P. 1
Keamanan IT

Keamanan IT

|Views: 51|Likes:
Dipublikasikan oleh albertusbudi12

More info:

Published by: albertusbudi12 on Mar 28, 2011
Hak Cipta:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPTX, PDF, TXT or read online from Scribd
See more
See less

10/24/2012

pdf

text

original

LATAR BELAKANG

Sekuritas pada sistem informasi yang berbasis computer (IT) sudah sejak lama menjadi bahan pembicaran dan mendapat perhatian dari berbagai pihak yang terlibat dalam sistem informasi

Organisai semakin sadar untuk menjaga keamanan dari seluruh sumber daya yang dimilikinya , baik virtual maupun fisik termasuk yang terkait dengan sistem informasi Perusakan sistem komputer pada perang Vietnam telah banyak menginspirasi Sistem keamanan sistem informasi ,

Sistem keamanan yang pada awalnya terbatas pada keamanan piranti keras dan data telah dikembangkan pada piranti lunak , fasilitas komputer dan personil

Menyangkut kerahasiaan dan privasi dari dan pihak ± pihak tertentu yang harus dilindungi (proteksi) dari pihak ± pihak lain yang tidak berkepentingan.

y Dokter di Australia menjual informasi

mengenai pasiennya pada perusahaan yang bergerak dalam bidang marketing
y Seorang petugas di bekerja pada Instansi

Kesehatan Masyarakat di Florida telah mengakses 4000 nama penderita HIV dan menyampaikannya pada Pers dan dapat dibaca oleh para pembaca surat kabar

y Seorang staff administrasi dapat

mengakses electronic record untuk melihat riwayat sakit pasien diluar area kewenangannya y Computer Hackers dengan menembus sistem komputer yang digunakan oleh dokter untuk berkomunikasi dengan pasiennya dapat secara leluasa mengakses ´Family medical History´ dan mempergunakannya untuk kegiatan yang bersifat kriminal

Sistem Komputer KPU di Sulawesi pada tanggal 13 April 2009 dapat diintervensi oleh Computer Hackers

Nursing information system (NIS)
Perawatan sistem informasi yang digunakan untuk mengotomasasi proses keperawatan dari penilaian, evaluasi,Termasuk fitur dokumentasi. perawatan umum pasien keperawatan NIS termasuk pendukung keputusan perawatan pasien, aplikasi manajemen, dan pendidi kan keperawatan dan penelitian

TUJUAN KEAMANAN INFORMASI
Kerahasiaan Perlindungan terhadapdata data dan informasi serta pengungkapan oleh orang-orang yang tidak berwenang Ketersediaan Ketersediaan data dan informasi merupakan salah satu tujuan infra struktur dalam suatu organisasi

Integrigtas Sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya

CONFIDENTIAL DAN PRIVACY MERUPAKAN BAGIAN DARI SECURITY

SECURITY , CONFIDENTIAL DAN PRIVACY MASING ² MASING MEMILIKI PENGERTIAN SENDIRI

Confidentiality
SUATU TINDAKAN UNTUK MEMBATASI PENGUNGKAPAN HAL ± HAL YANG SIFATNNYA PRIBADI MENJAGA KEPERCAYAAN INDIVIDUAL YANG DI BERIKAN KEPADA SESEORANG YANG DIPERCAYA UNTUK HAL-HAL YANG SIFATNYA PRIBADI ,JUGA TERMASUK PENYAMPAIAN DATA /INFORMASI YANG HARUS DILINDUNGI DARI PENGGUNAAN YANG TIDAK BENAR DAN HANYA DAPAT DIBERIKAN KEPADA YANG BERHAK

Security
MERUPAKAN ALAT UNTUK MENGONTROL AKSES DAN MELINDUNGI INFORMASI DARI KEJADIAN ATAU PENGUNGKAPAN YANG DISENGAJA UNTUK PIHAK YANG TIDAK BERHAK DAN DARI PENGUBAHAN,PENGRUSAKAN DAN PENGHAPUSAN

PRIVACY
MERUPAKAN HAK INDIVIDUAL UNTUK MENGAWASI PENGUNGKAPAN INFORMASI YANG SIFATNYA PRIBADI

DATA SECURITY
MENGACU PADA TEKNIS DAN METODA PROSEDUR YANG MANA AKSES UNTUK INFORMASI YANG SIFATNYA CONFINDENTIAL HARUS DIAWASI DAN DIKELOLA

Pendekatan yang diperlukan untuk menjamin privacy seseorang dapat dilihat dari berbagai sisi antara lain adalah sisi Hukum ,(peraturan-peraturan),Teknologi dan Manajemen.

