Regulasi bidang Keamanan Informasi & Penjaminan Informasi

05/04/2012

Regulasi bidang Keamanan Informasi & Penjaminan Informasi

Kementerian Komunikasi dan Informatika

bekerja sama dengan

Institut Teknologi Bandung Institut Teknologi Sepuluh November Universitas Gajah Mada Universitas Indonesia

KEMKOMINFO

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privasi 2

1

05/04/2012

Apakah informasi itu? KEMKOMINFO

Dari perspektif Keamanan Informasi Informasi diartikan sebagai sebuah ‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan 3

Bentuk informasi KEMKOMINFO

 Gagasan, pikiran dalam bentuk tulisan, pidato  Hardcopy (asli, salinan, transparan, fax)  Softcopy (tersimpan di media tetap atau portabel)  Pengetahuan perorangan

 Ketrampilan teknis  Pengetahuan korporasi  Pertemuan formal dan informal  Percakapan telepon  Telekonferensi video

4

2

05/04/2012

Penjaminan Informasi KEMKOMINFO

 Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet.  Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan 5

Keamanan Informasi KEMKOMINFO

Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol akses dll Manajemen: strategi, desain, evaluasi, audit Standar dan sertifikasi 6

3

05/04/2012

Gambar Besar (Big Picture) KEMKOMINFO

Penjaminan Informasi

Sekuriti Informasi

Ketergantungan Informasi

Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas

Keandalan, Ketersediaan, Pencegahan Kegagalan, Penghindaran dan Toleransi

Kemampuan untuk pulih dari kegagalan dan serangan Y. Qian et al., 2008 7

Contoh-contoh kasus KEMKOMINFO

2010 2010 Ags 2008 Apr 2007 Sep 2005 Mei 2005 Apr 2001

– Wikileaks – Virus Stuxnet menyerang PLTN di Iran – Serangan Internet terhadap Situs web Georgia – Serangan Cyber terhadap Estonia – Kontroversi Kartun Muhammad (Jyllands-Posten) – Malaysia-Indonesia – Sino-AS

Stuxnet video

8

4

05/04/2012

Regulasi KEMKOMINFO

UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik

9

Konsep & Prinsip dasar KEMKOMINFO

CIA dkk  Confidentiality  Integrity  Availability  Non-repudiation

10

5

05/04/2012

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privasi 11

Hubungan antara Risiko dan Aset Informasi KEMKOMINFO

Ancaman

Manajemen

mengurangi

Kebutuhan sekuriti

eksploitasi

Vulnerability

Resiko

Aset

Nilai Aset

12

6

05/04/2012

Klasifikasi informasi KEMKOMINFO

Skema Klasifikasi Informasi Sederhana Definisi

Deskripsi

Public (umum)

Informasi yang aman dibuka untuk umum (publik)

Internal use only

Informasi yang aman untuk dibuka internal, tetapi tidak untuk eksternal

Company confidential (Rahasia perusahaan)

Kriteria klasifikasi • Nilai • Umur • Waktu berlaku (useful life) • Keterkaitan dengan pribadi (personal association) 13

4R Keamanan Informasi KEMKOMINFO

Right Information (informasi yg tepat)

Right People (pada orang yg tepat)

Right Form (format yg tepat)

Right Time (pada waktu yg tepat) 14

7

05/04/2012

Jenis-jenis serangan KEMKOMINFO

Hacking Denial of Service (DoS) Kode berbahaya (malicious code) Social engineering

15

Peningkatan Keamanan KEMKOMINFO

Pengamanan Administratif Strategi, kebijakan, dan pedoman keamanan informasi  Strategi keamanan informasi  Kebijakan keamanan informasi  Pedoman keamanan informasi  Standar keamanan informasi  IT Compliance

Proses dan operasi keamanan informasi  Program pendidikan dan pelatihan keamanan informasi  Penguatan promosi melalui berbagai kegiatan  Pengamanan dukungan

16

8

05/04/2012

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privasi 17

Pengamanan dengan Teknologi (I) KEMKOMINFO

 Model Defense-in-Depth (DID)

18

9

05/04/2012

Pengamanan dengan Teknologi (II) KEMKOMINFO

Teknologi Pencegah

 Kriptografi Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami  One-Time Passwords (OTP) OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.

 Firewall (Dinding api)

Firewall mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.

