Bimbingan Teknis! Sistem Manajemen Keamanan Informasi !

Pendahuluan!

Medan, 7 8 November 2012! Fasilitator:!

Haryatno, PMP, ISMS Auditor!

1!

Haryatno, PMP, ISMS Auditor!

Biodata Singkat!
!!

Pendidikan dan Kualikasi Profesional:!

! ! ! !

FMIPA UGM, 2007! ISO 27001 Lead Auditor, 2006! Project Management Professional (PMP), 2001! ISO 9000 Lead Auditor, 2000! Konsultan Utama PT. Xynexis International,! Lebih dari 15 tahun sebagai konsultan dan trainer di berbagai industri di bidang Quality Manajemen dan Tata Kelola Teknologi Informasi! Konsutan ISO 27001:! "! Telkomsel, Indosat, Astra Honda Motor, Telkom Flexi, Telkom, Pama Persada, PLN Kantor Pusat,Dirjen Pajak, Lintasarta, Bank Bukopin, Bank Indonesia, Bank BRI, e-Proc Pemkot Surabaya, Bentoel, dll! IT Project Management:! "! Bank Mandiri, Pusintek Depkeu, Bank Mandiri, Dirjen Pajak, Tugu Pratama, Merpati Nusantara, Sucondo, LKBN Antara, dll!
!

!!

Pengalaman Konsultan:!
! !

!!

Trainer:!
! ! !

Project Management, IT Governance! Information Security Management System (ISMS), ISO 27001! Quality Management (ISO 9001)!
KOMINFO 2

KOMINFO

3!

Wamenlu: Tidak Penting Lagi Bahas Laptop Hilang Anwar Khumaini - detikNews Selasa, 22/02/2011 08:28 WIB Bogor Wakil Menteri Luar Negeri Triyono Wibowo menganggap permasalahan hilangnya laptop delegasi Indonesia di Korea Selatan sudah selesai lantaran data yang hilang bukanlah data rahasia. Sehingga, pembahasan kasus ini sudah tidak penting lagi. "Itu sudah tidak penting, karena yang hilang bukan data militer, hanya presentasi," kata Triyono di Istana Bogor, Senin (22/2/2011) pagi. Triyono menganggap, gencarnya media di Korea Selatan yang memberitakan kasus hilangnya laptop delegasi Indonesia cuma spekulasi saja. "Itu spekulasi saja," ujarnya. Dia menjelaskan, Duta Besar RI di Korea juga sudah menanyakan kepada Kementerian Luar Negeri Korea Selatan. Hasilnya tidak ada kebocoran data pertahanan Indonesia. "Dubes kita sudah tanya ke Kemlu, kita tidak merasa ada yang bocor," imbuhnya. Kepada Dubes RI, Menteri Luar Negeri Korea Selatan membantah informasi hilangnya laptop delegasi RI ini dari mereka. "Kementerian luar Negeri Korea prihatin dengan hilangnya laptop tersebut, Kemenlu Korea Selatan membantah informasi tersebut dari dia," ungkap Triyono.
KOMINFO 4!

KOMINFO

5!

HATI-HATI.......

!
Berapa banyak kejadian Laptop / PC yang hilang di sekitar Anda ? Atau dicuri dari mobil?

Sadarkah Anda bahwa file Anda dapat diambil orang tanpa Anda tahu?

KOMINFO

6!

! Kasus Penyalahgunaan Data F1 2007

FLASHBACK:

StepneyGate

Data Teknis Ferrari di mobil McLaren?

Hukuman untuk McLaren: !! Kehilangan gelar konstruktor !! Denda $100 juta
KOMINFO

7!

ATM lagi

KOMINFO

8!

KNOWLEDGE IS POWER

! Pergeseran paradigma ......... ! Kekuatan tidak lagi ditentukan secara finansial, kekuasaan atau
sumber daya alam, tetapi........

Informasi!

Menguasai dunia!

Informasi merupakan aset (paling) penting saat ini!

KOMINFO 9!

Karakteristik dan Keberlangsungan Bisnis

Roda bisnis makin cepat... Perubahan terus terjadi di tengah perjalanan

Tetap memimpin dengan Kecepatan melakukan perubahan

Berani berinovasi dan mengambil keputusan

KOMINFO 10!

Apa itu Informasi?

! INFORMATION is knowledge or data that has value to the organisation. (ISO 27000:2009)

! ! ! ! ! !

Diciptakan Disimpan Diproses Dipancarkan Digunakan Dibuang/Dihancurkan/Dirusak

Siklus Pengamanan! Informasi!

Informasi dapat:

KOMINFO

11!

Jensi/Bentuk Informasi

Kertas! Hard disk, Disket, Flashdisk! CD-ROM! Tape! (Desain) Gambar! Film! Percakapan (Conversation)! !
KOMINFO 12!

Survey 2010: Jenis Insiden Keamanan Informasi dan Alasan Investasi

Apa insiden keamanan informasi terburuk yang dihadapi responden? Apa faktor utama berinvestasi dalam kegiatan keamanan informasi?

Sumber: PWC, Information Security Breach Survey, 2010

KOMINFO

13!

Apa itu Keamanan Informasi?

Information Security: Preservation of confidentiality, integrity and availability of information. (ISO 27000:2009)

KOMINFO

14!

Komponen Keamanan Informasi

Confidentiality (Kerahasiaan):
Menjamin agar informasi hanya dapat diakses oleh pihak yang berwenang

Realibility
Sifat konsisten dari keadaan atau hasil yang diinginkan.

