CONTENT

// COVER STORY
MUHAMMAD GUNTUR
Menjawab Tantangan
Keamanan Informasi
Bank Mandiri
// INSIGHT
Social media telah
mengubah cara
berkomunikasi
sehari-hari in-
dividu. Begitu
mudahnya akses
dan kebutuhan
individu dalam
berbagi membuat
risiko kebocoran in-
formasi yang tidak
bisa dihindari oleh
perusahaan.
// GOVERNANCE
POSISI STRATEGIS
KEAMANAN INFORMASI
Posisi CISO bisa
saja berbeda sesuai
dengan kebutuhan
perusahaan. Na-
mun yang perlu
ditekankan adalah
kewenangannya
untuk memastikan
strategi keamanan
informasi harus-
lah besar.
SOCIAL
MEDIA
SECURITY
Muhammad Guntur, pemegang fungsi CISO di Bank
Mandiri akan berbicara mengenai tantangan keamanan
informasi di Bank Mandiri yang sekarang sedang terjadi.
062
039 029
// INSIGHT
// GOVERNANCE
// KNOWLEDGE // INFOSEC NEWS
// INFOSEC NEWS
// EVENT // CONCEPT
// THE ZERO DAY
// THE SOCIAL ENGINEER // RECOMMENDED // CAREER
// MOBILE
// FORENSIC
STRATEGY TECHNOLOGY
TIGA MATA
RANTAI
KEAMANAN
INFORMASI
SEBERAPA AMAN
ANDA MENERAPKAN
SSL PADA WEB?
CISO DARI
KACAMATA
REGULASI
COMPUTER
FORENSIC
024
054
080
089
095
BYOD
SIAPKAH KITA ?
007
016 022
100 101 104
014
S
elamat datang di CISO Magazine! Dengan antusiasme
yang tinggi, baik dari kami maupun dari komunitas
profesional dan praktisi keamanan informasi Indonesia,
CISO Magazine hadir memberikan informasi yang dibutuhkan
oleh para profesional dalam menjalankan kariernya sebagai
praktisi keamanan informasi.
Menggunakan format digital magazine, kami melakukan
eksplorasi dalam menyampaikan informasi dan bercerita
dengan gaya yang benar-benar baru. Mengajak pembaca
berinteraksi dengan pengalaman yang menyenangkan.
Di edisi perdana ini CISO Magazine berbicara mengenai
Muhammad Guntur, IT SAP (IT Strategy, Architecture, and
Planning) Bank Mandiri. Selama 5 tahun menjabat posisi yang
memiliki fungsi CISO, ia membagikan pengalamannya dalam
menjawab tantangan keamanan informasi di Bank Mandiri.
Tantangan posisi strategis keamanan informasi dalam
organisasi juga menjadi kerancuan. Bahkan belum ada sebuah
organisasi di Indonesia yang memiliki CISO yang benar-benar
melapor langsung ke CEO. Apakah hal itu normal? Apakah wajib
untuk memiliki CISO dalam suatu struktur? Rubrik Governance
akan menyajikan kepada anda mengenai posisi CISO
FROM
THE
EDITOR
YASSER HADIPUTRA
EDITOR IN CHIEF
@yasserhadiputra
dan kebutuhannya, serta posisi tersebut dalam
kacamata regulasi.
Penerapan BYOD dalam organisasi di Indonesia
menjadi hal yang tidak bisa dihindari. Produktivitas
pekerja perlu didukung dengan strategi TI yang
lebih terbuka memunculkan problematika baru
bagi seorang CISO. Strategi tepat diperlukan untuk
menanganinya.
Namun strategi untuk mengatasi jika terjadinya
insiden keamanan TI juga tetap harus diper-
timbangkan, karena insiden tidak dapat diduga-
duga kedatangannya. Untuk itu pemahaman dasar
mengenai Computer Forensic perlu diketahui oleh
seorang CISO.
Dengan hadirnya CISO Magazine, kami mengharap-
kan dapat meningkatkan awareness profesional
Indonesia pada umumnya.
Serta menginformasikan tren dan best practice
keamanan informasi terkini, selain itu juga mem-
perkuat komunitas industri yang masih berumur
jagung ini.
So, be informed!
EDITORIAL
PT. BUMI NAWA
COMMUNICATIONS
Graha Sartika Lt. 3
Jl. Dewi Sartika No. 357
Cawang - Jakarta Timur
T : +62-21-46432255
ADVERTISING
adv@ciso.co.id
INFORMATION
info@ciso.co.id
EDITOR IN CHIEF
Yasser Hadiputra
CREATIVE
Mochammad Iqbal
Chasan Bayu
APP DEVELOPER
Andini Sri Kartika
EDITORIAL STAFF
Anita Rosalina
Fi nd us on:
CONTRIBUTOR
JEFFRY
KUSNADI
Jeffry Kusnadi adalah seorang
manajer dalam Risk & Controls
Solutions (RCS) Group di
Pricewaterhouse Coopers
Indonesia. Ia memimpin timnya
dalam kegiatan konsultasi
keamanan dan infrastruktur
teknologi informasi. Ber-
pengalaman selama lebih
dari sepuluh tahun dalam
ranah teknologi informasi
dan keamanannya. Sebelum
di Pricewaterhouse Coopers,
ia merupakan Kepala divisi
teknologi informasi di PT
Bank Bumi Arta, Tbk.
AHMAD
ZAMZAMI
Penulis adalah pakar digital
forensik yang telah banyak
terlibat dengan aparat ke-
polisian, penyidik, lembaga
advokasi dan instansi pe-
merintahan dalam kaitanya
dengan pengungkapan serta
EKO
PRASETIYO
Eko Prasetiyo adalah seorang
peneliti keamanan teknologi
informasi yang fokus dalam
penetration test dan digital
forensic. Tidak hanya riset,
ia juga banyak membantu
organisasi-organisasi di
industri perbankan, migas,
Toto Widjonarto, CCNA, CCNP,
CCIE, GCFW, CEH CHFI, Lead
Auditor Berpengalaman se-
lama 12 tahun lebih di Industri
TI dan keamanan informasi
perbankan. Kini ia menjabat
sebagai IT Security Auditor di
PT Bank Rakyat Indonesia.
TOTO
WIDJONARTO
Charles Lim, MSc., ECSA, ECSP,
ECIH, CEH, CEI adalah seorang
pendidik, peneliti, penulis,
konsultan IT dan IT security,
dan juga pelatih professional
di bidang keamanan IT.
CHARLES
LIM
penelusuran bukti digital.
Beberapa kasus yang pernah
ditangani penulis antara lain
pencurian properti intelektual,
pencemaran nama baik, pe-
nyebaran konten pornografi,
penggelapan, penipuan, ke-
jahatan cyber, dan beberapa
kasus lainnya. Penulis yang
telah mengantongi sertifikati
profesi internasional dibidang
digital forensik ini juga aktif
diundang sebagai pembicara
di berbagai pelatihan dan
seminar utamanya dalam
menyampaikan awareness
digital forensik dan ke-
amanan informasi.
dan manufaktur di Indonesia
untuk melakukan penetration
test dan security assessment
terhadap sistem kritikal
mereka. Merupakan finalis
kompetisi hacking dunia
Global Cyberlympics.
Sehari-harinya beliau lebih
banyak melakukan penelitian
di Swiss German University
dan mempublikasikan hasil
penelitiannya terutama yang
befokus pada malware,
data mining, cloud security,
dan digital forensic. Beliau
juga aktif dalam berbagai
komunitas seperti Honeynet
Indonesia Chapter, Academy
CSIRT, OWASP Indonesia
Chapter dan Cloud Security
Alliance.
Berminat Menjadi
Kontributor di
CISO Magazine?
email ke:
red@ciso.co.id
Open Redirect
Vulnerability
Berbahaya
pada Facebook
INFOSEC NEWS
O
pen Redirect Vulnerability meru-
pakan celah keamanan sistem
aplikasi yang tidak melakukan
verifkasi saat proses redirect URL
melalui aplikasi tersebut. Vulnerability ini
dimaanfaatkan pada aktivitas phishing agar
pengguna mengunjungi situs yang berbahaya.
Cara kerjanya dengan memberikan korban
suatu link URL yang menggunakan metode
redirect, sehingga diawal link terlihat sesuai
dengan asalnya. Padahal metode redirect
terlihat di belakang link tersebut, namun
sering sekali tidak diperhatikan.
Celah yang sederhana dan sering terlihat
bukan? Namun apa yang terjadi pada
Facebook tidak sesederhana itu. Celah pada
layanan Facebook telah dimodifkasi menjadi
lebih canggih. Hacker yang mengerti cara
mengakali celah tersebut dapat memberikan
dampak yang buruk. Jika hacker mengetahui
UserID korban maka dengan memberikan
Kamis, 4 April 2013
link yang tidak diverifkasi terhadap redirect
tujuan access token korban dapat diambil
alih. Contohnya, http://www.situsvulnerable.
com?UserID55555redirect=www.situs
berbahaya .com. Proses akses link tersebut
akan memberikan access token pada URL yang
bisa ditangkap.
Nir Goldshlager, seorang peneliti keamanan
white hat ternama asal Israel, menemukan
Open Redirect Vulnerability pada Facebook
melalui sistem OAuth untuk otentikasi aplikasi
pihak ketiga. Ia secara bertanggung jawab
melaporkan celah keamanan tersebut
pada Skype, Dropbox, dan Facebook. Kini
perusahaan tersebut telah mengonfrmasikan
bahwa celah Open Redirect Vulnerability pada
sistem mereka telah dimitigasi. Hingga berita
ini ditulis, Goldshlager menempati peringkat
teratas pada Facebooks thank you lists
yang sudah dipegang olehnya selama dua
tahun. Pada 2011 ia berada peringkat kedua.
Goldshlager yang baru memulai perusahaan
konsultan keamanan TI bernama Breaksec,
bertugas mencari bugs pada sistem aplikasi
sebelum ditemukan oleh hacker.
Goldshlager juga menemukan bahwa
metrics.skype.com dan dropbox.com gagal
dalam melakukan verifkasi redirect. Untuk
melakukan proof-of-concept, pelaku harus
mengetahui terlebih dahulu siapa pengguna
Facebook yang juga menggunakan aplikasi
Skype atau Dropbox. Kemudian pelaku
melanjutkan pencarian User ID Facebook
pengguna dengan memanfaatkan Graph
API. Apabila pelaku memasukkan URL
metrics.skype.com yang benar dengan User
ID di dalamnya, kemudian menambahkan
redirect pada situs yang diinginkan untuk
menangkap access token, proses redirect
akan memberikan access token pengguna
yang pelaku peroleh melalui situs yang
telah dikendalikan. AR
IDC: Pasar Keamanan
Cyber Meningkat
$870 Juta di 2017
INFOSEC NEWS
M
UMBAI (thehindubusinessline.com)
Pasar solusi keamanan cyber dipre-
diksi akan meningkat hingga $870
juta pada 2017. Prediksi tersebut
bersumber dari perusahaan riset International
Data Corporation (IDC).
Kejahatan cyber menggunakan ribuan
jaringan komputer atau yang dikenal dengan
botnet untuk memadati trafc sebuah website
dengan membanjiri akses ke jaringan tersebut
sehingga menyebabkannya lumpuh. Seperti
serangan yang jamak diketahui, yakni DDoS.
Berdasarkan IDC serangan meningkat
secara tajam baik secara frekuensi, volume,
dan orientasi, kini serangan tidak hanya
menysar perusahaan fnansial pada skala
besar, melainkan juga menyasar perusahaan-
perusahaan kecil.
As attacks surged in prevalence and
sophistication, organisations were often
Senin, 1 April 2013
caught unaware. Embedded capabilities were
quickly overwhelmed and outages were readily
apparent on the Web, tutur Vice President
(Security Products and Services research) IDC,
Christian Christiansen.
Serangan telah mendorong permintaan solusi
keamanan cyber yang proaktif. Christiansen
menambahkan pernyataannya, the worldwide
market for DDoS prevention solutions will
grow by a compound annual growth rate
(CAGR) of 18.2 per cent from 2012 through 2017
and reach $870 million.
Perkembangan layanan cloud dan jaringan
mobile tentu akan dijadikan bulan-bulanan
serangan DDoS. Sementara itu frewall,
intrusion protection, dan device lain hanya
dapat dimanfaatkan untuk mitigasi serangan
yang terbilang rendah, besarnya volume
serangan diisukan sulit dibedakan dari trafc,
apakah legal atau ilegal.
Symantex sebagai penyedia layanan keamanan
mengatakan, pada akhir 1990-an, jaringan
zombie dimanfaatkan untuk memukul
website sehingga tidak dapat digunakan
pelanggannya. Serangan memanfaatkan botnet
pada 2007 telah membuat internet di Estonia
tidak dapat digunakan, sementara Georgia
harus menelan hal serupa pada 2008.
Sementara itu, India yang diprediksi Schmidt
akan jauh lebih besar dari China dalam
penggunaan internet, dilaporkan pada
Symantec Internet Security Threat Report XVII
juga merasakan dampak serangan jaringan
zombie. Berdasarkan laporan tersebut, 25%
bot mempengaruhi komputer di India yang
berlokasi di tier-II cities.
Menurut Symantex, dengan peningkatan
serangan dewasa ini, jaminan solusi keamanan
cyber tidak hanya dibutuhkan organisasi, tetapi
juga dibutuhkan oleh pengguna pribadi. AR
INFOSEC NEWS
Kamis, 11 April 2013
M
embajak pesawat menggunakan
android, salah satu materi yang
disampaikan pada Hack in the
Box (#HITB2013AMS), konferensi
keamanan yang berlangsung di Amsterdam,
Belanda. Aircraft Hacking: Practical Aero
Series disampaikan oleh Hugo Teso, seorang
konsultan keamanan di AG Jerman. Debut
Teso di dunia TI telah mencapai sebelas
tahun, ia juga seorang pilot komersial selama
dua belas tahun. Kombinasi karier tersebut
membawanya pada pengetahuan mengenai
sistem keamanan komputer bagi penerbangan
dan protokol komunikasi (communication
protocol). Pada materinya mengenai membajak
pesawat, Teso mendemonstrasikan kecakapan
untuk mengambil kontrol pesawat dengan cara
membuat pesawat virtual.
Dengan memanfaatkan dua teknologi khusus,
untuk menemukan, mengumpulkan informasi,
dan mengeksploitasi, melalui merancang
Membajak
Pesawat
Menggunakan
Android
exploit framework SIMON dan aplikasi
android PlaneSploit, pesan serangan dapat
dikirimkan ke Flight Management System
(FMS yang terdiri dari unit komputer dan
unit kontrol) pesawat.
Dua teknologi yang dimanfaatkan untuk
membajak pesawat, yakni Automatic
Dependent Surveillance-Broadcast (ADS-B)
dan Aircraft Communications Addressing and
Reporting System (ACARS). ADS-B digunakan
untuk mengirim informasi mengenai pesawat,
meliputi identifkasi, posisi, ketiggian,
dan sebagainya melalui sebuah on-board
transmitter guna mengontrol air trafc. ADS-B
juga memungkinkan pesawat dilengkapi
dengan teknologi untuk menerima informasi
penerbangan, seperti lalu lintas, cuaca, dan
informasi mengenai pesawat lainnya yang
melintas di sekitar pesawat. Sementara itu,
ACARS digunakan untuk bertukar pesan antara
pesawat dan air trafc controllers melalui
radio atau satelit, serta memberikan informasi
mengenai setiap fase penerbangan selanjutnya
secara otomatis.
Baik ADS-B maupun ACARS sangat tidak
aman dan rentan terhadap serangan aktif dan
pasif. Penyalahgunaan ADS-B untuk menyasar
target dan ACARS untuk mengumpulkan
informasi melalui onboard computer juga
dapat dimanfaatkan untuk mengeksploitasi
vulnerability yang ada dengan mengirimkan
pesan malicious untuk mempengaruhi
perilaku pesawat.
Dalam membajak pesawat, Teso membangun
framework SIMON yang dengan bebas
dimanfaatkan pada lingkup virtual dan tidak
dapat digunakan pada kehidupan nyata. Dalam
penelitiannnya ia juga menggunakan produk
software dan hardware. Metode koneksi dan
komunikasinya dalam membajak pesawat
virtual sebaik dan persis sama dengan yang
dapat dieksekusi pada kehidupan nyata.
Hampir mustahil untuk mendeteksi
framework ketika disebarkan ke FMS, dan
tidak ada kebutuhan untuk menyamarkan
seperti rootkit.
Dengan meggunakan SIMON, penyerang
dapat mengunggah payload spesifk untuk
mengontrol FSM, rencana penerbangan,
komando rinci, atau bahkan plug in
standar yang dapat dimanfaatkan untuk
membangun framework.
Teso mendemonstrasikan penjelasannya agar
lebih mudah dipahami dengan menggunakan
SIMON pada android untuk mengontrol
pesawat jarak jauh, serta aplikasi PlaneSploit.
PlaneSploit ini menggunakan Flightradar24
untuk mengikuti jejak penerbangan secara
langsung. PlaneSploit dapat pula digunakan
pada pesawat apapun yang ditemukan.
User interface sendiri dibagi sesuai dengan
fungsi masing-masing, yakni, penemuan,
pengumpulan informasi, ekploitasi dan pasca
eksploitasi. Penyerang dapat mengklik pada
pesawat apapun dan menerima identifkasi,
seperti lokasi saat diklik dan tujuan akhir.
Pada kasus sistem pesawat dapat dieksploitasi,
aplikasi dapat mengingatkan penyerang
melalui in-application alert atau push message.
Payload spesifk dapat diunggah dan secara
otomatis FMS akan dikontrol secara jarak jauh
oleh penyerang.
Eksploitasi lebih lanjut mungkin juga
dilakukan karena terdapat sistem koneksi
lainnya ke FMS. Teso tidak menjelaskan lebih
rinci mengenai perangkat yang ia gunakan
untuk mengeksekusi serangan.
Ia mengatakan dirinya cukup terkejut dengan
reaksi industri terhadap penelitian yang ia
temukan industri tidak menyangkal masalah
yang Teso temukan melalui penelitiannya.
Menurut Teso ada solusi bagi para pilot
untuk mendapatkan kontrol pesawat dan
mendaratkan dengan aman karena serangan
hanya akan bekerja ketika auto-pilot aktif,
maka cara terbaik adalah matikan auto-pilot
tersebut, kemudian terbangkan pesawat
dengan instrumen analog. AR
FireEye Malware Intelligence Lab menemukan
vulnerabilities pada PDF Reader 9.5.3, 10.1.5, dan
11.0.1 yang berpotensi menyebabkan crash sekaligus
membuka peluang penyerang merebut kontrol
pemilik sah. Vulnerabilities CVE-2013-0640 dan
CVE-2013-064 dieksploitasi sebagai target serangan
guna mengelabuhi pengguna OS berbasis Windows,
Linux, serta Apple. Eksploitasi bermula dari dua
DLL files pada sistem pengguna. Pertama, umpan
ditujukan untuk menampilkan pesan eror yang
palsu melalui dokumen PDF. Adobe mulai crash.
