05/04/2012

Regulasi bidang Keamanan Informasi &

Penjaminan Informasi

Kementerian Komunikasi dan Informatika

bekerja sama dengan

Institut Teknologi Bandung

Institut Teknologi Sepuluh November
Universitas Gajah Mada
Universitas Indonesia

KEMKOMINFO

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
2

05/04/2012

Apakah informasi itu?

KEMKOMINFO

Dari perspektif Keamanan Informasi

Informasi diartikan sebagai sebuah
aset; merupakan sesuatu yang
memiliki nilai dan karenanya harus
dilindungi
Nilai secara intrinsik melibatkan
subyektivitas yang membutuhkan
penilaian dan pengambilan keputusan
3

Bentuk informasi
KEMKOMINFO

Gagasan, pikiran dalam bentuk tulisan, pidato

Hardcopy (asli, salinan, transparan, fax)
Softcopy (tersimpan di media tetap atau portabel)
Pengetahuan perorangan

Ketrampilan teknis
Pengetahuan korporasi
Pertemuan formal dan informal
Percakapan telepon
Telekonferensi video

05/04/2012

Penjaminan Informasi
KEMKOMINFO

Penggunaan operasi2 informasi untuk

melindungi informasi, sistem dan jaringan
informasi, dengan cara memastikan:
ketersediaan, integritas, keaslian, kerahasiaan
dan non-repudiasi, dengan
mempertimbangkan resiko akibat ancaman
dari lokal atau tempat yang jauh melalui
jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu
organisasi tidak mempunyai kepastian tentang
informasi yang diperlukan untuk pengambilan
keputusan penting, adalah andal, aman, dan
tersedia saat dibutuhkan
5

Keamanan Informasi
KEMKOMINFO

Konsep, teknik dan hal-hal yang terkait

dengan kerahasian, ketersediaan,
integritas, keaslian dari informasi
Teknik: enkripsi, digital signature,
intrusion detection, firewall, kontrol akses
dll
Manajemen: strategi, desain, evaluasi,
audit
Standar dan sertifikasi
6

05/04/2012

Gambar Besar (Big Picture)

KEMKOMINFO

Penjaminan Informasi

Sekuriti Informasi

Ketergantungan Informasi

Kerahasiaan, Keutuhan,
Ketersedian, Akuntabilitas

Keandalan, Ketersediaan,
Pencegahan Kegagalan,
Penghindaran dan Toleransi

Kemampuan untuk pulih dari

kegagalan dan serangan Y. Qian et al., 2008
7

Contoh-contoh kasus
KEMKOMINFO

2010
2010
Ags 2008
Apr 2007
Sep 2005
Mei 2005
Apr 2001

Wikileaks
Virus Stuxnet menyerang PLTN di Iran
Serangan Internet terhadap Situs web Georgia
Serangan Cyber terhadap Estonia
Kontroversi Kartun Muhammad (Jyllands-Posten)
Malaysia-Indonesia
Sino-AS

Stuxnet video

05/04/2012

Regulasi
KEMKOMINFO

UU RI no. 11 thn 2008 tentang

Informasi dan Transaksi Elektronik

Konsep & Prinsip dasar

KEMKOMINFO

CIA dkk
Confidentiality
Integrity
Availability
Non-repudiation

10

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
11

Hubungan antara Risiko dan Aset Informasi

KEMKOMINFO

Ancaman

Manajemen

mengurangi

Kebutuhan
sekuriti

eksploitasi

Vulnerability

Resiko

Aset

Nilai
Aset

12

05/04/2012

Klasifikasi informasi
KEMKOMINFO

Skema Klasifikasi Informasi Sederhana

Definisi

Deskripsi

Public (umum)

Informasi yang aman dibuka untuk umum (publik)

Internal use only

Informasi yang aman untuk dibuka internal, tetapi tidak untuk

eksternal

Company
confidential (Rahasia
perusahaan)