 Alat penganalisis kerentanan Ada 3 jenis alat penganalisis kerentanan:  Alat penganalisis kerentanan jaringan  Alat penganalisis kerentanan server  Alat penganalisis kerentanan web

19

Pengamanan dengan Teknologi (III) KEMKOMINFO

Teknologi Pendeteksi  Anti-Virus Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya  IDS (Intrusion Detection System) IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan  IPS (Intrusion Prevention System) IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang

20

10

05/04/2012

Pengamanan dengan Teknologi (IV) KEMKOMINFO

Teknologi Terintegrasi  ESM (Enterprise Security Management) Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan  ERM (Enterprise Risk Management) Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis

21

Peran & Tanggung Jawab KEMKOMINFO

Peran

Deskripsi

Manajer senior

Tanggung jawab paling besar untuk sekuriti

Pejabat Sekuriti Informasi

Tanggung jawab fungsional untuk sekuriti

Pemilik

Menentukan klasifikasi informasi

Penyimpan (Custodian)

Memelihara CIA dari informasi

Pengguna/operator

Menjalankan kebijakan yang telah ditetapkan

Auditor

Memeriksa sekuriti

22

11

05/04/2012

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privasi 23

Metodologi Keamanan Informasi KEMKOMINFO

Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System). Model PDCA yang diterapkan ke Proses ISMS Menetapkan ISMS

Pihak-pihak yang terlibat Implementasi dan operasi ISMS Kebutuhan dan ekspektasi sekuriti informasi

Pihak-pihak yang terlibat Memelihara dan memperbaiki ISMS

Memantau dan review ISMS

Sekuriti Informasi termanaj

24 Sumber: ISO/IEC JTC 1/SC 27

12

05/04/2012

Metodologi Keamanan Informasi KEMKOMINFO

ISO/IEC 27001 (BS7799)  Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi  Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan  Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.

25

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privasi 26

13

05/04/2012

Standar Kegiatan Keamanan Informasi KEMKOMINFO

 ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif  CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi  CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis

27

Aspek-aspek Keamanan Informasi KEMKOMINFO

Teknologi

Orang

• • • • • • • • •

Pelatihan dan Kepeka-tanggapan Administrasi sekuriti Sekuriti pribadi Sekuriti fisik Manajemen fisik Auditing dan pemantauan Indikasi dan peringatan Deteksi dan Tanggapan Kejadian Kontingensi dan pemulihan

Operasi

28

14

05/04/2012

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privacy 29

Sekuriti IT, Etika dan Masyarakat KEMKOMINFO

Teknologi informasi memiliki dampak baik dan buruk bagi masyarakat (orang)

Manajemen aktivitas kerja untuk meminimkan dampak buruk Berupaya untuk memaksimalkan dampak baik

Tanggung jawab etika dari profesional bisnis  Mempromosikan penggunaan etika dalam TI  Menerima tanggung jawab etika dari pekerjaan  Peran yang cocok sebagai SDM berkualitas  Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan

15

05/04/2012

Etika Teknologi Informasi KEMKOMINFO

Tujuan pembelajaran tanggung jawab etika:

Privacy

Kepegawaian

 Isu-isu etika terkait penggunaan teknologi informasi Etika dalam bisnis yang Sekuriti TI mempengaruhi dalam kepegawaian, Kesehatan Bisnis perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalahmasalah sosial Perorangan kemasyarakatan.

Kriminal

Situasi Kerja 31

Ditinjau dari Teori Pertanggungjawaban Sosial Korporasi (CSR/Corporate Social Responsibility) KEMKOMINFO

Stockholder Theory

Teori Kontrak Sosial

Stakeholder Theory

Manajer adalah agen dari stockholders. Tanggung jawab etika mereka adalah meningkatkan keuntungan tanpa melanggar hukum atau menipu.

Perusahaan memiliki tanggung jawab etika terhadap seluruh komponen anggota masyarakat.

Manajer memiliki tanggung jawab etika untuk memanaj perusahaan agar menguntungkan bagi semua pemegang saham.

16

05/04/2012

Profesional Bertanggung Jawab KEMKOMINFO

 Bertindak dengan integritas  Selalu meningkatkan kompetensi diri  Menetapkan standar yang tinggi untuk kinerja diri  Menerima tanggung jawab atas kerjanya  Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik

Kejahatan Komputer (Kejahatan TI) KEMKOMINFO

 Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan  Rilis yang tidak sah atas informasi

 Salinan yang tidak sah atas perangkat lunak  Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri  Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property

17

05/04/2012

KEMKOMINFO

Kejahatan Komputer (II)

 Hacking  Penggunaan obsesif atas komputer atau akses tidak sah dan penggunaan tidak sah jaringan

Pelaku

 Cyber Theft  Meliputi entry (masuk) jaringan tidak sah dan pengubahan isi basis data 35

Prinsip Etika Teknologi KEMKOMINFO

 Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil.  Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya  Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko.  Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.

