Perencanaan dan Managemen Keamanan Sistem · PDF filePerencanaan dan Managemen Keamanan Sistem...
Transcript of Perencanaan dan Managemen Keamanan Sistem · PDF filePerencanaan dan Managemen Keamanan Sistem...
11
Mata Kuliah : Keamanan Sistem Informasi
02Perencanaan dan Managemen Keamanan
SistemSTMIK-Mikroskil
Prepared By : Afen Prana
22
Ketika menyelesaikan bab ini,Anda bisa:
Mengenali pentingnya teknologi informasi & memahami siapa yang bertanggung jawab untuk melindungi suatu
aset organization’s informasi
Mengetahui & memahami definisi & karakteristik kunci keamanan informasi
Mengetahui & memahami definisi & karakteristik kunci kepemimpinan & manajemen
Mengenali karakteristik yang membedakan manajemen keamanan informasi dari manajemen umum
33
Pada kenyataannya, tetapi sering tidakdisebutkan, berbagai hal:
Teknologi informasi adalah hal yang kritisuntuk bisnis dan masyarakat
...& selalu begitu( apa yang terjadi jika IT tidak tersedia?)
Keamanan Komputer mengembangkan ke dalam keamanan informasi
Keamanan Informasi adalah tanggung jawab dari tiap anggota dari suatu organisasi, tetapi
para manajer memainkan suatu peran yggenting
44
Review definisi dari security :Review definisi dari security :-- Menurut Menurut Harold F. TiptonHarold F. Tipton ??-- Menurut Menurut Wikipedia “Security” yaitu :
“Security is being free from danger”- Wikipedia “Security (computers)” yaitu :“usaha untuk menciptakan suatu platform secure,
didisain sedemikian sehingga agent (user atau program) hanya dapat melaksanakan tindakan yang telah diijinkan.”
- Menurut Whitman dan mattord : “kualiti atau status menjadi secure – menjadi bebas dari bahaya”“The quality or state of being secure - to be free from danger”
Keamanan dicapai menggunakan beberapa strategi yg dilakukan secara serentak.
55
Area Spesialisasi keamanan :
- Physical security- Personal security- Operations security- Communications security- Network security- Information security (InfoSec)- Computer security
Informaton Security meliputi :- Physical security- Personal security- Operations security- Communications security- Network security - Information security (InfoSec)- Computer security
66
Keamanan Informasi melibatkan 3 komunitas :
1. Keamanan InformasiPara manajer & Para profesional
2. Teknologi informasiPara manajer & Para profesional
3. Bisnis non-teknisPara manajer & Para profesional
77
Minat komunitas/Masyarakat :
InfoSec community :melindungi asset informasi dari ancaman
IT community:mendukung objektifitas bisnis dengan
penyediaan teknologi informasi yg sesuai
Business community :mengartikulasikan & kebijakan komunikasi
& mengalokasikan sumber daya
88
Infosec meliputi :manajemen keamanan informasi, keamanan
komputer, keamanan data,& keamanan jaringan.
Kebijakan adalah pusat bagi semua usaha infosec.
99
Komponen dari InfoSec
1010
Segi tiga C.I.A terdiri dari:
Kerahasiaan/Confidentiality
Integritas/Integrity
Ketersediaan/Availability
( Dari waktu ke waktu daftar karakteristik telah diperluas )C.I.A = standar industri untuk keamanan komputer yg
didasari dari karakteristik informasi.
1111
CIA +
Kerahasiaan/Confidentiality
Integritas/Integrity
Ketersediaan/Availability
Privasi/Privacy
Identifikasi/Identification
otentifikasi/Authentication
Otorisasi/Authorization
Akuntanbilitas/Accountability
1212
Kerahasiaan informasi : -- memastikan bahwa hanya mereka yang mempunyai perlakuan khusus cukup boleh mengakses informasi tertentu.-- Keterjaminan bahwa informasi yang berada pada sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi
Untuk melindungi kerahasiaan informasi, sejumlah ukuran mungkindigunakan, mencakup:
- Penggolongan Informasi-- storage dokumen secure
-- Aplikasi dari kebijakan keamanan umum-Edukasi dari petugas informasi & pemakai akhir
-- kriptograpi
1313
Integritas adalah :-- mutu atau status menjadi utuh, lengkap, & tidak dirusak.-- Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi pihak-pihak yang diotorisasi.- Integritas Data (integrity Data) , yaitu akurasi dari data yang penyesuaiannya terhadap pengertian yang diharapkan, khususnya setelah data dipindahkan atau diproses. Dalam sistem database, pemeliharaan integritas data dapat termasuk pengesahan isi field individu, pemeriksaan nilai field satu terhadap yang lain, pengesahan data dalam satu file atau tabel yang dibandingkan terhadap file atau tabel lain, dan pemeriksaan bahwa sebuah database berhasil dan secara teliti diperbarui untuk setiap transaksi.
