Dasar-Dasar Keamanan IT

© Copyright Yayasan Pendidikan Internal Audit 1
Agenda
BAB I: IT Security Framework & Standard
BAB II: Keamanan Sistem dan Fisik
BAB III: Information Protection
BAB IV: Authentication and Encription

BAB - I
IT Security Framework & Standard
© Copyright Yayasan Pendidikan Internal Audit

Pendahuluan
Kerangka kerja keamanan informasi adalah

serangkaian kebijakan, prosedur, dan proses
terdokumentasi, disepakati, dan proses yang
menentukan bagaimana informasi dikelola dalam
bisnis, untuk menurunkan risiko dan kerentanan, dan
meningkatkan kepercayaan terhadap dunia yang
selalu terhubung.

COBIT
Sejarah COBIT; COBIT terbit tahun 1996 dari hasil riset yang
dilakukan ISACF (Information Systems Audit and Control
Foundation), yaitu sebuah badan riset bentukan ISACA.

COBIT
MISI VISI
• melakukan riset, • menjadikan COBIT sendiri
mengembangkan, sebagai satu-satunya model
mempublikasikan dan pengelolaan dan
mempromosikan makalah- pengendalian teknologi
makalah, serta meng-update informasi (Information
ketentuan IT Control Technology governance).
Objective yang dapat
diterima umum (Generally
Accepted Control
Objectives), berikut
panduan pelengkapnya;
dikenal sebagai Audit.

Information Systems Control
1. Pengendalian Umum (General Control) - yang dibagi lagi

menjadi dua kelompok kecil, yaitu:
a. Pervasive information systems Control
b. Detailed information systems Control)
2. Pengendalian Aplikasi (Application Control)

a. Input
b. Process
c. Output

Kelompok (domain)
Proses Information Systems Control
1. Perencanaan dan Organisasi (Planning & Organisation = PO)

2. Perolehan dan Implementasi (Acquisition & Implementation
= AI)
3. Pasokan dan Dukungan (Delivary & Support = DS)
4. Pemantauan (Monitoring = M)

Sumber Daya IT menurut COBIT
1. Data
2. Application systems
3. Technology
4. Facilities
5. People

Kriteria Informasi Bisnis
1. Efektif (effective)
2. Efisien (efficiency)
3. Kerahasiaan (confidentiality)
4. Integritas (integrity)
5. Ketersediaan (availability)
6. Ketaatan (compliance)
7. Andal/dapat dipercaya (reliability).

ISO 27000 Series
ISO 27000 Series (mengacu kepada beberapa seri dalam

range 27000) merupakan standard dalam information
security manajemen system yang dikembangan oleh
International Organization for standardization (ISO). Dalam
sejarahnya ISO 27000 Series tidak lepas dari standard
sebelumnya yang terkait juga dengan keamanan informasi
yakini BS (British Standard) 7799 dan ISO 17799.
Pemindahan seri ini bertujuan untuk mengelompokkan seri-
seri terkait standard keamanan informmasi dalam satu seri.

ISO 27000 Family
ISO/IEC 27001 (BS 7799-2)
mencakup spesifikasi dari ISMS
ISO /IEC 27000 mencakup daftar based ISO 27000 menyediakan ISO/IEC 27002 (ISO 17799)
kata dan istilah yang digunakan implementasi, operasi, mencakup detail dari control
dalam standard monitoring, reviewing, yang ada/Code of practices
maintaining, dan improvement
dari ISMS
ISO/IEC 27003 mencakup ISO/IEC 27004, standard yang ISO /IEC 27005, Standard yang
panduan mengenai bagaimana memberikan panduan tentang memberikan panduan mengenai
mengimplementasikan ISMS metode pengukuran, bagaimana implementasi information
yang mencakup konsep PDCA mengukur efektifitas dari ISMS security risk management
ISO/IEC 27006:2007 Information

technology — Security
techniques – mencakup audit
terhadap ISMS dan sertifikasi
dari ISMS beserta kriteria
sertifikasi dari ISMS.

ISO 27001

NIST SP 800 Series
Pertama kali diterbitkan pada tahun 1990, Institut Nasional

Standar dan Teknologi Publikasi Khusus 800-53 (NIST SP 800-
53) menyediakan panduan untuk membantu lembaga
pemerintah federal AS mematuhi Standar Pemrosesan
Informasi Federal (FIPS). Meskipun kerangka kerja
menetapkan standar keamanan dan pedoman untuk
lembaga pemerintah dan sistem informasi federal, kerangka
ini juga diikuti secara luas di sektor swasta. Secara umum
dianggap mewakili praktik terbaik industri.

