05/04/2012
Regulasi bidang Keamanan Informasi & Penjaminan Informasi
Kementerian Komunikasi dan Informatika
bekerja sama dengan
Institut Teknologi Bandung Institut Teknologi Sepuluh November Universitas Gajah Mada Universitas Indonesia
KEMKOMINFO
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi 2
1
05/04/2012
Apakah informasi itu? KEMKOMINFO
Dari perspektif Keamanan Informasi Informasi diartikan sebagai sebuah ‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan 3
Bentuk informasi KEMKOMINFO
Gagasan, pikiran dalam bentuk tulisan, pidato Hardcopy (asli, salinan, transparan, fax) Softcopy (tersimpan di media tetap atau portabel) Pengetahuan perorangan
Ketrampilan teknis Pengetahuan korporasi Pertemuan formal dan informal Percakapan telepon Telekonferensi video
4
2
05/04/2012
Penjaminan Informasi KEMKOMINFO
Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet. Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan 5
Keamanan Informasi KEMKOMINFO
Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol akses dll Manajemen: strategi, desain, evaluasi, audit Standar dan sertifikasi 6
3
05/04/2012
Gambar Besar (Big Picture) KEMKOMINFO
Penjaminan Informasi
Sekuriti Informasi
Ketergantungan Informasi
Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas
Keandalan, Ketersediaan, Pencegahan Kegagalan, Penghindaran dan Toleransi
Kemampuan untuk pulih dari kegagalan dan serangan Y. Qian et al., 2008 7
Contoh-contoh kasus KEMKOMINFO
2010 2010 Ags 2008 Apr 2007 Sep 2005 Mei 2005 Apr 2001
– Wikileaks – Virus Stuxnet menyerang PLTN di Iran – Serangan Internet terhadap Situs web Georgia – Serangan Cyber terhadap Estonia – Kontroversi Kartun Muhammad (Jyllands-Posten) – Malaysia-Indonesia – Sino-AS
Stuxnet video
8
4
05/04/2012
Regulasi KEMKOMINFO
UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik
9
Konsep & Prinsip dasar KEMKOMINFO
CIA dkk Confidentiality Integrity Availability Non-repudiation
10
5
05/04/2012
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi 11
Hubungan antara Risiko dan Aset Informasi KEMKOMINFO
Ancaman
Manajemen
mengurangi
Kebutuhan sekuriti
eksploitasi
Vulnerability
Resiko
Aset
Nilai Aset
12
6
05/04/2012
Klasifikasi informasi KEMKOMINFO
Skema Klasifikasi Informasi Sederhana Definisi
Deskripsi
Public (umum)
Informasi yang aman dibuka untuk umum (publik)
Internal use only
Informasi yang aman untuk dibuka internal, tetapi tidak untuk eksternal
Company confidential (Rahasia perusahaan)
Kriteria klasifikasi • Nilai • Umur • Waktu berlaku (useful life) • Keterkaitan dengan pribadi (personal association) 13
4R Keamanan Informasi KEMKOMINFO
Right Information (informasi yg tepat)
Right People (pada orang yg tepat)
Right Form (format yg tepat)
Right Time (pada waktu yg tepat) 14
7
05/04/2012
Jenis-jenis serangan KEMKOMINFO
Hacking Denial of Service (DoS) Kode berbahaya (malicious code) Social engineering
15
Peningkatan Keamanan KEMKOMINFO
Pengamanan Administratif Strategi, kebijakan, dan pedoman keamanan informasi Strategi keamanan informasi Kebijakan keamanan informasi Pedoman keamanan informasi Standar keamanan informasi IT Compliance
Proses dan operasi keamanan informasi Program pendidikan dan pelatihan keamanan informasi Penguatan promosi melalui berbagai kegiatan Pengamanan dukungan
16
8
05/04/2012
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi 17
Pengamanan dengan Teknologi (I) KEMKOMINFO
Model Defense-in-Depth (DID)
18
9
05/04/2012
Pengamanan dengan Teknologi (II) KEMKOMINFO
Teknologi Pencegah
Kriptografi Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami One-Time Passwords (OTP) OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Firewall (Dinding api)
Firewall mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.