Selanjutnya saat proses recovery DLL files yang
kedua, gempuran malicious code sukses menyusup.
Malware digunakan untuk mengirim balik data guna
mengontrol domain. Pengguna alih-alih melihat hal
tersebut sebagai serangan, hanya melihat sebagai
crash belaka, tidak lebih.
Vulnerability CVE-2013-0422 pada Java 7 (update 10)
ditemukan sebagai satu ancaman bagi pengguna
komputer dengan sistem operasi berbasis apapun.
Instalasi malware, pencurian identitas, penggunaan
komputer pribadi sebagai botnet merupakan dampak
dari vulnerability pada Java. Tiga perusahaan besar,
Facebook, Apple dan Microsoft tumbang sebagai
korban karena vulnerability Java yang berhasil
dieksploitasi penyerang. Vulnerability tersebut
ditemukan pada plug in Java untuk web browser
seperti Firefox dan Internet Explorer. Ahli IT security
mengatakan, setidaknya perlu dua tahun bagi
Java untuk memperbaiki vulnerability-nya. Waktu
yang sangat luang untuk membiarkan penyerang
menggencarkan aksinya. Menyoal vulnerability
Java, Apple memilih untuk menanggalkan Java dari
sistem operasi X.
THE ZERO DAY
CVE-2013-0422
CVE-2013-0640
CVE-2013-064
Krisis vulnerability CVE-2013-0633 pada Flash
player dilaporkan oleh peneliti Kaspersky Lab,
Sergey Golovanov dan Alexander Polyakov. Dampak
vulnerability tersebut dapat dituai pengguna OS
berbasis Windows, Mac OS X, dan Linux serta
Android dengan versi awal. Korban serangan
diarahkan membuka spear-phishing email
dengan Microsoft Word yang mengandung konten
malicious Flash (SWF). Eksploitasi pada CVE-2013-
0633 menargetkan versi ActiveX Flash Player pada
Windows. Adobe juga menyadari laporan mengenai
CVE-2013-0643 dan CVE-2013-0648 yang sedang
dieksploitasi guna melakukan serangan, mengelabuhi
pengguna untuk mengunjungi situs web dengan
content Flash yang berbahaya. Eksploitasi pada CVE-
2013-0643 dan CVE-2013-0648 menyasar pengguna
yang menggunakan Firefox.
Vulnerability pada web browser Internet Explorer
ditemukan oleh Paul Baccas, peneliti SophosLabs.
Zero-day vulnerability pada Internet Explorer
versi 6, 7, 8 membuat penyerang merebut kontrol
sistem operasi Windows. Hal tersebut bermula dari
kunjungan pengguna pada situs yang telah diinfeksi
malicious code oleh penyerang. Dua situs yang
ditemukan oleh SophosLabs untuk mengeksekusi
kontrol serangan mengandung dokumen SWF
sebagai Troj/SWFExp-BF, dokumen HTML sebagai
Exp/20124792-B, dan kode tersembunyi pada
xsainfo.jpg sebagai Trojan Horse, Troj/Agent-ZMC.
Pengguna Internet Explorer yang sangat berpotensi
sebagai korban seharusnya lebih berhati-hati
dengan memastikan perlindungan berlapis guna
meminimalkan risiko.
THE ZERO DAY
CVE-2013-1889 CVE-2013-0633
GRAND
L AUNCHI NG
CYBE R
DE F E NSE
ACADE MY
Cyber Defence Academy (CDA) merupakan institusi bagi para profesional
guna menambah kapasitas diri dalam bidang keamanan informasi. CDA
juga sebagai jawaban atas tantangan keamanan cyber yang meningkat
dewasa ini.
Ivano Aviandi , Founder CDA
EVENT
K
amis (14/3) peluncuran Cyber
Defense Academy (CDA)
dilaksanakan di hotel Bidakara
Jakarta Selatan. CDA merupakan instansi
akademik yang fokus geraknya pada
bidang keamanan teknologi informasi.
Dengan visi Menjadi penyedia ilmu
pengetahuan keamanan dunia maya yang
bertaraf internasional dan dapat dijadikan
standar bagi seluruh lapisan industri, CDA
bertujuan untuk memberikan pendidikan
dan pelatihan khusus bagi profesional
yang ingin meningkatkan kapasitasnya
di bidang keamanan informasi.
Melalui sambutannya, Ivano Aviandi selaku CEO Cyber Defense Academy mengatakan
bahwa selama ini standar mengenai IT Security selalu berkiblat pada dunia internasional
yang belum tentu pas untuk diterapkan di Indonesia. CDA merupakan yang pertama dan
satu-satunya yang berasal dari lokal.

Kesadaran semakin bertumbuhnya angka serangan dari waktu ke waktu merupakan titik
tolak dibentuknya Cyber Defense Academy. Total serangan di dunia sepanjang tahun
2012 mencapai 1.250.000 dan 250.000 serangan pada Januari 2013. Sementara untuk
Indonesia total serangan mencapai 9.514 pada 2012, angka tersebut hanya mewakili
serangan pada website. Edwin Nugraha, Technical Manager Cyber Defense Academy,
Tamu undangan
EVENT
mengatakan dengan cukup percaya diri, CDA adalah jawaban masalah keamanan
teknologi informasi di Negara ini.
Turut berpartisipasi dalam peluncuran acara yang bertopik Kompetensi SDM terkait
IT Security Iwan Sumantri, Wakil Ketua ID-SIRTII Bidang Riset dan Pengembangan;
Bambang Heru Tjahyono, Direktur Keamanan Informasi Kemkominfo; dan Sarwono
Sutikno, praktisi bidang keamanan informasi sekaligus akademisi dari STEI-ITB.
CDA memiliki dua jenis kurikulum, yaitu Secure Infrastructure
dan Secure Programming yang masing-masingnya memiliki tiga
tingkatan, yakni Associate, Professional, dan Expert.
Mengenai CDA
Secure Infrastructure Secure Programming
EXPERT EXPERT
Professional Professional
Associate Associate
EVENT
Ivano menjelaskan bahwa individu yang mendaftarkan dirinya untuk mengikuti pelatihan
CDA tidak dapat langsung memasuki tingkat professional maupun expert. Peserta harus
memulai pelatihan dari level associate, baru dapat menuju level berikutnya. Penilaian naik
tingkat tidak hanya berdasarkan kapasitas pengetahuan, tetapi juga etika moral. Tanpa
etika moral seorang yang memiliki pengetahuan bisa saja menyalahgunakan.
Kurikulum associate secure infrastructure dan programming sama-sama akan berlangsung
selama lima hari, namun dengan muatan berbeda. Pada associates secure infrastructure
akan dibahas, yakni merancang topologi berdasarkan standar keamanan informasi,
Tim CDA dan pembicara
EVENT
mengaplikasikan aturan berdasarkan standar keamanan informasi, serta
kebaruan infrastructure. Sementara itu pada associate secure programming
yang akan dibahas adalah merancang aplikasi yang memenuhi standar
keamanan informasi, menerapkan logical programming yang baik dan benar,
serta mengenai teknik pengembangan aplikasi terbaru. Peserta pada
kurikulum ini ditargetakan untuk menguasai tiga bahasa pemrograman, yakni
PHP, .Net, dan Java. Keluaran CDA diharapkan dapat menambah pengetahuan
mengenai keamanan informasi, menambah pengetahuan yang dapat
diterapkan secara langsung, mampu memprediksi setiap serangan yang akan
terjadi, memiliki inovasi lebih besar guna merancang terobosan yang bernilai
bagi dunia keamanan informasi.
Peserta yang telah mengikuti rangkaian pelatihan CDA dipastikan bergabung
dalam Cyber Defense Community (CDC) dimana komunitas ini berbeda
dari komunitas cyber kebanyakan yang bersifat underground. CDC adalah
komunitas white hat professional yang akan terus berbagi pengetahuan
mengenai zero day, perkembangan keamanan teknologi informasi, dan lain
sebagainya dan berjejaring dengan komunitas lainnya. Tidak berhenti pada
pelatihan, Ivano memiliki impian besar terkait CDA, yakni menjadikannya
sebagai universitas yang akan mencetak para ahli IT Security. Sebagai
langkah awal, Ivano dan tim akan mengenalkan CDA pada universitas-
universitas di Indonesia guna bekerja sama menyusun kurikulum keamanan
informasi sebagai sebuah mata kuliah. Ke depan, CDA akan terbuka baik bagi
profesional di bidang industri, mahasiswa, dan masyarakat umum yang ingin
meningkatkan kapasitas dirinya di bidang keamanan teknologi informasi. AR
EVENT
Salah satu permasalahan keamanan
informasi hingga saat ini adalah
tingkat awareness instansi-instansi
pemerintah serta masyarakat di
Indonesia mengenai keamanan
informasi dan internet masih
sangat rendah.
Hasil pemantauan yang dilakukan
ID-SIRTII terhadap serangan pada
traffc internet Indonesia mengalami
penurunan pada Februari 2013.
Pada Januari, serangan mencapai
2.458.230 sementara pada Februari
menurun hingga 1.943.478.
Dengan judul Securing Mobile
Devices Using COBIT 5 for
Information Security membahas
mengenai kontrol terhadap BYOD
yang menjadi banyak permasalahan
pada organisasi sekarang ini
berdasarkan COBIT 5 yang
merupakan versi terbaru untuk
menyesuaikan dengan kebutuhan
saat ini.
Iwan Sumantri Bambang Heru Tjahyono Sarwono Sutikno
PEMBICARA
EVENT
THE BEST DEFENSE
IS A GOOD OFFENSE
SUDUT PANDANG YANG SERI NG DI KESAMPI NGKAN
Dalam mengamankan infrastruktur
organisasi, sering kali usaha yang
dilakukan berorientasi pada solusi
teknologi. Dengan memasang
frewall pada setiap layer akses,
penggunaan IDS/IPS yang handal,
dan policy yang mendukung solusi
dianggap sudah memadai. Padahal
solusi tersebut seringkali tidak
memiliki dasar.
CONCEPT
Pertahanan terbaik adalah menyerang
kutipan tersebut sejalan dengan konsep
sistem keamanan komputer. Begitu
banyaknya attack vector pada sistem
keamanan komputer yang tidak bisa dilihat
melalui sudut pandang network security
administrator menjadi salah satu celah
yang luput dari perhatian manajemen
keamanan informasi. Dengan melakukan
uji ketahanan sistem maka akan didapat
bukti nyata bahwa sistem pertahanan
yang dibangun memang tidak memiliki
celah rawan. Meskipun begitu, risiko tidak
mungkin bernilai nol. YH
analisis yang optimal dan independen.
Pihak independen tidak akan memiliki
kepentingan lain selain tugas yang
diamanatkan kepadanya, lain halnya
dengan staf internal organisasi, terkadang
mereka memiliki posisi yang membuat
mereka cenderung pragmatis dalam
mencari solusi.
D
asar yang dimaksud adalah
bukti. Bukti bahwa solusi yang
diterapkan memang teruji
dalam menangkal serangan. Dalam hal
pembuktian teori tersebut, seorang network
security administrator tidak bisa hanya
menggunakan satu sudut pandang, yaitu
sudut pandang pertahanan (defense). Sudut
pandang seorang hacker (ofense) juga
perlu dianalisis.
Melalui sudut pandang hacker akan
terlihat secara jelas celah, malfungsi,
dan kesempatan yang ada untuk hacker
menyusup atau mengakali sistem per-
tahanan yang dibentuk.
Sulit bagi seorang untuk memiliki sudut
pandang yang benar-benar berbeda. Oleh
karena itu dibutuhkan bantuan orang
lain yang berbeda fungsi dan memiliki
kemampuan baik dalam menganalisis
celah (vulnerability analysis). Tidak jarang
manajemen pun meng-hire konsultan
atau pihak ketiga untuk memperoleh hasil
CONCEPT
INSIGHT
TIGA MATA
RANTAI
KEAMANAN
INFORMASI
If you know your enemies and know yourself, you will not be imperiled in a hundred
battles; if you do not know your enemies but do know yourself, you will win one and
lose one; if you do not know your enemies nor yourself, you will be imperiled in every
single battle
Sun Tzu, Art of War -
Oleh : Toto Widjonarto
B
erangkat dari falsafah Sun Tzu apabila
ingin menang menghadapi musuh maka
kita harus mengetahui kekuatan musuh,
serta kekuatan yang kita punya. Falsafah tersebut
juga dapat diterapkan dalam masalah keamanan
informasi sehingga kita tahu apa yang harus
diproteksi dan bagaimana memproteksinya.
Pengetahuan mengenai modus operandi yang
sering terjadi dalam keamanan informasi perlu
terus ditingkatkan, sehingga langkah antisipasi
dapat diambil secara proaktif guna mencegah
kerugian fnansial lebih besar lagi.

Pada sebuah diskusi, seorang CEO dari salah
satu bank ternama di Indonesia membanggakan
teknologi dari jaringan keamanan yang sudah
menggunakan frewall, intrusion prevention
system, antivirus, encryption, dan chip
technology, sehingga bank tersebut seolah-olah
sudah sangat terjamin keamanan informasinya.
Akan tetapi hal itu sebenarnya adalah false
sense of security karena masih terdapat dua
dimensi dalam keamanan informasi yang tidak
kalah penting, yaitu dimensi proses dan dimensi
manusia. Di sini terjadi ketidakseimbangan fokus
untuk mata rantai keamanan informasi dimana
CEO tersebut hanya menitikberatkan pada
dimensi teknologi. Sementara dalam keamanan
informasi faktor manusia adalah mata rantai
terlemah karena kecenderungan manusia yang
ceroboh, mudah dimanipulasi, tidak pernah puas,
selalu ingin mudah, dan sebagainya. Di samping
itu faktor proses juga menentukan. Namun hal-hal
tersebut sering terabaikan.
Keamanan teknologi informasi adalah proses yang
berlangsung secara terus menerus dimana faktor
manusia, proses, dan teknologi adalah tiga mata
rantai dalam keamanan informasi yang tidak dapat
dipisahkan yang akan membentuk sebuah kekuatan
sehingga apabila salah satu dari ketiga mata rantai
tersebut terabaikan dapat mengakibatkan masalah
keamanan informasi serius.
INSIGHT
Pada salah satu bank di Indonesia pernah terjadi
fraud terkait penyalahgunaan kewenangan
password. Seorang petugas teller dengan
pengetahuan IT mumpuni melihat celah
keamanan yang dapat dieksploitasi, yakni sikap
abai pegawai terhadap password komputer yang
merupakan tanggung jawabnya. Selain itu pegawai
juga lemah dalam penerapan kebijakan keamanan,
seperti komputer yang tidak menggunakan
hardening, sehingga dengan bebas pegawai dapat
menggunakan USB fash disk dan menginstal
software atau program yang tidak dibutuhkan
kantor. Melihat celah keamanan/kelemahan
tersebut timbul motivasi untuk melakukan
kejahatan. Dengan memanfaatkan koneksi
internet rumahan, petugas teller mengunduh
program portable keylogger gratis untuk di-
copy pada komputer kantor. Motifnya untuk
mengetahui password system core banking dari
manajer operasional yang memiliki kewenangan
lebih tinggi darinya. Petugas teller tersebut sign
in dengan mudahnya karena sudah mengetahui
password komputer standar semua pegawai.
Di sini jelas terlihat kelemahan dari dimensi
keamanan informasi yang terabaikan, yaitu
dimensi manusia. Dengan tidak adanya edukasi
mengenai masalah keamanan informasi, para
pegawai membiarkan password standar menjadi
rahasia umum tanpa pernah diganti. Selain
password, para pegawai tersebut juga tidak peduli
terhadap update antivirus sehingga portable
keylogger tidak dapat dideteksi.
DIMENSI MANUSIA
INSIGHT
Kasus penipuan ATM (Automatic
Teller machine) yang marak terjadi
memanfaatkan celah kelemahan
dalam dimensi proses. Pelaku
memanfaatkan mekanisme
pengaduan melalui nomor
telepon helpdesk ketika terjadi
permasalahan pada ATM. Cara
yang digunakan adalah dengan
membuat stiker palsu dengan
nomor telepon palsu (bukan milik
bank terkait). Korban akan dibuat
seolah-olah ATM-nya bermasalah,
sehingga menghubungi helpdesk.
Selanjutnya korban dipandu untuk
memberitahu nomor PIN. Belajar
dari kejadian tersebut, saat ini sudah
banyak bank yang mencantumkan
nomor telepon pengaduan langsung
di layar ATM.
Penggunaan teknologi jaringan keamanan juga bisa
menimbulkan false sense of security. Tidak sedikit orang
awam bertanya, mengapa sudah memakai frewall tapi masih
juga dibutuhkan intrusion prevention system? Mereka tidak
paham bahwa frewall hanya memproteksi atau menyaring
port dalam TCP/IP, yang dalam bahasa teknisnya frewall hanya
bekerja di transport layer (layer 4) dari 7 OSI layer. Sehingga
apabila serangan dilakukan di application layer (layer 7) maka
frewall sudah tidak bisa memproteksi lagi. Akibatnya banyak
kejadian kejahatan di dunia maya berimbas pada kerugian
fnansial dan reputasi. False sense of security terjadi karena
proteksi teknologi yang tidak lengkap dan memadai. Padahal
penggunaan frewall, intrusion prevention system, antivirus,
antispam, endpoint security saling melengkapi, masing-masing
memiliki fungsi yang berbeda dalam melakukan proteksi
terhadap serangan di dunia maya.
Hal tersebut menggambarkan bahwa mata rantai manusia,
proses, dan teknologi saling terkait untuk membentuk sebuah
kekuatan keamanan informasi. Ketiganya tidak dapat diabaikan,
sehingga perlu tetap fokus menjaga keseimbangannya.
DIMENSI PROSES DIMENSI TEKNOLOGI
INSIGHT
AUDIT BERKALA
Audit untuk masalah keamanan informasi
ini bisa mengacu kepada salah satu standar
kepatuhan yaitu ISO 27001:2005, dimana standar
ini sangat feksibel untuk dikembangkan sesuai
dengan kebutuhan organisasi. ISO 27001 juga
telah mencakup dimensi manusia, proses dan
teknologi. Selain ISO, beberapa standar, seperti
FISMA, GLBA, HIPAA dan Sarbanes-oxley, COBIT,
kepatuhan juga bisa digunakan sebagai landasan,
tergantung dari core bisnis yang dijalankan oleh
sebuah organisasi.