Kerangka Cybersecurity
Framework Core Kerangka Profil Kerangka

1
3
menyediakan Tingkatan terutama
serangkaian Implementasi digunakan untuk
kegiatan membantu mengidentifikasi
cybersecurity organisasi dan
memandang memprioritaskan
manajemen risiko peluang
keamanan siber

BAB - II
Keamanan Sistem dan Fisik

Physical Security
Physical Security atau keamanan fisik membahas ancaman,

kerawanan dan tindakan yang dapat diambil untuk mamberi
perlindungan fisik tehadap sumber daya organisasi dan
informasi yang sensitif. Sistem keamanan fisik sering mengacu
pada tindakan yang diambil untuk melindungi sistem, gedung
dan infrastruktur pendukung yang terkait terhadap ancaman
yang berhubungan dengan lingkungan fisik. Secara singkat
Physical Security dapat diartikan sebagai keamanan
infrastruktur teknologi informasi secara fisik.

Ancaman Keamanan Fisik
Ancaman alam
• Seperti banjir, gempa bumi, badai dan tornado, kebakaran, kondisi temperatur, dan lain
sebagainya.
Ancaman sistem.
• Seperti distribusi tegangan, gangguan komunikasi, gangguan ke berbagai sumber daya
lainnya seperti air, uap air, gas dan lain sebagainya.
Ancaman yang dibuat manusia.

• Orang yang tidak memilki akses (internal maupun eksternal), ledakan bom, dendam
pegawai, kesalahan dan kecelakaan pegawai, vandalisme, penipuan, pencurian, dan lain
sebagainya.
Ancaman bermotivasi politik.

• Mogok kerja, kerusuhan, pemberontak, serangan teroris, pemboman, dan sebagainya.

Metodologi Keamanan
Level 4 –
Keamanan
Level 3 – Keamanan
informasi
Level 2 –
Keamanan
Level 1 – Keamanan jaringan
database, data,
komputer,
Level 0 – peralatan & aplikasi
Keamanan fisik

Tujuan Keamanan Fisik
Mencegah tindak kriminal
Mengurangi kerugian
Mendeteksi tindak kriminal.
Memperkirakan respon petugas

keamanan
Membuat mekanisme respon

Data Integrity
Integritas data mengacu pada akurasi dan konsistensi (validitas)
data selama siklus hidupnya. menjaga integritas data adalah fokus
inti dari banyak solusi keamanan perusahaan. Setiap kali data
direplikasi atau ditransfer, itu harus tetap utuh dan tidak berubah
di antara pembaruan. Metode pengecekan kesalahan dan
prosedur validasi biasanya diandalkan untuk memastikan
integritas data yang ditransfer atau direproduksi tanpa maksud
perubahan.

Integritas Data Sebagai Proses
Integritas data sebagai keadaan mendefinisikan

kumpulan data yang valid dan akurat. Di sisi lain,
integritas data sebagai suatu proses,
menggambarkan langkah-langkah yang digunakan
untuk memastikan validitas dan akurasi sebagian
data atau semua data yang terkandung dalam
database atau konstruk lainnya. Misalnya, metode
pengecekan kesalahan dan validasi dapat disebut
sebagai proses integritas data.

Hilangnya Integritas Data
Kesalahan manusia
Kesalahan transfer
Bug, virus/malware, peretasan, & ancaman cyber
Perangkat keras yang dikompromikan
Kompromi fisik dengan perangkat

Empat Jenis Integritas Data
Integritas
Entity Integritas Integritas
Buatan
Integrity Referensial Domain
Pengguna

Langkah-langkah Keamanan Fisik
Analisis resiko untuk

mengidentifikasi Mendifinisikan resiko yang
Identifikasi tim
kerentanan dan dapat diterima
ancaman
Mengembangkan kriteria
Mendapatkan garis dari hasil analisis, dan
Membuat pengukuran
besar performance yang memikirkan level
tindakan keamanan dan kekuatan
dibutuhkan
yang dibutuhkan
Mengidentifikasi dan
Terus menerus mengawasi
mengimplementasikan
setiap tindakan
tindakan