18

05/04/2012

Agenda KEMKOMINFO

 Konsep dan prinsip dasar  Resiko dan aset informasi  Klasifikasi informasi  Teknologi keamanan informasi  Metodologi keamanan informasi  Standar Keamanan Informasi  Etika  Privacy 37

Konsep Privasi (1) KEMKOMINFO

 Apakah “Informasi Pribadi”? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi. Informasi Pribadi, definisi sempit Nama

Alamat e-mail

Hubungan keluarga

Nomor lisensi mobil

Nomor telepon

Nomor kartu kredit

Alamat

Karakteristik fisik

38

19

05/04/2012

Konsep Privasi (2) KEMKOMINFO

 Apakah “Informasi Pribadi”? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal. Informasi Pribadi, Definisi Luas Informasi Kredit

Detail transaksi

Detail panggilan telepon

Latar belakang akademik

Karir

Evaluasi

Pendapat

Catatan kriminal

39

Konsep Privasi (3) KEMKOMINFO

Informasi Pribadi dan Privasi  Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya.  Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.

40

20

05/04/2012

Opt-in Versus Opt-out KEMKOMINFO

Opt-In (Opsi Masuk) Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh dikompilasi Default di Europe

Opt-Out (Opsi Keluar) Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan Default di AS.

Isu-isu Tambahan Privacy KEMKOMINFO

 Pelanggaran Privacy  Mengakses email pribadi, percakapan pribadi dan rekaman komputer pribadi  Mengumpulkan dan berbagi informasi tentang seseorang dari kunjungannya ke situs-situs Internet

 Pemantauan Komputer  Selalu tahu di mana seseorang berada  Layanan seluler cenderung dekat dengan asosiasi di mana seseorang berada  Computer Matching  Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis

 Akses Tidak Sah atas File-file Pribadi  Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang

21

05/04/2012

Melindungi Privacy di Internet KEMKOMINFO

 Menyandi surel  Mengirim posting surel lewat remailer anonim  Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan pengguna jasa broadcast lainnya. (Meminta operator seluler?)  Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web

Kebebasan Komputer dan Sensor KEMKOMINFO

 Sisi berlawanan dari debat privacy

 Kebebasan informasi, kebebasan berbicara dan kebebasan pers

 Tempat-tempat

 Bulletin boards (kaskus, kompasiana, surel pembaca)  Email boxes  Online files of Internet and public networks

 “Persenjataan dalam Pertempuran”  Spamming  Pengiriman e-mail ke banyak pengguna unsolicited

 Flame mail  Sending extremely critical, derogatory, and often vulgar email messages or newsgroup postings to other Internet users or online services  Especially prevalent on special-interest newsgroups

22

05/04/2012

Cyberlaw KEMKOMINFO

Hukum diniatkan untuk mengatur aktivitas ber-Internet via perangkat komunikasi

Mencakup sejumlah isu hukum dan politik Meliputi properti intelektual, privacy, kebebasan berekspresi dan jurisdiksi

Irisan antara teknologi dan hukum merupakan bahan perdebatan  Perlukah regulasi Internet?  Kriptografi menyulitkan bila regulasinya tradisional  Komunitas Internet menganggap sensor merupakan penghambat dan beberapa pihak malah melakukan by-pass

 UU ITE

Ringkasan KEMKOMINFO

 Informasi adalah salah satu aset yg sangat berharga bagi suatu organisasi. Ancaman terhadap keamanan informasi datang berupa pembeberan yang tidak sah, korupsi atau halangan terhadap layanan.  Tujuan dari keamanan adalah untuk melindungi aset yang sangat berharga, khususnya berkaitan dengan kerahasiaan, integritas dan ketersediaan dari informasi dan aset yang mengolah, menyimpan dan mengirim informasi tersebut.  Regulasi, kebijakan dan petunjuk tentang keamanan didasarkan pada konsep dan prinsip kemanan.  Pemahaman terhadap konsep dan prinsip tersebut memungkinkan seorang staf IA mengambil keputusan yang benar dan efektif.

46

23

05/04/2012

Informasi lebih lanjut KEMKOMINFO

 www.cert.or.id - Indonesia Computer Emergency Response Team  www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi

47

Diskusi KEMKOMINFO

 Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda.  Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda.  Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa?  Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda?  Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?

48

24

05/04/2012

KEMKOMINFO

Akhir dari Modul 4 Terima kasih

Ethical Guidelines of the AITP KEMKOMINFO

25

05/04/2012

Privacy Issues KEMKOMINFO

 The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy  Personal information is collected with every visit to a Web site  Confidential information stored by credit bureaus, credit card companies, and the government has been stolen or misused

26