MATERI 03 : KEAMANAN INFORMASI

INFORMATION SECURITY

Hastha Sunardi
Universitas IGM
Pertemuan [1.02-02]
Teknik Komputer
Keamanan Informasi
 Keamanan informasi digunakan untuk menggambarkan
perlindungan terhadap perangkat komputer dan non-
komputer, fasilitas-fasilitas, data dan informasi dari
penyalahgunaan oleh pihak-pihak yang tidak berwenang
Tujuan Keamanan Informasi
 Kerahasiaan
perusahaan mencari cara untuk melindungi data dan
informasinya dari penggunaan yang tidak
sebagaimana mestinya oleh orang-orang yang tidak
memiliki otoritas menggunakannya
 Ketersediaan
tujuan dibangun infrastruktur informasi perusahaan
adalah supaya data dan informasi perusahaan
tersedia bagi pihak-pihak yang memiliki otoritas untuk
menggunakanya
 Integritas
seluruh sistem informasi harus memberikan atau
menyediakan gambaran yang akurat mengenai sistem
fisik yang mereka wakili
Manajemen Keamanan Informasi
 Manajemen Keamanan Informasi adalah aktivitas-aktivitas
yang berhubungan dengan pengamanan sumber daya
informasi
 Manajemen Kelangsungan Bisnis adalah kegiatan
pengamanan sumber daya informasi perusahaan setelah
terjadi bencana
Manajemen Keamanan Informasi
 Manajemen Resiko adalah pendekatan secara mendasar
terhadap resiko keamanan yang dihadapi sumber-sumber
informasi perusahaan.
 Benchmark adalah salah satu tingkat kinerja yang
diharapkan dapat dicapai dalam keamanan informasi
perusahaan
 Manajemen
Mengidentifikasi
ancaman
Keamanan Informasi

Mengenali Benchmark
Resiko

Menetapkan Menetapkan
Kebijakan Keamanan Kebijakan Keamanan
Informasi Informasi

Menerapkan Menerapkan
Pengawasan Pengawasan

Manajemen Resiko Pelaksanaan Benchmark

Ancaman
 Ancaman Internal
 Ancaman Eksternal
Resiko
 Pengungkapan dan pencurian
 Penggunaan secara tidak sah
 Pengerusakan secara tidak sah dan penolakan pelayanan
 Modifikasi tidak sah
 Virus
 Contoh Manajemen Informasi
Praktik-praktik keamanan yang diterapkan visa bagi para
pengecer :

 Meng-Install dan memelihara firewall

 Menjaga agar sistem keamanan selalu up to date
 Encrypt data yang tersimpan
 Encrypt data yang terkirim
 Menggunakan dan memperbaharui perangkat lunak
antivirus
 Membatasi akses data hanya untuk yang berkepentingan
 Menggunakan ID atau pengenal khusus untuk pengguna
tertentu
 Melacak akses data dengan ID tertentu
 Tidak salah dalam menggunakan pasword
 Menguji sistem keamanan secara teratur
Manajemen Resiko
Langkah-langkah Manajemen Resiko
 Identifikasi aset-aset bisnis yang harus dilindungi dari resiko
 Kenali resiko
 Tentukan tingkat-tingkat dari dampak yang ditimbulkan resiko
pada perusahaan
 Analisis kelemahan-kelemahan perusahaan
Tingkat-Tingkat Resiko
 Dampak Minor, menyebabkan gangguan tertentu pada
operasional harian perusahaan
 Dampak Signifikan, menyebabkan kerusakan signifikan dan
merugikan tetapi perusahaan masih dapat bertahan
 Dampak Parah, mengehentikan bisnis perusahaan atau
mengurangi kemampuan operasional perusahaan.
Kebijakan Informasi Keamanan
 Tanpa melihat apakah perusahaan mengikuti manajemen
resiko atau strategi pelaksanaan benchmark, kebijakan
keamanan harus diimplementasikan untuk mengarahkan
keseluruhan program
Kontrol
 Kontrol adalah mekanisme yang diimplementasikan baik
untuk melindungi perusahaan dari resiko atau untuk
memperkecil dampak resiko terhadap perusahaan.
Kontrol Teknis
 Kontrol teknis adalah kontrol yang dibangun di dalam sistem
oleh pengembang selama siklus hidup pengembangan
sistem. Auditor internal dalam tim proyek harus memastikan
bahwa kontrol telah disertakan sebagai bagian dari
perancangan sistem
Macam-macam Kontrol Teknis
 Kontrol terhadap akses
 Sistem deteksi gangguan
 Firewalls
 Kontrol Kriptografi
 Kontrol Fisik
Kontrol Terhadap Akses
 Pengenalan otomatis pengguna
 Pembuktian otomatis pengguna
 Pengesahan otomatis pengguna
Sistem Deteksi Gangguan
 Logika dasar dari sistem deteksi gangguan adalah
bagaimana mengenali usaha-usaha yang bertujuan
mengganggu keamanan sebelum usaha tersebut menjadi
nyata dan menimbulkan kerusakan.
 Contoh: antivirus
 Firewalls
 Firewall bertindak sebagai suatu saringan dan penghalang yang
membatasi aliran data dari internet masuk dan keluar perusahaan
 Konsep yang menjadi latar belakang firewall adalah membangun
satu pengamanan untuk seluruh komputer yang ada di jaringan
perusahaan, bukan seperti pengamanan lainnya yang diterapkan
secara terpisah pada setiap komputer.
Kontrol Kriptografi
 Kriptografi adalah penyusunan dan penggunaan kode
dengan proses-proses matematika
Kontrol Fisik
 Adalah pengendalian yang dilakukan secara fisik terhadap
suatu gangguan.
Kontrol Formal
 Kontrol formal meliputi penetapan kode, dokumentasi
prosedur dan penerapanya, serta monitoring dan
pencegahan perilaku yang menyimpang dari peraturan-
peraturan yang telah ditetapkan.
Kontrol Informal
 Pengawasan informal meliputi aktivitas-aktivitas seperti
menanamkan etika kepercayaan perusahaan terhadap
pegawainya, memastikan bahwa pegawai memahami misi
dan tujuan perusahaan.
TERIMA KASIH