Anda di halaman 1dari 26

05/04/2012

Regulasi bidang Keamanan Informasi & Penjaminan Informasi

Kementerian Komunikasi dan Informatika

Institut Teknologi Bandung Institut Teknologi Sepuluh November Universitas Gajah Mada Universitas Indonesia

bekerja sama dengan

KEMKOMINFO

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi
2

05/04/2012

Apakah informasi itu?


KEMKOMINFO

Dari perspektif Keamanan Informasi Informasi diartikan sebagai sebuah aset; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan
3

Bentuk informasi
KEMKOMINFO

Gagasan, pikiran dalam bentuk tulisan, pidato Hardcopy (asli, salinan, transparan, fax) Softcopy (tersimpan di media tetap atau portabel) Pengetahuan perorangan

Ketrampilan teknis
Pengetahuan korporasi Pertemuan formal dan informal Percakapan telepon Telekonferensi video

05/04/2012

Penjaminan Informasi
KEMKOMINFO

Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet. Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan
5

Keamanan Informasi
KEMKOMINFO

Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol akses dll Manajemen: strategi, desain, evaluasi, audit Standar dan sertifikasi
6

05/04/2012

Gambar Besar (Big Picture)


KEMKOMINFO

Penjaminan Informasi

Sekuriti Informasi

Ketergantungan Informasi Keandalan, Ketersediaan, Pencegahan Kegagalan, Penghindaran dan Toleransi

Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas

Kemampuan untuk pulih dari kegagalan dan serangan Y. Qian et al., 2008
7

Contoh-contoh kasus
KEMKOMINFO

2010 2010 Ags 2008 Apr 2007 Sep 2005 Mei 2005 Apr 2001

Wikileaks Virus Stuxnet menyerang PLTN di Iran Serangan Internet terhadap Situs web Georgia Serangan Cyber terhadap Estonia Kontroversi Kartun Muhammad (Jyllands-Posten) Malaysia-Indonesia Sino-AS

Stuxnet video

05/04/2012

Regulasi
KEMKOMINFO

UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik

Konsep & Prinsip dasar


KEMKOMINFO

CIA dkk Confidentiality Integrity Availability Non-repudiation

10

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi
11

Hubungan antara Risiko dan Aset Informasi


KEMKOMINFO

Ancaman

eksploitasi

Vulnerability

Manajemen

mengurangi

Resiko

Aset

Kebutuhan sekuriti

Nilai Aset

12

05/04/2012

Klasifikasi informasi
KEMKOMINFO

Skema Klasifikasi Informasi Sederhana


Definisi Public (umum) Internal use only Company confidential (Rahasia perusahaan) Deskripsi Informasi yang aman dibuka untuk umum (publik) Informasi yang aman untuk dibuka internal, tetapi tidak untuk eksternal

Kriteria klasifikasi Nilai Umur Waktu berlaku (useful life) Keterkaitan dengan pribadi (personal association)
13

4R Keamanan Informasi
KEMKOMINFO

Right Information (informasi yg tepat)

Right People (pada orang yg tepat)

Right Form (format yg tepat)

Right Time (pada waktu yg tepat)


14

05/04/2012

Jenis-jenis serangan
KEMKOMINFO

Hacking Denial of Service (DoS) Kode berbahaya (malicious code) Social engineering

15

Peningkatan Keamanan
KEMKOMINFO

Pengamanan Administratif Strategi, kebijakan, dan pedoman keamanan informasi


Strategi keamanan informasi Kebijakan keamanan informasi Pedoman keamanan informasi Standar keamanan informasi IT Compliance

Proses dan operasi keamanan informasi


Program pendidikan dan pelatihan keamanan informasi Penguatan promosi melalui berbagai kegiatan Pengamanan dukungan

16

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi
17

Pengamanan dengan Teknologi (I)


KEMKOMINFO

Model Defense-in-Depth (DID)

18

05/04/2012

Pengamanan dengan Teknologi (II)


KEMKOMINFO

Teknologi Pencegah

Kriptografi Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami One-Time Passwords (OTP) OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.

Firewall (Dinding api)

Alat penganalisis kerentanan Ada 3 jenis alat penganalisis kerentanan:


Alat penganalisis kerentanan jaringan Alat penganalisis kerentanan server Alat penganalisis kerentanan web

Firewall mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.

