Bab 9 teori
-
Upload
novilia-suti-ismawardani -
Category
Documents
-
view
105 -
download
0
Transcript of Bab 9 teori
![Page 1: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/1.jpg)
BAB 9KEAMANAN INFORMASI
Nama : Ade Setiawan (0211-11-109)
Nama : Nuke Eka Mayasari (0211-11-112)
Dosen : Dr. Wonny Ahmad Ridwan,
SE.MM,CPHR.
Fakultas EkonomiUnpak
![Page 2: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/2.jpg)
Tujuan Belajar
Memahami kebuhan organisasi akan keamanan
dan pengendalian
Memaham bahwa keamanan informasi berkaitan
dengan keamanan semua sumberdaya informasi
Memahami tiga tujuan utama keamanan informasi
Melihat hubungan yang logis antara ancaman,
resiko dan pengendalian
Memahami apa saja ancaman keamanan yang
utama
![Page 3: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/3.jpg)
KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIA
Dalam dunia masa kini, banyak organisasi
semakin dasar akan pentingnya menjaga seluruh
sumber daya mereka, baik yang bersifat virtual
maupun fisik, agar aman dari ancaman baik dalam
dan luar sistem komputer yang pertama hanya
memiliki sedikit perlindungan keamanan, namun
hal ini berubah pada saat perang Vietnam ketika
sejumlah instansi komputer di rusak oleh para
pemrotes.
![Page 4: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/4.jpg)
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai
menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris
terpukul secara eksklusif pada perlindungan
perantik keras dab data, maka istilah keamanan
sistem (Sistem security) pun di gunakan. Fokus
sempit ini kemudian di perluas sehingga
mencangkup bukan hanya perantik keras dan data,
namun juga peranti lunak, fasilitas komputer, dan
personel.
![Page 5: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/5.jpg)
TUJUAN KEAMANAN INFORMASI
Kerahasian. Perusahaan berusaha untukmelindungi data dan informasinya daripengungkapan kepada orang-orang yang tidakberwenang.
Ketersediaan. Tujuannya dari infrastruksturinformasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
Integritas. Semua sistem informasi harusmemberikan representasi akurat dan atas sistemfisik yang direpresentasikannya.
![Page 6: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/6.jpg)
MANAJEMEN KEAMANAN
INFORMASI
Seperti halnya cakupan keamanan informasi telahmeluas demikian juga pandangan akan tanggungjawab manajemen tidak hanya di harapkan untukmenjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjagaperusahaan tersebut agar tetap berfungsi setelahsuatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber dayainformasi tetap aman disebut manajemenkeamanan informasi ( informatian security management – ISM )
![Page 7: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/7.jpg)
Tolok ukur
Strategi Manajemen Keamanan InformasiMengindentifikasi
ancaman
Mengidentifikasiresiko
MenentukanKebijakankeamananinformasi
Menginplementasikan
pengendalian
Menginflementasikan
pengendalian
Menentukankebijakankeamananinformasi
A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur
![Page 8: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/8.jpg)
PENGUNGKAPAN INFORMASI YANG
TIDAK TEROTORISASI DAN
PENCURIAN
Ketika suatu basis data dan perpustakaan peranti
lunak tersedia bagi orang-orang yang seharusnya
tidak berhak memilkiakses, hasinya dalah
hilangnya informasi atau atau uang . Sebagai
contoh, mata-mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga, dan
kriminal komputer dapat menyeludupkan dana
perusahaan.
![Page 9: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/9.jpg)
ANCAMAN INFORMASI
Ancaman informasi adalah (information security
tbreat) adalah orang organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi
perusahaan. Ketika kita membayangkan ancaman
keamanan informasi , adalah sesuatunyang di
alami jika kita membayangkan beberapa kelomok
atau beberapa orang di luar perusahaan tersebut
yang melakukan tindakan yang di sengaja.
![Page 10: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/10.jpg)
PERSOALAN E-COMMERCE
E-comerce (perdagangan elektronik) telahmemperkenalkan suatu perusahaan keamananbaru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungandari pemalsuan kartu kredit. Menurut sebuahsurvei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadiuntuk para paritel e-commerce di bandingkandengan para pedagang yang berusan denganpelanggan mereka secara langsung. Untukmengatasi masalah ini,
![Page 11: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/11.jpg)
KARTU KREDIT “SEKALI PAKAI”
Pada september 2000, america ekspres
mengumumkan sebuak kartu kredit “sekali pakai”
tindakan yang ditunjukan bagi 60 hingga 70
persen konsumen yang mengkhawatirkan
pemalsuan kartu kredit dari pengguanaa internet.
