Personal Assignment 4 7183T-TP3-R0
Personal Assignment 4 7183T-TP3-R0
(7183T-TP3-R0)
Due Date : 17 August 2014, 23:59:00
MATA KULIAH :
“IT RISK MANAGEMENT AND DISASTER RECOVERY”
DOSEN : DR. FORD LUMBAN GAOL, S.Si, M.Kom
OLEH :
YUDI FIRMAN SANTOSA
NIM. 1412406111
Page 1 of 23
PERSONAL ASSIGNMENT 4
Personal Assignment 4
Page 2 of 23
PERSONAL ASSIGNMENT 4
Jawaban :
Page 3 of 23
PERSONAL ASSIGNMENT 4
Berikut langkah-langkah yang dapat diimplementasikan untuk
mengendalikan informasi agar tidak diakses oleh orang-orang yang tidak
berkepentingan atau yang memiliki otoritas, antara lain :
1. Membetuk departemen khusus yang bertanggungjawab terhadap
masalah keamanan.
Dalam lingkup perusahaan, menginggat keadaan tersebut diatas
maka perlu adanya satu departemen khusus bertanggung jawab dalam
segala masalah berhubungan dengan keamanan (security). Dari
departemen tersebut dapat dibentuk susunan organisasi yang
bertanggungjawab pada informasi data, jaringan komputer dan internet.
Departemen ini dapat memilih seorang kepala keamanan (chief security
officer).
Tugas dari seorang Chief Security Officer antara lain:
a. Bertanggungjawab terhadap masalah keamanan (security) baik
dalam aspek sumber daya manusia maupun data .
b. Merancang dan melakukan program untuk pelatihan keamanan
(security training), misalnya membuat slogan-slogan atau film yang
mendidik tentang masalah keamanan informasi data dan jaringan.
c. Membuat peraturan-peraturan (policy), misalnya pengguna tidak
boleh membawa disket, bila masuk ke dalam ruangan komputer yang
terdapat informasi data penting. Jika ada seorang administrator
membutuhkan software harus melalui departemen TI
2. Membuat peraturan keamanan data dan informasi
Untuk menumbuhkan kesadaran (awareness) pada
administrator data dapat dibuat suatu peraturan keamanan informasi
data. Dibuat peraturan berisikan aturan-aturan yang dapat membantu
kinerja setiap karyawan sesuai dengan ketentuaan perusahaan. Semua
ketentuan harus jelas dipaparkan dalam peraturan pengamanan sehingga
seluruh karyawan dapat memahami/mengerti aturan-aturan yang
berkaitan dengan pengamanan informasi data perusahaan.
Page 4 of 23
PERSONAL ASSIGNMENT 4
Dalam membuat suatu peraturan pengamanan dapat
mempertimbangan antara lain:
a. sistem keamanan (system security)
Sistem keamanan ini mencakup pengguna data, sehingga
pengelolaan pengguna data (database user management) harus
dimiliki dan dijalankan dengan baik.
Pengelolaan pengguna data harus memiliki sistem keamanan yang
baik. Jika datanya besar dan pengaturan pengunaan dari sumber
data, maka administrator keamanan menjadi pengguna yang
memiliki hak istimewa (privilege) untuk melakukan perintah
create, alter atau drop dari sumber data. Perlu diingat hanya orang
yang dapat dipercaya untuk mengatur penggunaan sumber data.
Akses terhadap sistem keamanan dapat dikelola dengan
memperhatikan sebagai berikut :
1. Ketepatan/keaslian pengguna (user authentication)
Untuk membuktikan keaslian pengguna atau yang berhak,
dapat dilakukan pengidentifikasian pengguna sebelum data
dapat diakses. Cara membuktikan (autentikasi) antara lain:
a. Autentikasi data
Autentikasi data adalah jika seorang administrasi dari
pengguna account, password dan autentikasi disimpan
dalam suatu data tersendiri. Pada saat password pengguna
dipakai melakukan perintah create atau alter maka
password tersebut akan disimpan dalam format yang
terenkripsi.
Keuntungan dari autentikasi data antara lain:
Account pengguna dan autentikasi dapat dikontrol
Management password tersusun dengan baik
Dapat meningkatan autentikasi pengguna data.
Memudahkan pengaturan pengguna data.
Page 5 of 23
PERSONAL ASSIGNMENT 4
b. Autentikasi eksternal
Autentikasi eksternal adalah administrasi password
dilakukan oleh sistem operasi, tidak dilakukan dari
software database. Jadi password tidak lagi digunakan
pada saat login data.
Keuntungan dari sistem ini antara lain:
Dapat lebih banyak menerapkan autentikasi, seperti
smart card, sidik jari.
Pengguna tidak perlu mengingat lebih banyak
password.
c. Autentikasi global
Autentikasi global adalah autentikasi dengan
menggunakan secure socket layer (SSL) dan manajemen
pengguna dilakukan diluar database.