Integrity (Keutuhan):
Mengamankan ketepatan dan kelengkapan informasi dan metode pemrosesannya

Availability (Ketersediaan):
Menjamin pihak yang berwenang dapat mengakses informasi saat diperlukan

KOMINFO

15!

Tantangan Pengamanan Informasi

Attacker hanya perlu menemukan satu kelemahan, Defender perlu mengamankan seluruh titik akses. Attacker tidak mempunyai kendala waktu (fleksibel), Defender bekerja dengan batasan/kendala waktu dan biaya.

Attacker vs. Defender!

Sistem yang aman lebih sulit digunakan. Password kompleks dan kuat juga lebih sulit diingat. User lebih menyukai password yang sederhana

Security vs. Usability!

Apakah keamanan informasi perlu?!

Management sering memandang keamanan informasi tidak menambah nilai bisnis. Mengidentifikasi dan menutup kelemahan sebelum layanan disediakan bagi publik perlu waktu relatif lama & tambahan biaya.
KOMINFO 16!

Tujuan Utama Keamanan Informasi

Menjamin kelangsungan proses dan fungsi pekerjaan Mengatasi gangguan operasi proses / pekerjaan dengan lebih cepat

!"#$%&##'$%(&))"*($+%'

Keamanan informasi berhubungan dengan seluruh metode dan alat kontrol yang ditujukan untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi.
KOMINFO

17!

Perubahan Cara Pandang terhadap Keamanan Informasi

!
Fokus pada Hardware & Software: !! Keamanan Informasi menjadi tanggungjawab personil TI (System/Database Administrator) !! Mengandalkan keamanan teknis (Antivirus, Firewall) Fokus pada informasi: !! Pemilik informasi adalah setiap Unit Kerja sesuai tupoksi (business owner) !! Setiap jenis pekerjaan memiliki informasi yang harus dipelihara, disimpan dan diamankan !! Penggunaan TI mengandung RISIKO yang harus dikendalikan dan diatasi dengan tepat !! Keamanan Informasi harus menjadi tanggungjawab bersama setiap Unit Kerja dan Unit Pengelola TI !! Manajemen keamanan informasi merupakan bagian dari Tata Kelola TI # Tata Kelola Perusahaan

KOMINFO

18!

Pentingnya Keamanan Informasi

! Adakah tugas atau pekerjaan yang tidak mengandalkan ! Sistem Informasi tidak lagi terpisah dari organisasi. Sistem
komputer berkembang cepat: Teknologi Informasi? Jika ada, berapa persen? Informasi menghubungkan pengguna, pemasok, mitra dan pihak lainnya.

! Kecanggihan metode penyusupan (intrusi) ke dalam jaringan

! Pengendalian keamanan harus dilakukan dalam setiap

KOMINFO 19!

!! User pemula mungkin bisa menerobos sistem jaringan TI Anda dengan software yang banyak beredar di internet

proses dan terhadap setiap orang yang melakukan akses informasi, baik personil internal maupun eksternal

Kapan Keamanan Informasi Diterapkan?

! Jika terdapat informasi berklasifikasi rahasia, ! Jika kebocoran, kerusakan dan

penting, atau berharga ketidaktersediaannya menimbulkan RISIKO yang berdampak besar bagi organisasi

Pengamanan informasi diawali dengan Klasikasi Informasi dan Kajian Risiko terhadap gangguan kerahasiaan, keutuhan, dan ketersediaan informasi.
KOMINFO

20!

Keamanan .vs. Kenyamanan

KOMINFO

21!

Hirarki Framework Tata Kelola TI - Konsep/Model RENCANA STRATEGIS ORGANISASI GOOD CORPORATE GOVERNANCE KEBIJAKAN TATA KELOLA TI RENCANA STRATEGIS TI (IT Blue Print/Master Plan)
MONITORING DAN EVALUASI (COBIT)

Tata Kelola Pemerintahan yang baik

SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) ISO 27001

PENGELOLAAN PROYEK TI

PENGELOLAAN OPERASIONAL LAYANAN TI (ISO 20000) Pengelolaan Kelangsungan Layanan TI

STANDAR SOFTWARE QUALITY (CMMI)

KOMINFO

22!

Undang-Undang & Regulasi .vs. Tata Kelola TI

Undang-Undang & Regulasi: ! ! ! ! ! ! ! UU No. 14/2008 tentang Keterbukaan Informasi Publik UU No. 19/2002 tentang Hak Cipta UU No.11/2008 tentang Informasi dan Transaksi Elektronik Permen Kominfo No.28/Per/M.Kominfo/9/2006 tentang Penggunaan nama Domain go.id Peraturan Bank Indonesia No. 09/15/PBI/2007 Manajemen Risiko Penggunaan TI bagi Bank Umum Permen Kominfo No.41/PER/Men.Kominfo/11/2007 tentang Panduan Umum Tata Kelola TIk Nasional Draft UU No. ??? tentang Rahasia Negara COBIT Control Objective for Information and related Technology ISO 27001 Information Security Management System ISO 20000 Information Technology Service Management PMBOK Project Management Body of Knowledge CMMI Capability Maturity Model Integration (Software Quality)
KOMINFO

! ! ! ! !

23!

Pentingkah Keamanan Informasi bagi Anda?

Seberapa banyak (masif) informasi yang Anda butuhkan dan / atau Anda Kelola? ! Seberapa besar RISIKO yang menyertai Informasi dan Sistem Teknologinya bagi organisasi Anda? !
KOMINFO

24!