Information Security : Proteksi yang dilakukan pada informasi dan

karakteristiknya (confidentiality, integrity, and availability) termasuk juga sistem

dan hardware yang digunakan untuk menyimpan informasi tersebut

Information Systems Security

: Risk (sesuatu buruk yang akan terjadi),
Threat (sesuatu yang dapat merusak aset), Vulnerability (kelamahan yang
memungkinkan threat untuk terjadi)

Tenets of ISS

Confidentiality : Hanya user

yang terotorisasi yang dapat
melihat (view) informasi
Integrity : Hanya user yang
terotorisasi yang dapat
mengubah (change) informasi
tersebut
Availability
selalu tersedia untuk user yang memiliki akses (Access)

: Informasi

Seven domain of IT infrastucture

1. User domain
: Mengatur mengenai siapa yang dapat
mengakses sistem informasi di dalam suatu organisasi (roles and tasks;
responsibilities; accountability)
2. Workstation domain
: merupakan domain dimana user melakukan
akses ke sistem. Cth: laptop, komputer.
3. LAN domain
: Kumpulan komputer yang terkoneksi satu sama
lain atau dengan media koneksi tertentu. (NIC; Ethernet LAN; Unshielded
twisted pair cabling; LAN switch; file server and print server; wireless
access point (WAP))
4. LAN-to-WAN domain
: domain dimana suatu LAN terkoneksi dengan
jaringan yang luas (WAN) atau internet. port 80; port 20; port 69; port 23;
port 22.
5.

WAN domain
: mengkoneksikan jaringan secara luas dan di
geografis yang berbeda. (Nationwide optical backbones; end-to-end IP
transport; multi-site WAN cloud services; etc)

6. Remote Access domain: mengkoneksikan user yang menggunakan

device mobile ke sistem (mobile worker depends on some factors)
7. System/Application domain: memegang peranan yang kritikal dalam
mengelola sistem, aplikasi, dan data.

4 komponen IT security policy framework

1. Policy
: Statement tertulis mengenai cara untuk bertindak
2. Standard : Dokumen tertulis yang secara detil menjelaskan bagaimana
seharusnya menggunakan suatu software / hardware
3. Procedures : Dokumen tertulis mengenai bagaimana cara menggunakan
policy dan standard
4. Guidelines : Tata cara yang di rekomendasikan untuk menggunakan
policy
Data classification standard:
1. Private data
: Data mengenai seseorang yang harus di jaga
privasinya
2. Confidential
: Data / informasi yang dimiliki organisasi. Cth:
paten, property, customer
3. Internal use only : Informasi / Data yang di share di dalam internal
organisasi
4. Public domain data
: informasi / data yang di share di publik. Cth:
Website
EVOLUTION OF VOICE COMMUNICATIONS:

From Analog to Digital :

Ciri-ciri analog communication

TDM (Time Division Multiplexing : Teknologi yang mendukung

konvergensi (pertemuan) dari video, voice, dan data. Membutuhkan sharing
bandwidth

From Digital to Voice over IP (VoIP) :

Best practice using VoIP and SIP (Session Initiation Protocol)

1.
2.
3.
4.

Endpoint security
Physical Security
Network infrastructure security
Security operation and administration

2 basic ways to communicate

forward communication

: real-time communication , store-and-

Multimodal Communication : Cara berkomunikasi dengan banyak orang

secara sekaligus dalam berbisnis serta melakukan sharing data
4 faktor yang menentukan
1.
2.
3.
4.

Device apa yang akan digunakan ?

Butuh real-time access tidak ?
Apakah real-time access sangat penting ?
Apakah peningkatan kualitas harus produktif ?

3 konvergensi VoIP
: Protocol Convergence, Infrastructure Convergence,
Application Convergence
Unified Communication (UC) : real-time communication seperti instant
messaging, video conference
UC applications provide these features:
1.
2.
3.
4.
5.

Presence/ availability
Instant messaging (IM) chat
Audio conferencing
Videoconferencing
Collaboration

Keuntungan UC

Evolution from Brick-to-Mortar to e-Commerce

E-commerce supports 2 business models:

1. Business to Consumer (B2C) : membuat suatu toko online agar
customer dapat membeli produk melalui website
2. Business to Business (B2B) : membuat sistem online yang
mengkoneksikan penjualan produk dan jasa dengan bisnis lain. Cth:
delivery system, supply chain
New internet business chalenge
1.
2.
3.
4.
5.