Alat penganalisis kerentanan Ada 3 jenis alat penganalisis kerentanan: Alat penganalisis kerentanan jaringan Alat penganalisis kerentanan server Alat penganalisis kerentanan web
19
Pengamanan dengan Teknologi (III) KEMKOMINFO
Teknologi Pendeteksi Anti-Virus Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya IDS (Intrusion Detection System) IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan IPS (Intrusion Prevention System) IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang
20
10
05/04/2012
Pengamanan dengan Teknologi (IV) KEMKOMINFO
Teknologi Terintegrasi ESM (Enterprise Security Management) Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan ERM (Enterprise Risk Management) Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis
21
Peran & Tanggung Jawab KEMKOMINFO
Peran
Deskripsi
Manajer senior
Tanggung jawab paling besar untuk sekuriti
Pejabat Sekuriti Informasi
Tanggung jawab fungsional untuk sekuriti
Pemilik
Menentukan klasifikasi informasi
Penyimpan (Custodian)
Memelihara CIA dari informasi
Pengguna/operator
Menjalankan kebijakan yang telah ditetapkan
Auditor
Memeriksa sekuriti
22
11
05/04/2012
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi 23
Metodologi Keamanan Informasi KEMKOMINFO
Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System). Model PDCA yang diterapkan ke Proses ISMS Menetapkan ISMS
Pihak-pihak yang terlibat Implementasi dan operasi ISMS Kebutuhan dan ekspektasi sekuriti informasi
Pihak-pihak yang terlibat Memelihara dan memperbaiki ISMS
Memantau dan review ISMS
Sekuriti Informasi termanaj
24 Sumber: ISO/IEC JTC 1/SC 27
12
05/04/2012
Metodologi Keamanan Informasi KEMKOMINFO
ISO/IEC 27001 (BS7799) Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
25
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi 26
13
05/04/2012
Standar Kegiatan Keamanan Informasi KEMKOMINFO
ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis
27
Aspek-aspek Keamanan Informasi KEMKOMINFO
Teknologi
Orang
• • • • • • • • •
Pelatihan dan Kepeka-tanggapan Administrasi sekuriti Sekuriti pribadi Sekuriti fisik Manajemen fisik Auditing dan pemantauan Indikasi dan peringatan Deteksi dan Tanggapan Kejadian Kontingensi dan pemulihan
Operasi
28
14
05/04/2012
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privacy 29
Sekuriti IT, Etika dan Masyarakat KEMKOMINFO
Teknologi informasi memiliki dampak baik dan buruk bagi masyarakat (orang)
Manajemen aktivitas kerja untuk meminimkan dampak buruk Berupaya untuk memaksimalkan dampak baik
Tanggung jawab etika dari profesional bisnis Mempromosikan penggunaan etika dalam TI Menerima tanggung jawab etika dari pekerjaan Peran yang cocok sebagai SDM berkualitas Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan
15
05/04/2012
Etika Teknologi Informasi KEMKOMINFO
Tujuan pembelajaran tanggung jawab etika:
Privacy
Kepegawaian
Isu-isu etika terkait penggunaan teknologi informasi Etika dalam bisnis yang Sekuriti TI mempengaruhi dalam kepegawaian, Kesehatan Bisnis perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalahmasalah sosial Perorangan kemasyarakatan.
Kriminal
Situasi Kerja 31
Ditinjau dari Teori Pertanggungjawaban Sosial Korporasi (CSR/Corporate Social Responsibility) KEMKOMINFO
Stockholder Theory
Teori Kontrak Sosial
Stakeholder Theory
Manajer adalah agen dari stockholders. Tanggung jawab etika mereka adalah meningkatkan keuntungan tanpa melanggar hukum atau menipu.
Perusahaan memiliki tanggung jawab etika terhadap seluruh komponen anggota masyarakat.
Manajer memiliki tanggung jawab etika untuk memanaj perusahaan agar menguntungkan bagi semua pemegang saham.
16
05/04/2012
Profesional Bertanggung Jawab KEMKOMINFO
Bertindak dengan integritas Selalu meningkatkan kompetensi diri Menetapkan standar yang tinggi untuk kinerja diri Menerima tanggung jawab atas kerjanya Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik
Kejahatan Komputer (Kejahatan TI) KEMKOMINFO
Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan Rilis yang tidak sah atas informasi
Salinan yang tidak sah atas perangkat lunak Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property
17
05/04/2012
KEMKOMINFO
Kejahatan Komputer (II)
Hacking Penggunaan obsesif atas komputer atau akses tidak sah dan penggunaan tidak sah jaringan
Pelaku
Cyber Theft Meliputi entry (masuk) jaringan tidak sah dan pengubahan isi basis data 35
Prinsip Etika Teknologi KEMKOMINFO
Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil. Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko. Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.