Setelah suatu organisasi menetapkan standar
kepatuhannya maka langkah selanjutnya adalah
melakukan proses audit keamanan informasi
dengan cakupan dimensi manusia, proses
dan teknologi. Audit untuk dimensi manusia
mencakup evaluasi program awareness terhadap
karyawan dari organisasi tersebut. Apakah
temanya sudah sesuai dan tepat sasaran, sehingga
tingkat keberhasilannya dapat diukur secara
langsung melalui budaya kerja di lingkungan
organisasi tersebut. Apakah sudah sesuai dengan
garis kebijakan keamanan informasi yang
ditetapkan. Di samping hal tersebut, terdapat
beberapa aspek keamanan untuk dimensi
manusia yang harus diaudit seperti latar
belakang, pemisahan kewenangan, dan
program pengembangan kompetensi dari staf TI
organisasi tersebut.
Untuk dimensi proses, audit akan dilakukan
melalui pendekatan proses bisnis dari organisasi
tersebut dengan melihat kebijakan dan prosedur,
monitoring, audit logging, capacity planning,
dan tata kelola. Dimensi proses juga banyak
menyumbangkan celah keamanan yang dapat
dieksploitasi sehingga perlu mendapat perhatian
yang lebih dalam proses audit.
Audit pada dimensi teknologi mengacu kepada
pendekatan manajemen risiko dimana penerapan
teknologi dilaksanakan untuk mengantisipasi
risiko terhadap aset organisasi, apakah sudah
memadai. Juga dievaluasi masalah tata kelola
pada perangkat teknologi yang digunakan. Untuk
evaluasi yang lebih lengkap perlu dilakukan
penetration testing terhadap aset organisasi
tersebut.
Audit keamanan informasi ini harus dilakukan
secara berkala/periodik. Tentunya ini harus
dijadikan landasan dan sasaran strategis dari
organisasi dengan tujuan untuk meminimalkan
risiko dan menciptakan keamanan informasi
yang baik.
SOCIAL
MEDIA
SECURITY
Social media memberikan begitu banyak keuntungan dan kemudahan
dalam marketing, public relations, serta komunikasi antar karyawan.
Namun di balik itu tanpa ada kesadaran , penggunaannya memiliki
risiko yang besar, apalagi tanpa pengelolaan/pengaturan
INSIGHT
P
erkembangan social media secara masif lima tahun
belakangan telah mengubah bagaimana cara individu
berkomunikasi, baik secara online maupun ofine.
Facebook, Twitter, LinkedIn, dan bentuk social media
lainnya tidak bisa tanggal dari keseharian. Bahkan 20% dari
jaringan komunikasi yang kita bangun berlangsung melalui
social media. Seorang SEO sekaligus social media consultant
dari Inggris, Andy Kinseyl, menjelaskan bentuk aktivitas
yang dilakukan orang melalui social media meliputi,
mengakses informasi, menjalankan sebuah usaha/bisnis,
menjaga relasi dengan orang lain, serta membuktikan
keraguan terhadap sesuatu karena individu memiliki naluri
untuk mengemukakan apa yang mereka pikir dan rasa
melalui social media.
Berkumpulnya banyak orang dalam social media tentulah
menguntungkan perusahaan yang bermaksud menjaga
konsumen tetap atau mencari konsumen baru. Hampir
lebih dari 995 juta pengguna berkumpul dalam social media
yang bernama Facebook, bukankah ini hal yang sungguh
manis bagi penjaja produk? Sejak dilahirkan, Facebook
adalah anak unggul social media yang hingga kini belum
bisa digantikan popularitasnya. Tiga ftur yang popular
di Facebook, yakni adding friend, updating status, using
application like quizzes and games. Di Indonesia pengguna
Pada awal kelahirannya, social media dilihat
sebagai produk trivia. Perusahaan buta bahwa
yang mereka nilai trivia dapat dijadikan alat
untuk membidik konsumen sampai ke akar
rumput. Hal ini terkait sifat social media, yakni
memungkinkan untuk
seorang individu mengkonstruksi
suatu profil baik yang bersifat
publik maupun semi-publik di dalam
sistem tersebut,
membuat daftar pengguna lain yang
memiliki hubungan atau koneksi
dengan individu tersebut, dan
melihat serta menjelajah daftar
pengguna lain tersebut maupun
daftar pengguna yang dibuat oleh
pengguna lainnya
(Ellison dan Boyd, 2007).
INSIGHT
Facebook menempati posisi keempat setelah US,
Brazil, dan India, yaitu 43,06 juta (berdasarkan
data yang dimiliki Kementerian Komunikasi dan
Informatika) . Sedangkan untuk pengguna Twitter,
Indonesia merupakan tertinggi kelima di dunia,
dengan 19,5 juta pengguna. Sementara itu total
pengguna jasa internet di Indonesia mencapai 55
juta orang (Direktur Jenderal Aplikasi Informatika
Kementerian Komunikasi dan Informatika, Aswin
Sasongko). Kemudahan yang dibawa social media
dirasakan juga oleh perusahaan.
Setiap perusahaan membangun dirinya melalui
social media dengan tujuan brand awareness.
Namun tanpa pengetahuan mengenai bagaimana
social media itu bekeja, perusahaan bisa saja
lumpuh antisipasi. Selain kemudahan, ancaman
sebagai imbas dari masifnya social media juga
dapat dituai oleh penggunanya. Tidak lain karena
social media merupakan lumbung informasi
personal. Kiranya terdapat dua jenis ancaman
di social media yang perusahaan perlu mawas
diri, yaitu ancaman dari luar, seperti malware
yang dikirim melalui message pada social media:
inbox Facebook, direct message Twitter, dan
metode penyertaan link lainnya. Serta ancaman
dari dalam, yakni terkait kurangnya kesadaran
karyawan dalam menggunakan social media
karena kebocoran informasi dapat berasal dari
mana saja. Hal-hal yang tidak pernah kita pikirkan
bisa berimbas pada risiko besar.
Bentuk Ancaman dari Luar
Keberadaan social media dilihat oleh penyerang
sebagai peluang untuk melakukan berbagai bentuk
cybercrime. Perlu diketahui bahwa cybercrime
bukanlah barang baru, tetapi melesatnya
perkembangan social media membuat cybercrime
berkembang lebih pesat lagi. Perusahan harus
mulai serius menghadapi ancaman ini. Nathan
Eddy bahkan pernah menulis dalam eweek.com,
disamping BYOD (Bring Your Own devices),
social media merupakan ancaman top di 2013.
Dilaporkan selama satu menitnya terdapat
3.3 ancaman baru, hampir 12.600 perjamnya
terjadi serangan oleh penjahat cyber dengan
menggunakan social media korban (nsslabs.com).
INSIGHT
Berbagai bentuk ancaman perlu diketahui
oleh para pekerja. Sebagai contoh, pesan
menggoda dari seorang teman di social media
yang membuat kita vulnerable. Dengan pesan
kamu keren di video ini!, sudah pasti kita akan
tergoda dan membuka link yang diberikan, hal
ini tentu berujung pada terkirimnya malware
pada komputer atau ponsel pintar, sehingga
menyebabkan pencurian akun social media.
Pengetahuan akan bahaya ancaman dari luar
harus diberikan pada pekerja. Facebook, Twitter,
LinkedIn seringkali dapat digunakan untuk
menyebarkan phishing, potensi bawaannya
adalah pencurian data perusahaan yang
bersifat tertutup. Selain itu, aplikasi pada social
media yang kemudian diunduh oleh karyawan
mungkin saja sudah dijangkiti spyware atau virus
berbahaya bagi jaringan internal. Berangkat dari
kesadaran ini, penting bagi perusahaan membuat
aturan dan prosedur guna membangun sikap
mawas diri dari pekerja atas penggunaan social
mediamanakala hal tersebut bersinggungan
dengan aset perusahaan.
Hal yang perlu dirancang sebagai pencegahan
adalah memastikan software protection terus
diperbarui karena penyerang di luar sana
menghabiskan waktu yang tak terhitung untuk
Review mengenai ancaman terhadap social media secara sederhana dapat dilihat sebagai berikut
2008 2009 2009 2009 2010 2011
101001
10 1000 10 100 10 10101
01010101110 000 0001 01
10101 1101 101 101 101 101 101 101
101 1 101 101 10 1 1 10000 10 10 10
100100 0
2011
INSIGHT
menemukan cara menelusup ke dalam sistem,
seperti membuat malicious software atau yang
lebih dikenal dengan malware. Para pelaku
kejahatan komputer terus memperbarui model
serangan, hal yang perlu dipastikan adalah
bagaimana memiliki sistem keamananan yang
cukup, pengetahuan pekerja, serta sikap yang
perlu diambil ketika mendapatkan ancaman
social media.
Dengan keamanan informasi sebagai bingkai,
setidaknya dua masalah yang muncul sebagai
bentuk ancaman social media dari dalam
perusahaan. Pertama berasal dari kurangnya
kesadaran karyawan perusahaan itu sendiri.
Kedua, dari agen periklanan yang dewasa ini
berkembang sebagai jawaban atas kebutuhan
branding awereness. Kurangnya kesadaran
karyawan dalam membagikan informasi melalui
social media merupakan celah keamanan
Bentuk Ancaman dari Dalam
informasi terbesar. Hal ini senada dangan
studi yang dilakukan Deloitte. Dalam studinya,
TMT Global Security Study, disebutkan,
lack of employee awareness is a top
security vulnerability.

Tidak sedikit perusahaan yang luput mengenai
hal ini. Padahal karyawan sama halnya dengan
pengguna social media yang lain, menuliskan
pikirannya melalui blog, menyebarkan informasi
melalui Twitter, atau berbagai bentuk aktivitas
lainnya . Tidak menjadi masalah jika informasi
yang disebarkan tidak terkait informasi peru-
sahaan, namun ketika informasi itu menyinggung
reputasi perusahaan atau informasi rahasia,
hasilnya akan merusak.
Ambil contoh seorang resepsionis yang bekerja
dekat seorang satpam. Resepsionis tersebut
mengutarakan pikirannya melalui Twitter, Oh
ternyata pak satpam setiap hari makan bubur
di pojok kantor. Tanpa disadari, informasi
pada tweet tersebut dapat dimanfaatkan oleh
penyerang. Dengan mengetahui rutinitas
operasional pengamanan, penyerang secara lihai
INSIGHT
berpotensi menjadi celah. Ancaman
semacam ini sangat memungkinkan
karena sifat dasar social media, terbuka,
mudah berbagi, dan fleksibel.
Semestinya penggunaan social
media oleh karyawan diatur di luar
dari terms of service social media.
Perusahaan harus menerapkan
aturan lain mengenai apa yang dapat
dan tidak dapat dibagi melalui social
media, seperti penting untuk menjaga
baik dokumen legal ataupun fnansial
perusahaan. Perusahaan yang demi
kepraktisan membatasi atau bahkan
melarang penggunaan social media
telah salah mengambil langkah.
Pelarangan hanya akan membunuh hak
individu, tidak solutif, dan bumerang
bagi perusahaan sendiri. Mengapa?
Tidak solutif karena perkembangan mobile device,
seperti ponsel pintar ataupun komputer tablet
dewasa ini memudahkan individu mengakses
social media pribadinya di luar fasilitas kantor.
Bahkan dari survei yang dilakukan oleh Cisco
pada 2014 setiap karyawan akan memiliki
melihat sebuah celah. Bisa dengan memanfaatkan
waktu luang seorang satpam yang sedang
makan bubur atau berpura-pura menjadi
tukang bubur untuk menggali informasi lebih
dalam. Permasalahan the weakest link pada
kemanan membuat interaksi melalui social media
INSIGHT
rata-rata mobile device yang dikoneksikan
ke jaringan (Lim, 2013). Pembatasan atau
pelarangan penggunaan social media justru
seperti memutihkan mata dari tantangan yang
ada, dapat dipastikan tidak ada policy penggunaan
yang benar. Dengan kondisi tersebut karyawan
akan menggunakan social media semaunya,
tanpa aturan. Tanpa mempertimbangkan risiko
yang ada, baik bagi mereka maupun perusahaan.
Perusahaan sebaiknya menerapkan beberapa
kebijakan guna mengatur karyawannya di social
media. Tujuannya bukan untuk membatasi
kebebasan mengemukakan pendapat yang dimiliki
seseorang, tetapi dalam upaya menjaga kredibilitas
perusahaan serta menjaga informasi yang sifatnya
tertutup atau rahasia. Steven Van Belleghem dari
Social Media Today berpendapat, perusahaan
seharusnya tidak hanya membuat policy, tetapi
juga melatih serta memfasilitasi pekerja untuk
menggunakan social media dengan cerdas. Hal ini
senada dengan survei yang dilakukan oleh Deloitte
yang menyarankan perusahaan menginvestasikan
dana untuk training keamanan informasi
dan membangun kesadaran karyawan guna
mendorong mereka memetakan risiko teknologi
baru. Perusahaan dapat membuat program di
bawah divisi keamanan informasi.. Pelaksanaan
aturan inilah yang kemudian diturunkan ke divisi
HRD untuk dibahasatekniskan ke karyawan.
Aturan ini juga sebaiknya sudah disepakati antara
perusahaan dan pekerja sejak awal.
Pentingnya social media mulai dilirik bisnis
periklanan di Indonesia. Sekarang ini akun
social media resmi perusahaan atau institusi
lainnya tidak hanya dikelola oleh pihak internal
Semestinya penggunaan social media
oleh karyawan diatur di luar dari terms
of service social media. Perusahaan
harus menerapkan aturan lain mengenai
apa yang dapat dan tidak dapat dibagi
melalui social media, seperti penting
untuk menjaga baik dokumen legal
ataupun finansial perusahaan.
INSIGHT
saja, banyak perusahaan agen periklanan yang
menawarkan jasa dalam pengelolaan akun social
media dalam rangka integrasi kampanye iklan
yang sedang dilakukan. Hal ini secara sadar
ataupun tidak dapat menjelma menjadi ancaman
bagi keamanan informasi perusahaan. Maka
sebaiknya pihak eksternal ini juga disertakan pada
saat memperhitungkan nilai risiko penggunaan
social media.
Pernah ada situasi dimana saya duduk di sebelah
seorang admin akun social media sebuah
perusahaan agen periklanan yang sedang meliput
acara seminar. Orang tersebut menanyakan
pada rekannya password untuk akses akun
social media sebuah brand yang sedang dikelola
oleh perusahaannya. Lantas rekan tersebut
memberitahu dengan suara yang jelas, sehingga
saya pun dapat mendengarnya. Kejadian ini jelas
tidak disadari bahwa jika akses akun tersebut
diterima oleh pihak yang tidak bertanggung jawab
tentu membuahkan risiko besar. Hal yang juga
dilalaikan menurut saya adalah password akun
tersebut tidak mengikuti standar keamanan yang
baik, hanya beberapa deret angka yang berurutan.
Hemat saya, perlu adanya dokumen kesepakatan
penjagaan risiko, serta kepatuhan terhadap policy
organisasi yang sudah diterapkan. Atau bahkan
arahan jelas mengenai policy bagi perusahaan
agen periklanan yang menjadi pihak ketiga.
Social Media Policy
Beranjak dari kesadaran keamanan informasi
seharusnya membawa kita ke solusi. Secara
sederhana dua hal yang bisa menjawab ancaman
yang ada, yakni security awareness dan
pemanfaatan teknologi guna mereduksi risiko
ancaman keamanan informasi. Setidaknya perlu
ada klasifkasi informasi. Dilarang menyebarkan
informasi perusahaan yang terkait dengan
kebijakan kerahasiaan dan privasi perusahaan.
Karyawan harus dididik bahwa ada batasan
informasi sesuai klasifkasinya, dan ada code
of conduct serta hak kekayaan intelektual
perusahaan. Ini berlaku juga dalam melayangkan
komentar pada blog orang lain, forum, dan social
media lainnya. Jika terjadi pelanggaran, harus
INSIGHT
ada hukumannya. Hukuman harus tertera pada policy.
Karyawan harus setuju untuk diawasi aktivitas social
media-nya, serta memperbolehkan akun perusahaan untuk
dikoneksi dengan akun milik mereka.
Identitas seorang individu juga perlu dipertegas apakah
ketika berperan sebagai perusahaan (berpendapat mewakili
perusahaan) atau berlaku sebagai pribadi (perusahaan
setiap pendapat tidak ada kaitannya dengan posisinya
dalam perusahaan). Posisi sebagai pribadi harus
memberikan disclaimer bahwa apa yang dituliskan
dalam media tersebut tidak menyangkut sudut pandang
perusahaan tempat ia bekerja. Contohnya disclaimer
berisikan potonganthe authors alone and do not represent
the views of the company . Namun perlu diingat meskipun
hal ini dilakukan, tetap ada kecenderungan opini publik
terhadap tempat ia bekerja. Sebagai contoh kasus akun
twitter kementrian kominfo yang me-retweet kasus korupsi
daging sapi PKS yang lalu.
Perusahaan sebaiknya menyertakan karyawannya dalam
training mengenai best practice privacy setting pada
akun social media. Melalui training tersebut karyawan
ditingkatkan kesadarannya pada bentuk-bentuk keamanan
informasi, termasuk juga penggunaan secure password
Karyawan harus dididik
untuk menjaga informasi
perusahaan yang terkait
dengan kebijakan
kerahasiaan dan privasi
perusahaan serta adanya
batasan informasi sesuai
klasifikasinya
policy pada akun social media mereka,
Tidak boleh sama dengan password
sistem TI di organisasi atau email dari
akun social media tersebut. Cepatnya
informasi yang melintas melalui social
media, memaksa perusahaan bergerak
tangkas dalam Incident Handling
Process yang sejalan dengan Incident
Handling Process Policy. Jika terjadi
sebuah kelalaian karena penggunaan
social media, hingga mengakibatkan
tercemarnya reputasi perusahaan,
maka harus ada langkah konkrit tertulis
mengenai apa yang harus dilakukan. YH
Kontrol
dengan
Teknologi
Proses penyebaran informasi di social media tentu menggunakan teknologi
informasi. Kontrol terhadap penggunaannya tentu perlu diperhatikan.
Beberapa solusi teknologi yang dapat dimanfaatkan untuk kontrol tersebut
adalah
Browser hardening and
settings
Pengaturan keamanan
browser di end-point
juga faktor penting
yang mendukung social
media security. Begitu
banyak fitur-fitur pada
situs social media
yang menggunakan
teknologi JavaScript
dan plugins Java
memang meningkatkan
kenyamanan
pengguna. Dengan
memperhitungkan
penggunaannya
pada sistem
aplikasi perusahaan,
menonaktifkan pada
browser karyawan
akan mengurangi celah
serangan yang terbuka.
Access and Identity
Management
Tercurinya akun social
media merupakan salah
satu kasus yang paling
banyak terjadi terkait
penggunaan social
media. Penggunaan
teknologi Identity dan
Access Management,
dapat membantu
karyawan dalam
mengatur credential
aplikasi-aplikasi yang
digunakan sehingga
standar kekuatan
password dapat
diterapkan. (Cari data
attack vector dari social
media authentication)
DLP & Content Filtering
Teknologi DLP (Data
Leak Prevention)
akan membantu dalam
penerapan klasifikasi
informasi yang telah
didokumentasikan.
