Mata Kuliah : Keamanan Sistem Informasi 02 Perencanaan dan Managemen Keamanan Sistem STMIK-Mikroskil Prepared By : Afen Prana
1
Ketika menyelesaikan bab ini, Anda bisa: Mengenali pentingnya teknologi informasi & memahami siapa yang bertanggung jawab untuk melindungi suatu aset organization’s informasi Mengetahui & memahami definisi & karakteristik kunci keamanan informasi Mengetahui & memahami definisi & karakteristik kunci kepemimpinan & manajemen Mengenali karakteristik yang membedakan manajemen keamanan informasi dari manajemen umum 2
Pada kenyataannya, tetapi sering tidak disebutkan, berbagai hal: Teknologi informasi adalah hal yang kritis untuk bisnis dan masyarakat ...& selalu begitu ( apa yang terjadi jika IT tidak tersedia?) Keamanan Komputer mengembangkan ke dalam keamanan informasi Keamanan Informasi adalah tanggung jawab dari tiap anggota dari suatu organisasi, tetapi para manajer memainkan suatu peran yg genting
3
Review definisi dari security : - Menurut Harold F. Tipton ? - Menurut Wikipedia “Security” yaitu :
“Security is being free from danger”
- Wikipedia “Security (computers)” yaitu : “usaha untuk menciptakan suatu platform secure, didisain sedemikian sehingga agent (user atau program) hanya dapat melaksanakan tindakan yang telah diijinkan.” - Menurut Whitman dan mattord : “kualiti atau
status menjadi secure – menjadi bebas dari bahaya” “The quality or state of being secure - to be free from danger”
Keamanan dicapai menggunakan beberapa strategi yg dilakukan secara serentak. 4
Area Spesialisasi keamanan : -
9 9 9
Physical security Personal security Operations security Communications security Network security Information security (InfoSec) Computer security
Informaton Security meliputi : -
Physical security Personal security Operations security Communications security Network security Information security (InfoSec) Computer security
5
Keamanan Informasi melibatkan 3 komunitas : 1. Keamanan Informasi Para manajer & Para profesional 2. Teknologi informasi Para manajer & Para profesional 3. Bisnis non-teknis Para manajer & Para profesional 6
Minat komunitas/Masyarakat : InfoSec community : melindungi asset informasi dari ancaman IT community: mendukung objektifitas bisnis dengan penyediaan teknologi informasi yg sesuai Business community : mengartikulasikan & kebijakan komunikasi & mengalokasikan sumber daya 7
Infosec meliputi : manajemen keamanan informasi, keamanan komputer, keamanan data, & keamanan jaringan. Kebijakan adalah pusat bagi semua usaha infosec.
8
Komponen dari InfoSec
9
Segi tiga C.I.A terdiri dari: Kerahasiaan/Confidentiality Integritas/Integrity Ketersediaan/Availability ( Dari waktu ke waktu daftar karakteristik telah diperluas ) C.I.A = standar industri untuk keamanan komputer yg didasari dari karakteristik informasi. 10
CIA + Kerahasiaan/Confidentiality
Privasi/Privacy
Integritas/Integrity
Identifikasi/Identification
Ketersediaan/Availability
otentifikasi/Authentication Otorisasi/Authorization Akuntanbilitas/Accountability
11
Kerahasiaan informasi : -
- memastikan bahwa hanya mereka yang mempunyai perlakuan
khusus cukup boleh mengakses informasi tertentu. -- Keterjaminan bahwa informasi yang berada pada sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi Untuk melindungi kerahasiaan informasi, sejumlah ukuran mungkin digunakan, mencakup: - Penggolongan Informasi -- storage dokumen secure -- Aplikasi dari kebijakan keamanan umum -Edukasi dari petugas informasi & pemakai akhir -- kriptograpi 12
Integritas adalah : - mutu atau status menjadi utuh, lengkap, &
tidak dirusak. -Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi pihak-pihak yang diotorisasi. Integritas Data (integrity Data) , yaitu akurasi dari data yang penyesuaiannya terhadap pengertian yang diharapkan, khususnya setelah data dipindahkan atau diproses. Dalam sistem database, pemeliharaan integritas data dapat termasuk pengesahan isi field individu, pemeriksaan nilai field satu terhadap yang lain, pengesahan data dalam satu file atau tabel yang dibandingkan terhadap file atau tabel lain, dan pemeriksaan bahwa sebuah database berhasil dan secara teliti diperbarui untuk setiap transaksi. -
Integritas informasi terancam ketika diarahkan ke korupsi, kerusakan, pembinasaan, atau lain gangguan tentang status asli nya . Korupsi dapat terjadi selagi informasi sedang yang di-compile, disimpan, atau ditransmisikan.