Integritas informasi terancam ketika diarahkanke korupsi, kerusakan, pembinasaan,
atau lain gangguan tentang status asli nya .
Korupsi dapat terjadiselagi informasi sedang
yang di-compile, disimpan, atau ditransmisikan.
1414
Ketersediaan adalah : - membuat informasi dapat diakses kepada akses usertanpa gangguan campur tangan atau penghalang dalam format yang diperlukan.- Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.
Seorang pemakai dalam definisi ini mungkin juga seseorangatau sistem komputer lain.
Ketersediaan berartiketersediaan untuk memberi otorisasi para pemakai.
1515
PRIVASI
Informasi digunakanhanya
untuk tujuan mengenal pemilik data.
Ini tidak difokuskan pada kebebasan dari pengamatan,
tetapi lebih dari ituinformasi itu akan digunakan
dalam cara-cara yang dikenal kepada pemilik.
1616
Sistim informasi menguasaikarakteristik identifikasi
ketika identifikasi tersebut dapatuntuk mengenali para pemakai individu
Identifikasi Dan otentifikasipenting untuk menetapkantingkat akses atau otorisasi
1717
Otentifikasi terjadiketika suatu kendali menyediakan bukti
bahwa seorang pemakai menguasaiidentitasnya atau dia mengakui.
1818
Setelah identitas seorang pemakaidibuktikan keasliannya,
suatu proses disebut otorisasimenyediakan jaminan bahwa pemakai
(apakah seseorang atau suatu komputer)telah dibuat secara rinci & dengan tegas diberi
hak dengan otoritas yang sesuaiuntuk mengakses, update, atau menghapus
muatan dari suatu asset informasi.
1919
Akuntanbilitas Karakteristik ada
ketika suatu kendalimenyediakan jaminan
bahwa tiap-tiap aktivitas dikerjakandapat ditujukan
untuk menamai orang atau mengotomatiskan proses.
2020
To review ... CIA +
Confidentiality
Integrity
Availability
Privacy
Identification
Authentication
Authorization
Accountability
2121
2222
Pikirkan ttg komputer rumah Anda!
Bagaimana anda menjamin secure?
Bagaimana anda menjaminkerahasiaan, integritas,& ketersediaan?
2323
Model Keamanan NSTISSC
2424
Dua pendekatan terkenal pada manajemen:
Traditional management theorymenggunakan prinsip perencanaan/planning,
pengaturan/organizing, susunan kepegawaian/staffing, pengarahan/directing, &
pengendalian/controlling (POSDC).
Popular management theorymenggunakan prinsip manajemen ke dalam
perencanaan/planning, pengaturan/organizing, leading, & pengendalian/controlling (POLC).
2525
2626
Perencanaan adalah proses yangberkembang, menciptakan, & implementasi
strategiuntuk pemenuhan pada sasaran hasil.
Tiga tingkatan perencanaan:
1. strategic2. tactical
3. operational
2727
Secara umum,perencanaan mulai
dengan perencanaan strategisuntuk keseluruhan organisasi.
Untuk melakukan ini dengan sukses,suatu organisasi harus secara menyeluruh
mendefinisikantujuannya & sasaran hasil.
2828
Organisasi :struktur sumber daya
untuk mendukungpemenuhan sasaran hasil.
Tugas mengorganisasikan memerlukan :
Apa yang akan dilaksanakanapa yang di pesan
Oleh siapaMetoda yang bagaimana
Kapan
2929
Kepemimpinan mendorongimplementasi
tentang perencanaan dan mengorganisir fungsi,
termasuk pengawasanperilaku karyawan, hasil, kehadiran, & sikap.
Kepemimpinan biasanya menunjukarah dan motivasi
tentang sumber daya manusia.