19

Pengamanan dengan Teknologi (III)


KEMKOMINFO

Teknologi Pendeteksi Anti-Virus Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya IDS (Intrusion Detection System) IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan IPS (Intrusion Prevention System) IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang

20

10

05/04/2012

Pengamanan dengan Teknologi (IV)


KEMKOMINFO

Teknologi Terintegrasi ESM (Enterprise Security Management) Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan ERM (Enterprise Risk Management) Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis

21

Peran & Tanggung Jawab


KEMKOMINFO

Peran

Deskripsi

Manajer senior
Pejabat Sekuriti Informasi Pemilik Penyimpan (Custodian) Pengguna/operator Auditor

Tanggung jawab paling besar untuk sekuriti


Tanggung jawab fungsional untuk sekuriti Menentukan klasifikasi informasi Memelihara CIA dari informasi Menjalankan kebijakan yang telah ditetapkan Memeriksa sekuriti

22

11

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi
23

Metodologi Keamanan Informasi


KEMKOMINFO

Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System).
Model PDCA yang diterapkan ke Proses ISMS
Menetapkan ISMS Implementasi dan operasi ISMS
Kebutuhan dan ekspektasi sekuriti informasi

Pihak-pihak yang terlibat

Pihak-pihak yang terlibat


Memelihara dan memperbaiki ISMS

Memantau dan review ISMS

Sekuriti Informasi termanaj

24 Sumber: ISO/IEC JTC 1/SC 27

12

05/04/2012

Metodologi Keamanan Informasi


KEMKOMINFO

ISO/IEC 27001 (BS7799) Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.

25

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privasi
26

13

05/04/2012

Standar Kegiatan Keamanan Informasi


KEMKOMINFO

ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis

27

Aspek-aspek Keamanan Informasi


KEMKOMINFO

Teknologi

Orang

Pelatihan dan Kepeka-tanggapan Administrasi sekuriti Sekuriti pribadi Sekuriti fisik Manajemen fisik Auditing dan pemantauan Indikasi dan peringatan Deteksi dan Tanggapan Kejadian Kontingensi dan pemulihan

Operasi

28

14

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privacy
29

Sekuriti IT, Etika dan Masyarakat


KEMKOMINFO

Teknologi informasi memiliki dampak baik dan buruk bagi masyarakat (orang)

Manajemen aktivitas kerja untuk meminimkan dampak buruk Berupaya untuk memaksimalkan dampak baik

Tanggung jawab etika dari profesional bisnis


Mempromosikan penggunaan etika dalam TI Menerima tanggung jawab etika dari pekerjaan Peran yang cocok sebagai SDM berkualitas Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan

15

05/04/2012

Etika Teknologi Informasi


KEMKOMINFO

Tujuan pembelajaran tanggung jawab etika:

Kepegawaian

Privacy

Isu-isu etika terkait penggunaan teknologi informasi Etika dalam bisnis yang Sekuriti TI mempengaruhi dalam kepegawaian, Kesehatan Bisnis perorangan, privacy, situasi kerja, kriminal, kesehatan dan masalahmasalah sosial Perorangan kemasyarakatan.

Kriminal

Situasi Kerja
31

Ditinjau dari Teori Pertanggungjawaban Sosial Korporasi (CSR/Corporate Social Responsibility)


KEMKOMINFO

Stockholder Theory

Teori Kontrak Sosial

Stakeholder Theory

Manajer adalah agen dari stockholders. Tanggung jawab etika mereka adalah meningkatkan keuntungan tanpa melanggar hukum atau menipu.

Perusahaan memiliki tanggung jawab etika terhadap seluruh komponen anggota masyarakat.

Manajer memiliki tanggung jawab etika untuk memanaj perusahaan agar menguntungkan bagi semua pemegang saham.

16

05/04/2012

Profesional Bertanggung Jawab


KEMKOMINFO

Bertindak dengan integritas Selalu meningkatkan kompetensi diri Menetapkan standar yang tinggi untuk kinerja diri Menerima tanggung jawab atas kerjanya Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik

Kejahatan Komputer (Kejahatan TI)


KEMKOMINFO

Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan Rilis yang tidak sah atas informasi

Salinan yang tidak sah atas perangkat lunak


Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property

17

05/04/2012

KEMKOMINFO

Kejahatan Komputer (II)

Hacking
Penggunaan obsesif atas komputer atau akses tidak sah dan penggunaan tidak sah jaringan

Pelaku

Cyber Theft
Meliputi entry (masuk) jaringan tidak sah dan pengubahan isi basis data
35

Prinsip Etika Teknologi


KEMKOMINFO

Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil. Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya Keadilan. Keuntungan dan beban dari teknologi harus didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko. Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.