![Page 12: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/12.jpg)
PRAKTIK KEAMANAN YANG
DIWAJIBKAN OLEH VISA1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan ekskripsi pada data yang di simpan.
4. Melakukan ekskripsi pada data yang di
kirimkan.
5. Menggunakan dan memperbarui peranti lunak
antivirus
6. Membatasi akses data kepada orang-orang yang
ingin tahu.
![Page 13: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/13.jpg)
MANAJEMEN RISIKO
1. Menganalisis kelemahan perusahaan tersebut.
2. Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko.
3. Menentukan tingkatan dampak pada perusahaan
jika risiko benar-benar terjadi.
4. Menyadari risikonya.
![Page 14: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/14.jpg)
Fase 1 Inisiasi proyek
Fase 2 Penyusunan
Kebijakan
Pihak-pihak yang berminat dan terpengaruh
Fase 3 Konsultasi
dan persetujuan
Fase 5 Penyebarluasan
dan kebijakan
Fase 4 Kesadaran
dan pendidikan
Komite pengawas proyek keamanan
Tim proyek
Manajemen
Unit organisasi
Unit organisasi
Konsultasi
Konsultasi
Pelatihan kesadaran dan edukuasi kebijakan
Kebijakan keamanan
Penetapan
![Page 15: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/15.jpg)
PENGENDALIAN AKSES
1. Identifikasim pengguna. Para pengguna pertamamengidentifikasi mereka dengan cara memberikansesuatu yang mereka ketahui, misalnya kata sandi
2. Otentifikasi pengguna. Setelah identifikasi awaltelah dilakukan, para pengguna memverifikasi hakakses dengan cara memberikan sesuatu yang mereka ketahui
3. Otorisasi pengguna. Setelah pemeriksaanidentifikasi dan autentikasidilalui, seseorang makadapat melakukan otorisasi untuk memasukitingkat/derajat penggunaan tertentu
![Page 16: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/16.jpg)
FIREWALL
Sumber daya komputer selalu berada dalam
resiko jika terhubung ke jaringan. Salah satu
pendekatan keamanan adalah secara fisik
memisahkan situs Web perusahaan dengan
jaringan internal perusahaan yang berisikan data
sensitif dan sistem informasi.
Fungsi Firewallsebagai penyaring dan penghalang
yang membatasi aliran data ke dan dari
perusahaan tersebut dan interner
![Page 17: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/17.jpg)
internet
Fireewall tingkat aplikasi
router
Firewall tingkat sirkuit
Jaringan internet
Firawall penyaring
paket
komputer
Lokasi firewall di jaringan
![Page 18: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/18.jpg)
PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan
ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan
kriptografi, yaitu penggunaan kode yang
menggunakan proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga di transmisikan ke dalam
jaringan
![Page 19: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/19.jpg)
PENGENDALIAN FORMAL
Pengendalian formal mecangkup penemuan cara
berprilaku, dokumentasi produsen dan praktik
yang di harapkan. Pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk
menyusunnya. Dokumentasikan dalam bentuk
tulisan,
![Page 20: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/20.jpg)
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup program-
program pelatihan dan edukasi serta program
pembangunan dan manajemen. Pengendalian ini
di tujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program
keamanan tersebut
![Page 21: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/21.jpg)
Pengendalian Kriptografis
informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak Terotorisasi dengan kriptografi.
Yaitu Penggunaan kode yang menggunakan proses- proses
matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditranmisikan ke dalam
jaringan. Jika seseorang yang tidak memiliki Otorisasi
memperoleh akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah
Kesalahan penggunaan.