Kriteria klasifikasi
Nilai
Umur
Waktu berlaku (useful life)
Keterkaitan dengan pribadi (personal association)
13

4R Keamanan Informasi
KEMKOMINFO

Right
Information
(informasi
yg tepat)

Right People
(pada orang
yg tepat)

Right Form
(format yg
tepat)

Right Time
(pada
waktu yg
tepat)
14

05/04/2012

Jenis-jenis serangan
KEMKOMINFO

Hacking
Denial of Service (DoS)
Kode berbahaya (malicious code)
Social engineering

15

Peningkatan Keamanan
KEMKOMINFO

Pengamanan Administratif
Strategi, kebijakan, dan pedoman
keamanan informasi
Strategi keamanan informasi
Kebijakan keamanan informasi
Pedoman keamanan informasi
Standar keamanan informasi
IT Compliance

Proses dan operasi keamanan informasi

Program pendidikan dan pelatihan keamanan
informasi
Penguatan promosi melalui berbagai kegiatan
Pengamanan dukungan

16

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
17

Pengamanan dengan Teknologi (I)

KEMKOMINFO

Model Defense-in-Depth (DID)

18

05/04/2012

Pengamanan dengan Teknologi (II)

KEMKOMINFO

Teknologi Pencegah

Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext)
menjadi sandi, bentuk yang tidak dapat dipahami
One-Time Passwords (OTP)
OTP hanya dapat digunakan sekali. Password statis lebih mudah
disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.

Firewall (Dinding api)

Firewall mengatur beberapa aliran lalu lintas antara jaringan

komputer dari trust level yang berbeda.

Alat penganalisis kerentanan

Ada 3 jenis alat penganalisis kerentanan:
Alat penganalisis kerentanan jaringan
Alat penganalisis kerentanan server
Alat penganalisis kerentanan web

19

Pengamanan dengan Teknologi (III)

KEMKOMINFO

Teknologi Pendeteksi
Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir
atau mengeliminasi kode berbahaya
IDS (Intrusion Detection System)
IDS mengumpulkan dan menganalisis informasi dari
berbagai area dalam sebuah komputer atau jaringan
untuk mengidentifikasi kemungkinan penerobosan
keamanan
IPS (Intrusion Prevention System)
IPS mengidentifikasi potensi ancaman dan bereaksi
sebelum mereka digunakan untuk menyerang

20

10

05/04/2012

Pengamanan dengan Teknologi (IV)

KEMKOMINFO

Teknologi Terintegrasi
ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan mengoperasikan
solusi keamanan informasi seperti IDS dan IPS mengikuti
kebijakan yang ditetapkan
ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi seluruh
risiko yang terkait dengan organisasi, termasuk area di
luar keamanan informasi, dan mengatur langkah
mengatasinya secara otomatis

21

Peran & Tanggung Jawab

KEMKOMINFO

Peran

Deskripsi

Manajer senior

Tanggung jawab paling besar untuk sekuriti

Pejabat Sekuriti
Informasi

Tanggung jawab fungsional untuk sekuriti

Pemilik

Menentukan klasifikasi informasi

Penyimpan
(Custodian)

Memelihara CIA dari informasi

Pengguna/operator

Menjalankan kebijakan yang telah ditetapkan

Auditor

Memeriksa sekuriti

22

11

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
23

Metodologi Keamanan Informasi

KEMKOMINFO

Model Proses ISO/IEC 27001 (BS7799)

ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act,
yang digunakan untuk mengatur struktur seluruh proses ISMS
(Information Security Management System).
Model PDCA yang diterapkan ke Proses ISMS
Menetapkan
ISMS

Pihak-pihak
yang terlibat
Implementasi
dan operasi
ISMS
Kebutuhan dan
ekspektasi
sekuriti
informasi