13
Ketersediaan adalah : - membuat informasi dapat diakses kepada akses user tanpa gangguan campur tangan atau penghalang dalam format yang diperlukan. - Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan. Seorang pemakai dalam definisi ini mungkin juga seseorang atau sistem komputer lain. Ketersediaan berarti ketersediaan untuk memberi otorisasi para pemakai.
14
PRIVASI Informasi digunakan hanya untuk tujuan mengenal pemilik data. Ini tidak difokuskan pada kebebasan dari pengamatan, tetapi lebih dari itu informasi itu akan digunakan dalam cara-cara yang dikenal kepada pemilik. 15
Sistim informasi menguasai karakteristik identifikasi ketika identifikasi tersebut dapat untuk mengenali para pemakai individu Identifikasi Dan otentifikasi penting untuk menetapkan tingkat akses atau otorisasi 16
Otentifikasi terjadi ketika suatu kendali menyediakan bukti bahwa seorang pemakai menguasai identitasnya atau dia mengakui.
17
Setelah identitas seorang pemakai dibuktikan keasliannya, suatu proses disebut otorisasi menyediakan jaminan bahwa pemakai (apakah seseorang atau suatu komputer) telah dibuat secara rinci & dengan tegas diberi hak dengan otoritas yang sesuai untuk mengakses, update, atau menghapus muatan dari suatu asset informasi. 18
Akuntanbilitas Karakteristik ada ketika suatu kendali menyediakan jaminan bahwa tiap-tiap aktivitas dikerjakan dapat ditujukan untuk menamai orang atau mengotomatiskan proses. 19
To review ... CIA + Confidentiality
Privacy
Integrity
Identification
Availability
Authentication Authorization Accountability 20
21
Pikirkan ttg komputer rumah Anda!
Bagaimana anda menjamin secure? Bagaimana anda menjamin kerahasiaan, integritas,& ketersediaan?
22
Model Keamanan NSTISSC
23
Dua pendekatan terkenal pada manajemen: Traditional management theory menggunakan prinsip perencanaan/planning, pengaturan/organizing, susunan kepegawaian/staffing, pengarahan/directing, & pengendalian/controlling (POSDC). Popular management theory menggunakan prinsip manajemen ke dalam perencanaan/planning, pengaturan/organizing, leading, & pengendalian/controlling (POLC).
