keamanan TIK Program komputer berbahaya (malware)
Aktivitas hacking
Serangan Denial of Service
Kesimpulan Diperlukan Kerangka Keamanan Teknologi Informasi dan Komunikasi
Strategi Kebijakan Pedoman 1. Tetapkan strategi keamanan informasi
2. Buat kebijakan keamanan informasi 3. Buat penjabaran kebijakan dalam bentuk pedoman keamanan informasi
Bagaimana memulainya? • Mulai dari identifikasi risiko keamanan • Fokuskan pada nilai informasi yang tinggi dengan tingkat kerentanan yang besar Nilai Informasi
Tingkat Kerentanan
Prioritas
Contoh : Penanganan Virus Komputer 1. Strategi Melaksanakan tata kelola infrastruktur TIK dengan mengedepankan aspek fungsionalitas dan keamanan. 2. Kebijakan Setiap bagian dari infrastruktur TIK instansi, termasuk komputer personal harus menggunakan/terinstalasi aplikasi Antivirus. 3. Pedoman Pedoman instalasi dan penggunaan aplikasi Antivirus : - Instalasi aplikasi - Cara update aplikasi Antivirus - Cara menangani komputer atau file yang terinfeksi virus
Langkah Selanjutnya Pengembangan : Strategi Kebijakan Pedoman
Proses/Pelaksanaan Pengamanan TIK
+
Teknologi Pengamanan TIK
Proses / Pelaksanaan Pengamanan TIK 1. Melaksanakan program pendidikan/pelatihan dan sosialisasi/kampanye internal keamanan TIK 2. Implementasi pengamanan TIK 3. Kontrol / pengawasan terhadap implementasi pengamanan TIK
Teknologi Pengamanan TIK Perangkat Pencegah Kriptografi Firewall Perangkat penganalisis kerentanan
Perangkat Pendeteksi Antivirus Intrusion Detection System (sistem pendeteksi penyusupan)
Teknologi Pengamanan TIK Kriptografi
Teknologi Pengamanan TIK Firewall
Tips & Contoh Pengamanan TIK
Gunakan aplikasi Antivirus Gunakan aplikasi firewall untuk setiap komputer yang terhubung dengan internet Jangan download file .exe secara langsung dari Internet. Jangan membuka semua file yang mencurigakan dari Internet. Simpan file dokumen dalam format RTF (Rich Text Format/ .rtf) bukan .doc. Selektif dalam mengunduh attachment file dari email. Kontak administrator jika “merasa” komputer Anda kena gangguan virus.
Tips & Contoh Pengamanan TIK Penggunaan Password Password : alat paling umum untuk membatasi akses ke sistem TIK Password yang efektif : Bukan susunan huruf/kata yang mudah ditebak Bukan Nama Dirahasiakan Mudah diingat Kombinasi dari huruf (besar/kecil) dan angka Diubah secara berkala
Kebutuhan Pengamanan Dokumen e-Procurement Teknologi Keamanan
Authentication
Confidentiality
Anti Virus
Non-Repudiation
√
Firewall
√
√
Access Control
√
√
Encryption Public Key Infrastructure
Integrity
√ √
√
√
√
Public Key Infrastructure dalam rangka keamanan informasi bertujuan: • Menjaga kerahasiaan, integritas dan ketersediaan informasi organisasi. • Dalam e-Procurement para pihak yang bertransaksi harus yakin bahwa transaksi ini aman, dapat diverifikasi, terotorisasi, dan diakui secara hukum.
Sertifikat Elektronik Sertifikat Elektronik sebagai kerangka untuk pengamanan sistem elektronik : • Enkripsi • Tanda tangan elektronik • Identitas Digital
Adi Budiman Otoritas Sertifikat Digital Pengadaan Barang/Jasa Secara Elektronik
Undang-Undang ttg ITE (No.11/2008) Peraturan Pemerintah ttg PSTE (No.82/2012) ISO 27001
Kesesuaian terhadap Peraturan (Transaksi Elektronik, termasuk e-Procurement) BAB IV PENYELENGGARAAN TRANSAKSI ELEKTRONIK
Bagian Kedua Persyaratan Penyelenggaraan Transaksi Elektronik Pasal 41 1. Penyelenggaraan Transaksi Elektronik dalam lingkup publik atau privat yang menggunakan Sistem Elektronik untuk kepentingan pelayanan publik wajib menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik.
Catatan : Peraturan Pemerintah No.82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik)
Tujuan :
- Memastikan tata kelola yang baik - Meningkatkan keamanan sistem
Program Lembaga Sandi Negara Terkait dengan Implementasi Sertifikat Elektronik Penyelenggaraan Sertifikasi Elektronik : 1) Otoritas Sertifikat Digital Pengadaan Secara Elektronik (OSD PSE) 2) Otoritas Sertifikat Digital Layanan Universal (OSD LU)
Aplikasi Berbasis Sertifikat Elektronik : 1) Sistem Pengamanan Komunikasi Dokumen pada Layanan Pengadaan Secara Elektronik 2) Aplikasi Keamanan untuk e-Tax Invoice pada Ditjen Pajak, Kemenkeu 3) Modul Pengamanan pada Sistem Informasi & Koordinasi Dewan Ketahanan Nasional (Wantannas)
