7183TITRiskManagementandDisasterRecovery

LECTURE NOTES

Introduction to Strategic IT Security

and Risk Management

Dr Ford Lumban Gaol

fgaol@binus.edu

7183TITRiskManagementandDisasterRecovery

LEARNING OUTCOMES

1. Peserta diharapkan mampu mengidentifikasikan Strategic IT Security

2. Peserta diharapkan mengerti fungsi Risk Management

OUTLINE MATERI :
-

CIA triad

Identifikasi,

otentikasi,

otorisasi

Penilaian risiko

Keamanan prinsip

Informasi perang

7183TITRiskManagementandDisasterRecovery

ISI

CIA Triad dalam konteks Keamanan informasi memiliki tiga tujuan utama:
- Menjaga kerahasiaan,
- Integritas, dan
- Ketersediaan sumber daya informasi.

KERAHASIAAN
mekanisme kerahasiaan menegakkan kerahasiaan data Anda.
-

Akses mekanisme kontrol: Mencegah individu yang tidak sah mengakses

sistem.

File system kontrol keamanan: Mencegah individu yang berwenang untuk

menggunakan sistem dari melebihi otoritas mereka dan membaca informasi
rahasia mereka yang seharusnya tidak dapat diakses.

Kriptografi: Dapat digunakan untuk mengenkripsi isi file sensitif dan melindungi
mereka dari mata-mata, bahkan ketika kontrol akses dan mekanisme sistem
keamanan file gagal.

KLASIFIKASI INFORMASI PEMERINTAH

Struktur

Unclassified: Informasi ini mungkin akan bebas berbagi dengan publik tanpa risiko
kerusakan pada keamanan nasional. Informasi ini tunduk pada pengungkapan publik di
bawah Freedom of Information Act (FOIA). Contoh jenis informasi ini adalah sebagian
dari Code of Federal Regulations.

7183TITRiskManagementandDisasterRecovery

Sensitif Tapi Unclassified (SBU): Level ini juga dikenal sebagai Hanya Untuk
Penggunaan Resmi (FOUO); informasinya mungkin tidak mempengaruhi keamanan
nasional, tapi dilindungi dari rilis FOIA oleh salah satu dari sembilan pengecualian
hukum.

Rahasia: Informasi ini akan menyebabkan kerusakan pada keamanan nasional jika dirilis
ke pihak yang tidak berhak. Ini adalah tingkat terendah dimana informasi dianggap
"rahasia" oleh pemerintah dan memerlukan semua penerima memiliki izin keamanan
formal.

INTEGRITAS
Mekanisme kontrol akses: Mencegah individu yang tidak sah mengakses sistem dan
memodifikasi data.

File system kontrol keamanan: Kontrol hak para pengguna data. Mereka mungkin
memberikan sejumlah besar izin pengguna untuk membaca data tetapi hanya beberapa
yang dapat memodifikasi data.

Kriptografi: Sistem menggunakan tanda tangan digital untuk mengkonfirmasi bahwa

pesan tidak berubah dalam perjalanan.

KETERSEDIAAN

Ketersediaan membutuhkan kompromi.

Jika kerahasiaan dan integritas mekanisme dilakukan secara ekstrim, mereka mungkin
mencegah pengguna resmi dari mengakses data dan menggunakannya secara sah.

Selain itu, hacker bisa melakukan serangan yang dirancang khusus untuk mencegah
orang yang berwenang dari mengakses sumber daya komputasi.

Jenis serangan, yang dikenal sebagai denial-of-service attack (DoS), adalah sangat
umum. Bahkan, serangkaian dipublikasikan dengan baik dari serangan DoS. Pada bulan
Februari 2000, hampir menutup beberapa situs Web e-commerce, termasuk Yahoo!,
Amazon.com, dan eBay.

7183TITRiskManagementandDisasterRecovery

OTENTIKASI, IDENTIFIKASI, DAN OTORISASI

Layanan keamanan yang diperlukan untuk mendukung system tiga kaki dari CIA yaitu:
- Memungkinkan pengguna untuk mengidentifikasi diri dengan sumber daya yang
dilindungi.
- Menyediakan sarana untuk sumber daya agar secara objektif mengkonfirmasi identitas
pengguna.
- Menyediakan administrator sumber daya dengan mekanisme untuk menentukan user
mana yang dapat mengakses sumber daya.

Idetifikasi
-

Mekanisme Identifikasi memungkinkan pengguna untuk mengidentifikasi diri mereka ke

sumber daya. Mereka tidak memberikan bukti identitas, mereka hanya menyediakan
sarana bagi pengguna untuk mengakui identitasnya.

Mekanisme identifikasi yang paling umum sekarang digunakan adalah username (atau ID
login), sering terdiri dari kombinasi huruf dari nama pengguna pertama dan terakhir.

Sistem harus memiliki cara untuk mengidentifikasi pengguna individu untuk mencapai
akuntabilitas.

