Snati2011cloudnanang 130209084754 Phpapp01
Snati2011cloudnanang 130209084754 Phpapp01
Nanang Sasongko
Agenda
Latar Belakang & Profil PT X
Sekilas SaaS & Cloud System
Identifikasi Masalah
Tujuan & Batasan
Objek Penelitian
Standard NIST ( SP800-53A)
Metodologi Pengamanan & Pengujian berbasis
NIST
Proses Pengujian berbasis NIST SP800-53A
Simpulan
Nanang Sasongko
Pendahuluan
Berdasarkan informasi yang diperoleh dari
SDA ASIA dalam kurun waktu lima tahun ke
depan, pasar analisa bisnis software-as-a
service (SaaS), dikenal pula dengan istilah
cloud system akan tumbuh tiga kali lipat
hingga 2013. Menurut IDC, pasar SaaS di
Asia Pasifik tahun ini meningkat cukup
signifikan.
PT X sebagai penyedia jasa yang berbasis
pada software as a service.
Nanang Sasongko
Tujuan
Tujuan penelitin ini adalah menguji
masalah keamanan data pelanggan,
disebabkan karena adanya kekhawatiran
gangguan server atau koneksi
mengalami gangguan jaringan dan
kemanan data, yang merupakan salah
satu hal yang perlu menjadi perhatian
dalam menerapkan bisnis berbasis
konsep software as a service(SaaS)
Nanang Sasongko
Profil Perusahaan
PT. X mengembangkan bisnisnya sebagai penyedia
jasa yang berbasis pada software as a service.
Dalam software as a service, seluruh bisnis proses
dan data pelanggan ditempatkan di sebuah server
data centre milik service provider.
Semua proses dikelola oleh penyedia layanan,
pelanggan dapat menggunakan dan membayar jasa
sewanya setiap bulan sesuai dengan pemakaian.
Sistem software as a service bagi perusahaan dapat
menghemat pengeluaran biaya belanja TI.
Nanang Sasongko
Cloud Computing
Merupakan sebuah sistem yang
mengijinkan kita untuk mengakses semua
aplikasi dan dokumen dari manapun
membuatnya lebih mudah bagi anggota
kelompok yang berada dilokasi berbeda
untuk berkolaborasi. (Miller, 2009:12)
12
Nanang Sasongko
Nanang Sasongko
Cloud Computing
Nanang Sasongko
Nanang Sasongko
17
Nanang Sasongko
3 Kelas Kontrol
Rekomendasi SP800-53 dibagi ke dalam
3 kelompok kontrol :
Operational Control mekanisme yang
diterapkan
Management Control manajemen SI &
resiko
Technical Control kontrol keamanan yg
diterapkan
18
Nanang Sasongko
18 Bagian (family)
Technical
Operational
Management
1
2
Access Control
Audit and Accountability
5
6
Contingency Planning
Incident Response
10
Maintenance
11
Media Protection
12
13
Personnel Security
14
15
16
Planning Management
17
19
Nanang Sasongko
Nanang Sasongko
SP800
53
SP800
53A
Pedoman dalam
pengelolaan kontrol
keamanan sistem
informasi.
Pedoman dalam
pengujian terhadap
pengelolaan kontrol
keamanan sistem
informasi.
Nanang Sasongko
Dalam penyediaan
sistem layanan cloud
computing memiliki
beberapa problema
dasar berkaitan
dengan :
Data availability
Security & Privacy
Integrity,
Confidentiality
22
Metode Penelitian
Dalam melakukan pengujian terhadap
mekanisme sistem pengamanan yang
diterapkan PT.X, penulis menggunakan
standard NIST SP800-53A. Prosedur
pengujian berdasarkan standard NIST
SP800-53A, terdiri dari beberapa tahapan
sebagai berikut :
Nanang Sasongko
Tahapan ...
1. Persiapan untuk melakukan penilaian mekanisme
pengamanan,
2. Membuat perencanaan terhadap kegiatan penilaian
keamanan, dalam tahapan ini :
Jenis penilaian kontrol keamanan
Menentukan kontrol keamanan / perangkat kontrol
tambahan yang harus dimasukkan dalam penilaian
berdasarkan security plan dan tujuan / lingkup
penilaian.
Memilih, menyesuaikan dan mengembangkan
prosedur penilaian yang digunakan selama
penilaian.
Nanang Sasongko
Lanjutan...
Melakukan penilaian terhadap sistem pengamanan,
Puas (Satisfied (S)), yang mengindikasikan bahwa
tujuan kontrol keamanan telah dipenuhi.
Selain puas (Other than satisfied (O)), menunjukkan
bahwa kontrol keamanan memiliki potensi anomali
dalam operasional organisasi atau pelaksanaan
kontrol perlu ditangani oleh organisasi.
Mendokumentasikan hasil penilaian dalam bentuk
laporan penilaian.
Melakukan analisa terhadap hasil laporan penilaian
sistem pengamanan, berdasarkan indikator dari selain
puas other than satisfied) dan puas (satisfied),
Nanang Sasongko
Potensi Impact
Potensi
Dampak
Low
Moderate
High
Deskripsi
Hilangnya kerahasiaan, integritas, atau
ketersediaan menyebabkan
dampak buruk yang membatasi kegiatan
operasional & aset organisasi atau individu.
Hilangnya kerahasiaan, integritas, atau
ketersediaan memiliki efek samping yang
serius pada kegiatan operasional & aset
organisasi atau individu.
Hilangnya kerahasiaan, integritas, atau
ketersediaan dapat memiliki dampak buruk
yang parah atau bencana pada kegiatan
operasional & aset organisasi atau individu.
Nanang Sasongko
Hasil Pengujian
Pada objek penelitian kelas operational
controls, jumlah perolehan satisfy lebih banyak
dari other satisfy,ini artinya opertion control
sudah baik.
Pada management controls, jumlah perolehan
satisfy lebih sedikit dari other satisfy,ini artinya
opertion control sudah belum baik.
Dan pada technical controls jumlah perolehan
satisfy hampir sama banyak dari other satisfy,ini
artinya opertion control tidak terlalu baik.
Nanang Sasongko
Simpulan
1. Pengujian kontrol keamanan yang menggunakan framework NIST
SP800-53A sangat mengutamakan pemeriksaan terhadap
ketersediaan dokumentasi.
2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT.
PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol
keamanan yang perlu ditingkatkan.
3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST
SP800-53A terhadap aspek teknikal dan operasional sistem informasi
hotel sudah memperoleh status satisfied tetapi masih terdapat
beberapa hal yang perlu diperbaiki atau ditingkatkan.
Pengujian terhadap aspek manajemen sistem informasi hotel
memperoleh status other than satisfied, sehingga masih banyak hal
yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya.
Nanang Sasongko
NANANG SASONGKO
Kepala Pusat Studi Ekonomi
Dosen Jurusan Akuntansi Fakultas Ekonomi
Universitas Jenderal Achmad Yani (UNJANI)
BANDUNG
Mobile : 081 320 310 160
E-Mail
: nanangs@bdg.centrin.net.id
Nanang Sasongko