Membesarkan bisnis melalui internet

Mengubah bisnis yang fisik ke e-business
Membangun website dan e-commerce portal yang aman
Membangun customer service berbasis web
Mencari customer baru dengan marketing internet

An Organizations assets can include the following:

IT and Network infrastructure

Intellectual property
Finances and financial data
Service availability and productivity
Reputation

Types of hackers:

Black-hat hackers : hacker yang mencoba untuk merusak sekuritas

dari IT tetapi tidak memberikan solusi untuk memperbaikinya
White-hat hackers : ethical hacker, hacker yang merupakan
network professional yang melakukan berbagai percobaan untuk
menghilangkan kelemahan di dalam sistem
Gray-hat hackers
: wannabe, merupakan hacker yang masih
belum handal dan berpotensi untuk menjadi black / white hacker

Tools dan Teknik untuk hacking

Vulnerability scanners
: mengumpulkan informasi mengenai
kelemahan suatu network
Port scanners
: Tersambung ke komputer untuk mencari port
mana yang terbuka
Sniffers
: Program yang merekam traffic yang melewati
jaringan
Wardialers
: Program yang melakukan panggilan ke telepon
untuk mencari komputer yang tersambung pada telepon tersebut
Keyloggers
: software yang merekam setiap input keyboard
yang dilakukan oleh user

SECURITY BREACH
tenets

: Semua aktivitas yang melanggar A-I-C dari security

Activities that can cause a security breach are:

Denial of service (DoS) attacks

: logic attack, flooding attack
Distributed denial of service (DoS) attacks : variasi dari DoS,
menyerang banyak komputer secara bersamaan
Unacceptable web browsing behavior : browsing informasi yang
tidak di perbolehkan
Wiretapping : between the lines, piggyback entry
Use of a backdoor to access resources
Accidental data modifications : hanya sebagian data yang di ubah,
data value yang salah
Additional Security Challenges : spam, hoax, cookie

The most common threats, in no particular order are:

Malicious software
Hardware and software failure
Internal attacker
Equipment theft
External attacker
Natural disaster
Industrial espionage
Terrorism

Threat Types

Denial or Destruction Threat : membuat aset tidak bisa digunakan lagi

Alteration Threat
: mengubah informasi tanpa hak akses
Disclosure Threat
: akses yang tidak terorotisasi pada
private / confidential data. Cth : Sabotage (merusak), espionage
(memata-matai)

MALICIOUS ATTACK
: Serangan yang terjadi pada computer atau network
dengan memanfaatkan vulnerability di dalam jaringan
There are 4 general categories attacks:

Fabrications
: membuat suatu penipuan untuk mengelabui
user
Interceptions
: mencuri informasi saat transmisi dan
mengarahkan kepada akses yang tidak di perbolehkan
Interruptions
: memblokir transmisi data
Modifications
: mengubah data yang sedang di transmisikan

Active Threats

1. Brute Force attack

: mencoba password berkali-kali sampai benar
2. Dictionary attack : serangan pada user yang menggunakan password
yang mudah dengan mencarinya di kamus
3. Address Spoofing
: mengelabui sistem dengan cara menyamar
menjadi user
4. Hijacking
: si penyerang mengambil kontrol dari suatu sesi dan
menyamar menjadi user. Tipe hijacking : Man in the middle (menyamar

jadi salah satu user), Browser hijacking (website palsu), Session

hijacking (mengambil kontrol koneksi yang sedang berlangsung)
5. Replay Attack
: merekam data dari suatu packet dan mengirim
kembali
6. Man in the middle : melakukan intersepsi pertukaran pesan antara 2 user
7. Masquerading
: menyamar jadi user lain
8. Eavesdropping
: mencuri paket yang sedang di transmisikan
9. Social engineering : mengelabui user yang terotorisasi untuk melakukan
tindakan yang tidak terotorisasi
10.
Phreaking
: orang yang mempelajari sistem jaringan pada
telepon
11.
Phising
: melakukan penipuan untuk memberikan
informasi yang private. Cth : Pin BCA, CC number
12.
Pharming
: mencuri informasi private dengan menyerang
DNS yang asli
Malware exist in two categories:
1. Infecting programs
: viruses and worms
2. Hiding programs : trojan horses, rootkits and spyware
Virus