Sistem DLP akan
memonitor, mendeteksi
dan melakukan blokir
terhadap data yang
sedang digunakan (in-
use), ditransmisikan (in-
motion), dan disimpan
(at-rest).
Bring-Your-Own-Device
Policy
Kontrol social media
tidak mungkin bisa
dimonitor secara
total karena tanpa
peralatan kantor yang
difasilitasi kepadanya
pun, karyawan masih
dapat mengakses melalui
ponsel pribadi mereka.
Yang harus dikontrol
adalah penggunaan
perangkatnya, yaitu
dengan adanya policy
dan sertifikasi terhadap
standar pengamanan
perangkat.
CEO
CFO CIO ? COO
? OP
?
IT
POSI SI STRATEGI S
KEAMANAN I NFORMASI
Menjalani strategi keamanan
informasi dengan pendekatan
top-down merupakan yang
paling efektif, untuk itu CISO
membutuhkan wewenang
yang cukup
GOVERNANCE
L
edakan pertumbuhan konektivitas
dan kolaborasi menjadikan keamanan
informasi sebagai satu hal kompleks
dan sulit untuk dikelola. Kenyataan tersebut
merupakan tantangan bagi keamanan informasi
dalam setiap organsisasi. Data Breach Investigation
Report yang dikeluarkan oleh Verizon pada 2012,
menyebutkan perusahaan-perusahaan di dunia
mengalami kehilangan data terbesar pada 2011.
Eskalasi insiden 2011 merupakan peringatan
keras bagi bisnis setelah insiden yang sama pada
2004. Ancaman terhadap keamanan informasi
tidak hanya menyasar perusahaan-perusahaan
besar, melainkan juga perusahaan-perusahaan
kecil. Studi yang dilakukan oleh U.S. House Small
Business Subcommittee on Health and Technology
menunjukkan fakta bahwa perusahan-perusahaan
kecil juga berisiko mengalami kehilangan data.
Dibanding dengan perusahaan-perusahaan besar,
risiko pencurian data pada perusahaan kecil dapat
berakibat jauh lebih fatal. Studi menunjukkan, 60%
dari perusahaan kecil segera bubar jalan pasca
enam bulan serangan. Penggunaan personal
device oleh karyawan yang langsung terkoneksi
dengan jaringan perusahaan juga menambah
pelik masalah keamanan informasi. Diprediksi
pada 2015 karyawan dengan personal device
menyentuh angka 1,3 miliar, sementara di 2011
ancaman mobile security telah meningkat
sebesar 20%.
Risk is a natural part of the business
landscape.If left unmanaged, the
uncertainty can spread like weeds.
If managed effectively, losses can be
avoided and benefits obtained.
ISACA-
GOVERNANCE
Serangkaian pendekatan strategis dan terintegrasi
guna menjawab tantangan keamanan informasi
perlu dirumuskan. Akan tetapi tidak sedikit
dari perusahaan yang masih mengandalkan
aksi reaktif, artinya perusahaan tidak memiliki
prediksi risiko ancaman keamanan informasi.
Ada juga yang sudah selangkah ke depan,
perusahaan telah lebih matang secara kapasitas
dan memiliki persiapan lebih baik untuk
menghadapi ancaman baru. Mengapa sebuah
perusahaan bisa lebih percaya diri dalam
menghadapi tantangan, tidak lain karena
terdapat peran yang melakukan perencanaan,
penerapan, pengawasan, serta evaluasi atas kerja
keamanan informasi. Peran ini secara umum
dipegang oleh seorang Chief Information Security
Ofcer (CISO).
TANGGUNG JAWAB
DAN POSISI CISO
PADA PERUSAHAAN
Tanggung Jawab Ciso Pada CEO
Di Indonesia, hingga saat ini belum ada seorang
CISO pada organisasi. CISO yang dimaksud
adalah posisi seorang yang bertanggung jawab
terhadap keamanan informasi dengan tingkat
setara direktur atau bisa dikatakan Direktur
Keamanan Informasi, dengan posisi tersebut
seorang CISO dapat melapor langsung kepada CEO.
Head of Compliance PT Sigma Cipta Caraka, Erry
Setiawan mengutarakan, sejauh ini di Indonesia
baru ada satu perusahaan yang mengatakan
membutuhkan CISO. Hal ini karena keamanan
informasi perusahaan sangat critical. Bisnis
perusahaan tersebut berangkat dari keamanan
informasi, sehingga jika mengalami kebocoran
informasi, bisnisnya akan habis.
GOVERNANCE
ISO 27001 sebagai salah satu standar internasional
untuk sistem manajemen keamanan informasi
menuliskan bahwa standar tersebut harus
diterapkan dengan pendekatan top-down.
Untuk itu kewenangan seorang CISO haruslah
cukup. Akan tetapi fakta lapangan berbeda.
pada perusahaan yang tidak menjadikan
keamanan informasi sebagai prioritas, CISO
ataupun orang yang memiliki tanggung jawab
terhadap keamanan informasi tidak akan
mendapatkan posisi dengan kewenangan
yang cukup untuk menjalankan strateginya.
Lebih tragis lagi beberapa perusahaan bahkan
belum menempatkan seorang yang fokus pada
keamanan informasi.
Dengan fokus bisnis perusahaan dan
keberagaman struktur organisasi, membuat
posisi CISO bisa berbeda-beda namanya namun
memiliki fungsi kerja yang sama dengan CISO.
Mengenakan kaca mata idealis, Hadi Cahyono,
seorang konsultan ISO 27001, menilai keberadaan
CISO secara peran dan tanggung jawab
merupakan yang terbaik. Dengan adanya CISO,
renstra keamanan informasi dapat disusun secara
integral. CISO juga memiliki pemahaman yang
matang dalam ketiga aspek keamanan informasi
yaitu Manusia, Proses, dan Teknologi. Lain halnya
dengan Manajer TI yang bingkai berpikirnya
hanya pada teknologi.
CISO dapat mengidentifkasi risiko serta membuat
strategi perusahaan guna melakukan mitigasi
risiko tersebut. Sebagai contoh, Hadi memaparkan
bisa saja pada suatu sistem mitigasi yang perlu
diperkuat adalah kapabilitas manusianya untuk
memastikan proses berjalan dengan disiplin,
bukan kecanggihan teknologi. CISO dipandang
mampu memetakan aspek prioritas pada proses
penjagaan keamanan informasi perusahaan.
Hadi memandang awareness terhadap keamanan
You need a CISO today to manage not
only the TI risks, but understand and
influence the business risks that are
imposed on the company by the decisions
and strategies TI takes.
John South,
CISO Heartland Payment Systems
GOVERNANCE
informasi di Indonesia terbilang rendah.
Perusahaan masih mengandalkan respon reaktif
setelah insiden terjadi. Beda halnya dengan
negara yang dikenal sebagai Macan Asia, Jepang.
Keberadaan CISO pada perusahaan-perusahaan
Jepang mutlak diperlukan.

Perusahaan yang sudah beberapa langkah
di depan telah menyadari bahwa ancaman
keamanan informasi bukan hanya menjadi
tantangan negara maju, seperti negara adi daya
Amerika Serikat, melainkan tantangan global
yang dihadapi pada setiap organisasi di dunia.
Tanpa adanya posisi CISO, perusahaan harus
memandang bahwa keamanan informasi tetap
perlu ada yang menangani, entah pada divisi atau
bidang apa, yang disesuaikan dengan lingkup
bisnis perusahaan. Jamak ditemui tanggung
jawab CISO dipegang oleh Manajer TI yang berada
di bawah CIO ( Chief Information Ofcer ).
CISO di bawah komando
CEO atau COO
Diterapkan pada perusahaan
yang berorientasi pada
keamanan informasi,
sehingga seorang CISO
bisa berkoordinasi secara
langsung dengan CEO serta
memiliki kewenangan yang
besar untuk mengeksekusi
strategi-strateginya.
tanggung jawab CISO
dipegang oleh Manajer TI
Diterapkan pada perusahaan
yang sedang berkembang,
dimana kebutuhan atas
perlindungan keamanan
informasi dilaksanakan oleh
posisi yang dinilai relevan.
CISO dibawah CSO atau
C-level lainnya
Terkadang CISO lebih
masuk akal berada dibawah
departemen lain seperti
pada legal department
atau HRD. Diterapkan pada
perusahaan menengah.
tidak memiliki CISO atau
fungsi setara CISO
Pada perusahaan kecil
dengan pekerja minim.
Fungsi keamanan informasi
dilakukan bersama-sama
melalui komunikasi internal
serta kerja sama yang
dilakukan secara ketat.
GOVERNANCE
Tanggung Jawab Ciso Pada Manajer TI ( Di Bawah CIO )
Yang membuat tanggung jawab CISO sering kali
diembankan kepada Manajer TI adalah arus pemikiran
mainstream yang masih menganggap keamanan informasi
sebagai bagian dari lini teknologi komputer. Padahal
keamanan informasi bukan melulu menyoal keamanan
komputer, tetapi juga risiko bisnis karena kerentanan
informasi perusahaan, baik dari internal maupun eksternal.
CISO yang diemban oleh Manajer TI akan kesulitan
menerapkan idealismenya karena Manajer TI sebagai
fungsi CIO memiliki confict of interest terhadap keamanan
informasi. CISO dan CIO memiliki gol yang berbeda, CISO
bertanggung jawab pada risiko, standar, dan kepatuhan,
sedangkan CIO bertanggung jawab terhadap efsiensi
dan ketersediaan informasi. Dengan tujuan tersebut, CIO
mempunyai gol terhadap ketersediaan data seluas dan
secepat mungkin, sedangkan seperti diketahui bahwa
keamanan berjalan berlawanan arah. Maksudnya dengan
menjamin keamanan informasi bisa jadi membuat
kenyamanan pengguna yang merupakan salah satu gol CIO
tadi menjadi berkurang. Tujuan tersebut tidak akan efektif
jika kerja CISO diemban oleh Manajer
TI, berada di bawah komando CIO,
ataupun sebaliknya.
Tanpa dipungkiri CISO yang berada di
bawah CIO bisa berhasil. Hal demikian
hanya terjadi apabila relasi antara
seorang CISO dan CIO berlangsung
harmonis. Saling mengerti atas
tujuan masing-masing membuat
strategi keamanan informasi dapat
didukung, confict of interest pun
dapat ditanggalkan. Namun perlu
digarisbawahi relasi harmonis
merupakan faktor X yang tidak pasti,
sangat kasuistik. Layaknya, CISO
memiliki posisi dan kewenangan yang
sejajar dengan CIO.
GOVERNANCE
Tanggung jawab CISO yang dipegang oleh
manajemen TI dapat dijumpai pada Bank Bumi
Arta dan Telkomsigma. Pengembangan divisi
keamanan informasi pada Bank Bumi Arta
belum menjadi prioritas, Bank Bumi Arta pun
tidak memiliki posisi CISO. Meskipun begitu,
Bank Bumi Arta terbilang bank yang patuh pada
compliance yang ditetapkan Bank Indonesia
melalui PBI No. 9/15/2007. Tanggung jawab
pelaksanaan keamanan informasi Bank Bumi
Arta diembankan pada Alex Sander Lo,
Manajer TI Bank Bumi Arta. Dalam
pelaksanaannya, Manajer TI dibantu dengan
divisi SOP yang bertanggung jawab atas
pengembangan kebijakan.
Serupa Bank Bumi Arta, Telkomsigma tidak
memiliki posisi CISO pada perusahaannya.
Sebelum Telkomsigma diakuisi oleh Telkom
pada 2008, ia dikenal dengan PT Sigma Cipta
Caraka. Bisnis PT Sigma Cipta Caraka adalah IT
Outsourcing bagi dunia perbankan. Tanggung
jawab CISO saat itu berada di bawah Quality
Assurance. Sejak diakuisisi pada 2008 bisnis
Telkomsigma berkembang ke arah colocation
untuk data center. Tanggung jawab CISO pun
berubah, posisi CISO diemban oleh Vice President
of Directorate Operation. Head of Compliance
Telkomsigma, Erry Setiawan menjelaskan,
pada pelaksanaan kerja keamanan informasi
harian didistribusikan ke beberapa bidang
seperti operation, compliance, dan divisi lainnya.
Operation bertanggung jawab pada physical
security dan logical security. Sementara itu
compliance bertanggung jawab pada review,
planning, serta evaluasi terkait keberhasilan dan
kepatuhan. Dalam pelaksanaan kerja, operation
dan compliance saling bersinergi. Compliance
menentukan berbagai inisiatif keamanan
informasi, sementara operation menjalankan
peran teknis terkait implementasinya. Compliance
akan melakukan review serta evaluasi kerja
operation. Baru kemudian, tanggung Jawab secara
keseluruhan pada keamanan informasi dipegang
oleh Vice President of Directorate Operation yang
memegang fungsi CISO.
GOVERNANCE
Tanggung Jawab Ciso Pada Manajemen Resiko
Selain posisi CISO yang berada di bawah
komando CIO atau Grup TI, di lapangan
dapat pula ditemui CISO yang berada dalam
divisi Manajemen Risiko. Biasanya hal ini
diterapkan pada organisasi bisnis di bidang
fnansial. Di dalam divisi Manajemen Risiko,
seorang CISO mempunyai tujuan yang
searah dengan divisinya, sehingga tidak
ada kekhawatiran akan confict of interest.
Selain itu pendekatan seorang CISO yang
banyak menggunakan risk based membuat
keterkaitan yang besar dengan divisi
Manajemen Risiko.
CISO
ADVICE
PROJECT
PROcess
STRATEGY
EXPERTISE
PERFORMANCE
ORGANIZATION
MANAGEMENT IMPROVEMENT
EFFiCIENT operation
PLANS
GOVERNANCE
Dalam melaksanakan tanggung jawab CISO, berbagai
kendala mungkin dihadapai, seperti mengomunikasikan
kebijakan pada jajaran C-level, menghadapi prioritas
anggaran perusahaan, menyeimbangkan antara keamanan
dan kenyaman, atau bahkan kendala kepemimpinan.
CISO ataupun orang yang memegang tanggung jawab
CISO harus menyadari bahwa kebijakan yang ia ambil
mempengaruhi seluruh jajaran. Oleh karena itu penting
untuk mengatur strategi komunikasi dan membahasakan
sesuai kebutuhan C-Level lainnya. CISO harus mampu
mengidentifkasi siapa pemegang otoritas yang melaluinya
kebijakan dapat diterima oleh semua level.
Setidaknya sebagi output, CISO butuh memahami tidak hanya
area kerjanya, tetapi juga bisnis organisasinya. Meluangkan
waktu untuk melibatkan diri dengan bisnis sebelum
PERMASALAHAN KERJA KEAMANAN INFORMASI
Derek Ol i ver memi l i ki anal ogi
mengenai komuni kasi dengan
C-Level, Never use a doi ng word
wi th an executi ve, as their j ob
i s to observe, not to get thei r
hands di rty. Securi ty costs money,
wi th many organi zations seeing
TI as a bl ack hol e. You need to
communi cate at thi s l evel why a
fi rewal l i s needed and be able to
j usti fy the expense.
Mengomunikasikan kebijakan pada jajaran C Level
merancang strategi keamanan.
Keterlibatan tersebut akan
membantu dalam mendefnisikan
strategi kerja, sehingga akan
memantapkan dukungan dari bisnis.
Hal tersebut dapat juga dijadikan
bahan pertimbangan mengenai
pesan yang akan disampaikan pada
C-Level lainnya, serta bagaimana
harus disampaikan.
Perusahaan pada umumnya lebih mengutamakan
pengembangan pada aspek bisnis ketimbang
untuk menjamin keamanan informasi. Hal ini
biasanya dapat tergambar dari anggaran, untuk
pengembangan bisnis biasanya lebih besar jika
dibandingkan untuk pemeliharaan keamanan
informasi. Anggaran keamanan informasi pun
sudah jamak diketahui tidaklah kecil, inisatif
keamanan informasi memerlukan anggaran yang
besar dalam implementasinya. Setidaknya pos
yang harus diisi mencakup tiga aspek, teknologi,
manusia, dan proses, seperti belanja perangkat
keamanan TI, pelatihan untuk peningkatan
kualitas SDM, serta audit eksternal untuk
mendapatkan opini yang independen.
Telkomsigma misalnya sebagai penyedia layanan
TI dan colocation, anggaran diprioritaskan untuk
keperluan pelanggan. Erry menjelaskan bahwa
ketika dimintai untuk mengucurkan dana, atasan-
nya akan bertanya anggaran tersebut dikeluarkan
untuk keperluan pelanggan yang mana.
Menghadapi prioritas anggaran perusahaan
Namun bila ada kebutuhan untuk investasi
keamanan internal, pengambilan keputusan
manajemen tidak secepat pemenuhan kebutuhan
pelanggan. Bisnis Telkomsigma dapat dikatakan
lebih responsif untuk menangani keperluan
pelanggan ketimbang untuk kebutuhan keamanan
internal perusahaan.
Bank Mandiri serupa dengan Telkomsigma yang
masih memprioritaskan anggarannya pada
pengembangan bisnis. Muhammad Guntur, Vice
President IT SAP Bank Mandiri, menuturkan
bahwa keperluan bisnis kini begitu mendesak,
sehingga anggaran keamanan TI baru bisa
dikatakan cukup dan terlaksana. Guntur
mencontohkan anggaran keamanan TI yang
baru-baru ini digelontorkan untuk implementasi
data liquid protection. Namun diakui bahwa
anggaran yang digelontorkan tidak sebesar
pengembangan bisnis. Dengan anggaran
yang cukup, inisiatif terkait keamanan TI bisa
dijalankan oleh Bank Mandiri.
GOVERNANCE
Tarik ulur antara kepentingan keamanan dan
bisnis merupakan tantangan generik bagi setiap
CISO ataupun orang yang memegang tanggung
jawab CISO. Serupa dengan hal yang telah
diungkapkan sebelumnya, bahwa keamanan
dan kenyamanan seringkali bertolak belakang.
Titik tekan CISO adalah keamanan informasi
perusahaan, sementara logika bisnis terpaut pada
kenyamanan pengguna dan pelanggan. Guntur
pada sebuah kesempatan wawancara di kantornya
mengungkapkan tantangan tersebut. Bisnis
perbankan berkembang begitu cepat. Perbankan
memasuki era transformasi, dimana teknologi
infomasi dan komunikasi memberikan
kemudahan sekaligus tantangan bagi
keamanan informasi.
Menyeimbangkan antara keamanan dan kenyamanan
Kebutuhan bisnis yang cepat, seringkali
bersinggungan dengan kebutuhan keamanan.
Pada titik singgung tersebut, seorang CISO
dituntut untuk melakukan penyeimbangan karena
meski fokus seorang CISO adalah keamanan
informasi ia berdiri di tengah-tengah industri,
dimana bisnis tetap harus menjadi aspek utama.
Tantangan bisnis itulah yang harus ditaklukan,
dimana ide-ide baru mengenai keterbukaan
teknologi harus diimbangi inovasi dan strategi
keamanan informasi dari seorang CISO atau pun
orang yang memegang tanggung jawab CISO.
