Anda di halaman 1dari 27

Sistem Manajemen Keamanan

Informasi dan Pengelolaan


Risiko
LPSE Provinsi Jawa Barat
Rakerna LPSE 2015
11 november 2015
Hasil Rakernas LPSE Provinsi 2015
di Banda Aceh
Deklarasi Sabang

Meningkatkan kesadaran dan komitmen terhadap


keamanan informasi
Hasil Kesepakatan FGD Keamanan
Informasi
Peraturan Pemerintah Nomor 82
Tahun 2012 tentang
Penyelenggaraan Sistem dan
Transaksi Elektronik
Sedang dirancang Peraturan Menteri Kominfo
tentang Pendaftaran Sistem Elektronik dan
Pengamanan Sistem Informasi bagi Penyelenggara
Sistem Elektronik untuk Pelayanan Publik
Permen Kominfo tentang Pengamanan
Informasi mengatur:

• Kategorisasi Sistem Elektronik;


• Standar Sistem Manajemen Pengamanan Informasi
• Penyelenggaraan
• Lembaga Sertifikasi
• Penerbitan Sertifikat, Pelaporan Sertifikasi dan Pencabutan Sertifikasi
• Penilaian Mandiri
• Pembinaan
• Pengawasan
• Sanksi
Penerapan Sistem Manajemen
Keamanan Informasi
di LPSE Provinsi Jawa Barat
ISO 27001 : 2013
Information Security Management System (ISMS)
Informasi dan
Keamanan Informasi
Informasi adalah pengetahuan atau data yang bernilai bagi suatu organisasi.
Bentuk Informasi:
• Tercetak (Hardcopy)
• File elektronik (Hard disk, Flashdisk, CD/DVD, Tape)
• Film
• Percakapan (Conversation)
Keamanan Informasi adalah Penjagaan terhadap kerahasiaan (confidentiality),
keutuhan (integrity) dan ketersediaan (availability) informasi.
Keamanan informasi juga dapat mencakup otentikasi, dapat
dipertanggungjawabkan (accountability), nirsangkal (non-repudiation) dan
keandalan (reliability).
Tujuan Keamanan Informasi

Menjamin
kelangsungan
proses dan fungsi
layanan Keamanan informasi berhubungan
dengan seluruh metode dan alat kontrol
yang ditujukan untuk melindungi
Mengatasi
gangguan operasi
kerahasiaan, keutuhan dan ketersediaan
proses / layanan informasi
dengan lebih cepat
Keamanan Informasi Penting Diterapkan

Jika terdapat informasi


berklasifikasi rahasia, penting,
atau berharga
Pengamanan informasi diawali
dengan Klasifikasi Informasi dan
Kajian Risiko terhadap gangguan
Jika kebocoran, kerusakan dan kerahasiaan, keutuhan, dan
ketidaktersediaannya
menimbulkan RISIKO yang
ketersediaan informasi.
berdampak besar bagi organisasi
Pengelolaan Risiko
Mekanisme Pengelolaan Risiko

Risiko bisa diterima Jika tidak, tetapkan


Identifikasi Aset
atau tidak Risk Treatment Plan

Indentifikasi Risiko
(Ancaman, Mengukur Risiko
Kelemahan dan Sisa
Dampak)

Evaluasi Kontrol
Analisis Risiko
yang Ada
1. Identifikasi Aset
Klasifikasi Aset Contoh Aset

• Gedung Kantor
• Server SPSE, Server Database, Server Mail
Data dan • Perangkat PC, Jaringan Internet
Software
Informasi • Aplikasi SPSE, Protokol Komunikasi, Antivirus
• Administrator, Helpdesk, Verifikator
• Petugas Keamanan, Kebersihan, ISP

SDM dan • AC di Data Center, Genset


Hardware • Informasi Rahasia (Dokmen Penawaran, Data Kepegawaian,
Rekanan LPSE Evaluasi Kompetensi, Hasil Audit, Password, topologi Jaringan
dengan IP Address)
• dll
2. Identifikasi Risiko : Identifikasi Ancaman,
Kelemahan dan Dampak

Gedung Kantor Server SPSE

• Ancaman : Bencana Alam • Ancaman : Kerusakan Server


• Kelemahan : Kondisi geografis • Kelemahan : sistem grounding
kantor di lereng bukit penangkal petir lemah
• Dampak : Balai LPSE dan • Dampak : jika terkena petir,
Server Utama mengalami Server SPSE terganggu
kerusakan
3. Analisis Risiko :
mengidentifikasi nilai Kemungkinan dari suatu Acaman dan menetapkan
perkiraan Dampak yang ditimbulkan Ancaman tersebut

• Nilai Kemungkinan
Contoh Nilai kemungkinan
• Bencana Alam : sangat rendah, karena > 5
Tingkat Frekuensi Kejadian tahun belum pernah terjadi bencana
• Gangguan Listrik : tinggi, karena hampir
Sangat Rendah Ancaman terjadi sekali dalam waktu >5 tahun
setiap bulan terdapat gangguan listrik
Rendah Ancaman dapat terjadi sekali antara 1 – 5 tahun • Jaringan Internet : rendah, karena selama
rentang 5 tahun baru terjadi 2 kali gangguan
Menengah Ancaman mungkin terjadi 1-6 kali setahun internet

Tinggi Ancaman mungkin terjadi rata-rata 2-4 kali sebulan

Sangat Tinggi Ancaman terjadi minimum setiap hari


4. Nilai Dampak Risiko

Nilai Dampak

Jenis Dampak Tidak Siginifikan Kecil Menengah Besar Sangat Besar

Sistem tidak berfungsi kurang Sistem tidak berfungsi Sistem tidak berfungsi > 1 Sistem tidak berfungsi > 6 – Sistem tidak berfungsi lebih
Gangguan LPSE
<30 menit antara 30 - 60 menit jam – 6 jam 24 jam dari 24 jam
5. Nilai Risiko

