Awareness Keamanan Informasi
Awareness Keamanan Informasi
Keamanan Infomasi
Contoh Implementasi
Diskusi
2
KEAMANAN INFORMASI
KEAMANAN INFORMASI
Konsep Keamanan Informasi
Confidentiality
Suatu aspek yang menjamin kerahasian suatu
data dan akses terhadap informasi tersebut
sesuai dengan kewenangan yang diberikan.
Integrity
Suatu aspek yang menjamin bahwa data atau
informasi tidak boleh berubah tanpa seizin
pemilik data sehingga terjaga akurasi dan
kelengkapannya.
Availability
Suatu aspek yang menjamin bahwa data atau
informasi tidak boleh berubah tanpa seizin
pemilik data sehingga terjaga akurasi dan
kelengkapannya.
4
KEAMANAN INFORMASI
Kasus Keamanan Informasi
5
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia
Source : http://www.adsense-id.com/forums/showthread.php/133680-Indonesia-data-center-terbakar-!!
6
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia
7
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia
8
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia
9
KEAMANAN INFORMASI
Survey 2014 – Jenis Insiden Keamanan Informasi
10
KEAMANAN INFORMASI
Dampak dari Kebocoran Informasi
Hilangnya
Kepercayaan
Publik
Kekecewaan Aktivitas
Pengguna/User Perusahaan
Terganggu
11
KEAMANAN INFORMASI
Komponen Penanganan Informasi
Staff Organisasi
Personil yang menggunakan atau
berinteraksi dengan informasi
Proses Bisnis
Merupakan alur kerja mengenai beberapa
aktivitas yang mendukung tujuan bisnis
12
SISTEM MANAJEMEN KEAMANAN INFORMASI
SISTEM MANAJEMEN KEAMANAN INFORMASI
Sistem Manajemen
(ISO 27000:2012 Klausul 2.42)
Kerangka kerja yang mencakup panduan,
kebijakan, prosedur, proses, dan sumber
daya terkait untuk memastikan sebuah
organisasi mencapai tujuannya
Keamanan Informasi
(ISO 27000:2012 Klausul 2.30)
Kondisi dimana terjaganya aspek
kerahasiaan, integritas, dan ketersediaan
dari informasi
14
SISTEM MANAJEMEN KEAMANAN INFORMASI
APA?
Prasyarat untuk membangun, mengimplementasikan,
memelihara dan meningkatkan secara
berkesinambungan sebuah Sistem Manajemen
Keamanan Informasi
BAGAIMANA?
▪ Memperhatikan kebutuhan dan tujuan terkait
keamanan informasi.
▪ Memperhatikan prasyarat keamanan informasi yang
ada.
▪ Memperhatikan proses bisnis organisasi.
▪ Menerapkan proses manajemen risiko
KENAPA?
SMKI : Bagaimana untuk mengatur sistem
pengamanan informasi agar dapat melindungi
informasi dari risiko yang tak tertanggungkan
15
SISTEM MANAJEMEN KEAMANAN INFORMASI
FOKUS KEPADA
Aplikasi
dan
Software
Informasi Dapat:
▪ Dibuat (CREATED)
Jaringan TI Hardware ▪ Disimpan (STORED)
▪ Diproses (PROCESSED)
▪ Disebarkan (TRANSMITTED)
▪ Digunakan (USED)
Informasi ▪ Dimusnahkan (DISPOSED)
16
SISTEM MANAJEMEN KEAMANAN INFORMASI
Meningkatkan
reputasi
perusahaan &
Meningkatkan kepercayaan dari Pengelolaan
citra & kredibilitas pelanggan Layanan yang
perusahaan terpadu
Sistem
Manajemen
Budaya Komitmen
peningkatan Manajemen
berkelanjutan terhadap
(continuous peningkatan
improvement) kualitas layanan
Pergeseran Response time
mendasar dari Efektifitas lebih singkat &
proses Reaktif pengelolaan biaya penurunan
menuju Proaktif menuju gangguan layanan
penghematan
biaya
17
ISO 27001:2013 – KLAUSUL (PROSES)
ISO 27001:2013 - KLAUSUL
KONSEP PLAN – DO – CHECK – ACT (P-D-C-A)
19
ISO 27001:2013 - KLAUSUL
4. KONTEKS ORGANISASI
terkait
4.4 SMKI Persyaratan dari
pihak yg
Pernyataan untuk menerapkan Sistem berkepentingan
20
ISO 27001:2013 - KLAUSUL
5. KEPEMIMPINAN
5.1 KEPEMIMPINAN & KOMITMEN
5.2 KEBIJAKAN
Kepemimpinan
1. Komitmen
2. Arah dan kebijakan
3. Identifikasi tugas dan
tanggung jawab
5.3 PERAN, TANGGUNG JAWAB, & WEWENANG
Tanggung jawab dan wewenang bagi setiap penugasan
terkait keamanan informasi sudah dialokasikan dan
dikomunikasikan
21
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1 TINDAKAN UNTUK PENGELOLAAN PENANGANAN RISIKO DAN KESEMPATAN
23
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1.1 PENILAIAN RISIKO KEAMANAN INFORMASI (RISK ASSESSMENT)
Menyusun Profil
Metodologi Menetapkan Menetapkan Risiko (Analisa,
Melaksanakan Mengevaluasi
Manajemen Kriteria Penilaian batas ambang Evaluasi,
Mitigasi Risiko Risiko Residu
Risiko Risiko Nilai Risiko Rencana
Mitigasi)
Lemahnya pengelolaan
pengendalian akses ke informasi.