GOVERNANCE
Masalah kepemimpinan juga dialami dalam
kerja keamanan informasi. Erry menuturkan
kebanyakan keamanan TI mengeluhkan
masalah pengguna, bahkan atasan yang
tidak paham dengan keamanan informasi.
Dibutuhkan kepemimpinan untuk menjawab
permasalahan tersebut. Berdasarkan pengalaman
di Telkomsigma, Erry menilai cara yang paling
efektif dilakukan adalah dengan membangun
pemahaman pada certain group. Semisal
sebuah kebijakan keamanan informasi perlu
dimanifestasikan oleh sepuluh unit kerja,
maka yang dibutuhkan hanyalah meyakinkan
certain group yang memiliki pengaruh untuk
menerapkan prosedur keamanan. Certain group
tersebut akan membawa pengaruh pada unit
lainnya untuk menerapkan prosedur keamanan.
Kepemimpinan
Implementing an information
security transformation aimed
at closing the ever-growing
gap between vulnerability and
security does not require complex
technology solutions. Rather, TI
requires leadership, as well as
the commitment, capacity and
courage to act not a year or two
from now, but today.
GOVERNANCE
CISO
KEUNTUNGAN PERUSAHAAN YANG MEMILIKI CISO
Alih-alih untuk anggaran keamanan
informasi, perusahaan memilih
untuk mengembangkan sisi
bisnis. Peninjauan kerentanan
(vulnerabilities), uji konfgurasi
kontrol pada jaringan atau sistem,
bahkan patching sistem pada
eksploitasi berbahaya merupakan
kerja keamanan informasi yang
sebenarnya juga membawa
keuntungan pada sisi fnansial.

Keamanan informasi dewasa ini
tidak hanya soal mengamankan
informasi rahasia dengan perangkat
keamanan TI, tetapi lebih jauh lagi,
yakni menangani risiko perusahaan
serta kelanjutan bisnisnya. Oleh
karena itu seorang CISO dituntut
untuk memahami multidisiplin,
seperti memahami risiko bisnis,
GOVERNANCE
keberlanjutan bisnis, security metrics, dan
lain sebagainya. Dengan CISO yang memiliki
pengetahuan tersebut CISO dapat merumuskan
strategi yang integral guna menjamin keamanan
informasi sebagai langkah preventif. CISO
juga dapat membantu perusahaan dalam
mereduksi risiko bisnis yang ditimbulkan
akibat insiden keamanan yang terjadi dan
memikirkan kelanjutan operasional bisnis
ketika bisnis berhenti berjalan. Salah satu hal
yang bisa dilakukan CISO dalam menangani hal
tersebut adalah dengan transfer risiko. Dimana
perusahaan dengan aset besar mempercayakan
datanya pada pihak ketiga sebagai perusahaan
penyedia colocation bagi data center.
Berdasarkan riset yang dilakukan oleh TI Policy
Compliance Group, organisasi yang memiliki CISO dapat
memperoleh nilai lebih dari aset informasi. Keuntungan
memiliki posisi CISO, meliputi:
Memiliki penyimpanan pengguna yang lebih tinggi,
pendapatan dan keuntungan
Rendahnya peluang kehilangan data pelanggan
dari pencurian
Mereduksi kerugian finansial dari kehilangan data
Produktivitas bisnis terkait aset TI lebih tinggi lagi
Biaya untuk audit turun hingga 50% (lebih
rendah).
Pada penelitian yang dilakukan oleh
itpolicycompliance.com keuntungan dari
memiliki CISO atau posisi yang sama meliputi :
$1.10 kembali untuk setiap dana yang di-
habiskan untuk biaya keamanan informasi
pada perusahaan kecil.
$1.60 kembali untuk setiap dana yang di-
habiskan untuk biaya keamanan informasi
pada perusahaan menengah
$10 kembali untuk setiap dana yang di-
habiskan untuk biaya keamanan informasi
pada perusahaan besar

CISO sebagai posisi sangat dipengaruhi oleh jenis organisasi, struktur, dan
posisi pada sebuah perusahaan. Pada perusahaan yang aspek ke-amanan
informasi dipandang begitu krusial, posisi CISO sangatlah penting. Selain
itu posisi CISO juga dipandang begitu krusial pada perusahaan yang pernah
mengalami kasus terkait keamanan informasi.
Ada atau tidaknya posisi CISO pada sebuah perusahaan, kerja keamanan
informasi tidak seharusnya ditinggal dalam membangun sayap bisnis.
Posisi yang dipandang relevan perlu memegang tanggung jawab tersebut.
Kewenangan CISO ataupun seorang yang bertanggung jawab terhadap kerja
CISO haruslah cukup mengingat kerja CISO akan efektif jika kebijakan yang
disusun dapat dimanifestasikan secara top-down. YH
GOVERNANCE
Oleh : Jeffry Kusnadi
GOVERNANCE
P
elbagai industri telah menerapkan
kebijakan keamanan informasi, serta
menyadari pentingnya memiliki unit kerja
khusus dalam mengelola keamanan informasi.
Standar internasional terkait keamanan informasi
seperti ISO 27001 serta COBIT menyebutkan
bahwa sebaiknya perusahaan memiliki
kebijakan mengenai keamanan informasi yang
didokumentasikan, serta memiliki posisi senior
yang melapor langsung kepada manajemen untuk
mengawasi dan mengatur kebijakan tersebut.
Fungsi keamanan informasi yang digabungkan
kedalam operasional TI dapat memicu terjadinya
konfik kepentingan, akhirnya perusahaan
akan cenderung menitikberatkan operasional
TI. Selain itu, operasional TI akan lebih fokus
kepada teknologi serta risiko yang terkait TI.
Dengan adanya fungsi keamanan informasi
yang berdiri sendiri, maka keamanan informasi
dan operasional TI memiliki kekuatan yang
sama dalam menjaga keberlangsungan bisnis
perusahaan. Selain itu, fungsi keamanan informasi
ini juga harus fokus terhadap bisnis dan risiko
terkait. Fungsi keamanan informasi yang berdiri
sendiri ini idealnya melapor langsung kepada
direksi atau manajemen, bukan kepada pemimpin
divisi TI. Apabila posisi pemimpin divisi TI
merupakan Chief Information Ofcer (CIO) atau
Chief Technology Ofcer (CTO), posisi pemimpin
divisi keamanan informasi ini lazim disebut
dengan Chief Information Security Ofcer (CISO).
Untuk kesuksesan penekanan terhadap keamanan
informasi, maka salah satu tugas utama CISO
adalah mengomunikasikan pentingnya keamanan
informasi kepada anggota C-level lainnya. Dengan
mengartikulasikan nilai-nilai ini kepada mereka
sesuai kepentingan dan kaitannya terhadap setiap
C-level. Jika hal ini dapat dilakukan dengan baik,
akan tercipta dukungan dan lingkungan kolaborasi
yang baik bagi CISO dalam melindungi bisnis dari
segi keamanan informasi.
GOVERNANCE
D
alam industri yang memiliki regulasi
ketat, Bank Indonesia sebagai badan
regulator industri perbankan telah
menerbitkan Peraturan Bank Indonesia (PBI)
No. 9/15/2007 mengenai Pedoman Penerapan
Manajemen Risiko dalam Penggunaan Teknologi
Informasi oleh Bank Umum. Pada bab 1 yang
mengatur mengenai manajemen teknologi
informasi disebutkan bahwa secara ideal
bank perlu memisahkan antara fungsi yang
melaksanakan prosedur pengamanan informasi
sehari-hari, dengan fungsi pengelola program
pengamanan informasi dan pemantauan
pengamanan secara menyeluruh. Fungsi yang
melaksanakan prosedur pengamanan informasi
biasanya merupakan bagian dari operasional
bank. Peran fungsi tersebut hanya sebatas
menjalankan prosedur yang telah ditetapkan,
sehingga tidak dapat mengambil keputusan guna
melakukan pengecualian atau mengubah prosedur
dan standar pengamanan yang telah ditetapkan.
Meskipun demikian, bank yang ada di Indonesia
masih belum memiliki CISO sebagai posisi
yang berdiri sendiri, dengan fungsi kerja
mengatur pengamanan informasi bahkan
termasuk didalamnya adalah bank yang
menempati posisi sepuluh besar. Posisi
CISO umumnya berada di bawah divisi
Teknologi Informasi untuk operasionalnya,
atau di bawah divisi manajemen risiko atau
sistem dan prosedur untuk pembuatan
kebijakan dan prosedurnya.
GOVERNANCE
M
elalui sebuah survei yang dilakukan oleh
PricewaterhouseCoopers mengenai Global State
of Security Survey 2012, dari kurang lebih 9.600
perusahaan di dunia mencakup berbagai industri, ditemukan
bahwa pada 2011, hanya sekitar 52% perusahaan yang telah
memiliki posisi CISO yang berperan sebagai penanggung jawab
atas strategi keamanan informasi secara keseluruhan. Jumlah
ini meningkat jika dibandingkan dengan tahun sebelumnya.
Pada 2010 baru sekitar 45% perusahaan yang memiliki posisi
CISO. Dari survei tersebut ditemukan juga fakta, sebenarnya
manajemen telah memiliki persepsi bahwa organisasi mereka
membutuhkan posisi CISO. Hal ini ditunjukkan dengan 84%
responden dari level manajemen yang menyatakan bahwa
mereka perlu memiliki posisi CISO.
*Global State of Security Survey 2012
//PricewaterhouseCoopers
GOVERNANCE
L
alu pertanyaan yang akan muncul adalah
Apakah perusahaan saya membutuhkan
posisi CISO untuk mengelola keamanan
informasi? Tidak ada jawaban pasti untuk
pertanyaan ini. Saat ini persepsi umum yang
berkembang adalah posisi CISO diperlukan untuk
perusahaan yang sudah berskala besar dengan
informasi yang sensitif dan penting. Hal ini juga
sangat bergantung dari kesadaran manajemen
tentang pentingnya pengelolaan keamanan
informasi secara mandiri, tanpa dicampuri hal
terkait operasional perusahaan. Tanpa dukungan
nyata dari manajemen, fungsi keamanan
informasi akan selalu menjadi nomor dua setelah
operasional. Memang sudah menjadi pandangan
umum bahwa fokus akan keamanan informasi
secara otomatis akan meningkatkan biaya. Hal ini
karena kebutuhan inisiatif pengamanan informasi.
Akan tetapi pihak manajemen harus memiliki
pengertian dan kesadaran atas kemungkinan
risiko jika terjadi pelanggaran atau kehilangan
informasi perusahaan. Dampak yang diperoleh
bisa jadi lebih besar ketimbang biaya inisiatif
pengamanan informasi. Pembuatan skenario dan
analisis cost-beneft akan memberikan pandangan
pada manajemen mengenai dampak kehilangan
dari segi fnansial perusahaan. Secara spesifk
pada industri perbankan (seperti yang telah
digambarkan sebelumnya), melalui Peraturan
Bank Indonesia telah dijelaskan sebaiknya fungsi
yang mengelola dan memantau keamanan
informasi terpisah dari operasionalnya, dimana
fungsi tersebut umumnya dipimpin oleh seorang
CISO. Namun tetap saja, keputusan atas hal
tersebut merupakan tanggung jawab manajemen
untuk mengelola risiko terkait.
GOVERNANCE
Kualifikasi apakah yang diperlukan oleh seorang CISO
dalam menjalankan fungsinya?
Secara fundamental, seorang CISO seharusnya
memiliki beberapa aspek pengetahuan sebagai berikut:
PENGETAHUAN TEKNIS,
dimana kebanyakan
informasi yang
ada di perusahaan
bersifat elektronik,
sehingga seorang
CISO harus memiliki
pengetahuan mendalam
atas teknologi yang
digunakan serta
kompleksitasnya.
PENGETAHUAN
MENGENAI
MANAJEMEN RISIKO,
hal ini merupakan
yang mendasar dalam
mengelola keamanan
informasi. Seorang
CISO harus memiliki
pemahaman mendalam
mengenai manajemen
risiko dan kaitannya
dengan proses bisnis.
PENGETAHUAN &
METODE SECURITY
METRICS, seorang
CISO harus menguasai
metode pengukuran
risiko yang jelas guna
mempertahankan
budget keamanan
informasi diantara
anggota C-level.
Tanpa pengetahuan
ini, seorang CISO
akan sulit untuk
mendapatkan
keyakinan dan
dukungan oleh C-level
dalam menerapkan
pengamanan yang
dirancang, serta
mencakup risikonya.
GOVERNANCE
PENGETAHUAN
MENDASAR MENGENAI
PROSES BISNIS juga
akan memberikan nilai
tambah bagi seorang
CISO dalam mengelola
pengamanan terkait.
Seorang CISO harus
dapat memberikan
pengaruh kepada
anggota C-level lain
mengenai pentingnya
keamanan informasi,
tentunya terkait
dengan proses bisnis
oleh masing-masing
bagian lainnya.
PENGETAHUAN
MENGENAI TATA
KELOLA KEAMANAN,
seorang CISO harus
memiliki pengetahuan
mendalam mengenai
framework, pendekatan
dan standar inter-
nasional di industri
seperti ISO 27001,
COBIT, ITIL, dan l ai n
sebagai nya.
MEMILIKI
SERTIFIKASI DARI
BERBAGAI LEMBAGA
INDEPENDENT, seperti
Certified Information
Securi ty Manager
(CISM) dari ISACA, atau
Certified Information
Security Officer (CISO)
dari EC Council, atau
sertifikasi lainnya yang
sej eni s.
GOVERNANCE
D
engan bekal pengetahuan tersebut, di-
harapkan seorang CISO dapat mengelola
keamanan informasi di perusahaan
dengan baik, efektif, dan efsien, serta dapat
didukung oleh manajemen dan semua pihak yang
terkait dalam proses bisnis.

Fungsi CISO akan terus berevolusi untuk semakin
baik dalam mengelola keamanan informasi
dan akan semakin banyak yang membutuhkan
posisi CISO dalam perusahaan untuk melakukan
inisiatif pengamanan informasi. Hal ini tentunya
untuk melindungi keberlangsungan bisnis, serta
meningkatkan ketahanan perusahaan terhadap
ancaman terkait keamanan informasi yang datang
dari mana saja, dari luar maupun dalam, seiring
perkembangan dan perubahan bisnis yang terjadi.
GOVERNANCE
Muhammad
Guntur
Menjawab
Tantangan
Keamanan
Informasi
Bank Mandiri
Setelah 17
tahun malang
melintang di
bidang aplikasi,
ia pindah ke
Bank Mandiri
sebagai SVP
IT SAP
COVER STORY
Keamanan teknologi informasi dunia perbankan menjadi sorotan
publik sejak beralihnya transaksi manual menuju elektronik.
Jalur internet yang terbuka memudahkan akses jasa perbankan
untuk nasabah maupun bukan nasabah. Jasa bisnis bank yang
berlomba-lomba untuk memanjakan nasabah dengan layanan
elektronik berdampak pada terbukanya sistem TI bank, sehingga
membutuhkan pengamanan yang serius. Bank Mandiri sebagai
salah satu institusi perbankan di Indonesia tentu mengalami
tantangan yang sama.
Strategi keamanan teknologi informasi Bank Mandiri digodok
dalam grup yang dinamai dengan IT SAP. Tanggung jawab
grup ini adalah strategi teknologi informasi dalam keamanan,
arsitektur, dan perencanaannya. Penanggung jawab segala
bentuk kerja pada IT SAP dipikul oleh Muhammad Guntur
sebagai seorang SVP IT SAP (Senior Vice President Information
Technology Strategy, Architecture, and Planning).
COVER STORY
Muhammad Guntur menjabat sebagai SVP IT
SAP sejak 2007. Sebelumnya Guntur berkarier
di Exim Bank dengan fokus kerja sebagai
pengembang aplikasi hingga menjadi sistem
analyst. Guntur mengaku selama dirinya di
pengembangan aplikasi (sejak 1989 hingga
2006) ia berkarib dengan COBOL dan RPG
AS400 sebagai basis aplikasi core banking.
Selama kurang lebih 17 tahun bergelut di
dunia pengembangan aplikasi, ia mengaku
memiliki banyak pengetahuan mengenai sistem
keamanan aplikasi, sebagai contoh system value
pada i5 milik IBM. Namun menurut Guntur saat
itu sistem keamanan aplikasi masih dilakukan
dengan konfgurasi mesin server saja, alih-alih
menggunakan frewall ataupun Secure Sockets
Layer (SSL).
Guntur menceritakan dirinya mengerti juga
tentang security access level dan access control.
Sehingga dirinya juga banyak mengetahui
Mengenal Sosok
Muhammad Guntur
Setelah 17 tahun malang melintang di bidang
aplikasi, ia pindah ke Bank Mandiri
COVER STORY
Saat CISO Magazine menanyakan transisi kerja dan ham-
batannya, Muhammad Guntur mengakui tentu terjadi
penyesuaian dari seorang yang tadinya bertanggung
jawab sebagai pengembang aplikasi ke seorang yang
bertanggung jawab sebagai IT SAP.
Guntur menilai kerja development lebih feksibel. Ia memberikan
gambaran sederhana, misalnya bisnis membutuhkan tools yang
menyokong kemudahan tentu development akan menyatakan
kesanggupan. Sisi kenyamanan untuk mendukung bisnis merupakan
orientasi seorang development. Panggilan untuk memberi solusi
tersebut menurut Guntur hingga kini masih sering terbawa. Meski
begitu, ia menyadari dengan posisinya sebagai seorang IT SAP
panggilan memberikan solusi sudah tidak lagi tepat.
mengenai database. Pada
CISO Magazine ia mengaku
pernah menjadi data analyst,
sehingga ia mengetahui
mengenai sistem risk, sistem
control, dan sistem value.
Setelah 17 tahun malang me-
lintang di bidang aplikasi, ia
pindah sebagai Group Head
IT SAP yang kini disebut
sebagai SVP IT SAP (Senior
Vice President IT Strategy,
Architecture, & Planning
Group).
Mengenai kerja security
Guntur menjelaskan di Bank
Mandiri bagiannya dipisahkan
antara development dan
operation. Tujuannya adalah
memisahkan antara kerja
security planning dengan
bidang development atau-
pun operation.
Mengenai kerja security Guntur menjelaskan di Bank Mandiri
bagiannya dipisahkan dengan development dan operation.
COVER STORY
Menurutnya, seorang IT SAP harus berpola pikir disiplin,
menjaga governance, arsitektur, planning, dan keamanan.
Dengan pengalaman sebagai development Guntur mengakui
tidak mudah bagi dirinya untuk menjaga bahwa disiplin
jauh di atas solusi bisnis. Hal tersebut merupakan kendala
tersendiri bagi Guntur. Ia merasa perlu waktu untuk
beralih ke logika disiplin. Hingga saat ini kadang-kadang
Guntur tidak begitu ketat menjalankan nilai-nilai disiplin.