24
25
Perencanaan adalah proses yang berkembang, menciptakan, & implementasi strategi untuk pemenuhan pada sasaran hasil. Tiga tingkatan perencanaan: 1. strategic 2. tactical 3. operational 26
Secara umum, perencanaan mulai dengan perencanaan strategis untuk keseluruhan organisasi. Untuk melakukan ini dengan sukses, suatu organisasi harus secara menyeluruh mendefinisikan tujuannya & sasaran hasil. 27
Organisasi : struktur sumber daya untuk mendukung pemenuhan sasaran hasil. Tugas mengorganisasikan memerlukan : 9 Apa yang akan dilaksanakan 9 apa yang di pesan 9 Oleh siapa 9 Metoda yang bagaimana 9 Kapan 28
Kepemimpinan mendorong implementasi tentang perencanaan dan mengorganisir fungsi, termasuk pengawasan perilaku karyawan, hasil, kehadiran, & sikap. Kepemimpinan biasanya menunjuk arah dan motivasi tentang sumber daya manusia. 29
Kendali adalah monitoring kemajuan ke arah penyelesaian & membuat penyesuaian untuk mencapai sasaran hasil yang diinginkan. Fungsi Pengendalian menentukan apa yang harus dimonitor juga penggunaan tool kendali spesifik untuk mengumpulkan dan mengevaluasi informasi. 30
Empat kategori alat kendali : Informasi/Information Finansial/Financial Operasional/Operational Tingkah laku/Behavioral 31
Kendali Proses
32
Bagaimana cara Memecahkan Permasalahan Langkah 1: Mengenali & mendefinisikan masalah tersebut Langkah 2: kumpulkan fakta dan buat asumsi Langkah 3: Kembangkan kemungkinan pemecahan Langkah 4: Analisa & bandingkan kemungkinan solusi Langkah 5: Pilih, terapkan,& evaluasi suatu solusi
33
Analisis Kelayakan Kelayakan ekonomi menilai biaya-biaya & keuntungan-keuntungan suatu solusi Kelayakan teknologi menilai suatu kemampuan organisasi untuk memperoleh & mengatur suatu solusi Kelayakan tingkah laku menilai apakah anggota dari suatu organisasi akan mendukung suatu solusi Kelayakan operasional menilai jika suatu organisasi dapat mengintegrasikan suatu solusi
34
Karakteristik yang diperluas atau prinsip tentang infosec manajemen ( AKA, 6 P) Perencanaan/planning Kebijakan/policy Program-program/programs Proteksi/protection Orang/people Manajemen Proyek/project management
35
1. Perencanaan sebagai bagian dari manajemen Infosec yaitu suatu perluasan tentang model dasar perencanaan Tercakup di Infosec Model Perencanaan yaitu aktivitas yg diperlukan untuk mendukung disain, ciptaan, dan implementasi tentang strategi keamanan informasi ketika mereka ada di dalam lingkungan perencanaan IT. 36
Beberapa tipe InfoSec rencana ada : Tanggap peristiwa/Incident response Kesinambungan usaha/Business continuity Pemulihan bencana/Disaster recovery Kebijakan/Policy Personil/Personnel Pemaparan teknologi/Technology rollout Management resiko/Risk management Program keamanan, termasuk pendidikan, pelatihan dan kesadaran/Security program, including education, training, & awareness
37
2. Kebijakan: satuan petunjuk organisatoris dari perilaku tertentu di dalam organisasi. Di dalam Infosec, ada 3 kategori kebijakan umum: 1. Kebijakan Program umum ( Kebijakan Keamanan Perusahaan) 2. Kebijakan keamanan issue-specific ( ISSP = issue-specific security policy ) 3. Kebijakan System-specific ( SSSPS = System-specific policies )
38
3. Program-program: kesatuan spesifik mengatur di dalam daerah keamanan informasi. Satu kesatuan: Program pelatihan pendidikan keamanan & kesadaran ( SETA = security education training & awareness) program2 lain yang muncul meliputi program keamanan phisik, lengkap dengan api, akses phisik, gerbang, pengawal 39
4. Proteksi: Aktivitas Manajemen resiko, mencakup penilaian resiko dan kendali, seperti halnya mekanisme proteksi, teknologi, & tools. Masing-Masing mekanisme ini menghadirkan beberapa aspek tentang manajemen ttg kendali spesifik didalam keseluruhan rencana keamanan informasi. 40
5. Orang : Adalah mata rantai yang paling kritis didalam program keamanan informasi. sangat mendesak untuk para manajer yang secara terus-menerus mengenali tugas yang rumit dari permainan orang. meliputi personil keamanan informasi dan keamanan personil, seperti halnya aspek program SETA.
41
6. Manajemen Proyek Disiplin yg harus disajikan keseluruhannya semua unsur-unsur tentang program keamanan informasi. Ini melibatkan: 9 Identifikasi dan Pengendalian sumber daya berlaku untuk proyek 9 Ukur kemajuan & menyesuaikan proses sebagai kemajuan dibuat ke arah tujuan 42
Thank you!
43
File Dapat didownload pada alamat : http://afenprana.wordpress.com
44