Physical Security Checklist
Company Surroundings
Reception
Server
Workstation Area
Wireless Access Points
Access Control
Computer Equipment Maintenance
Wiretapping
Remote Access

10 Macam Langkah Keamanan
Perangkat rentan
Mengunci ruang Mengatur pengawasan
/ surveillance
ditempatkan di
server
ruangan terkunci
Jauhkan penyusup
Jangan lupakan Gunakan rack
dari membuka
workstation mount server
casing
Lindungi perangkat Kemas dan simpan Lindungi printer

portable backup dengan baik Anda

Pengimplementasian atau modifikasi
data dan software yang tidak terotorisasi
Rounding Salami
Data Diddling Trojan Horses
Down Techniques
Virus Worms Logic Bombs Trap Doors
Asynchronous
Data Leakage Wire-tapping Piggybacking
Attack
Shut Down of Denial of

the Computer Service

Serangan Virus
File
File-
program Bagian boot
directory File Data
yang dapat dan sistem
system
dieksekusi

Pengendalian Bahaya Virus
Semua server Menciptakan boot khusus
Membangun sistem dari sehingga harddisk tidak
dilengkapi dengan
salinan master yang dapat diakses ketika
software pendeteksi dilakukan booting dari
bersih dan original
virus suatu disket atau CD- ROM
Disk yang akan

Menggunakan software Men-encrypt file lalu
digunakan harus telah
anti-virus untuk decrypt kembali
di-scan pada mesin
workstation dan server sebelum eksekusi
stand-alone
Men-scan disk mereka

pada suatu mesin penguji Bridge, router dan
Meng-update software
sebelum mereka gateway adalah
anti virus menggunakannya pada autentik
system
Semua disket dengan Siapkan suatu prosedur

ekstensi .EXE atau .COM Scan sebelum ada pembasmian virus dan
harus dalam keadaan software baru diinstal
Backup identifikasikan
write-protect penanggungjawabnya
Vendor hanya Melarang penggunaan

Reviu kebijakan dan
menjalankan shareware tanpa User mengindahkan
prosedur anti-virus
demonstrasi pada diawali pen-scan-an kebijakan dan prosedur
minimal setahun sekali
mesin mereka shareware tersebut

Metode Teknis Pencegahan Virus
Write-
protected
tabs pada
floppy disks
Hardware-
Remote
based
booting
password
Boot virus
protection
Workstation
tanpa floppy
disks

Tiga Tipe Software Anti-virus
Integrity
Checkers
Active
Monitors
Scanners

Ancaman Bisnis
Financial Loss Legal Repercussions
• dapat bersifat langsung, karena terjadi • berbagai hukum pribadi dan hak asasi yang
kehilangan dana atau tidak langsung, karena harus dipertimbangkan suatu organisasi saat
terjadi biaya untuk koreksi eksposur mengembangkan kebijakan dan prosedur
sekuriti
Blackmail/Industrial Espionage
Loss of Credibility or Competitive • pelanggar dapat memeras pembayaran atau jasa
dari suatu organisasi dengan ancaman untuk
Edge mengekploitasi pelanggaran sekuriti
• pelanggaran sekuriti dapat sangat merusak
kredibilitas, yang berakibat pada kerugian bisnis
dan prestis
Disclosure of Confidential, Sensitive Sabotage

or Embarassing Informasi • kerusakan karena ketidaksukaan pada organisasi
• Tindakan hukum terhadap perusahaan juga tersebut atau untuk kepuasan diri sendiri
dapat terjadi akibat pengungkapan informasi
yang sifatnya rahasia

Pelanggar Logical Access
Hackers Employees IS Personnel End Users
Interested or
Former
Educated Pesaing Pihak asing
Employees
Outsiders
Part-time and
Kejahatan
Crackers Phreackers Temporary
terorganisasi
Personnel
Vendors and Accidental

Consultants Ignorant

Internet Security
Firewall adalah kombinasi hardware dan software

yang dibangun menggunakan routers, servers dan
suatu jenis software. Firewall sebaiknya diletakkan
pada titik paling rawan antara suatu jaringan
perusahaan dan Internet dan dapat menjadi
sederhana atau kompleks tergantung administrator
sistem yang ingin membangunnya.