Pihak-pihak
yang terlibat
Memelihara dan
memperbaiki ISMS

Memantau
dan review
ISMS

Sekuriti
Informasi
termanaj

24
Sumber: ISO/IEC JTC 1/SC 27

12

05/04/2012

Metodologi Keamanan Informasi

KEMKOMINFO

ISO/IEC 27001 (BS7799)

Analisis kesenjangan
Proses pengukuran tingkat keamanan informasi saat ini
dan menetapkan arah masa depan keamanan informasi
Kajian risiko
Terdiri dari dua bagian: kajian nilai aset dan kajian
ancaman dan kerentanan
Penerapan kontrol
Diperlukan keputusan untuk menerapkan kontrol yang
sesuai untuk masing-masing nilai aset. Risiko perlu dibagi
ke dalam risiko yang dapat diterima dan risiko yang tidak
dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.

25

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
26

13

05/04/2012

Standar Kegiatan Keamanan Informasi

KEMKOMINFO

ISO [International Standards Organization]

ISO/IEC27001 disusun oleh ISO/IEC dan fokus
kepada keamanan administratif
CISA [Certified Information Systems Auditor]
CISA fokus pada kegiatan audit dan
pengendalian sistem informasi
CISSP [Certified Information Systems Security
Professional]
CISSP fokus utamanya pada keamanan teknis

27

Aspek-aspek Keamanan Informasi

KEMKOMINFO

Teknologi

Orang

Pelatihan dan Kepeka-tanggapan

Administrasi sekuriti
Sekuriti pribadi
Sekuriti fisik
Manajemen fisik
Auditing dan pemantauan
Indikasi dan peringatan
Deteksi dan Tanggapan Kejadian
Kontingensi dan pemulihan

Operasi

28

14

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
29

Sekuriti IT, Etika dan Masyarakat

KEMKOMINFO

Teknologi informasi
memiliki dampak baik
dan buruk bagi
masyarakat (orang)

Manajemen aktivitas kerja untuk

meminimkan dampak buruk
Berupaya untuk memaksimalkan
dampak baik

Tanggung jawab etika dari profesional bisnis

Mempromosikan penggunaan etika dalam TI
Menerima tanggung jawab etika dari pekerjaan
Peran yang cocok sebagai SDM berkualitas
Mempertimbangkan dimensi etika dalam segala
kegiatan dan pengambilan keputusan

15

05/04/2012

Etika Teknologi Informasi

KEMKOMINFO

Tujuan pembelajaran
tanggung jawab etika:

Privacy

Kepegawaian

Isu-isu etika terkait

penggunaan
teknologi informasi
Etika
dalam bisnis yang
Sekuriti
TI
mempengaruhi
dalam
kepegawaian,
Kesehatan
Bisnis
perorangan,
privacy, situasi kerja,
kriminal, kesehatan
dan masalahmasalah sosial
Perorangan
kemasyarakatan.

Kriminal

Situasi
Kerja
31

Ditinjau dari Teori Pertanggungjawaban Sosial

Korporasi (CSR/Corporate Social Responsibility)
KEMKOMINFO

Stockholder Theory

Teori Kontrak
Sosial

Stakeholder
Theory

Manajer adalah agen

dari stockholders.
Tanggung jawab etika
mereka adalah
meningkatkan
keuntungan tanpa
melanggar hukum atau
menipu.

Perusahaan
memiliki
tanggung jawab
etika terhadap
seluruh
komponen
anggota
masyarakat.

Manajer memiliki
tanggung jawab
etika untuk
memanaj
perusahaan agar
menguntungkan
bagi semua
pemegang
saham.