DAMPAK (Impact)

KEMUNGKINAN (Likelihood)
Tidak Siginifikan Kecil Menengah Besar Sangat Besar

Sangat Rendah Rendah Rendah Menengah Menengah Tinggi

Rendah Rendah Rendah Menengah Tinggi Tinggi

Menengah Rendah Menengah Tinggi Tinggi Sangat Tinggi

Tinggi Menengah Menengah Tinggi Sangat Tinggi Sangat Tinggi

Sangat Tinggi Menengah Tinggi Sangat Tinggi Sangat Tinggi Sangat Tinggi
Contoh Pengelolaan Risiko (1)

RISIKO SEBELUM PENGENDALIAN


Dampak Pengendalian (Kontrol) yang
No Aset Ancaman Kelemahan Uraian Dampak
CIA *) Nilai Kemungkinan Nilai Dampak Nilai Risiko (Risk ada
(Likelihood Score) (Impact Score) Score)

Balai LPSE dan server utama Balai LPSE telah menyiapkan


Gedung Balai LPSE berserta Bencana alam (Gempa Kondisi geografis terhadap mengalami kerusakan DRC (Colocation Server
1 A Sangat Rendah Sangat Besar Tinggi
sarana dan prasarana di dalamnyaBumi, Longsor) ancaman bencana alam sehingga penyelenggaraan Backup) di Batam, yang telah
SPSE terganggu diuji coba pengoperasiannya

Balai LPSE dan server utama Perawatan peralatan


Peralatan pemadam
Gedung Balai LPSE berserta mengalami kerusakan pemadam kebakaran secara
2 Kebakaran kebakaran tidak dirawat A Sangat Rendah Sangat Besar Tinggi
sarana dan prasarana di dalamnya sehingga operasional SPSE berkala sehingga dapat
dengan baik
terganggu mengurangi dampak kerusakan

Dampak CIA : Confidentiality (kerahasiaan), Integrity (keutuhan), dan Availability (ketersediaan)


Contoh Pengelolaan Risiko (2)

RISIKO SETELAH PENGENDALIAN


Rencana Penanggulangan
Jenis Penanggulangan Monitoring RTP
No Aset Risiko Target PIC
Nilai Kemungkinan Nilai Dampak Nilai Risiko (Risk (Mitigasi) Risiko
(Risk Treatment Plan)
(Likelihood Score) (Impact Score) Score)

Risiko tidak diterima dan


Gedung Balai LPSE berserta Melakukan pengujian
memerlukan rencana
1 sarana dan prasarana di Sangat Rendah Menengah Menengah DRC minimal satu tahun Jul-15Administrator Sistem 24-Jul-15
penanggulangan
dalamnya sekali
sedang/jangka lama

Risiko dapat diterima


Gedung Balai LPSE berserta
dengan tetap
2 sarana dan prasarana di Sangat Rendah Kecil Rendah
memelihara efektivitas
dalamnya
kontrol yang ada
Lingkup Sertifikasi SMKI ISO 27001:2005
• Proses : Penyelenggaraan Layanan Pengadaan Secara Elektronik (LPSE) meliputi registrasi, verifikasi,
training, tendering, helpdesk, data center dan technical support
• Tahapan : Operasional
• Unit Kerja : seluruh unit kerja Balai LPSE
• Lokasi : Jl. Dago Pakar Permai VI No. 20 Komplek Resort Dago Pakar, Bandung – Jawa Barat
• Ruang lingkup tidak mencakup tahap pengembangan sistem TI seperti pengembangan software
(Aplikasi SPSE dikembangkan oleh LKPP), termasuk pengembangan aplikasi yang dilakukan oleh LPSE.
25 Oktober 2013
ISO 27001:2005 SERTIFICATE
INFORMATION SECURITY MANAGEMENT SYSTEM

22
KEAMANAN JARINGAN
• Eksternal
Keamanan Jaringan Eksternal menggunakan server Firewall yang diinstall pada server khusus, dengan
aplikasi open source Shorewall yaitu salah satu tools firewall Linux;

• Internal
Keamanan Jaringan Internal menggunakan server Proxy yang diinstall pada server khusus, dengan aplikasi
open source Squid Proxy;

• Mikrotik (Tambahan)
Khusus untuk membatasi hak akses antara pegawai dan publik, khusus pada jaringan yang menggunakan
Wifi/Hotspot;
Aplikasi dan Tools yang digunakan di LPSE Jabar, untuk monitoring jaringan diantaranya :

 Cacti; untuk monitoring kapasitas server, penggunaan bandwidth;


 Nagios; untuk monitoring kapasitas server, dengan mengirimkan notifikasi ke email;
 Loganalyzer; untuk monitoring traffic jaringan server firewall dan server proxy;
 SARG; monitoring squid proxy, untuk mengetahui sites & user, downloads dan access;

 Kapasitas Bandwidth Balai LPSE 70 Domestik 6 Internasional;


 Sudah disiapkan Jalur Back Up FO, apabila terjadi insiden pada jalur utama;
Antivirus (lisensi per 3 tahun)
• Kapersky diinstal di server khusus yang secara otomatis melakukan
scanning, memblokir virus yang masuk, memperbaiki, dan
mengupdate ke semua PC Client.
• Untuk server sudah terpasang sesuai system operasi yang digunakan.
SSL (lisensi setiap tahun)
• Pengaman protokol komunikasi di internet yang dipasang pada web
LPSE
• Secure socket Layer
Terima Kasih
Ika Mardiah,
Kepala Balai LPSE Provinsi Jawa Barat