Kerugian finansial, menurunnya
Pencurian informasi Contoh: Tidak terkendalinya akses ke
reputasi, tuntutan hukum
informasi atau tidak dicabutnya
akses pegawai yang sudah keluar
25
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1.2 RENCANA PENANGANAN RISIKO KEAMANAN INFORMASI (RISK TREATMENT)
26
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.2 SASARAN KEAMANAN INFORMASI DAN PERENCANAAN UNTUK MENCAPAINYA
27
ISO 27001:2013 - KLAUSUL
7. DUKUNGAN
Organisasi harus
7.1 menyediakan sumber daya
yang dibutuhkan untuk
Dokumentasi
membangun dan
yang Sumber Daya mengimplementasikan SMKI
dipersyaratkan
oleh Standard ISO
27001:2013 7.5 7.2
Kompetensi yang
diperlukan personil
Dokumentasi Kompentensi organisasi dalam
Dukungan menjalankan
tanggung jawab
untuk keamanan informasi
SMKI
28
ISO 27001:2013 - KLAUSUL
8. OPERASIONAL
8.1 PERENCANAAN DAN PENGENDALIAN OPERASIONAL
Organisasi harus merencanakan, mengimplementasikan dan mengontrol proses-proses
yang dibutuhkan untuk:
▪ Memenuhi prasyarat keamanan informasi;
▪ Mengimplementasikan tindakan untuk menangani risiko dan kesempatan (lihat
Klausul 6.1)
29
ISO 27001:2013 - KLAUSUL
9. EVALUASI KINERJA
9.1
9.2
9.3
30
ISO 27001:2013 - KLAUSUL
9. EVALUASI KINERJA
PENGUKURAN
ANALISA
31
ISO 27001:2013 - KLAUSUL
10. PENINGKATAN
10.1 KETIDAKSESUAIAN & TINDAKAN KOREKTIF
▪ Pelaporan kejadian Ketidaksesuaian
▪ Tindakan untuk memperbaiki ketidaksesuaian
▪ Evaluasi Kebutuhan untuk Tindakan
Pencegahan
▪ Melaksanakan Tindakan Pencegahan 14
▪ Peninjauan Efektivitas Tindakan Pencegahan
12
32
ISO 27001:2013 – ANNEX A (KONTROL)
ISO 27001:2013 – ANNEX A (KONTROL)
34
ISO 27001:2013 – ANNEX A (KONTROL)
DOMAIN KONTROL ISO 27001:2013 (Annex A)
• 14 Domain Kontrol.
• 114 Kontrol.
35
A.5 Kebijakan Keamanan Informasi
36
A.6 Organisasi Keamanan Informasi
37
A.7 Keamanan Sumber Daya Manusia
38
A.8 Pengelolaan Aset
39
A.8 Pengelolaan Aset
KLASIFIKASI INFORMASI
▪ INFORMASI DIKLASIFIKASIKAN
BERDASARKAN PENILAIAN SENSITIVITAS
DARI INFORMASI TERSEBUT ( HIGH /
MEDIUM / LOW TERKAIT
CONFIDENTIALITY – INTEGRITY –
AVAILABILITY )
40
A.8 Pengelolaan Aset
BAGAIMANA MENGELOLA INFORMASI RAHASIA?
Sangat Rahasia
Term: Permanently
41
A.8 Pengelolaan Aset
PENGELOLAAN ASET PENDUKUNG
【Server】
•Server harus memenuhi “Standar Keamanan Server.”
【PC】
•Kondisi berikut harus dipenuhi :
-PC harus diletakkan di Zona Aman
-PC harus sesuai standar keamanan seperti antivirus, patch, firewall
-HDD / folder pada HDD harus dienkripsi jika terdapat informasi sensitif
【Media Penyimpan】
•Media penyimpan seperti (USB memory sticks or SD cards) harus disimpan pada file
cabinet yang terkunci.
•Files harus dienkripsi.
【Dokumen kertas】
• Dokumen kertas harus disimpan pada lemari (file cabinet) yang dapat terkunci.