: software yang melakukan peng-copy-an diri ke dalam program lain

Worms
: menduplikasikan diri dan mengirimkannya kepada computer
lain melalui network. Tujuannya untuk memakan bandwidth network
Trojan Horse

: menyamar sebagai program yang berguna

Rootkis
: software yang memodifikasi suatu program untuk
menyembunyikan serangannya
Spyware
: mengambil informasi confidential melalui internet tanpa
sepengetahuan user
Countermeasure :
1. Membuat program edukasi untuk menghindari user untuk menginstall
malware
2. Memberikan buletin malware secara berkala
3. Jangan pernah mengirim file ke sumber yang tidak jelas
4. Mencoba program yang baru dengan komputer yang tidak terkoneksi
dengan jaringan
5. Menginstall anti-malware software
6. Menggunakan secure logon dan proses authentication
Risk management
: proses untuk mengidentifikasi, menentukan,
memprioritaskan, dan menangani resiko
Risk = Threats x Vulnerabilities

the steps in the risk management process are as follows:

Risk
Risk
Risk
Risk

identification
analysis
: quantitative / qualitative risk analysis
response planning
monitoring and control

4 cara untuk merespon risk yang negatif

a. Avoid

: menghindari.

b. Transfer : contoh menggunakan asuransi.

c. Mitigate : mengurangi. Contoh: sering update.
d. Accept

: menerima saja apa yg telah terjadi.

4 cara untuk merespon risk yang positif :

a. Exploit
: memanfaatkan resiko tersebut untuk keuntungan
b. Share
: berbagi dengan 3rd party untuk mengambil
keuntungan dari resiko
c. Enhance
: meningkatkan kemungkinan resiko untuk menghasilkan
sesuatu yang baik
d. Accept
: tidak melakukan apa-apa
BIA (Business Impact Analysis)
: analisis formal mengenai fungsi dan
aktivitas pada suatu organisasi yang mengklasifikannya sebagai sesuatu yang
kritikal atau non kritikal
Recovery goals and requirements are expressed as:

Recovery point objective (RPO)

Recovery time objective (RTO)
Business recovery requirements
Technical recovery requirements

BCP (Business Continuity Plan)

: merupakan rencana mengenai respon
yang terstruktur kepada segala kejadian yang menginterupsi area dan fungsi
bisnis yang kritikal
DRP (Disaster Recovery Plan)
harus dilakukan jika terjadi bencana

: Perencanaan mengenai aktivitas yang

The critical steps in responding to a disaster include the following:

Memastikan keselamatan semua orang

Memberi respon kepada bencana terlebih dahulu sebelum melakukan
recovery
Mengikuti DRP, termasuk mengkomunikasikannya kepada semua pihak

DRP Test

Gap Analysis
: suatu teknik untuk memastikan bahwa kita sudah puas
dengan policy dari organisasi yang ada
1.
2.
3.
4.
5.
6.
7.
8.

Identifikasi kebijakan lama

Mengumpulkan policy, standard, procedure, dan guideline dokumen
Mereview policy, standard, procedure, dan guideline
Mengumpulkan informasi mengenai semua hardware dan software
Interview terhadap user
Membandingkan sekuritas yang sekarang dengan policy yang baru
Memprioritaskan gap yang telah di temukan
Mendokumentasikan dan mengimplementasi solusi

Some authentication controls include:

Password and PINs

Smart cards and tokens
Biometric devices
Digital certificates
Challenge response handshakes : security question
Kerberos authentication
One-time password

Authorization controls include:

authentication server rules and permissions

access control lists
intrusion detection and prevention
Connection and access policy filters
Network traffic filters