Ia mengambil contoh pada sebuah kejadian dimana bisnis
memaksa untuk menerapkan inovasi baru, namun aspek
keamanannya belum secara penuh diimplementasikan.
Akhirnya logika dialihkan ke back-up plan, misalnya adanya
mitigasi risiko, walk around solutions, serta compensating
control.
Ia menambahkan ketika sebagai development orientasinya
lebih ke bisnis, sekarang ini sebagai IT SAP tetap harus
memandang bisnis karena bagaimana pun keamanan harus
mendukung bisnis. Ia memberikan penekanan bahwa
peran untuk menjaga keamanan tetap ada di pundaknya.
Secara sederhana kerjanya adalah menyeimbangkan antara
orientasi kenyamanan bagi nasabah serta keamanan IT.
Guna menjamin performa di bidang
kerja IT SAP hal yang notabenenya
baru bagi Guntur tentu saja kecaka-
pan perlu ditambah. CISO Magazine
menanyakan pada Guntur mengenai
kecakapan apa saja yang diperlukan
untuk berada di posisinya sekarang.
Fokus kerja IT SAP menurut
Muhammad Guntur terdiri dari dua hal,
yakni governance dan security. Pada
governance yang dibutuhkan adalah
kecakapan mengenai konsep keamanan,
seperti mengetahui arsitektur,
pengembangan arsitektur, standar
parameter, serta menjaga arsitektur.
Sementara pada bidang kerja
keamanan, seperangkat kecakapan
seperti aplikasi perimeter keamanan,
frewall dan konfgurasinya sudah
harus dimiliki sebelum mengemban
pekerjaan ini, lain halnya ketika bekerja
di bagian development kecakapan-
kecakapan tersebut bisa diperoleh
COVER STORY
sembari menjalani pekerjaan. Guntur
mengatakan hal ini karena menurutnya
keamanan merupakan bagian dari
perencanaan. Melalui penjelasan Guntur
dapat ditangkap bahwa kecakapan dari
dua bidang kerja tersebut harus dimiliki
sebagai skill set yang akhirnya dapat
diintegrasikan.
Dengan kepercayaan diri yang mantap
Guntur menjelaskan, menurut
saya dengan pengalaman saya di
pengembangan aplikasi sangat
mendukung pekerjaan saya di bidang
governance ini. IT SAP membutuhkan
orang-orang development, yang
mengerti aplikasi riil di lapangan.
Dengan terbuka, kepada CISO Magazine
Guntur menuangkan apa yang ia amati.
Dari pengamatannya ia berkesimpulan
tidak sedikit orang di IT SAP kurang
paham perihal teknis keamanan.
Dari pengalaman Guntur selama lebih dari 17 tahun di
development dan lebih dari lima tahun di IT SAP CISO
Magazine menanyakan mengenai divisi yang paling
tepat untuk posisi IT SAP.
Terkait divisi operation yang menempati posisi IT SAP,
Guntur berargumen, operation tidak cocok karena benturan
kepentingan. Dalam pandanangan Guntur operation seperti
robot karena hanya menjalankan apa yang diperintahkan.
Kuasa operation yang tidak sampai pada menyusun
judgment dinilai satu hal yang bisa saja membahayakan
karena seorang IT SAP harus memiliki kerangka berpikir
serta berpikiran terbuka. Sangat kontras dengan operation
yang kerjanya berdasarkan pada checklist komando.
Sementara ditanyai apakah bagian manajemen risiko
pas sebagai IT SAP, Guntur berpendapat hal tersebut pun
kurang tepat karena dalam pandangannya sebagai seorang
yang pernah bergelut di pengembangan aplikasi kerja
manajemen risiko terlalu teoritis.
Guntur mengaku bahwa dirinya dengan bagian manajemen
risiko sering beradu argumen karena kerja manajemen
risiko yang terlalu teoritis. Dengan analisis yang terbuka,
tanpa ada niatan meremehkan, Guntur sebagai seorang
COVER STORY
Denga n
Keper c ay a a n
Di r i Ya ng
Ma nt a p Gunt ur
Menga t a k a n
Ba hwa
Or a ng Da r i
Devel opment - L a h
Ya ng Pa s Unt uk
Mengi s i I T S AP
yang lama berkecipung di operation mengatakan,
Manajemen Risiko TI pun kerjanya sangat teoritis,
hanya melakukan identifkasi pada risiko yang
mungkin timbul atau yang mungkin menempati
posisi teratas, satu hal yang dalam kepala
Guntur terlalu teoritis sehingga tidak applicable.
Sementara kerja dari bingkai kaca mata
pengembangan aplikasi adalah kerja pilihan yang
sangat applicable, seperti nol atau satu, on atau of,
ataupun pilihan biner lainnya. ungkap Guntur. Ia
menambahkan manajemen risiko sendiri hanya
terbatas pada compliance dan review.
Dengan kepercayaan diri yang mantap Guntur
mengatakan bahwa orang dari pengembangan
aplikasilah yang pas untuk mengisi IT SAP. Sedikit
berefeksi ia mencurahkan pengalaman pribadi
soal posisi pas sebagai IT SAP, Hanya masalah
disiplin, menjaga governance dan keamanan itu
tadi, saya selalu berorientasi pada solusi.
Guntur melihat orientasi tersebut kontras dengan
gambaran ideal seorang praktisi keamanan
yang ketat, seperti pengaturan konfgurasi,
perimeter, pemetaan risiko fraud, hacker, dan
lain sebagainya. Namun ia mengakui bahwa tidak
semua dilakukan dengan ketat, kecuali terkait
frewall dan IPS.
Posisi dan Pandangan Mengenai CISO
Keberagaman organisasi sebutan CISO bisa saja
berbeda. Sebagai acuan, menurut ISO 27001, CISO
adalah seorang yang dapat mengambil keputusan
atas ICT karena ICT tersebut harus punya
controller pada inovasi teknologi guna menjamin
keamanan. Seorang CISO juga harus memiliki
cukup wewenang di C-level dalam pengambilan
COVER STORY
strategi sehingga dapat menerapkannya
dengan pendekatan top-down.
Mengenai posisi Muhammad Guntur
sebagai SVP IT SAP Bank Mandiri, CISO
Magazine menanyakan apakah bisa
dikatakan sebagai CISO. Ia mengatakan
bahwa jika dilihat dari sisi keamanan,
posisinya sudah yang paling tinggi.
Namun ia mengakui bahwa fokus
kerjanya hanya pada keamanan TI,
sementara untuk keamanan informasi
secara luas belum ada yang menangani
di Bank Mandiri.
Guntur mengatakan bahwa CISO sebagai
posisi memang perlu dipertimbangkan
pada bank sebesar Mandiri. Hal tersebut
dapat dilihat dari pernyataannya yang
cukup antusias ketika CISO Magazine
menanyakan mengenai posisi CISO.
Hal ini yang perlu dibangun di bank
sebesar Mandiri, pengendalian untuk
informasi jujur saja belum ada yang on.
Ini sepertinya sesuatu yang menarik, bahwa awareness
tentang security di Indonesia masih jadi challenge secara
umum. Contoh nyatanya e-KTP. Padahal jika dilihat, bank
bisa terkena dampaknya. Sebagai contoh ketika terjadi fraud.
Saat dilacak alamat yang tertera jelas di KTP, ternyata tidak
benar, papar Guntur.
Ia menyadari meski peran CISO selama ini tidak ada di Bank
Mandiri, tetapi sebenarnya peran CISO dibutuhkan. Hanya
kini, menurut Guntur perlu dipikirkan transformasi yang
tepat, apakah peran CISO sebaiknya dipegang secara trans-
paran oleh IT SAP atau di bidang lain, seperti bidang Policy.
Dengan CISO di pegang TI pun sebenarnya cocok-cocok
saja menurut Guntur. Akan tetapi perlu kewenangan yang
lebih tinggi lagi karena selama ini wewenangnya hanya di
sisi sistem TI. Belum lagi menyoal anggaran yang dikelola,
COVER STORY
selama ini baru sebatas pada kebutuhan TI. Jika TI sifatnya benar-
benar ke arah keamanan informasi maka harus ada kewenangan
khusus untuk mengatur, mengelola, dan membuat policy.
Pendapat lain dari Guntur mengenai posisi CISO, bisa saja di bagian
Policy. Seperti misalnya untuk menangani klasifkasi data. Menurutnya
tentu saja kerja tersebut tidak relevan jika ditangani TI karena TI hanya
menangani masalah sistem dan penggunaannya seperti USB, ponsel
pintar, iPad, dan mobile device lainnya, yaitu dengan pemanfaatan end
point protection. Namun pengaturan terkait akses email perusahaan
melalui mobile device pribadi, seperti beberapa batasan maksimum
yang boleh dimiliki, sertifkasi mobile device, dan lainnya tentu harus
ada yang mengatur.
Salah satu permasalahan yang dihadapi oleh kebanyakan praktisi
keamanan informasi adalah dukungan dari direksi ataupun C-level
lainnya, misalnya dalam penganggaran. Guntur menilai sejauh ini
penganggaran keamanan TI tidak menjadi kendala. Dukungan untuk
anggaran keamanan bisa dikatakan cukup. Seperti dukungan pada
inisiatif yang baru saja dilakukan, yakni data liquid protection. Namun
seperti yang diakui Guntur, anggaran yang digelontorkan tentu tidak
sebesar untuk pengembangan bisnis. Yang pasti dukungan terhadap
keamanan TI mendapat perhatian yang cukup serius di manajemen
Bank Mandiri.
COVER STORY
Standar dan Regulasi Keamanan Informasi
ISO 27001 secara sederhana merupakan regulasi yang
mengatur manajemen sistem keamanan informasi.
Bank Mandiri sempat certifed untuk ISO 27001, tetapi
penerapannya baru dilakukan pada grup TI, sebatas pada
operation, planning, dan application. Hal ini yang dituturkan
Guntur pada CISO Magazine. Ia mengakui bahwa Bank
Mandiri belum berani menerapkan ISO 27001, menjaga IT
saja setengah mati, ungkap Guntur.
Pasca masa sertifkasi ISO 27001
habis, Bank Mandiri memutuskan
untuk tidak memperpanjang
kembali status sertifkasinya. Guna
mengetahui alasannya CISO Magazine
mengonfrmasi hal tersebut. Guntur
mengakui bahwa Bank Mandiri belum
siap untuk melakukan sertifkasi ulang
ISO 27001 disebabkan fokusnya yang
masih pada pengembangan bisnis.
Namun hal ini tidak mengurangi
keseriusan Bank Mandiri dalam
menjaga keamanan informasinya
karena selain ISO 27001, Bank Mandiri
tetap comply pada standar dan regulasi
keamanan informasi lainnya seperti
Peraturan Bank Indonesia.
Peraturan Bank Indonesia No.
9/15/PBI/2007 tentang Penerapan
Manajemen Risiko dalam Penggunaan
Teknologi Informasi oleh Bank Umum,
atau yang biasa di kalangan praktisi
keamanan informasi perbankan
disingkat PBI, merupakan salah
Tantangan bi sni s Bank Mandi ri begi tu mendesak sehi ngga
butuh perhati an besar di aspek keamanannya
COVER STORY
satu compliance yang wajib dipatuhi oleh bank yang
beroperasional di Indonesia. Terkait PBI, Bank Mandiri
boleh berbangga diri karena grand design PBI salah
satunya merupakan buah pikir Bank Mandiri. Guntur
yang dikonfrmasi apakah ada hambatan tersendiri dalam
penerapannya mengakui sejauh berjalan Bank Mandiri tidak
menemui kendala yang berarti. Audit dari Bank Indonesia
pun dapat dijalankan secara disiplin.
Arah compliance Bank Mandiri tidak selalu pada PBI saja.
Aturan lain yang menjadi pedoman Bank Mandiri sekarang
ini adalah Payment Card Industry Data Security Standard
atau sering dikenal dengan PCI DSS. PCI DSS adalah
seperangkat persyaratan komprehensif sebagai standar
keamanan data nasabah yang disimpan, diproses dan/
atau ditransmit oleh pengguna layanan pembayaran yang
ditetapkan oleh American Express, Discover Financial
Services, JCB International, MasterCard Worldwide,
dan Visa Inc.
Tidak semua environment dapat diterapkan dengan
PCI DSS. Menurut Guntur hal ini karena menyesuaikan
dengan kebutuhan bisnis juga. Ketika penerapan PCI DSS
dilaksanakan begitu ketat, pihak bisnis bisa protes.
Padahal menurut Guntur sebenarnya
kebutuhan bisnis untuk PCI DSS sendiri
cukup besar, hal tersebut terkait shifting
liabilities. Dimana ketika Bank Mandiri
tidak comply pada PCI DSS maka saat
terjadi fraud pada nasabah, alih-alih Visa
yang harus bertanggung jawab, Bank
Mandiri yang harus bertanggung jawab
dan mengganti denda. Shifting liabilities
sangat terkait, terutama pada Visa dan
Master Card.
COVER STORY
BCA merupakan salah satu bank yang terlihat serius
menerapkan PCI DSS. Dengan produk-produk baru BCA
yang banyak mengandalan pembayaran online dan tentu
terkait pula dengan VISA dan MasterCard. Guntur pun
mengatakan hal yang sama pun terjadi di Mandiri. Merchant
harus patuh kepada bank sesuai dengan PCI DSS. Ini
merupakan kewajiban merchant yang bila tidak dipenuhi
akan berdampak buruk kepada bank. Oleh karena itu
jika merchant tidak comply, tentunya Bank Mandiri akan
bersikap tegas.
Guntur membagikan pengalamannya tentang suatu kejadian
penyalahgunaan data nasabah yang dilakukan oleh salah
satu merchant yang tidak sigap dalam menangani keamanan
data. Hal ini membuatnya untuk lebih tegas kepada
merchant. Padahal kejadian tersebut tidak berdampak
sebagai kerugian fnansial di sisi Bank Mandiri, namun
kerugian reputasilah yang ingin dihindari. Nasabah ataupun
bukan bisa saja menarik kesimpulan dari insiden tersebut
bahwa Bank Mandiri tidak tangguh karena dapat dibobol,
padahal kelalaian bukan di pihak Bank Mandiri.
Mengenai penggunaan kartu
pembayaran elektronik, seperti
kartu kredit, kartu debit, dan
e-money serta keamanannya
Guntur mengemukakan bahwa
kesadaran masyarakat terhadap
penggunaan e-money belum begitu
dipahami bahwa e-money adalah
uang. Orang masih cenderung teledor.
Penerapan e-money bertujuan untuk
mengurangi jumlah uang kecil, seperti
untuk retribusi parkir, uang tol, dan
transaksi kecil lainnya. Oleh karena
itu untuk mengantisipasi risiko yang
ada pada e-money, di Indonesia saldo
di dalam e-money masih terbatas
pada angka satu juta rupiah ini sesuai
dengan aturan mengenai anti money
laundering. Meski begitu, gelagat untuk
menaikan nominal hingga lima juta
rupiah mulai terlihat.
COVER STORY
Sedangkan untuk kartu debit dan kartu kredit, Guntur berpendapat bahwa
hingga saat ini kartu kredit jauh lebih aman karena penggunaan chip dengan
EMV (Europay, MasterCard and Visa) compliance yang sudah lama diterapkan.
Sementara untuk kartu debit di Indonesia belum ada kewajiban untuk mengganti
kartu dengan chip.
Kelonggran penerapan NSCIS yang diberikan oleh BI tidak lain menimbang
besarnya biaya penggantian kartu. Biaya yang bisa dihabiskan untuk penggantian
kartu mencapai satu dolar. Melalui hitungan kasar dengan nasabah Bank Mandiri
yang mencapai sepuluh juta orang maka biaya ganti kartu sedikitnya mencapai
sepuluh juta dolar. Oleh karena ini dalam penerapannya Guntur memperkirakan
akan dilakukan secara bertahap. Batas waktu yang dari BI untuk penggantian
kartu hingga dua sampai tiga tahun ke depan.
Credit Card Jauh Lebih Aman Karena Penggunaan Chip Berbasis
Europay, Mastercard dan Visa (Emv) Yang Sudah Lama Diterapkan
COVER STORY
Transaksi melalui online kini marak untuk dilakukan,
penggunaan kartu kredit secara ilegal atau pencurian
melalui kartu kredit mungkin untuk dilakukan.
Bagaimana sistem dari Bank Mandiri untuk menghindari
hal tersebut?
Visa kini telah memiliki sistem untuk menangani fraud atau
pencurian melalui credit card dengan Verifed by Visa (VBV). Dulu
ketika transaksi online dilakukan pemegang kartu hanya diminta
memasukan nomor CVV di balik kartu kredit. Kini sistem tersebut
bergerak ke arah VBV, sehingga Visa sendiri bisa yakin bahwa yang
melakukan transaksi adalah pemiliki otoritas. Konfrmasi oleh Visa
dapat dilakukan seperti melalui SMS dan lain sebagainya. Sehingga
ketika nasabah memverifkasi, baru transaksi online bisa diproses.
Jika dengan sistem VBV masih terjadi fraud Visa bisa melakukan
ganti rugi apabila nasabah dapat menunjukkan bukti, hal ini
diistilahkan non repudation. Sebagai contoh, telah terjadi transaksi
yang di lakukan di Swiss padahal nasabah tidak pernah merasa
mengunjungi negara tersebut. Nasabah dapat membuktikan perkara
ini dengan menunjukkan paspornya dan membuktikan bahwa ia tidak
mengunjungi Swiss dalam rentang waktu kejadian perkara. Hal yang
tidak bisa di-sangkal seperti itu bisa diberikan ganti rugi oleh Visa.
Visa Kini Telah Memiliki Sistem Untuk
Menangani Fraud Atau Pencurian Melalui
Credit Card Dengan Verified By Visa (VBV)
COVER STORY
Tantangan dan Strategi dalam
Menghadapinya
Guntur menyebutkan sekarang ini
transaksi melalui e-channel telah
mencapai 92%, sedangkan transaksi
tradisional tertinggal jauh di belakang,
yakni 8%.
Dengan sistem yang lebih terbuka sekarang tentu membuat
attacker mencari celah keamanan Contohnya phishing.
Sekarang ini Guntur mengaku baru bisa bertindak reaktif,
belum bisa proaktif seperti ketika ditemukan situs palsu
maka akan ditake down.
Tantangan ditambah dengan nasabah yang seringkali tidak
aware dengan situs palsu dan phishing, padahal sangat
merugikan nasabah sendiri. Guntur mengakui kerjanya
untuk mematikan situs palsu sangat kejar-kejaran karena
karakter situs palsu yang selalu muncul lagi setelah di-take
down. Ia menilai sistem manual seperti monitoring sudah
tidak lagi relevan untuk dilakukan. Diperlukan langkah
maju untuk menghadapi tantangan ini. Hal ini tentunya juga
memerlukan kerja sama nasabah. Namun menurut Guntur
logika keamanan dan kenyamanan sering kali berbenturan,
bisnis memprioritaskan kenyamanan nasabah, tetapi hal
tersebut sangat berisiko pada keamanan bank atau nasabah
secara pribadi.
