Anda di halaman 1dari 7

KEAMANAN INFORMASI (INFORMATION SECURITY

)
  Tujuan: Mendapatkan kerahasiaan, ketersediaan dan integritas semua sumberdaya informasi perusahaan Cakupan:

Sempit: keamanan terhadap hardware dan data Sedang: sempit ditambah software, fasilitas komputer dan personel Luas: semua jenis data tidak hanya data yang ada dikomputer tetapi terkait dengan perlindungan baik peralatan komputer, non kumputer, fasilitas, data, dan informasi. Peralatan disini termasuk mesin foto kopi, fax (diistilahkan “Security Information”)

Pengendalian:

Teknis: pembatasan akses, firewall, kriptografi, dan penegndalian fisik Formal: bersifat tertulis dan memiliki harapan hidup jk panjang Informal: menjaga agar para karyawan perusahaan memahami dan mendukung kebijakan2 keamanan

Ancaman keamanan informasi:

Hasil survei Computer Security Institute dari 49% responden, 81% ancaman terhadap keamanan informasi dilakukan oleh karyawan (internal) dibanding eksternal karena pengetahuan internal lebih mendalam akan sistem yang ada

Manajemen Keamanan Informasi (Information Security Management/ ISM)    Arti: Aktivitas untuk mejaga agar sumber daya informasi tetap aman Penanggungjawab: CIO Tahapan: Mengidentifikasi ancaman Mengidentifikasi risiko yang disebabkan oleh ancaman Menentukan kebijakan keamanan informasi Mengimplementasikan pengendalian untuk mengatasi risiko  Strateji manajemen keamanan informasi : Manajemen risiko (ancaman yg menghasilkan rsiko harus dikendalikan) Tolok ukur keamanan informasi (tingkat keamanan yg disarankan dalam keadaan normal harus menawarkan perlindungan yg cukup terhadap gangguan yang tidak terotorisasi)  Ilustrasi Strateji Manajemen Keamanan Informasi sbb.: .

STRATEJI MANAJEMEN KEAMANAN INFORMASI Mengiden tifikasi ancaman Tolok Ukur Mengiden tifikasi risiko Menentu kan kebijakan keamanan informasi Menentu kan kebijakan keamanan informasi Mengimpl ementasi kan pengendal ian Mengimpl ementasi kan pengendal ian A. Kepatuhan terhadap Tolok Ukur . Manajemen Risiko B.

Ancaman Keamanan Informasi (Information Security Threat)  Arti: Orang. mekanisme atau peristiwa yg memiliki potensi membahayakan sumber daya informasi perusahaan Sifat Ancaman: Internal Eksternal Disengaja Tidak Disengaja untuk   Jenis Ancaman: Virus (program komputer yg dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program2 dan boot sector lain) Worm (cacing= tidak dapat merepleksikan dirinya sendiri di dalam sistem. sipengguna menyebarkannya sebagai suatu perangkat)  Adware (memunculkan pesan2 iklan yg mengganggu) Spyware (mengumpulkan data dari mesin pengguna) . tapi dapat menyebarkan salinannya melalui e-mail) Trojan horse (Kuda troya= tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri. organisasi.

• Risiko Keamanan Informasi Potensi output yg tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi  Jenis Risiko: Pengungkapan informasi yg tidak terotorisasi dan pencurian Penggunaan yg tidak terotorisasi Penghancuran yg tidak terotorisasi dan penolakan layanan Modifikasi yg tidak terotorisasi  Tahapan pendefinisian risiko Mengidentifikasi aset2 bisnis yg harus dilindungi dari risiko Menyadari risikonya Menentukan tingkat dampak pd perusahaan jika risiko benar2 terjadi Menganalisis kelemahan perusahaan  Cakupan Laporan Hasil Analisis Risiko Deskripsi risiko Sumber risiko Tingginya tingkat risiko Pengendalian yg ditrapkan pd risiko tersebut .

 Gambaran Tingkat Dampak dan Kelemahan Menentukan Pengendalian Tingkat Kelemahan Dampak Parah Dampak Signifikan •Melaksanakan analisis kelemahan • Harus meningkatkan pengendalian •Melaksanakan analisis kelemahan • Sebaiknya meningkatkan pengendalian •Melaksanakan analisis kelemahan •Menjaga pengendalian tetap ketat Dampak Minor Tinggi •Melaksanakan analisis kelemahan • Harus meningkatkan pengendalian •Melaksanakan analisis kelemahan • Sebaiknya meningkatkan pengendalian •Melaksanakan analisis kelemahan •Menjaga pengendalian tetap ketat Analisis kelemahan tidak dibutuhkan Menengah Analisis kelemahan tidak dibutuhkan Rendah Analisis kelemahan tidak dibutuhkan .

TINDAKAN YANG TIDAK TEROTORISASI MENGANCAM SASARAN KEAMANAN INFORMASI Informasi Pencurian informasi yg tidak terotorisasi Penggunaan yg tidak terotorisasi Kerahasiaan Ketersediaan Integritas Penghancuran yg tidak terotorisasi dan penolakan layanan Modifikasi yg tidak terotorisasi Keamanan .