18
05/04/2012
Agenda KEMKOMINFO
Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privacy 37
Konsep Privasi (1) KEMKOMINFO
Apakah “Informasi Pribadi”? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi. Informasi Pribadi, definisi sempit Nama
Alamat e-mail
Hubungan keluarga
Nomor lisensi mobil
Nomor telepon
Nomor kartu kredit
Alamat
Karakteristik fisik
38
19
05/04/2012
Konsep Privasi (2) KEMKOMINFO
Apakah “Informasi Pribadi”? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal. Informasi Pribadi, Definisi Luas Informasi Kredit
Detail transaksi
Detail panggilan telepon
Latar belakang akademik
Karir
Evaluasi
Pendapat
Catatan kriminal
39
Konsep Privasi (3) KEMKOMINFO
Informasi Pribadi dan Privasi Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya. Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.
40
20
05/04/2012
Opt-in Versus Opt-out KEMKOMINFO
Opt-In (Opsi Masuk) Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh dikompilasi Default di Europe
Opt-Out (Opsi Keluar) Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan Default di AS.
Isu-isu Tambahan Privacy KEMKOMINFO
Pelanggaran Privacy Mengakses email pribadi, percakapan pribadi dan rekaman komputer pribadi Mengumpulkan dan berbagi informasi tentang seseorang dari kunjungannya ke situs-situs Internet
Pemantauan Komputer Selalu tahu di mana seseorang berada Layanan seluler cenderung dekat dengan asosiasi di mana seseorang berada Computer Matching Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis
Akses Tidak Sah atas File-file Pribadi Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang
21
05/04/2012
Melindungi Privacy di Internet KEMKOMINFO
Menyandi surel Mengirim posting surel lewat remailer anonim Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan pengguna jasa broadcast lainnya. (Meminta operator seluler?) Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web
Kebebasan Komputer dan Sensor KEMKOMINFO
Sisi berlawanan dari debat privacy
Kebebasan informasi, kebebasan berbicara dan kebebasan pers
Tempat-tempat
Bulletin boards (kaskus, kompasiana, surel pembaca) Email boxes Online files of Internet and public networks
“Persenjataan dalam Pertempuran” Spamming Pengiriman e-mail ke banyak pengguna unsolicited
Flame mail Sending extremely critical, derogatory, and often vulgar email messages or newsgroup postings to other Internet users or online services Especially prevalent on special-interest newsgroups
22
05/04/2012
Cyberlaw KEMKOMINFO
Hukum diniatkan untuk mengatur aktivitas ber-Internet via perangkat komunikasi
Mencakup sejumlah isu hukum dan politik Meliputi properti intelektual, privacy, kebebasan berekspresi dan jurisdiksi
Irisan antara teknologi dan hukum merupakan bahan perdebatan Perlukah regulasi Internet? Kriptografi menyulitkan bila regulasinya tradisional Komunitas Internet menganggap sensor merupakan penghambat dan beberapa pihak malah melakukan by-pass
UU ITE
Ringkasan KEMKOMINFO
Informasi adalah salah satu aset yg sangat berharga bagi suatu organisasi. Ancaman terhadap keamanan informasi datang berupa pembeberan yang tidak sah, korupsi atau halangan terhadap layanan. Tujuan dari keamanan adalah untuk melindungi aset yang sangat berharga, khususnya berkaitan dengan kerahasiaan, integritas dan ketersediaan dari informasi dan aset yang mengolah, menyimpan dan mengirim informasi tersebut. Regulasi, kebijakan dan petunjuk tentang keamanan didasarkan pada konsep dan prinsip kemanan. Pemahaman terhadap konsep dan prinsip tersebut memungkinkan seorang staf IA mengambil keputusan yang benar dan efektif.
46
23
05/04/2012
Informasi lebih lanjut KEMKOMINFO
www.cert.or.id - Indonesia Computer Emergency Response Team www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi
47
Diskusi KEMKOMINFO
Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda. Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda. Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa? Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda? Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?
48
24
05/04/2012
KEMKOMINFO
Akhir dari Modul 4 Terima kasih
Ethical Guidelines of the AITP KEMKOMINFO
25
05/04/2012
Privacy Issues KEMKOMINFO
The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy Personal information is collected with every visit to a Web site Confidential information stored by credit bureaus, credit card companies, and the government has been stolen or misused
26