42
A.9 Pengendalian Akses
9.1 Persyaratan Bisnis dalam Pengendalian Akses
Penetapan akses logikal kepada seluruh karyawan
dan pihak ketiga yang mengakses sistem
43
A.10 Kriptografi
1100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011
0110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000
1110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101
1011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110119119781100010
0011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011
0110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001
0001110011100110110110011000100011100111001101130121977001000111001110011011011001100010001110011100110110110011000100011100111001
1011011001100010001110011100110110110011000100011100111001101101100110001000111001110011012902198000010001110011100110110110011000
1000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100
1101101100110161219811001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100
0100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010002471983100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100010011100110110110011000100011100111001101101102012198610001000111001110011011011
0011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111
0011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101
1001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011
1001110011011011001100010001110011100110110110011000100011411199010011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100011100111001101101100110221120140110110011000100011100111001101101100110001000110
1100110001000111001110011010122319891001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100
10.1 Pengendalian Akses Informasi dan Aplikasi
0100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011023121989010001110011100112819910110110027819880001000111001110011
Menjaga kerahasian, otentikasi, dan
0110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001
integritas informasi dengan menggunakan
0001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001
1271219920110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101
teknologi kriptografi
1001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011
1001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110
- Kebijakan terkait kriptografi
1100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100981989110001000111001110011011011001100
0100011100111001101101100110001000111001110011011011001100010001110011100110110112211201400011100111001101101100110001000111001110
- Pengelolaan Kunci (Key)
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011
0001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011
1001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001
1000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001
1011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100
44
A.11 Keamanan Fisik & Lingkungan
45
A.11 Keamanan Fisik & Lingkungan
PERIMETER KEAMANAN FISIK
▪ Perimeter keamanan harus didefinisikan dan digunakan untuk melindungi area yang
terdapat informasi maupun fasilitas pengolahan informasi yang sensitif dan kritikal
.
46
A.11 Keamanan Fisik & Lingkungan
PENGENDALIAN AKSES MASUK
▪ Area aman harus dilindungi dengan pengendalian akses masuk untuk memastikan
akses hanya diberikan kepada personil yang berwenang
.
47
A.11 Keamanan Fisik & Lingkungan
PENGAMANAN KANTOR, RUANG KERJA, DAN FASILITAS FISIK
▪ Keamanan fisik untuk kantor ruang kerja dan fasilitas fisik organisasi harus didesain
dan diimplementasikan
Ruang Server
407
.
48
A.11 Keamanan Fisik & Lingkungan
PENGAMANAN TERHADAP ANCAMAN EKSTERNAL DAN LINGKUNGAN
▪ Perlindungan fisik terhadap bencana alam, serangan maupun kecelakaan harus
didesain dan diimplementasikan
49
A.11 Keamanan Fisik & Lingkungan
BEKERJA DI AREA AMAN
▪ Prosedur untuk bekerja di area aman harus didesain dan diimplementasikan
50
A.12 Keamanan Operasional
12.1 Tanggung
Jawab dan Prosedur
Operasional
12.3 Backup Informasi
• Informasi kritikal harus
memiliki backup
• Proses operasional fasilitas pengolahan
informasi mempunyai prosedur yang jelas
51
A.12 Keamanan Operasional
Memastikan keamanan sistem file pada Audit sistem informasi perlu merencanakan
aplikasi. Pengolahan data dalam lingkungan kebutuhan audit yang melibatkan pemeriksaan
pengujian perlu diperhatikan agar tidak terjadi sistem operasional yang meliputi ruang lingkup
pengungkapan dari data yang sensitif. audit yang disepakati serta akses ke sistem
informasinya.
52
A.13 Keamanan Komunikasi
A.13
Annex
Annex A.14
A.14.1 A.14.2
A.14.3
Prasyarat Keamanan Sistem Keamanan dalam proses
Data Pengujian
Informasi pengembangan dan dukungan
54
A.15 Hubungan dengan Pemasok (Supplier)
55
A.16 Manajemen Insiden Keamanan Informasi
Manajemen Insiden
Keamanan Informasi
56
A.17 Keamanan Informasi Keberlangsungan Bisnis
Keamanan
Informasi
Annex dalam
A.17 Kelangsungan
Bisnis
17.1 Keberlangsungan
Keamanan Informasi
57
A.18 Kepatuhan
58
CONTOH IMPLEMENTASI
CONTOH IMPLEMENTASI
60
CONTOH IMPLEMENTASI
Selalu menggunakan ID Card/ Access Card
miik sendiri
Tidak meminjamkan ID Card/ Access card
kepada siapa pun
61
CONTOH IMPLEMENTASI
63
CONTOH IMPLEMENTASI
PENGGUNAAN
Software yang terinstal di PC/Notebook harus
SOFTWARE berlisensi resmi/legal
64
CONTOH IMPLEMENTASI
PENGGUNAAN EMAIL
Berikan pengamanan untuk pengiriman
informasi kritikal
Tidak mengirimkan informasi password dari
untuk attachment pada saat yang
bersamaan dalam satu email
Tidak mencantumkan informasi email
langsung pada bagian body email.
65
CONTOH IMPLEMENTASI
PENGGUNAAN
INTERNET
Instal, update, dan aktifkan auto-scan
antivirus di PC/Notebook
66
67