3030
Kendali adalah monitoring kemajuanke arah penyelesaian
& membuat penyesuaian untuk mencapai sasaran hasil yang diinginkan.
Fungsi Pengendalian menentukanapa yang harus dimonitor jugapenggunaan tool kendali spesifik
untuk mengumpulkan dan mengevaluasi informasi.
3131
Empat kategori alat kendali :
Informasi/Information
Finansial/Financial
Operasional/Operational
Tingkah laku/Behavioral
3232
Kendali Proses
3333
Bagaimana cara Memecahkan Permasalahan
Langkah 1:Mengenali & mendefinisikan masalah tersebut
Langkah 2:kumpulkan fakta dan buat asumsi
Langkah 3: Kembangkan kemungkinan pemecahan
Langkah 4:Analisa & bandingkan kemungkinan solusi
Langkah 5:Pilih, terapkan,& evaluasi suatu solusi
3434
Analisis Kelayakan
Kelayakan ekonomi menilaibiaya-biaya & keuntungan-keuntungan suatu solusi
Kelayakan teknologi menilaisuatu kemampuan organisasi
untuk memperoleh & mengatur suatu solusi
Kelayakan tingkah laku menilaiapakah anggota dari suatu organisasi
akan mendukung suatu solusi
Kelayakan operasional menilaijika suatu organisasi dapat mengintegrasikan suatu
solusi
3535
Karakteristik yang diperluasatau prinsip
tentang infosec manajemen ( AKA, 6 P)
Perencanaan/planning
Kebijakan/policy
Program-program/programs
Proteksi/protection
Orang/people
Manajemen Proyek/project management
3636
1. Perencanaansebagai bagian dari manajemen Infosec
yaitu suatu perluasantentang model dasar perencanaan
Tercakup di Infosec Model Perencanaanyaitu aktivitas yg diperlukan untuk mendukung
disain, ciptaan, dan implementasitentang strategi keamanan informasi
ketika mereka adadi dalam lingkungan perencanaan IT.
3737
Beberapa tipe InfoSec rencana ada :
Tanggap peristiwa/Incident response
Kesinambungan usaha/Business continuity
Pemulihan bencana/Disaster recovery
Kebijakan/Policy
Personil/Personnel
Pemaparan teknologi/Technology rollout
Management resiko/Risk management
Program keamanan, termasuk pendidikan, pelatihan dan kesadaran/Security program,
including education, training, & awareness
3838
2. Kebijakan:
satuan petunjuk organisatorisdari perilaku tertentudi dalam organisasi.
Di dalam Infosec, ada3 kategori kebijakan umum:
1. Kebijakan Program umum( Kebijakan Keamanan Perusahaan)
2. Kebijakan keamanan issue-specific ( ISSP = issue-specific security policy )
3. Kebijakan System-specific ( SSSPS = System-specific policies )
3939
3. Program-program:
kesatuan spesifik mengaturdi dalam daerah keamanan informasi.
Satu kesatuan:Program pelatihan pendidikan keamanan & kesadaran
( SETA = security education training & awareness)
program2 lain yang muncul meliputiprogram keamanan phisik,
lengkap dengan api, akses phisik,gerbang, pengawal
4040
4. Proteksi:
Aktivitas Manajemen resiko,mencakup penilaian resiko dan kendali,
seperti halnya mekanisme proteksi, teknologi, & tools.
Masing-Masing mekanisme inimenghadirkan beberapa aspek
tentang manajemen ttg kendali spesifikdidalam keseluruhan rencana keamanan informasi.
4141
5. Orang :Adalah mata rantai yang paling kritisdidalam program keamanan informasi.
sangat mendesak untukpara manajer yang secara terus-menerus mengenali
tugas yang rumit dari permainan orang.
meliputi personil keamanan informasi dan keamanan personil, seperti halnya aspek program SETA.
4242
6. Manajemen ProyekDisiplin yg
harus disajikan keseluruhannyasemua unsur-unsur
tentang program keamanan informasi.
Ini melibatkan:
Identifikasi dan Pengendaliansumber daya berlaku untuk proyek
Ukur kemajuan& menyesuaikan proses
sebagai kemajuan dibuat ke arah tujuan
4343
Thank you!
4444
FFile Dapat didownload pada alamat :ile Dapat didownload pada alamat :
http://afenprana.wordpress.comhttp://afenprana.wordpress.com