HUKUM
Health Insurance Protability and accountability Act (HIPAA) [Asuransi Kesehatan Protabilitas dan hukum akuntabilitas] telah dilaksnakan di AS Yang menyangkut aturan-aturan Akses, otentikasi, penyimpanan dan pengiriman Audit & Electronic Medical Record

Personal Information Protection and Electronic Document Act (PIPEDA) [Informasi Pribadi dan UU Perlindungan Dokumen Elektronik]diberlakukan pada tahun 2000 di Canada untuk menegakan aturan mengenai pengungkapan dan pengumpulan µPersonal Informationsµ dan selanjutnya pada tahun 2002 telah dikembangkan pada bidang pelayanan Kesehatan

Undang ± undang tentang Informasi dan transaksi elektonik .khususnya pada bab VII telah diatur mengenai perbuatan yang dilarang dalam informasi dan transaksi elektronik,

Teknologi
MENGINGAT SISTEM INFORMASI BERBASIS ELEKTRONIK DAPAT DIAKSES DENGAN BERMACAMMACAM CARA DARI BERBAGAI TEMPAT/LOKASI MAKA TEKNOLOGI INFORMASI DAN KOMUNIKASI YANG CANGGIH SANGAT DIPERLUKAN DALAM USAHA MENDUKUNG SEKURITAS SISTEM INFORMASI

MANAJEMEN

KELOMPOK DARI LEMBAGA YANG BERTANGGUNG JAWAB TERHADAP MUTU HARUS MEREKOMENDASIKAN KEBIJAKAN ,AKSES YANG TEPAT ,MENETAPKAN PROSEDURE DAN MENYUSUN MANAJEMEN STRATEGIS KEBIJAKAN OPERASIONAL DAN PROSEDUR TERMASUK CONFIDENTIAL STATEMEnT HARUS DIBERITAHUKAN /DISOSIALISASIKAN KEPADA SEMUA STAFF

MELAKUKAN PROGRAM EDUKASI KEPADA SEMUA STAF MENGENAI MASALAH CONFIDENTIALY,DATA SECURITY,RESPONSIBILITY DAN ACCOUNTABILITY INDIVIDUAL USER ID UNTUK SEMUA STAF HARUS DITENTUKAN AGAR DAPAT DIKETAHUI FUNGSI PEKERJAANNYA

Individual password ,Key cards ,biometric atau perangkat lainnya harus terdaftar secara tepat pada sistem akses Kemampuan untuk monitoring /audit terhadap alur akses dan follow up

Pengelolaan laporan mengenai pelanggaran akses dan kerahasiaan pada tingkat manager yang digunakan dalam pengawasan stafnya Kebijakan bagian sumber daya manusia dalam pengelolaan akibat pelanggaran kerahasiaan yang dilakukan oleh staff

1.1 Principles
Sistem Jaminan Prinsip adalah harapan intrinsik yang harus dipenuhi untuk mengamankan sistem TI. Kepala alamat komputer dari sudut pandang keamanan tingkat tinggi. Prinsip-prinsip menjangkau daerah yang luas : 
 

Akuntibilitas Efektivitas Biaya Integrasi Mengembangkan program keamanan komputer dan kebijakan. Menciptakan sistem baru, praktek atau kebijakan.

Prinsip digunakan ketika: 


1.2 Practices
Praktek keamanan bersama TI yang digunakan secara umum hari ini. The Practices :
1. Panduan Organisasi pada: o jenis kontrol, o tujuan dan o Prosedur o yang terdiri dari program keamanan TI yang efektif 2. Tampilkan apa yang akan dilakukan o untuk meningkatkan program keamanan komputer yang ada o untuk mengukur program keamanan komputer yang ada o untuk membantu dalam pengembangan program baru 3. Memberikan landasan bersama untuk menentukan keamanan dari sebuah organisasi 4. Membangun kepercayaan diri ketika melakukan bisnis multi-organisasi.

Praktek perlu ditambah dengan praktek-praktek tambahan berdasarkan kebutuhan unik masing-masing organisasi.

1.3 Relationship of Principles and Practices
Sifat dari hubungan antara prinsip-prinsip dan praktek bervariasi : 


Dalam beberapa kasus, praktek berasal dari satu atau lebih prinsip. Dalam kasus lain praktek tersebut dibatasi oleh prinsip-prinsip.

The principles provide the foundation for a sound computer security program.

Strategi Manajemen Keamanan Informasi

Threat Identification [Ancaman Identifikasi]
y Ancaman : y Potensi sumber-ancaman tertentu untuk berhasil latihan kerentanan tertentu y Kerentanan :
y

Kelemahan yang dapat dipicu sengaja atau sengaja di eksploitasi

y Sumber Ancaman : y Setiap keadaan atau peristiwa dengan potensi untuk menyebabkan kerusakan pada sistem TI.
1. 2.

Maksud dan metode ditargetkan pada eksploitasi sengaja kerentanan Situasi dan metode yang tidak sengaja dapat memicu kerentanan

y Ancaman-sumber tidak menimbulkan resiko jika tidak ada kerentanan

yang dapat dieksekusi. y Produk yang harus dipertimbangkan dalam menentukan kemungkinan ancaman :
1. 2. 3.

