Teknologi Informasi
Bekasi, 12 Oktober 2015
Agenda
• Overview
• Jenis Kontrol
• Fungsi Kontrol
• Pengamanan Informasi
• Pemilihan Kontrol
• Case Study
2
Overview
3
Definisi & Prinsip
Pengamanan Informasi
• Integrity (integritas)
• Availability (ketersediaan)
4
Jenis Kontrol
• Administrative
• Physical
• Logical
5
Jenis Kontrol
Administrative
• Procedural Control
6
Jenis Kontrol
Physical
7
Jenis Kontrol
Logical
• Technical Control
8
Fungsi Kontrol
9
Prinsip Pengamanan Informasi
10
Confidentiality (kerahasiaan)
11
Confidentiality (kerahasiaan)
User Account / Access Management
• Periodic Review
Melakukan review terhadap kewenangan user yang terdaftar
di sistem secara periodik
12
Confidentiality (kerahasiaan)
Network Sharing, Encryption
13
Integrity (integritas)
14
Integrity (integritas)
Kelengkapan Data - Validasi
Auth?
Checker/Authorizer
Integrity (integritas)
Unauthorized Changes
18
Availability (ketersediaan)
Jaringan Komunikasi & Listrik
DC
Kantor Cabang
Availability (ketersediaan)
Core Banking System
Onsite Offsite
Onsite Offsite
Media
20
Availability (ketersediaan)
Server / Network Monitoring
21
Pemilihan Kontrol
Risk Assessment
• Identifikasi Risiko
• Pengukuran Risiko
• Mitigasi Risiko
• Monitoring
22
Area Pengamanan
23
Area Pengamanan
24
Penegakan & Penerapan
Pengamanan Informasi
25
Penegakan & Penerapan
Pengamanan Informasi
Bottom-up approach
26
Penegakan & Penerapan
Peran Direksi
• Evaluate
Melakukan evaluasi terhadap SDM, pengamanan informasi
yang dilakukan berdasarkan laporan kejadian terhadap
pengamanan, dan rencana pengamanan informasi
• Direct
Menetapkan kebijakan & prosedur pengamanan informasi
Mengkomunikasikan secara efektif, baik pada satker
penyelenggara maupun pengguna TI
Menumbuhkan risk awareness dari manajemen
• Monitoring
Menerima laporan pelaksanaan pengamanan informasi.
27
Penggunaan
Pihak Penyedia Jasa TI
28
Case Study
User ID Management
Case:
1) Terdapat banyak User Id yang masih berstatus aktif
milik pegawai yang sudah pensiun, resign atau PHK
29
Case Study
User ID Management
Case:
Ditemukan rekening giro, tabungan dan deposito nasabah
yang tidak dikenakan pajak (flag pajak = “N”)
Alternative Solusi:
1) Enhancement aplikasi set default flag pajak = “Y”
31
Case Study
User Id Administrator
Case:
Bank bekerjasama dengan pihak vendor core banking
system dengan skema full-outsourcing. User Id
Administrator dipegang oleh pihak vendor.
Solusi:
User Id Administrator diserahterimakan kepada Bank:
1) Prosedur serah terima User Id Administrator kepada pihak
vendor jika ada keperluan khusus
2) Vendor dibuatkan User Id yang powerful (tetapi limited) dan
Bank menerapkan detective control untuk mendeteksi
aktivitas yang mencurigakan
32
Case Study
Data Center
Informasi:
• Entry menggunakan kartu akses dan biometric berupa
fingerprint
33
Terima Kasih