Otentikasi

Mekanisme Otentikasi:

Seorang pengguna mengetahui: Ini bagian dari informasi pribadi hanya diketahui
pengguna. Ia paling umum mengambil bentuk sebuah password yang diberikan ke sistem
dalam kombinasi dengan username. Dengan menyediakan username, pengguna
mengidentifikasi dirinya ke sistem. Namun, banyak orang mungkin tahu (atau menjadi
bisa menebak) nama pengguna.

Sesuatu pengguna adalah: Karakteristik fisik adalah unik kepada pengguna. Pengguna
mungkin akan diminta untuk menyerahkan pembacaan sidik jari, retina scan, atau iris
scan atau mungkin diminta untuk berbicara frase menjadi perangkat voiceprint. Ini jenis
pengukuran, berdasarkan fitur biologis tubuh pengguna, yang dikenal sebagai
pengukuran biometrik.

7183TITRiskManagementandDisasterRecovery

Sesuatu pengguna memiliki: elemen ini bergantung pada kepemilikan fisik perangkat,
seperti beberapa bentuk kunci, kartu akses, atau perangkat fisik lainnya yang entah
bagaimana berinteraksi dengan sistem keamanan untuk membuktikan identitas pengguna.

Nama Ibu ketika Gadis

Selama bertahun-tahun, lembaga keuangan dan lain-lain, berkaitan dengan keamanan

digunakan nama gadis ibu sebagai mekanisme otentikasi karena ketidakjelasan
diasumsikan dari pengetahuan ini. Namun, adopsi dari teknik ini telah dipermudah
jaminan yang disediakan. Jika Anda menggunakan teknik otentikasi, Anda mungkin ingin
mengubah ke mekanisme lain.

TEKNIK OTENTIKASI MULTIFAKTOR POPULAR LAIN

Kata sandi dan pengukuran biometrik (seorang pengguna mengetahui dan sesuatu
pengguna)

Kunci fisik dan password (contoh lain dari sesuatu pengguna memiliki sesuatu dan
pengguna mengetahui)

Kartu akses dan pengukuran biometrik (sesuatu pengguna memiliki sesuatu dan
pengguna)

Otorisasi
Setelah pengguna telah mengidentifikasi dirinya sendiri dan telah puas kepada mekanisme
otentikasi yang berlaku, sistem harus memiliki beberapa cara untuk memutuskan apa tingkat
akses yang akan diberikan. Proses ini dikenal sebagai otorisasi, yang mengontrol hak istimewa
yang tepat diberikan kepada pengguna sistem.

Ancaman

Ancaman adalah setiap kegiatan potensial yang mungkin melanggar kerahasiaan,

integritas, atau ketersediaan sumber daya komputasi Anda.

Institut SANS merekomendasikan bahwa Anda melihat tugas prioritas ancaman dari tiga
perspektif yang berbeda:

7183TITRiskManagementandDisasterRecovery

Gol Bisnis: Anda harus menganalisis tujuan dan tujuan organisasi Anda dan
mengevaluasi ancaman berdasarkan analisis tersebut. Misalnya, jika Anda memproduksi
widget di sebuah pabrik tunggal yang berisi bernilai tinggi, peralatan unik, Anda akan
memprioritaskan ancaman yang membahayakan pabrik itu karena itu adalah baik tak
tergantikan dan kritis bagi bisnis.

Data divalidasi: Ide di balik data yang divalidasi adalah belajar dari kesalahan Anda.
Hal ini menuntut menyimpan catatan dari setiap kompromi keamanan yang terjadi di
jaringan Anda.

Industri praktek terbaik: Perluas pada penggunaan data divalidasi dan belajar dari
kesalahan orang lain juga. Semua sistem harus dilindungi terhadap nomor terkenal
ancaman keamanan komputer.

Kerentanan
-

Ada ketika kelemahan dalam postur keamanan Anda membuka sedemikian sampai
ancaman potensial.

Misalnya, jika Anda memiliki atap yang bocor, ini adalah kerentanan yang membuat
Anda dalam bahaya kerusakan bila hujan lebat.

7183TITRiskManagementandDisasterRecovery

SIMPULAN
Risiko keamanan dari Information Technology dapat dinyatakan sebagai berikut:
1. Risk merupakan kondisi yang dipengaruhi oleh Treat dan Vulnerability.
2. Risk diklasifikasikan sebagai high, low moderate.
3. Pengklasifikasian dari risk adalah sbb

7183TITRiskManagementandDisasterRecovery

DAFTAR PUSTAKA

1. Slay, Jill and Andy Koronios, Security and Risk Management, 2006, John Wiley & Sons,
Inc.
2. Jordan, Ernie & Luke Silcock, Beating IT Risks, 2005, PA Consulting Group. John Wiley &
Sons, Ltd.
3. Alberts, Christopher and Audrey Dorofee. Managing Information Security Risks, The
OCTAVESM Approach, 2003, Addison Wesley.
4. Peltier, Thomas R., Information Security Risk Analysis, 2001, Auerbach.
5.

Whitman, M.E., Mattoro, H.J. (2007). Principles of Incident Response and Disaster Recovery.