![Page 22: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/22.jpg)
PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih
yang dibuka dengan cetakan telapak tangan dan cetakan suara,
serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendaliian fisik hingga
Pada tahap tertinggi dengan cara menempatkan pusat
komputernya ditempat terpencil yang jauh darikota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
![Page 23: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/23.jpg)
MELETAKAN PENGENDALIAN TEKNIS
PADA TEMPATNYA
Pengendalian teknis dikenal sebagai yang
terbaik untuk keamanan.perusahaan biasanya
memilih dari daftar ini dan menetapkan
kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
![Page 24: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/24.jpg)
PENGENDALIAN FORMAL
Pengendalian formal mencangkup penentuan
cara berperilaku, dokumentasi prosedur dan
pratik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal
karena manajemen menghabiskan banyak waktu
untuk menyusunnya mendokumentasikannya
dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
![Page 25: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/25.jpg)
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup
program- program pelatihan dan edukasi serta
program pembangunan manajemen.
Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan pemahami
serta mendukung program keamanan
tersebut.
![Page 26: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/26.jpg)
MENCAPAI TINGKAT PENGENDALIAN
YANG TEPATKe tiga jenis pengendalian teknis, formal,dan
informal mengharuskan biaya. Karena
Bukanlah merupakan praktik bisnis yang baik
untuk menghabiskan lebih banyak uang pada
pengendalian dibandingkan biaya yang
diharapkan dari resiko yang akan terjadi,
maka pengendalian harus ditetapkan pada
tingkatan yang sesuai.
![Page 27: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/27.jpg)
Dengan demikian, keputusan untuk
mengendalikan pada akhirnya di buat
berdasarkan biaya versus keuntungan, tapi
dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain
![Page 28: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/28.jpg)
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-
standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa
standar ini berbentuk tolok ukur, yang telah
diidentifikasikan sebelumnya sebagai
penyedia strategi
![Page 29: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/29.jpg)
alternatif untuk manajemen resiko. Beberapa
pihak penentu standar menggunakan istilah
baseline(dasar) dan Bukannya benchmark
(tolok ukur).Organisasi tidak diwajibkan
mengikuti standar ini. Namun, standar ini
ditunjukan untuk memberikan bantuan
kepada perusahaan dalam menentukan
tingkat target keamanan.
![Page 30: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/30.jpg)
Berikut ini adalah beberapa contohnya:
BS7799 milik inggris
BSI IT Baseline Protection Manual
Cobit
GASSP
ISF Standard Of Good Practice
![Page 31: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/31.jpg)
PERATURAN PEMERINTAH
Pemerintah baik di amerika serikat maupun
inggris telah menentukan standar dan
menetapkan peraturan yang ditujukan untuk
menanggapi masalah pentinggnya keamanan
informasi yang makin meningkat,terutama
setelah peristiwa 9/11 dan semakin
memperluasnya internet serta peluang
terjadinya kejahatan komputer.
![Page 32: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/32.jpg)
Beberapa diantaranya adalah:
Standar keamanan komputer pemerintah
amerika serikat
Undang- undang antiterorisme, kejahatan,
dan keamanan inggris (ATCSA)
![Page 33: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/33.jpg)
STANDAR INDUSTRIThe center for internet security(CIS) adalah
organisasi nirlaba yang didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk yaitu:
CIS Benchmarks dan CIS Scoring Tools.
![Page 34: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/34.jpg)
SERTIFIKASI PROFESIONAL
Mulai tahun 1969-an, profesi IT mulai
menawarkan prorgam sertifikasi. Tiga contoh
berikut mengilustrasikan cakupan dari
program- program ini.
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem
Informasi Internasional
Institut SANS
![Page 35: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/35.jpg)
MELETAKKAN MANAJEMEN
KEAMANAN INFORMASI PADA
TEMPATNYAPerusahaan harus merancang kebijakan
manajemen keamanan informasi sebelum
menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkanidentifikasi ancaman
atau resiko ataupun berdasarkan panduan
yang diberikan oleh pemerintah dan asosiasi
industri.
![Page 36: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/36.jpg)
MANAJEMEN KEBERLANGSUNGAN
BISNIS
Aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen
keberlangsungan Bisnis ( business continuity
management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut
perencanaan besar (disaster planning),
![Page 37: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/37.jpg)
namun istilah yang lebih positif, perencanaan
kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi
(contingency plan), yang merupakan
dokumen tertulis formal yang menyebutkan
secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan
![Page 38: Bab 9 teori](https://reader033.fdocument.pub/reader033/viewer/2022051016/559c533f1a28ab29038b465b/html5/thumbnails/38.jpg)
TERIMA KASIH
TERIMA KASIH