Ancaman-sources Potensi kerentanan Ada kontrol

Threat-Source Identification [Identifikasi Ancaman Sumber]
y Tujuan dari langkah ini:
y Untuk mengidentifikasi potensi ancaman-sources y Untuk menyusun sebuah pernyataan ancaman daftar potensi

ancaman-sumber y Yang berlaku dengan sistem TI sedang dievaluasi.

Common Threat-Sources (Maksud AncamanSumber]
y Natural Threats
y y y y y y y y

Banjir Gempa Bumi Tornado Longsor Longsoran Petir Dan lain lain Peristiwa yang baik diaktifkan oleh atau disebabkan oleh manusia, seperti:
y y

y Human Threats
Tindakan yang tidak di sengaja
y y y y

Pemasukan data Jaringan berbasis serangan Perangkat lunak berbahaya upload Akses tidak sah ke informasi rahasiaEnvironmental Threats

Tindakan disengaja

y y y y

Mati listrik Polusi Bahan kimia Kebocoran cairan

Dalam menilai ancaman-sources
y Penting untuk mempertimbangkan y Semua potensi ancaman-sources y pemproses lingkungan y For example : y Sebuah sistem TI yang terletak di gurun
y Rendah kemungkinan 'banjir alami'

Sebuah pipa meledak dengan cepat bisa banjir ruang komputer

y Manusia dapat menjadi ancaman-sources melalui :
y

Tindakan Sengaja: y Sebuah upaya jahat untuk mendapatkan akses tidak sah ke sistem TI untuk kompromi sistem dan integritas data, ketersediaan, atau kerahasiaan y Suatu usaha jinak untuk memotong keamanan sistem
For example : a programmer·s writing a Trojan horse program.

y

Tindakan tidak sengaja:
y y

Negligence errors

Motivation and Threat Actions
y Motivasi dan sumber daya untuk melakukan serangan

membuat manusia berpotensi berbahaya ancaman-sources. y Informasi ini akan berguna untuk organisasi:
y Mempelajari lingkungan ancaman manusia y Menyesuaikan laporan ancaman manusia

Informasi Tambahan
y Tinjauan tentang sejarah sistem pembobolan y Keamanan pelanggaran laporan y Insiden laporan y Wawancara dengan y Administrator sistem y Bantuan personil meja y User komunitas y selama pengumpulan informasi y Akan membantu mengidentifikasi ancaman manusia-

sources

Human Threat-Source
y y y y

Hacker, cracker Komputer pidana Teroris Industri spionase
y Perusahaan y Pemerintah asing y Kepentingan pemerintah lainnya

y orang dalam
y y y y y

Kurang terlatih Tdk puas Jahat Lalai Jujur

y Di pecat

Hacker, Cracker
y Motivation :
y Tantangan y Ego y Pemberontakan

y Threat Actions :
y y y y

Hacking Social engineering Sistem penyusupan, pembobolan Sistem akses tidak sah

Computer Criminal
y Motivation : y Perusakan informasi Ilegal pengungkapan informasi Moneter keuntungan Perubahan data yang tidak sah y Threat Actions :
y Computer crime
y

Cyber stalking

y Tindakan penipuan y Ulangan y Peniruan y Penangkapan

Informasi penyuapan y Spoofing y Ganguan sistem
y

Terrorist
y Motivation : y Pemerasan y Pengrusakan y Eksploitasi y Dendam y Threat Actions : y Bom / Terorisme y Informasi perang y Sistem serangan
- Distributed denial of service
y Sistem penetrasi y Sistem tampering

Industri Spionase
y Motivation : y Keuntungan Kompetitif y Ekonomi spionase y Threat Actions : y Ekonomi eksploitasi y Informasi pencurian y Intrusi privasi pribadi y Social engineering y Sistem penetrasi y Sistem akses tidak sah y Akses terhadap informasi rahasia
y Akses terhadap informasi kepemilikan

Akses terhadap informasi teknologi yang terkait

Insiders
y Motivation : y Curiosity y Ego y Intelijen y Moneter keuntungan y Dendam y Kesalahan dan kelalaian yang tidak disengaja:
y Data entry error y Programming error

Insiders [orang dalam]
y Threat Actions : y Penyerangan pada seorang karyawan y Pemerasan y Browsing informasi hak milik y Komputer penyalahgunaan y Penipuan dan pencurian y Informasi penyuapan y Input dipalsukan, data yang rusak
y Malicious code :
y y y

Virus Logic bomb Trojan horse

y y y y y

Penjualan informasi pribadi Sistem bug Sistem intrusi Sistem sabotase Sistem akses tidak sah

Catatan
y Spionase: penyelidikan secara rahasia thd data kemiliteran dan

data ekonomi negara lain; segala sesuatu yg berhubungan dng seluk-beluk spion; pemata-mataan: penangkapan dua orang wakil atase militer itu atas tuduhan --

You're Reading a Free Preview

Mengunduh
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->