4 parts of AC

Authorization : menentukan siapa yang boleh akses

Identification : bagaimana cara identifikasinya. Cara yang digunakan
subjek untuk merequest akses
Authentication
: cara identitas nya di verifikasi. Memastikan
subjek yang merequest adalah subject yang diberikan akses juga
Accountability: cara agar aktivitas user bisa di tracking, jadi tau sapa
yang ganti datanya

The 4 parts are divided into two phases:

The policy definition phase

saja yang bisa di akses
The policy enforcement phase
penerimaan akses

2 type of access control

: Siapa yang boleh akses dan apa

: memberikan penolakan atau

Physical access controls

Logical access controls

: fisik
: sistem, jaringan

4 central elements of access to manage access control policies well:

Users
Resources
Actions
Relationship

: orang yang menggunakan sistem

: objek yang di proteksi dalam sistem
: aktivitas yang dapat dilakukan
: kondisi antara user dan resource

AUTHORIZATION POLICY

1. group membership policy : termasuk golongan mana ?

2. Authority level policy
: siapa saja yang boleh ?
Identification method : pakai apa akses nya ? smart card, pin, dll
Identification guidelines

: setiap user harus punya unique identifier (ID)

Authentication types
1. Knowledge

: sesuatu yang kita ketahui. PIN, password

2. Ownership
: sesuatu yang kita miliki, smartcard, token, key
3. Characteristics
: seuatu yang merupakan karakteristik kita.
finger print
Password best practices
:
1. Jangan menggunakan password yang lemah
2. Jangan menyimpan password secara tertulis
3. Jangan berbagi password
4. Gunakan password yang berbeda untuk user account yang berbeda
5. Jika merasa password berbahaya, segera ganti
6. Hati-hati ketika menyimpan password di komputer
7. Pilih password yang sulit di tebak
Tips for creating strong passwords

1. Minimal 8 karakter
2. Kombinasi huruf besar dan kecil
3. Ada special karakter
4. Berisi huruf atau simbol di pertama dan terakhir
5. Tidak boleh mengandung usernam
6. Tidak boleh mengandung nama dari user atau kenalan
7. Tidak boleh menggunakan nomor karyawan dsb
8. Tidak boleh menggunakan kata umum
9. Tidak boleh mengandung nama umum
10.Tidak boleh mengandung susunan kata
Ingredients to accountability:
1.
2.
3.
4.

log files
data retention
media disposal
compliance requirements

FORMAL MODELS TO AC

Discretionary access control (DAC) : Memungkinkan user untuk

mengontrol akses terhadap datanya sendiri
Mandatory access control (MAC) : Akses ke sistem hanya dimiliki oleh
pemiliknya
Non- discretionary access control : Kontrol dimonitor oleh security
administrator, bukan system administrator
Rule based accessed control
: Aturan yang di atur oleh data
owner yang menentukan siapa saja yang boleh akses

Tipe DAC

1. operating systems based DAC : file, aplikasi, serta memory apa saja
yang bisa diakses
2. application based DAC : menu apa saja yang bisa di akses
3. permission levels
: hak subject terhadap sistem

Tipe Rule based accessed control :

Role based access control (RBAC)

Content based access control

Access control can be compromised several ways:

1.
2.
3.
4.
5.
6.
7.
8.
9.

Physical access
Eavesdropping by observation
Bypassing security
Exploiting hardware and software
Reusing or discarding media
Electronic eavesdropping
Intercepting communication
Accessing networks
Exploiting applications

EFFECTS OF AC VIOLATIONS :
1.
2.
3.
4.
5.
6.

Loss of customer confidence

Loss of business opportunities
New legislation and regulation imposed on the organization
Bad publicity
More oversight
Financial penalties

CENTRALIZED AC : kontrol dilakukan terpusat

Keuntungan AAA (authentication, authorization, and accounting)
servers
:

Waktu administrasi berkurang karena di simpan di satu tempat

Mengurangi design error
Mengurangi security administrator training
Meningkatkan dan memudahkan auditing
Mengurangi panggilan help-desk

3 types of AAA Servers :

RADIUS
: menggunakan client dan user configuration
TACACS+ : IETF standard that uses a single configuration file
DIAMETER : DIAMETER is based on RADIUS

DECENTRALIZED AC

: kontrol tidak terpusat. Cth: oleh department manager