16

05/04/2012

Profesional Bertanggung Jawab

KEMKOMINFO

Bertindak dengan integritas

Selalu meningkatkan kompetensi diri
Menetapkan standar yang tinggi untuk
kinerja diri
Menerima tanggung jawab atas kerjanya
Memajukan derajat kesehatan, privacy dan
kesejahteraan umum dari publik

Kejahatan Komputer (Kejahatan TI)

KEMKOMINFO

Penggunaan tidak sah, akses tidak sah, modifikasi tidak

sah, atau pengrusakan perangkat keras, perangkat
lunak, data atau sumber daya jaringan
Rilis yang tidak sah atas informasi

Salinan yang tidak sah atas perangkat lunak

Menolak akses pengguna terhadap perangkat kerasnya
sendiri, perangkat lunaknya, datanya atau sumber daya
jaringannya sendiri
Penggunaan atau berkomplot untuk pemanfaatan
komputer atau sumber daya jaringan untuk memperoleh
informasi atau tangible property

17

05/04/2012

KEMKOMINFO

Kejahatan Komputer (II)

Hacking
Penggunaan obsesif
atas komputer atau
akses tidak sah dan
penggunaan tidak sah
jaringan

Pelaku

Cyber Theft
Meliputi entry (masuk)
jaringan tidak sah dan
pengubahan isi basis
data
35

Prinsip Etika Teknologi

KEMKOMINFO

Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus

lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak
ada cara lain yang dapat meraih kebaikan/keuntungan yang
sama dengan mudharat atau resiko lebih kecil.
Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh
teknologi ini harus memashmi dan menerima resikonya
Keadilan. Keuntungan dan beban dari teknologi harus
didistribusian secara adil. Siapa yang mengambil keuntungan
seharusnya memikul beban yang pantas juga dan yang kurang
mengambil keuntungan, tidak ketambahan resiko.
Meminimkan resiko. Walaupun sudah ada tiga poin di atas,
teknologi seharusnya diimplementasikan dengan menghindari
semua resiko yang tidak perlu.

18

05/04/2012

Agenda
KEMKOMINFO

Konsep dan prinsip dasar

Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
37

Konsep Privasi (1)

KEMKOMINFO

Apakah Informasi Pribadi?

Secara sempit, Informasi pribadi adalah informasi
yang berkaitan dengan individu yang dapat
diidentifikasi atau orang yang teridentifikasi.
Informasi Pribadi, definisi sempit
Nama

Alamat e-mail

Hubungan keluarga

Nomor lisensi mobil

Nomor telepon

Nomor kartu kredit

Alamat

Karakteristik fisik

38

19

05/04/2012

Konsep Privasi (2)

KEMKOMINFO

Apakah Informasi Pribadi?

Dalam pengertian lebih luas, mencakup informasi
pribadi seperti informasi kredit, detail transaksi, detail
panggilan telepon, latar belakang akademik, karir,
evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit

Detail transaksi

Detail panggilan telepon

Latar belakang akademik

Karir

Evaluasi

Pendapat

Catatan kriminal

39

Konsep Privasi (3)

KEMKOMINFO

Informasi Pribadi dan Privasi

Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak pada
perilaku pihak lain terhadap pribadi yang
bersangkutan dan pada akhirnya berdampak negatif
terhadap kehidupan sosial, harta benda, dan
keselamatan-nya.
Oleh karena itu, informasi pribadi harus dilindungi dari
akses, pengumpulan, penyimpanan, analisis dan
penggunaan yang salah. Dalam hal ini, informasi
pribadi adalah subyek perlindungan.

40

20

05/04/2012

Opt-in Versus Opt-out

KEMKOMINFO

Opt-In (Opsi Masuk)

Anda harus secara
eksplisit menyatakan
bahwa data tentang
Anda boleh
dikompilasi
Default di Europe

Opt-Out (Opsi Keluar)

Data tentang Anda
dapat dikompilasi,
kecuali Anda minta
untuk tidak
dimasukkan
Default di AS.