Tipe Firewall
Firewall
Mengenkrip paket
Menyadap dan
yang dikirimkan
mencatat semua
antara lokasi fisik
komunikasi antara
yang berbeda dalam
Mencegah user suatu jaringan
Menghalangi akses suatu organisasi
tertentu mengakses internal dengan
ke situs tertentu dengan
server atau servis dunia luar untuk
dalam Internet menciptakan suatu
tertentu menyelidiki adanya
jaringan pribadi
penetrasi jaringan
virtual (virtual
atau mendeteksi
private network)
subversi internal.
melalui Internet

Masalah Implementasi Firewall
Pemantauan
aktivitas tidak Adanya keraguan
dilakukan secara pada security
teratur
Kesalahpahaman Firewall dapat

tentang apa yang dielakkan melalui
ada dalam suatu penggunaan
firewall modem
Firewall yang
konfigurasinya
salah

Kerentanan Penyimpanan
Kurangnya Kurangnya
keamanan enkripsi
fisik
Penghancuran
Penyimpanan
data yang
cloud
tidak lengkap

Praktik Terbaik Keamanan Data
Kebijakan
Pencegahan Keamanan Keamanan Pencadangan
keamanan
Kontrol akses Enkripsi kehilangan jaringan yang titik akhir Redundansi dan
penyimpanan
data kuat yang kuat pemulihan
data

BAB - III
Information Protection

Memelihara Keunggulan Kompetitif
Menjamin integritas informasi
Menjaga kerahasiaan data
Menjamin ketersediaan sistem

informasi
Menjamin ketaatan pada

hukum, peraturan dan standar

Enam Tujuan Bisnis Strategis
Keunggulan
operasional
Produk, layanan,
Kelangsungan dan model bisnis
hidup baru
Keintiman
Keunggulan
pelanggan dan
kompetitif
pemasok
Pengambilan
keputusan yang
lebih baik

Malicious Software
Perangkat lunak berbahaya, umumnya dikenal

sebagai malware, adalah perangkat lunak apa
pun yang membahayakan sistem
komputer. Malware dapat berupa worm, virus,
trojan, spyware, adware dan rootkit, dan
lainnya., Yang mencuri data yang dilindungi,
menghapus dokumen atau menambah
perangkat lunak yang tidak disetujui oleh
pengguna

Controls Against Malware
• Install antivirus & jangan membuka lampiran file
Virus
Virus Trojan • Jangan membuka lampiran file
Rootkit • Batasi akses download
Worm • Install Firewall
Logic Bomb • Batasi akses download
• Install software antivirus & Batasi akses download

Spyware dan Adware
• Install software antivirus & Batasi akses download
Ransomeware

Types of Attacks
Interruption Interception Modification Fabrication

Counters Measures IDS
IDS network-based
• ditempatkan diantara Internet dan firewall, hal itu
akan mendeteksi semua usaha serangan, memasuki
atau tidak memasuki firewall
IDS host-based
• dikonfigurasikan untuk suatu lingkungan spesifik dan
akan memantau berbagai sumberdaya internal dari
sistem operasi untuk memberi peringatan adanya
kemungkinan serangan.

Information Integrity and Reliability
Integritas data mengacu pada keandalan dan

kepercayaan data sepanjang siklus hidupnya.
Ini dapat menggambarkan keadaan data Anda
— misalnya, valid atau tidak valid — atau
proses memastikan dan menjaga validitas dan
akurasi data. Pengecekan dan validasi
kesalahan, misalnya, adalah metode umum
untuk memastikan integritas data sebagai
bagian dari suatu proses.

Ancaman umum yang dapat
mengubah status integritas data
Kesalahan Malware,
Perangkat keras
Kesalahan Kesalahan konfigurasi dan ancaman orang
yang
manusia transfer kesalahan dalam, dan
dikompromikan
keamanan serangan siber

Fitur Integritas
Retrievabilitas
Traceability Keandalan
& aksesibilitas

Daftar Periksa Menjaga Integritas
Data & Meminimalkan Risiko
Input Validasi
Validasi Data
Hapus Data Duplikat
Mencadangkan Data
Kontrol Akses
Selalu Jaga Jejak Audit

Privacy
Privasi Privasi
medis internet
Privasi
keuangan

BAB - IV
Authentication and Encription

Identifikasi dan Otentikasi
Something Something Something

you know you have you are
password, user id,
electronic card,
personal sidik jari, telapak
swipt card, atau
identification tangan, dan retina
smart card
number (PIN)