Keuntungan dari penggunaan global autentikasi
adalah:
Menggunakan autentikasi dari SSL yang kuat.
Memudahkan bagi administrator karena untuk setiap
pengguna tidak perlu dibuat skema dalam tiap database
di perusahaan.
Memungkinkan manajemen terpusat terhadap
pengguna.
Page 6 of 23
PERSONAL ASSIGNMENT 4
Seorang administrator data harus memiliki hak istimewa
untuk membuat dan menghapus data.
Pengguna umum (pegawai biasa) tidak memiliki hak
istimewa untuk membuat atau menghapus data.
Administrator data harus memiliki hak istimewa terhadap
sistem operasi untuk memodifikasi domain security.
Page 7 of 23
PERSONAL ASSIGNMENT 4
harus dibangun untuk mengontrol secara ketat terhadap akses suatu
data.
Perubahan terhadap isi data karena adanya akses yang tidak sah terhadap
sistem aplikasi maupun langsung ke database.
Administrator data diberi pelatihan pengenalan dan penggunaan tentang
enkripsi data. Enkripsi digunakan untuk menyandikan data-data atau
informasi data sehingga tidak dapat dibaca oleh orang yng tidak berhak.
Dengan enkripsi, data kita disandikan (encrypted) dengan dengan
mengunakan sebuah kunci (key). Untuk membuka (decrypt) data tersebut
digunakan juga sebuah kunci yang dapat sama dengan kunci
Page 8 of 23
PERSONAL ASSIGNMENT 4
mengenkripsi (private key cryptography) atau dengan kunci yang berbeda
(public key cryptography). Sedang kriptografi (cryptography) adalah ilmu
dan seni untuk menjaga pesan agar aman.
1. Sistem Kriptografi
Message Digest
Hash Function
Digital
Message Digest
Hash Function Signature
Ekripsi dgn
Kunci Private
Page 15 of 23
PERSONAL ASSIGNMENT 4
Gambar 7 – Proses verifikasi digital signature oleh penerima
Kunci
Simetris
3.
Message Message
Hash
4. Function Digest
5.
Sama
Digital ?
Signature Dekripsi dgn Kunci
6. Pengirim
Publik
Digital
Signature Digest
Page 17 of 23
PERSONAL ASSIGNMENT 4
Gambar 9 – Proses pemeriksaan nilai Integrity Check-Value
oleh penerima
Page 20 of 23
PERSONAL ASSIGNMENT 4
Metode ini berfokus kepada aset informasi. Metode ini dapat dilakukan
dengan cara individu atau berkolaborasi dengan melibatkan secara luas
organisasi, meminta masukan para ahli dan informasi yang ada di internal
organisasi.
Karena metode OCTAVE Allegro berfokus pada aset informasi. Maka aset
organisasi penting lainnya diidentifikasi dan dinilai berdasarkan aset
informasi yang saling terhubung. Proses ini menghilangkan potensi
kerancuan tentang ruang lingkup dan mengurangi kemungkinan kesalahan
pengumpulan data dan analisis yang dilakukan untuk aset yang telah
didefinisikan, di luar lingkup penilaian, atau membutuhkan dekomposisi lebih
lanjut.
OCTAVE Allegro terdiri dari delapan langkah disusun dalam empat fase:
Tahap 1 - Penilaian peserta dalam mengembangkan kriteria pengukuran
risiko secara konsisten dengan berdasarkan organisasi, yaitu : misi
organisasi, tujuan, dan faktor penentu keberhasilan.
Tahap 2 - Peserta membuat profil dari masing-masing aset informasi yang
penting dan menetapkan batas-batas yang jelas untuk aset,
mengidentifikasi persyaratan keamanan, dan mengidentifikasi
semua yang ada didalamnya.
Tahap 3 - Peserta mengidentifikasi ancaman terhadap setiap aset informasi
dalam konteks isi yang ada didalamnya.
Tahap 4 - Peserta mengidentifikasi dan menganalisa risiko aset informasi
dan mulai mengembangkan pendekatan mitigasi.
pelatihan.
Menilai Risiko Keamanan Informasi Menggunakan Pendekatan OCTAVE
adalah dapat dilakukan dengan cara pelatihan tiga hari di mana peserta
menggunakan studi kasus untuk melakukan setiap kegiatan dalam metode
OCTAVE Allegro serta belajar tentang persiapan penilaian risiko,
menghubungkan, dan memberi skala prioritas risiko yang teridentifikasi
untuk dilakukan respon terhadap risiko tersebut. Selain itu dapat juga
dilakukan dengan eLearning.
Page 21 of 23
PERSONAL ASSIGNMENT 4
TERIMA KASIH
Page 22 of 23
PERSONAL ASSIGNMENT 4
Referensi :
Page 23 of 23
PERSONAL ASSIGNMENT 4