18

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar Resiko dan aset informasi Klasifikasi informasi Teknologi keamanan informasi Metodologi keamanan informasi Standar Keamanan Informasi Etika Privacy
37

Konsep Privasi (1)


KEMKOMINFO

Apakah Informasi Pribadi? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.
Informasi Pribadi, definisi sempit
Nama Hubungan keluarga Nomor telepon Alamat Alamat e-mail Nomor lisensi mobil Nomor kartu kredit Karakteristik fisik

38

19

05/04/2012

Konsep Privasi (2)


KEMKOMINFO

Apakah Informasi Pribadi? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit Detail panggilan telepon Karir Pendapat Detail transaksi Latar belakang akademik Evaluasi Catatan kriminal

39

Konsep Privasi (3)


KEMKOMINFO

Informasi Pribadi dan Privasi Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya. Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.

40

20

05/04/2012

Opt-in Versus Opt-out


KEMKOMINFO

Opt-In (Opsi Masuk) Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh dikompilasi Default di Europe

Opt-Out (Opsi Keluar) Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak dimasukkan Default di AS.

Isu-isu Tambahan Privacy


KEMKOMINFO

Pelanggaran Privacy
Mengakses email pribadi, percakapan pribadi dan rekaman komputer pribadi Mengumpulkan dan berbagi informasi tentang seseorang dari kunjungannya ke situs-situs Internet

Pemantauan Komputer
Selalu tahu di mana seseorang berada Layanan seluler cenderung dekat dengan asosiasi di mana seseorang berada Computer Matching
Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis

Akses Tidak Sah atas File-file Pribadi


Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang

21

05/04/2012

Melindungi Privacy di Internet


KEMKOMINFO

Menyandi surel Mengirim posting surel lewat remailer anonim Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan pengguna jasa broadcast lainnya. (Meminta operator seluler?) Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web

Kebebasan Komputer dan Sensor


KEMKOMINFO

Sisi berlawanan dari debat privacy Tempat-tempat

Kebebasan informasi, kebebasan berbicara dan kebebasan pers Bulletin boards (kaskus, kompasiana, surel pembaca) Email boxes Online files of Internet and public networks

Persenjataan dalam Pertempuran Spamming


Pengiriman e-mail ke banyak pengguna unsolicited

Flame mail
Sending extremely critical, derogatory, and often vulgar email messages or newsgroup postings to other Internet users or online services Especially prevalent on special-interest newsgroups

22

05/04/2012

Cyberlaw
KEMKOMINFO

Hukum diniatkan untuk mengatur aktivitas ber-Internet via perangkat komunikasi

Irisan antara teknologi dan hukum merupakan bahan perdebatan


Perlukah regulasi Internet? Kriptografi menyulitkan bila regulasinya tradisional Komunitas Internet menganggap sensor merupakan penghambat dan beberapa pihak malah melakukan by-pass

Mencakup sejumlah isu hukum dan politik Meliputi properti intelektual, privacy, kebebasan berekspresi dan jurisdiksi

UU ITE

Ringkasan
KEMKOMINFO

Informasi adalah salah satu aset yg sangat berharga bagi suatu organisasi. Ancaman terhadap keamanan informasi datang berupa pembeberan yang tidak sah, korupsi atau halangan terhadap layanan. Tujuan dari keamanan adalah untuk melindungi aset yang sangat berharga, khususnya berkaitan dengan kerahasiaan, integritas dan ketersediaan dari informasi dan aset yang mengolah, menyimpan dan mengirim informasi tersebut. Regulasi, kebijakan dan petunjuk tentang keamanan didasarkan pada konsep dan prinsip kemanan. Pemahaman terhadap konsep dan prinsip tersebut memungkinkan seorang staf IA mengambil keputusan yang benar dan efektif.

46

23

05/04/2012

Informasi lebih lanjut


KEMKOMINFO

www.cert.or.id - Indonesia Computer Emergency Response Team www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi

47

Diskusi
KEMKOMINFO

Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda. Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda. Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa? Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda? Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?

48

24

05/04/2012

KEMKOMINFO

Akhir dari Modul 4 Terima kasih

Ethical Guidelines of the AITP


KEMKOMINFO

25

05/04/2012

Privacy Issues
KEMKOMINFO

The power of information technology to store and retrieve information can have a negative effect on every individuals right to privacy
Personal information is collected with every visit to a Web site Confidential information stored by credit bureaus, credit card companies, and the government has been stolen or misused

26