Introduction
a. Computer Security
Protection of information and property from theft, corruption or natural disaster while
allowing the information and property to remain accessible and productive to its
intended users.
b. Network Security
Consists of the provisions and polices adopted by the network administrator to
prevent and monitor un-authorized access, misuse, modification or denial of the
computer network and network-accessible resources.
c. Information security
Protection information and information system from un-authorized access, use,
disclosure, disruption, modification, perusal, inspection, recording, or destruction.
d. Cyber Security
Measure taken to protect a computer or computer system (as on the Internet) against
un-authorized access or attack.
2. Menangkis serangan atau dakwaan hukum dari pihak lain terkait dengan insiden
kemanan.
3. Memastikan integrasi dan kebutuhan data yang bebas dari perubahan dan modifikasi
pihak-pihak tak berwenang.
Strategi Implementasi Kebijakan Keamanan informasi
1. Mekanisme pengenalan dan enforcement harus dilaksanakan dengan menggunakan
pendekatan top-down yang dimulai dari komitmen penuh pemimpin puncak yang
turun langsung mensosialisasikan kepada segenap komponen organisasi.
2. Bahasa yang dipergunakan dalam dokumen kebijakan keamanan tersebut haruslah
yang midah dimengerti, dipahami dan dilaksanakan oleh setiap pemangku
kepentingan.
3. Sosialisasi mengenai pemahaman cara melaksanakan saetiap pasal dalam kebijakan
keamanan haruslah dilaksankan segenap jajaran manajemen organisasi.
4. Tersedianya help desk yang selalu bersedia membantu seandainya individu atau unit
yang mengalami permasalahan dalam menjalankan kebijakan yang ada.
5. Secara konsisten diberikan sanksi dan hukuman terhadap setiap pelanggaran
kebijakan yang terjadi baik yang sifatnya sengaja maupun tidak sengaja.
Contoh Kasus Aplicatif
Cyber Protocol Indonesia
Promoting Cyber Peace on Cyber Space
(Base On Information Security Forum, 10 Oktober 2012)
Pengendalian unsur cyber word bagi kesejahteraan bangsa dan negara, melindungi
berbagai asset negara dan informasi strategis negara. Cyber patrol mengadopsi dan
mengembangkan unsur preventif, curative, defensif, offensif, kontrol deteksi, pencegahan,
back up dan serangan balik.
Mengapa Cyber Patrol Indonesia?
1. Karena saat ini tidak ada lembaga atau badan yang dapat menjadi sandaran keamanan
cyber yang pro aktif.
2. Cyber patrol diharapkan menjadi unsur terdepan dalam penegakan aspek legal formal
dan kepastian hukum dalam ranah cyber.
3. Cyber patrol diawali dengan melakukan aktivitas cyber yang sehat, aman dan
berorientasi pada kebaikan dan manfaat.
Jika disimpulkan dari beragam framework yang ada, tujuan ISG ini sebenarnya adalah
untuk melakukan evaluasi, pengarahan, dan monitor keamanan informasi untuk:
(1) memastikan kebutuhan bisnis dapat terpenuhi;
(2) memperkuat tingkat kepastian informasi;
(3) memastikan bahwa setiap risiko informasi memiliki pemilik/penanggungjawabnya;
(4) mengurangi risiko ketidak-patuhan;
(5) mengurangi risiko litigasi; dan
(6)
menjaga
kerahasiaan,
integritas
dan
ketersediaan
berkesinambungan.
INFORMATION SECURITY
3
informasi
secara
Integrity, yaitu sebuah jaminan bahwa semua data tersedia dalam keadaan utuh
dan lengkap sesuai apa adanya. Menjamin bahwa data tersebut tidak dapat
dimodifikasi oleh orang yang tidak berhak.
Availability, yaitu usaha supaya data akan dapat diakses setiap saat, tanpa delay,
dan tersedia dengan utuh tanpa cacat.
Jenis-jenis ancaman
Menurut Whitman dalam bukunya Principles of Incident Response and Disaster
Recovery, faktor faktor atau ancaman ancaman yang dapat mengganggu tujuan dari
information security ini adalah:
1. Kesalahan manusia (Acts of human error or failure): ancaman karena kesalahan
manusia di mana kejadian tersebut bukan disengaja atau tanpa maksud jahat.
2. HAKI (Compromises to intellectual property (IP)): ancaman dari pelanggaran dalam
penggunaan HAKI seperti hak cipta, rahasia dagang, merek dagang, hak
paten. Pelanggaran HAKI yang paling umum adalah pembajakan perangkat lunak.
3. Pelanggaran yang disengaja (Deliberate acts of trespass): mengakses secara tidak sah
ke informasi yang bersifat rahasia dan pribadi. Contohnya seorang hacker
menggunakan perangkat lunak untuk mendapatkan akses ke informasi secara ilegal.
4. Tindakan untuk tujuan pemerasan: menuntut kompensasi untuk mengembalikan
rahasia informasi yang diperoleh oleh penyerang.
4
menghilangkan
akibat
dari
ancaman
ancaman
terhadap
informasi.
Pada dasarnya IT risk management ini mempunyai filosofi dari seorang ahli perang
dari china yaitu jendral Sun Tzu, beliau mempunyai konsep seperti dibawah ini:
If you know the enemy and know yourself, you need not fear the result of a hundred
battles. If you know yourself but not the enemy, for every victory gained you will also
suffer a defeat. If you know neither the enemy nor yourself, you will succumb in
every battle.
Pada filosofi diatas, apabila kita mengetahui kekuatan dan kemampuan musuh serta
mengetahui kekuatan dan kemampuan kita sendiri maka kita dapat memprediksi resiko yang
akan terjadi. Jika kita tidak mengetahui kekuatan lawan dan hanya mengetahui
kekuatan dan kemampuan kita sendiri maka kemungkinan kita dapat mendapatkan kerugian
dari resiko yang tidak kita ketahui. Adalah sangat berbahaya bila kita tidak mengetahui
kekuatan musuh dan juga tidak mengetahui kekuatan kita sendiri.
Untuk mengetahui kekuatan dan kemampuan diri kita sendiri maka yang harus dilakukan
adalah:
Identifikasi semua data dan informasi yang ada di tempat kita bekerja
Identifikasi asset, yaitu semua hardware dan software yang digunakan untuk
menyimpan, memproses dan mengirimkan data atau informasi.
Untuk mengetahui kekuatan dan kemampuan resiko atau enemy maka yang harus
dilakukan adalah:
Identifikasi semua ancaman yang ada di tempat kita bekerja
Lakukan analisa terhadap semua ancaman atau resiko tersebut
Pahami benar benar scenario ancaman tersebut
Identifikasi control yang ada terhadap semua ancaman yang ada.
Identifikasi juga mitigation strategic, termasuk biaya yang timbul dan
keefektifannya