Guntur menambahkan seiring pesatnya perkembangan
transaksi yang sifatnya online atau e-channel, compensating
control sudah tidak bisa dijalankan secara manual. Ini
yang jadi tantangan kita di security. Masih ada phishing dan
website palsu, terang Guntur.
COVER STORY
Salah satu tantangan bisnis lain yang begitu mendesak ke depannya
di Bank Mandiri adalah masuknya teknologi dengan penggunaan
banyak platform, salah satunya adalah open source. Kebutuhan bisnis
begitu luar biasa untuk aspek keamanan. Saat ini Unix sudah masuk.
Selanjutnya teknologi open source lain akan menyusul. Ini tentu
menambah beban pikir, bagaimana strategi dan pola keamanan yang
akan diterapkan pada open source. Guntur menganalisis standar
konfgurasi aplikasi open source yang berbeda berpotensi sebagai
pemicu kebingungan tersendiri. Tambah-tambah open source nihil
dukungan lokal, sehingga ketika kesulitan hadir tidak ada bantuan
yang bisa ditemui untuk mengetahui standarnya.
Kadang-kadang debat mengenai keamanan dan kenyamanan menjadi
masalah tersendiri. Bagaimana dapat menyeimbangkan dan tetap
mempertimbangkan aspek bisnis. Guntur membayangkan seharusnya
internet banking tidak bisa digunakan pada jaringan Wi-Fi yang tidak
aman. Caf atau warnet adalah tempat yang seharusnya dilarang
untuk melakukan transaksi online. Namun hal tersebut akan menuai
protes dengan mengatakan bahwa Bank Mandiri tidak feksibel.
COVER STORY
Berdasarkan survei yang dilakukan Deloitte, Bring Your
Own Device (BYOD) merupakan salah satu tantangan
terbesar di 2013. Mengonfirmasi kesiapan Bank Mandiri
menghadapi tantangan tersebut, CISO Magazine
menanyakan secara langsung kepada Guntur.
Sejauh ini belum ada regulasi di Bank Mandiri yang mengatur hal
tersebut, namun ada arah ke sana. Seperti kebijakan yang mengatur
berapa jumlah device yang boleh dimiliki oleh karyawan untuk
mengakses data perusahaan.
Guntur berangan, ke depannya Bank Mandiri ingin menerapkan
security online services, dimana nasabah harus mengunduh dulu,
seperti pada iTunes untuk Apple, dan lain sebagainya. Dengan sistem
tersebut secara tidak langsung akan mendorong nasabah untuk
mengakses situs dari device yang aman karena tidak mungkin di-
install pada public device seperti komputer warnet.
CISO Magazine juga
menanyakan bagaimana
Bank Mandiri
menangani fraud?
Siapa yang memegang
peranan tersebut
Penanggulangan fraud
dijalankan oleh tim
operasional untuk forensik
dan investigasi. Sementara
itu IT SAP berlepas tangan
dari kegiatan operasional
karena peran yang dimainkan
adalah peran strategis. Pasca
masalahnya diketahui, bagian
operation baru melaporkan
pada IT SAP untuk diambil
alih. Sehingga secara
sederhana kerja IT SAP
berlangsung setelah insiden.
COVER STORY
Isu yang juga berkembang dewasa ini sebagai
sebuah ancaman serius adalah kebocoran data
melalui social media. Bagaimana regulasi yang
mengatur hal tersebut?
Social media pada Bank Mandiri justru dimanfaatkan
sebagai media security awareness untuk karyawan, layaknya
komunikasi viral, seperti menginformasikan situs palsu atau
phishing kepada karyawan. Sementara itu aturan mengenai
penggunaan social media ada di sisi bisnis, tepatnya di public
relation perusahaan.
Menutup pembicaraan, Guntur menyatakan Sejauh ini Bank
Mandiri belum pernah mengalami kebocoran data karena
keteledoran karyawan dalam menggunakan social media. YH
COVER STORY
KNOWLEDGE
SEBERAPA
AMAN ANDA
MENERAPKAN
SSL PADA
WEB?
Oleh : Eko Prasetio
S
eperti yang anda ketahui SSL atau kepanjangan dari Secure
Socket Layer merupakan salah satu solusi pengamanan bagi
Web Server yang sebelumnya menggunakan protokol HTTP
(Hypertext Transfer Protocol) menjadi protokol HTTPS (Hypertext
Transfer Protocol Secure). Dengan SSL, komunikasi yang sebelumnya
berbentuk plaintext (dapat dilihat dengan jelas dan mudah dibaca)
menjadi data yang terenkripsi, sehingga ketika seseorang yang
mencoba melakukan sniffing pada aliran data dalam suatu jaringan
tidak bisa dibaca secara langsung sebagaimana mudahnya membaca
aliran data pada HTTP. Kondisi seperti ini tidak membuat diam
para hacker, mereka selalu berusaha mencari celah yang dapat
dimanfaatkan. Pada kenyataannya beberapa Web Server yang telah
menerapkan protokol HTTPS pun dapat dengan mudah dibaca. Para
hacker mencoba melakukan serangan ini atau yang biasa disebut
dengan man-in-the-middle-attack (MITM). MITM merupakan teknik
serangan yang sering dilakukan pada jaringan LAN. Seorang attacker
dapat pula menggunakan teknik serangan ini pada WiFi dimana
korban sebagai target tidak mengetahui akan bahayanya browsing
internet pada layanan umum.
KNOWLEDGE
1. Ketika awal pengiriman
data ( request certificate ke
server), Victim akan melakukan
pengecekan ARP cache untuk
tujuan MAC Adress Gateway.
2. jika MAC Address Gateway
tidak ditemukan maka victim
akan melakukan ARP broadcast
di segmen jaringannya dengan
tujuan FF:FF:FF:FF:FF:FF.
3. Setiap perangkat yang menerima
ARP broadcast dari victim akan
merespon dengan memberikan
MAC Address-nya ke victim. Namun
Attacker akan merespon dengan
membanjiri paket ARP ke Victim
hingga victim menganggap bahwa
MAC dan IP Address Attacker adalah
gateway, lalu victim menyimpan MAC
dan IP Address Attacker sebagai
alamat Gateway
ARP Spoofng
1
2
2
2
3
3
3
Victim
Server
Router
Attacker
ARP
KNOWLEDGE
1. Victim akan
mencoba
melakukan
request
certificate ke
server sebelum
melakukan
browsing untuk
membuka sebuah
halaman web
melalui SSL.
2. Karena ARP
Spoofing telah terjadi,
paket request yang
dikirimkan Victim akan
dibelokkan ke Attacker
sebelum mencapai
server, hal ini terjadi
karena Victim
menganggap Attacker
adalah Gateway,
dalam Kondisi Ini,
Attacker dapat
menahan request
certificate dari Victim,
membacanya, bahkan
merubah isi paket
request tersebut.
3. Lalu Attacker
meneruskan
paket request
yang melaluinya
ke server untuk
memperoleh
paket respon
dari server.
5. Ketika Attacker
mendapat respon dari
server dalam kondisi
ini Attacker juga dapat
mengubah respon
dari server sebelum
diteruskan ke korban,
pada kondisi ini setiap
korban melakukan
request akan selalu
direspon oleh attacker
yang bukan merupakan
server sebenarnya.
4. Server akan
merespon
request
certificate
Victim yang
dikirimkan
Attacker.
MITM
Victim
Server
Router
Attacker
ARP
2
1
5
3
4
KNOWLEDGE
Karena SSL merupakan metode enkripsi komunikasi
komputer tentu besaran cipher enkripsinya sangat
mempengaruhi kekuatan uji nya. Pada beberapa konfgurasi
awal SSL sebuah server dengan sistem operasi sejenis Unix
atau Linux, umumnya masih melayani SSL dengan cipher
rendah. Web server seharusnya minimum melayani cipher 256 bit. Dibawah itu, SSL bisa
dengan mudah di-crack, dan tools yang beredar sekarang baik yang berbayar maupun
yang open source dan gratis sudah bisa melakukan dekripsi cipher SSL dibawah 256 bit.
Oleh karena itu, SSLv2 (SSL versi 2) sebaiknya tidak digunakan lagi karena maksimal
mendukung cipher 168 bit. Pastikan web server anda menggunakan SSLv3 atau TLSv1
yang tidak mendukung cipher dibawah 256 bit.
Pengalaman saya dalam melakukan security assessment selama ini, dari sepuluh server
yang menerapkan protokol HTTPS, terdapat 10% server yang menggunakan SSLv2 dengan
cipher 40 bit, 50% server yang menggunakan SSLv2 dengan cipher 168 bit, dan sisanya
menggunakan SSLv3 128 bit. Jelas bahwa pemahaman mengenai standar kekuatan cipher
pada SSL masih belum banyak dimengerti.
10%
SSLv2 40 bit
40%
SSLv2 168 bit
50%
SSLv3 128 bit
Bagaimana
SSL Dapat
Dikatakan Aman?
KNOWLEDGE
Menggunakan
konfigurasi sederhana
pada linkungan lab,
berikut beberapa
screenshot terhadap
analisa kekuatan cipher
dan pembuktian uji
dengan metode MITM
Menggunakan SSL Scan pada Linux Backtrack, hasil scan terhadap web
server yang menggunakan konfigurasi awal (default), masih melayani
permintaan sertifikat SSL dengan cipher rendah
Hasil SSL Scan setelah konfigurasi SSL pada web server sudah diperbaiki
dan hanya melayani cipher minimal 256 bit
KNOWLEDGE
Apa yang dilihat oleh pengguna
(victim) jika sertifikat SSL
dari benar-benar dari server
yang dituju, informasi dalam
sertifikat sesuai dengan
informasi perusahaan
Informasi dalam sertifikat SSL
palsu yang telah diubah oleh
Attacker menjadi PortSwigger.
Dalam kondisi ini setiap
pertukaran data dan informasi
antara pengguna dan server
bisa dibaca oleh Attacker
KNOWLEDGE
Contoh HTTP method GET yang dapat dibaca oleh Attacker jika berhasil melakukan MITM SSL
menggunakan tools Burp Suite.
Respon yang didapat oleh Attacker jika terjadi handshake failure ketika server telah dikonfigurasi
agar tidak lagi melayani cipher dibawah 256 bit, sehingga tools tidak dapat melakukan dekripsi cipher.
KNOWLEDGE
Serangan jenis ini tidak secara langsung menyerang pada
sisi server, tetapi serangan ini sering terjadi pada sisi
klien, dimana klien lengah pada saat melakukan aktivitas
browsing seperti mengakses situs pada e-commerce atau
internet banking.
Setiap transaksi yang dilakukan oleh pengguna situs dapat
dibaca dan diubah oleh attacker. Sebagai contoh, jika
pengguna berbelanja pada suatu situs e-commerce, ketika
transaksi pembelian, informasi kartu kredit yang diberikan
dapat dibaca oleh Attacker. Contoh lainnya, seorang nasabah
yang menggunakan internet banking untuk melakukan
transfer dana dapat diubah nomor rekening yang dituju
menjadi nomor rekening milik Attacker atau nomor rekening
lainnya. Hal ini menyebabkan tidak tercapainya pengamanan
di sisi confidential dan integrity.
Dampak lainnya bisa merusak reputasi pemilik situs sehingga
tidak ada pengguna yang percaya lagi.
Dampak Serangan MITM
KNOWLEDGE
BYOD
Siapkah Kita?
Oleh : Charles Lim
MOBILE
B
YOD (Bring Your Own Device) menjadi
singkatan yang sering muncul dalam topik
keamanan informasi dewasa ini, terutama
bagi perusahaan dalam menghadapi karyawan
yang membawa ponsel pribadi seperti, ponsel
pintar (smartphone) dan komputer tablet yang
terkoneksi ke jaringan perusahaan, sehingga dapat
membaca informasi perusahaan melalui ponsel
pribadinya. Ancaman yang dihadapi perusahaan
tersebut meliputi kebocoran informasi pe-
rusahaan, mobile malware (malicious software),
dan lainnya. Dengan jumlah penggunaan ponsel
pintar atau komputer tablet yang akan terus
meningkat dari tahun ke tahun berdasarkan
hasil studi Cisco terbaru, setiap karyawan pada
tahun 2014 akan memiliki rata-rata tiga mobile
device yang terkoneksi ke jaringan , maka tidak
heran ini akan menjadi tantangan sekaligus
ancaman bagi perusahaan dalam menghadapi
ponsel pribadi tersebut. Ditambah lagi dengan
jumlah aplikasi gratis yang dapat diunduh melalui
berbagai App Store maka ancaman terhadap
keamanan kebocoran informasi akan semakin
meningkat, mengingat aplikasi yang diunduh
tersebut dapat disusupi aplikasi malware yang
dapat membocorkan informasi kepada pembuat
malware tersebut. NIST (National Institute
Standards and Technology) pertengahan tahun
2012 memublikasikan rekomendasi awal (draft)
untuk perusahaan dalam mengelola keamanan
ponsel yang dapat diunduh dengan kode dokumen
NIST SP 800-124 Rev 1 (draft).
PADA TAHUN 201 4 SET I AP KARYAWAN AKAN MEMI L I KI RATA- RATA T I GA
MOBI L E DEVI CE YANG T ERKONEKSI KE J ARI NGAN*
* CI SCO
MOBILE
Langkah awal NIST merekomendasikan agar
perusahaan memiliki kebijakan keamanan
informasi berdasarkan ancaman yang dihadapi
perusahaan, kelemahan sistem, kemungkinan
ancaman, fungsi kendali, dampaknya terhadap
perusahaan apabila ancaman tersebut terjadi,
dan akhirnya menentukan apakah perlu adanya
penambahan fungsi kendali untuk mengatasi
ancaman, proses tersebut dikenal dengan nama
threat model. Kebijakan keamanan informasi
mencakup seperti kebijakan umum, kebijakan
tentang komunikasi data dan penyimpanan
data, kebijakan mengenai autentikasi pengguna
dan autentikasi peralatan yang digunakan, serta
kebijakan tentang aplikasi yang digunakan.
Kebijakan umum mencakup bagaimana peru-
sahaan menegakkan kebijakan yang membatasi
akses ke perangkat keras dan perangkat lunak,
mengelola antar muka jaringan nirkabel dan
pemantauan otomatis, serta proses pelaporan bila
pelanggaran kebijakan terjadi.
Kebijakan komunikasi data dan penyimpanan
data wajib mencakup bagaimana penggunaan
enkripsi saat data dipindahkan dalam proses
komunikasi dan enkripsi pada saat data dalam
penyimpanan. Selain itu kebijakan juga wajib
mencakup bagaimana proses penghapusan data
pada alat elektronik saat peralatan tersebut hilang
atau dicuri. Kebijakan ini mencegah terjadinya
kebocoran informasi akibat kesalahan manusia
baik disengaja atau tidak.
Kebijakan yang lain mencakup bagaimana proses
autentikasi berlangsung saat informasi diakses,
ftur password reset jarak jauh bagi pengguna
yang lupa, penguncian otomatis saat alat tidak
digunakan, dan penguncian jarak jauh saat alat
diduga tertinggal dalam keadaan tidak terkunci.
Kebijakan mengenai aplikasi merupakan kebi-
jakan yang cukup kritis dimana perusahaan
wajib menentukan apakah menggunakan
prinsip whitelist (memblokir semua aplikasi
dan memperbolehkan aplikasi yang telah
ditentukan saja) atau blacklist (memperkenankan
semua apikasi dan memblokir aplikasi yang
MOBILE
telah ditentukan), bagaimana instalasi dan
update aplikasi dilakukan, pembatasan layanan
sinkronisasi, pembubuhan tanda tangan digital
pada aplikasi, penyaluran aplikasi perusahaan dari
pusat App Store yang khusus, dan pembatasan atau
pencegahan akses yang dikaitkan dengan sistem
operasi maupun aplikasi pengelolaan ponsel
pintar yang bersangkutan.


SETI AP PENGGUNA YANG AKAN MENGGUNAKAN PONSEL PRI BADI NYA UNTUK
MENGAKSES DATA PERUSAHAAN MAKA MEREKA WAJ I B MEMASTI KAN BAHWA
PONSEL MEREKA DAPAT MENDUKUNG HAL- HAL BERI KUT:
PIN
MENDUKUNG
PENGGUNAAN PIN UNTUK
MENGUNCI PONSEL
010011001
010011001
11001
11001
110
MENDUKUNG
PENGGUNAAN ENKRIPSI
ERASE
MENDUKUNG
PENGHAPUSAN DATA
SECARA JARAK JAUH
AUTO
MENDUKUNG
AUTO LOCKOUT
Bahkan para pakar keamanan berpendapat bahwa
kebijakan sederhana bisa langsung diterapkan
pada pengguna ponsel sebelum kebijakan versi
lengkap diterapkan.
MOBILE
Banyak vendor keamanan informasi menawarkan
solusi Mobile Device Management (MDM) system
yang dapat mengotomatiskan semua penegakan
kebijakan keamanan informasi perusahaan seperti
yang disebutkan di atas. Contoh vendor MDM
diantaranya adalah Zenprise (yang sekarang
ini merupakan bagian dari Citrix), AirWatch,
MaaS360, DronaMobile, Symantec, dan masih
banyak yang lagi. Sistem MDM ini bermunculan
sejak munculnya berbagai alternatif ponsel pintar
atau tablet yang tadinya didominasi oleh ponsel
seperti Blackberry. Sedangkan keamanan infor-
masi Blackberry sepenuhnya diserahkan kepada
kemampuan Blackberry Enterprise Server (BES).
Pada saat perusahaan mulai fokus bagaimana
mengurangi biaya dan meningkatkan kepuasan
karyawannya maka sistem MDM ini menjadi
pilihan yang sangat menarik bagi perusahaan
baik kecil, sedang, maupun besar. Dengan terus
bertambahnya pilihan untuk ponsel pintar maka
tantangan untuk memastikan kebijakan keamanan
informasi dapat ditegakkan dan kemudahan
karyawan dalam menggunakan ponsel pribadinya
juga terus meningkat, maka pilihan untuk meng-
gunakan sistem MDM semakin menarik.