Isu-isu Tambahan Privacy

KEMKOMINFO

Pelanggaran Privacy
Mengakses email pribadi, percakapan pribadi dan rekaman komputer
pribadi
Mengumpulkan dan berbagi informasi tentang seseorang dari
kunjungannya ke situs-situs Internet

Pemantauan Komputer
Selalu tahu di mana seseorang berada
Layanan seluler cenderung dekat dengan asosiasi di mana seseorang
berada
Computer Matching
Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa
layanan bisnis

Akses Tidak Sah atas File-file Pribadi

Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit,
dan informasi-informasi lain untuk membangun profil orang

21

05/04/2012

Melindungi Privacy di Internet

KEMKOMINFO

Menyandi surel
Mengirim posting surel lewat remailer
anonim
Meminta ISP untuk tidak menjual nama dan
informasi Anda ke penyedia milis dan
pengguna jasa broadcast lainnya.
(Meminta operator seluler?)
Tidak membuka data pribadi dan hobi
secara daring (online) atau di situs web

Kebebasan Komputer dan Sensor

KEMKOMINFO

Sisi berlawanan dari debat privacy

Kebebasan informasi, kebebasan berbicara dan kebebasan

pers

Tempat-tempat

Bulletin boards (kaskus, kompasiana, surel pembaca)

Email boxes
Online files of Internet and public networks

Persenjataan dalam Pertempuran

Spamming
Pengiriman e-mail ke banyak pengguna unsolicited

Flame mail
Sending extremely critical, derogatory, and often vulgar email
messages or newsgroup postings to other Internet users or online
services
Especially prevalent on special-interest newsgroups

22

05/04/2012

Cyberlaw
KEMKOMINFO

Hukum diniatkan untuk mengatur aktivitas

ber-Internet via perangkat komunikasi

Mencakup sejumlah isu

hukum dan politik
Meliputi properti intelektual, privacy,
kebebasan berekspresi dan jurisdiksi

Irisan antara teknologi

dan hukum merupakan
bahan perdebatan
Perlukah regulasi Internet?
Kriptografi menyulitkan bila
regulasinya tradisional
Komunitas Internet
menganggap sensor
merupakan penghambat
dan beberapa pihak malah
melakukan by-pass

UU ITE

Ringkasan
KEMKOMINFO

Informasi adalah salah satu aset yg sangat berharga bagi

suatu organisasi. Ancaman terhadap keamanan informasi
datang berupa pembeberan yang tidak sah, korupsi atau
halangan terhadap layanan.
Tujuan dari keamanan adalah untuk melindungi aset
yang sangat berharga, khususnya berkaitan dengan
kerahasiaan, integritas dan ketersediaan dari informasi
dan aset yang mengolah, menyimpan dan mengirim
informasi tersebut.
Regulasi, kebijakan dan petunjuk tentang keamanan
didasarkan pada konsep dan prinsip kemanan.
Pemahaman terhadap konsep dan prinsip tersebut
memungkinkan seorang staf IA mengambil keputusan
yang benar dan efektif.

46

23

05/04/2012

Informasi lebih lanjut

KEMKOMINFO

www.cert.or.id - Indonesia Computer Emergency

Response Team
www.wired.com/threatlevel/ - Artikel2 tentang
keamanan informasi

47

Diskusi
KEMKOMINFO

Nilailah tingkat kesadaran keamanan informasi di

antara anggota organisasi Anda.
Temukan contoh langkah keamanan informasi
dalam domain administratif, fisik, dan teknis di
organisasi Anda atau organisasi lain di negara atau
wilayah Anda.
Ancaman keamanan informasi apa yang mudah
menyerang organisasi Anda? Mengapa?
Solusi teknologi keamanan informasi mana yang
tersedia di organisasi Anda?
Apakah organisasi Anda memiliki kebijakan, strategi
dan pedoman keamanan informasi?

48

24

05/04/2012

KEMKOMINFO

Akhir dari Modul 4

Terima kasih

Ethical Guidelines of the AITP

KEMKOMINFO

25

05/04/2012

Privacy Issues
KEMKOMINFO

The power of information technology to store and

retrieve information can have a negative effect on
every individuals right to privacy
Personal information is collected with every
visit to a Web site
Confidential information stored by credit
bureaus, credit card companies, and the government has
been stolen or misused

26