Encription Overview
Enkripsi merupakan proses pengkonversian

suatu pesan plaintext ke dalam bentuk teks yang
dikodekan untuk pengamanannya yang disebut
Cyphertext. Cyphertext tidak dapat dibaca dan
dimengerti tanpa mengkonversinya kembali
melalui proses pembalikan/dekripsi ke format
plaintext

Enkripsi Secara Umum
Memproteksi data dalam
perjalanan melalui jaringan
Memproteksi informasi yang

disimpan dalam komputer
Enskripsi
Mengurangi dan mendeteksi
perubahan data
Memverifikasi otentikasi transaksi atau

dokumen

Public Key
Sistem enkripsi asimetris, sering disebut sistem kriptografi

kunci public (public key cryptographic system), menjawab
kesulitan yang dihadapi dalam mendistribusikan kunci
simetris kepada pihak yang melakukan transaksi namun tidak
saling kenal sebelumnya. Sistem enkripsi asimetris
menggunakan 2 (dua) kunci yang bekerja sebagai suatu
pasangan. Satu kunci digunakan untuk mengenkripsi data,
dan kunci lainnya digunakan untuk mendekripsi data.

Private Key Encription
Algoritma enkripsi simetris (symmetric encryption)

menggunakan suatu kunci rahasia untuk
mengenkripsi plaintext ke dalam ciphertext, dan
dengan menggunakan kunci yang sama untuk
mendekripsi ciphertext kembali ke dalam plaintext.
Dalam hal ini kunci yang digunakan disebut simetris
karena kunci untuk mengenkripsi sama dengan
kunci untuk mendekripsi. Sistem enkripsi dengan
kunci simetris ini disebut juga sistem kriptografi
kunci pribadi (private key cryptographic system).

Digital Signature
Integritas Data
Otentikasi
Digital
Signature
Non–repudiation
Replay protection

Thank You!

Dasar-Dasar Keamanan IT

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Dasar-Dasar Keamanan IT

Diunggah oleh

Hak Cipta:

Format Tersedia

© Copyright Yayasan Pendidikan Internal Audit 1

BAB I: IT Security Framework & Standard

BAB II: Keamanan Sistem dan Fisik

BAB III: Information Protection

BAB IV: Authentication and Encription

© Copyright Yayasan Pendidikan Internal Audit 2

© Copyright Yayasan Pendidikan Internal Audit

Kerangka kerja keamanan informasi adalah

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit 5

© Copyright Yayasan Pendidikan Internal Audit

1. Pengendalian Umum (General Control) - yang dibagi lagi

2. Pengendalian Aplikasi (Application Control)

© Copyright Yayasan Pendidikan Internal Audit 7

1. Perencanaan dan Organisasi (Planning & Organisation = PO)

© Copyright Yayasan Pendidikan Internal Audit 8

© Copyright Yayasan Pendidikan Internal Audit 9

© Copyright Yayasan Pendidikan Internal Audit 10

ISO 27000 Series (mengacu kepada beberapa seri dalam

© Copyright Yayasan Pendidikan Internal Audit

ISO/IEC 27006:2007 Information

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Pertama kali diterbitkan pada tahun 1990, Institut Nasional

© Copyright Yayasan Pendidikan Internal Audit

Framework Core Kerangka Profil Kerangka

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Physical Security atau keamanan fisik membahas ancaman,

© Copyright Yayasan Pendidikan Internal Audit

Ancaman yang dibuat manusia.

Ancaman bermotivasi politik.

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Mencegah tindak kriminal

Mendeteksi tindak kriminal.

Memperkirakan respon petugas

Membuat mekanisme respon

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Integritas data sebagai keadaan mendefinisikan

© Copyright Yayasan Pendidikan Internal Audit

Bug, virus/malware, peretasan, & ancaman cyber

Perangkat keras yang dikompromikan

Kompromi fisik dengan perangkat

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Analisis resiko untuk

© Copyright Yayasan Pendidikan Internal Audit

Wireless Access Points

Computer Equipment Maintenance

© Copyright Yayasan Pendidikan Internal Audit

Lindungi perangkat Kemas dan simpan Lindungi printer

© Copyright Yayasan Pendidikan Internal Audit

Virus Worms Logic Bombs Trap Doors

Shut Down of Denial of

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Disk yang akan

Men-scan disk mereka

Semua disket dengan Siapkan suatu prosedur

Vendor hanya Melarang penggunaan

© Copyright Yayasan Pendidikan Internal Audit