Walaupun solusi untuk masalah keamanan infor-
masi BYOD tersedia secara luas, perusahaan
yang menerapkan kebijakan keamanan informasi
BYOD berbasis sistem MDM maupun tidak,
wajib memberikan edukasi kepada karyawannya
bagaimana menggunakan ponsel pribadi dengan
bijak terutama jika ponsel pribadi yang dipakai
mengakses informasi perusahaan tersebut
BEBERAPA
CONTOH VENDOR
MOBILE DEVICE
MANAGEMENT
(MDM)
MOBILE
hilang atau dicuri. Sebagai contoh, umumnya karyawan
yang kehilangan ponsel pribadi menghubungi provider
telekomunikasi untuk melakukan deaktivasi nomor telepon
yang hilang tersebut. Padahal hal tersebut tidak tepat. Hal
yang seharusnya di-lakukan adalah karyawan melaporkan
kepada helpdesk perusahaan atas kejadian tersebut, selan-
jutnya helpdesk-lah yang akan mengirimkan instruksi
wipe ke ponsel pintar tersebut sebelum deaktivasi di-
lakukan. Fokus para pengguna ponsel pintar bukan pada
berapa kerugian pribadi yang diderita ketika ponsel mereka
hilang, tetapi seharusnya pada bagaimana mencegah ke-
bocoran informasi ke pihak luar. Perusahaan juga wajib
menginformasikan bahwa kerugian dari kebocoran informasi
perusahaan lebih besar dibandingkan dengan kerugian pribadi.
Dengan demikian jelas bahwa kebijakan keamanan infor-
masi tidak hanya sekedar sebuah kebijakan, tetapi perlu
didukung dengan berbagai sistem untuk menegakkan
kebijakan. Hal yang juga penting adalah cara berpikir
karyawan perlu terus ditingkatkan dengan berbagai cara,
sehingga karyawan semakin sadar akan keamanan infor-
masi atas ponsel pintar pribadi yang mereka bawa untuk
mengakses informasi perusahaan.
UMUMNYA
KARYAWAN YANG
KEHI L ANGAN
PONSEL PRI BADI
MENGHUBUNGI
PROVI DER
T EL EKOMUNI KASI
UNT UK MEL AKUKAN
DEAKT I VASI NOMOR
T EL EPON YANG
HI L ANG T ERSEBUT.
PADAHAL HAL
T ERSEBUT T I DAK
T EPAT
MOBILE
Kerugian besar yang disebabkan
oleh tindak kriminal dengan
menggunakan komputer dapat
mengancam siapa saja. Tidak
hanya kepada perusahaan besar,
kasus juga banyak terjadi pada
individu pengguna komputer.
COMPUTER
FORENSIC
PERANGKAT DAN PROSEDUR INVESTIGASI
BAG 1
Oleh: Ahmad Zaid Zam Zami
FORENSIC FORENSIC
S
ecara tidak langsung aktivitas dan rekam
jejak kehidupan termasuk identitas pribadi
kita terekampada perangkat teknologi
informasi dan komunikasi. Sebagai dampaknya,
dewasa ini muncul berbagai tindak kejahatan
yang mengeksploitasi teknologi informasi dan
komunikasi. Baik kejahatan yang memanfaatkan
teknologi sebagai alat bantu seperti penggelapan
pajak, korupsi, narkoba, human trafcking, judi
ilegal, maupun kejahatan yang murni dilakukan
di cyberspace seperti pencurian identitas, penya-
lahgunaan kartu kredit (carding), hacking, de-
facing, kejahatan perbankan, phishing, spamming,
penipuan, pencemaran nama baik, dan lain-lain.
Sehingga lembaga peradilan di seluruh dunia
dihadapkan dengan kebutuhan yang tinggi untuk
menyelidiki tindak kejahatan ini.
Hal ini melatarbelakangi munculnya disiplin ilmu
computer forensic,membantu proses penegakkan
hukum dengan mengungkapkan peristiwa
kejahatan melalui bukti-bukti digital yang
tersimpan pada piranti digital atau elektronik.
Seorang praktisi computer forensic memiliki
peran vital dalam mengungkapkan peristiwa
kejahatan berbasis teknologi informasi. Semakin
meluasnya tindak kriminal modern dengan
memanfaatkan teknologi informasi, kebutuhan
akan sumber daya yang kompeten serta prosedur
yang baku dalam melakukan investigasi computer
forensic sangat diperlukan. Terlebih tindak
kejahatan tersebut tidak hanya ditujukan pada
individu atau organisasi, tetapi juga mencakup
entitas suatu negara.
Computer forensic adalah serangkaian metodologi
yang digunakan dalam melakukan akuisisi
(imaging), pengumpulan, analisa, serta presentasi
bukti digital. Bukti digital mencakup setiap
informasi elektronik yang disimpan atau diolah
LATAR
BELAKANG
DEFINISI
COMPUTER FORENSIC
FORENSIC
menggunakan teknologi komputer sehingga
dapat digunakan untuk mendukung atau menolak
tentang bagaimana sebuah insiden atau tindakan
pelanggaran hukum terjadi. Karena keterlibatan
proses computer forensic adalah setelah terjadinya
suatu insiden maka metodologi yang tepat sangat
diperlukan untuk mempercepat proses investigasi
serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh
pada komputer yang berpotensi sebagai bukti
digital, antara lain data persistent dan data non-
persistent. Perbedaan dari keduanya adalah
pada jangka waktu atau masa aktif data tersebut
disimpan dalam suatu media. Untuk menggali
masing-masing jenis data dibutuhkan metode
tersendiri.
BUKTI DIGITAL
DAPAT BERUPA
Laporan intrusi
yang digenerasi oleh
perangkat keamanan
jaringan antara lain
seperti firewall, IDS,
IPS dan sejenisnya
Rekaman transaksi
(log file) yang
dihasilkan oleh
perangkat komputer
tertentu seperti
server, router, switch
atau dihasilkan
oleh aplikasi server
seperti web server,
database server
serta aplikasi sejenis
lainnya.
File yang tersimpan
pada suatu hardisk,
flashdisk, memory
card atau media
penyimpanan lainnya
seperti dokumen
yang berupa teks,
gambar, audio,
video, aplikasi dan
lainnya baik itu yang
sudah terhapus
maupun masih aktif
tersimpan.
Log hasil web
browser (internet
explorer, firefox,
opera, safari,
chrome) yang
memuat informasi
diantaranya seperti
website history,
website cache,
most visited page,
saved username &
password, cookies
serta informasi
lainnya.
Rekaman chat (chat
log) yang dihasilkan
oleh aplikasi
pengirim pesan
(messenger) seperti
yahoo messenger,
skype, google talk,
pidgin, dan lainnya.
FORENSIC
Pengetahuan terhadap karakteristik masing-
masing fle (ekstensi fle, signature), fle system,
berikut sistem operasi yang digunakan adalah
salah satu pengetahuan yang harus dimiliki
seorang tenaga ahli computer forensic.
Seperti kita ketahui bersama, belakangan
banyak terjadi tindak kejahatan di tanah air yang
melibatkan pemanfaatan teknologi informasi
hingga menyita perhatian berbagai media, baik
cetak maupun elektronik. Seperti diantaranya
pembobolan server pulsa salah satu provider
seluler di Indonesia yang diklaim mengakibatkan
kerugian fnansial miliaran rupiah, diringkusnya
kawanan pelaku prostitusi online, pembobolan
email, dan bocornya data-data penting perusahaan
oleh seorang hacker yang menimpa salah satu
perusahaan terbesar di Indonesia, serta kasus
yang masih hangat diberitakan yaitu ditangkapnya
seorang hacker karena diduga melakukan website
defacement (mengubah tampilan website) salah
satu petinggi negara.
Berkaca pada fakta-fakta yang terjadi, terlebih
dengan semakin meluasnya penggunaan teknologi
informasi sangatlah penting bagi suatu institusi
untuk memiliki kemampuan computer forensic.
Dengan memiliki kemampuan computer forensic,
setiap terjadi insiden yang mengancam keamanan
informasi pada institusi tersebut dapat segera
dilakukan mitigasi dan celah keamanan yang
ada dapat segera dievaluasi. Demikian pula
apabila terjadi insiden yang melibatkan proses
penegakan hukum, institusi tersebut akan mampu
menggali serta melakukan analisa terhadap bukti
digital yang dapat digunakan untuk membantu
memudahkan proses investigasi. Selanjutnya
bukti digital tersebut dapat digunakan untuk
menolak atau mengajukan tuntutan atas tindakan
pelanggaran yang terjadi.
Perkembangan teknologi yang sedemikian cepat
diiringi dengan teknologi jaringan komputer yang
semakin kompleks merupakan tantangan dalam
computer forensic. Jika dulu seorang tenaga
KEBUTUHAN
COMPUTER FORENSIC
FORENSIC
ahli computer forensic
dapat dengan mudah
mendapatkan bukti digital
dari hardisk pada sebuah
komputer, kini dihadapkan
dengan berbagai jenis
aplikasi serta penyimpanan
data redundant seperti
RAID storage, bahkan ter-
integrasi dengan internet
atau dikenal dengan
komputasi awan (cloud
computing). Oleh sebab
itu, seorang tenaga ahli
computer forensic juga
dituntut untuk memiliki
kompetensi pengetahuan
serta ketrampilan untuk
mengidentifkasi, menggali,
serta menganalisis jenis-
jenis dokumen dengan
teknologi tertentu yang berpotensi sebagai
bukti digital. Seperti misalnya, sebuah gambar
yang diambil menggunakan kamera digital
modern dapat mengandung informasi meliputi,
tanggal dan jam saat foto diambil, merk dan tipe
kamera yang digunakan, karakteristik lensa
yang digunakan, bahkan mampu menampilkan
informasi posisi dimana foto tersebut diambil.
Semua informasi tersebut merupakan informasi
yang berharga dan berguna untuk membantu
proses investigasi.

Seorang tenaga ahli computer forensic dituntut
untuk mampu merespon suatu insiden secara
tanggap, serta memiliki kecakapan mengolah
bukti digital dengan hati-hati. Terlebih sifat
alami dari bukti digital yang mudah rusak dan
berubah. Sehingga diperlukan prosedur baku
untuk mengolah bukti digital tersebutkarena
kesalahan dalam menerapkan prosedur dapat
mengancam rusaknya bukti digital, bahkan
berakibat pada gagalnya serangkaian proses
investigasi. Selebihnya mengenai prosedur dan
teknik computer forensic secara rinci pada CISO
Magazine di edisi berikutnya.
Seorang
Tenaga Ahli
Computer
Forensic
Dituntut
Untuk Mampu
Merespon
Suatu Insiden
Secara
Tanggap
FORENSIC
RECOMMENDED
Oleh : Andy Jones dan Debi Ashenden
Dr Andy Jones dari University of Glamorgan UK mengeluhkan
tidak adanya buku mengenai manajemen risiko untuk
keamanan komputer yang ditulis oleh praktisi yang ahli di
bidangnya. Rata-rata buku mengenai manajemen risiko ditulis
oleh penulis yang bagus ataupun pelaku riset, namun sering
sekali isinya tidak dapat diaplikasikan secara langsung. Dalam
buku ini, penulis menjelaskan letak risiko dan pengaruhnya
terhadap bisnis serta melihat permasalahan dari sudut
pandang bisnis. Salah satu yang terpenting adalah bagaimana
cara mengatur budget agar bisa menangani risiko sampai
pada tahap yang bisa diterima.
Dapat peroleh di Amazon.com
Elsevier Publishing $50.95
Books
RISK MANAGEMENT
FOR COMPUTER SECURITY
RECOMMENDED
Salah satu data yang paling dicari oleh hacker di dalam
smartphone adalah data kontak dan nomor telepon. Tentu
untuk membatasi akses ke dalam smartphone hanya
menggunakan passcode saja. Tapi banyak jalan menuju roma.
Dengan mengakses database langsung, data kontak dapat
dibaca. Menggunakan aplikasi ContactPro, aplikasi Contact
bawaan dari iPhone tidak dapat membacanya. Hal ini karena
ContactPro menggunakan interface khusus dengan database
yang dienkripsi. Namun sayangnya fitur import data kontak
yang sudah ada tidak bisa secara langsung dipindahkan,
masih harus melakukan secara manual, yaitu memasukan
data satu persatu.
Download Melalui App Store | $ 1.99
Mobile apps
CONTACT PRO
RECOMMENDED
Sutradara : Phil Alden Robinson
Sneakers merupakan salah satu film klasik mengenai
keamanan informasi yang sangat menarik. Film ini
menceritakan teknik social engineering yang sangat
masuk akal, hingga teknik hacking yang bisa dimengerti
dengan mudah meski bukan penggila komputer.
Film Sneakers mengambil latar Amerika pada 1992. Seorang
mantan hacker yang menjadi konsultan keamanan informasi,
Bishop, mengembangkan bisnis bersama tim elitnya. Mereka
mendapatkan tugas dari Pemerintah AS untuk mengintai
ahli kriptografi yang diduga kuat bekerja untuk Rusia. Dalam
perjalanannya Bishop dan tim justru tertipu dengan trik
social engineering sederhana.
Film
SNEAKERS // 1992
IT Information Security
Specialist - Pusat
PT.WOM FINANCE, Tbk
Jakarta Pusat
IT SAP Auditor
RGE Pte Ltd
Riau - Pangkalan
Kerinci
IT Network Engineer
(Security Engineer) (JS-SEN)
OTO Group
Jakarta
Requirements:
// Minimum education S1
computer science / computer
system
// At least 2-5 years experience in
IT Secutiry & IT Audit
// Basic knowledge of multi-
business
// Knowledge of IT SOX and IT
COBIT
// Knowledge of IT Security
// Basic knowledge of
programming and database
// Basic knowledge of system
architecture, network and
integration between systems
// Knowledge management in the
field of IT-related projects
Send your CV and application
letter to:
PT.WOM FINANCE, Tbk
Mega Glodok Kemayoran Office
Tower B Lt.11, Jl.Angkasa Kav B6
Bandar Kemayoran
Jakarta Pusat
Responsibilities:
// To plan, coordinate, and perform
// Audit of IT security controls and
compliance with corporate policies
// To carry out risk assessment
over Technology infrastructure and
components
// To plan and perform IT Audit
assignments in various technology
areas (i.e. IT system development,
general control, SAP application,
data integrity, infrastructure, etc.)
// To conduct Security Awareness
Training prior to promote security
awareness among Employees
Requirements:
// Minimum Bachelor degree in IT
or related fields
// Having min. 3 years experience
in IT Security or IT Audit
// Familiar with SAP modules
// Strong knowledge and skills of
IT Security, especially in Network
Security
Requirements:
// Pria/Wanita, usia maks. 30 th
// Pendidikan Min. S1 Jurusan
Manajemen Informatika/Teknik
Informatika /Teknik Komputer
// Menguasai: AD windows 2003,
messaging dan Proxy Server,
Internetworking TCP/IP, Backup
System, Anti Virus System.
// Mengerti: Storage Area Network
(SAN), Routing dan L3 Switching
// Good command of written and
spoken English; spoken Mandarin
will be an advantage to liaise with
international associates
// Willing to travel extensively
// Willing to be based in Pangkalan
Kerinci - Riau
To apply, please send completed
applications (max 500kb) to:
Eleonora_yovita@rgei.com.
We regret that only shortlisted
candidates will be notified.
device, konsep LAN & WAN,
mengerti bandwith management,
Network Monitoring System (NMS)
dan mengerti End Point Security
// Nilai tambah bagi yang memiliki
: MCP (Microsoft Certified
Professional), MCSE (Microsoft
Certified Systems Engineer),
CCNA (Cisco Certified Network
Associate), CISA / CEHP.
// Pengamalan min.1 thn di posisi
yang sama.
Kirimkan Surat Lamaran, CV
Lengkap beserta Foto Terbaru dan
fotokopi KTP ke e-mail:
recruitment@oto.co.id (maks.400Kb)
*Cantumkan Kode Jabatan pada
sudut kiri atas amplop lamaran atau
pada subject e-mail Kunjungi website
kami : www.oto.co.id atau
www.otofinance.co.id
CAREER
IT Security Staff
PT Collega Inti Pratama
Jakarta Selatan
Manager Internal
Audit IT (MITA)
PT Salim Ivomas
Pratama Tbk
Jakarta Selatan
Assistant Vice President
Internal Audit (Code: IA)
PT Penjaminan Infrastruk-
tur Indonesia (Persero)
Jakarta
Requirements:
// Pria, Usia Max 30 tahun
// Pendidikan Min D3 Teknologi /
Komputer / Jaringan
// Menguasai Linux / AIX operating
system
// Menguasai Troubleshooting
Server, e-mail, Internet, LAN,
Network Security
// Menguasai Zenoss / Nagios /
Hyperic atau alat monitoring
lainnya
// pengalaman min 1 tahun
dibidang yang sama
// Karyawan tetap perusahaan
// Bersedia ditempatkan di Jakarta
Selatan
Kirimkan Surat Lamaran terdiri
dari CV, Pas Foto terbaru, fotokopi
KTP, dan salinan Ijazah & Transkrip
Nilai ke alamat :
HRD PT. Collega Inti Pratama
Jl. TB. Simatupang Kav. 22-26
Talavera Office Park Lantai 6-7
Cilandak Jakarta Selatan 12430
Or hrdcip@collega.co.id
Kualifikasi :
// S1 Akuntansi / Teknik
Informatika / Komputer Akuntansi
// Memiliki pengalaman kerja
minimal 7 tahun dan lebih
diutamakan yang memiliki
pengalaman sebagai IT Auditor,
termasuk menjadi Koordinator tim
IT audit di perusahaan perkebunan
// Memiliki pengetahuan tentang
SAP program
Responsibilities:
// Prepare audit programs
// Conduct the compliance and
substative test
// Prepare draft audit report
// Perform follow up audit
Requirements:
// At least Bachelors Degree
of Accounting or Financial
Management
// Master Degree in Accounting/
Finance is an advantage
// Having minimum 5 years
experience in Audit
// Having CIA or CISA certification
is an advantage
// Computer & IT Literate
// Excellent verbal and written
communication skills, in Bahasa
and English
Application & resume must be
sent within 14 days after this
advertisement to:
Bagian Human Resource
PT PENJAMINAN INFRASTRUKTUR
INDONESIA (PERSERO)
INDONESIA INFRASTRUCTURE
GUARANTEE FUND (IIGF)
Sampoerna Strategic Square Building
NorthTower, 14th Floor
Jl. Jenderal Sudirman, Kav 45-46,
Jakarta 12930 - Indonesia
or e-mail: recruitment@iigf.co.id
// Lebih diutamakan yang
memiliki kualifikasi CISA (Certified
information System Auditor)
// Jujur dan memiliki integritas
// Bersedia melakukan perjalanan
dinas ke lokasi kebun / pabrik
Deskripsi Pekerjaan :
// Menyusun audit program atas
Information Technology (IT) yang
efektif
// Melakukan audit dan mereview
hasil kerja tim audit terkait IT
// Melakukan supervisi atas
beberapa tim audit pada saat yang
bersamaan
// Menyampaikan laporan temuan
audit terkait IT secara lisan
maupun tertulis kepada pimpinan
audit
// Mengusulkan langkah perbaikan
atas temuan audit IT
Go to this page to fill the
application form :
http://www.simp.co.id/
Career/ApplicationForm.
aspx?JobID=5&JobDesc=Manager
%20Internal%20Audit%20%20IT%
20%28MITA%29aspx?JobID=5&
JobDesc=Manager%20Internal%
20Audit%20%20IT%20%28
MITA%29