E-LEARNING INFORMATION SECURITY AWARENESS

Modul I – Pengenalan Keamanan Informasi

Keamanan Informasi atau Information Security (Infosec) adalah upaya yang berkaitan dengan
penjagaan informasi dari berbagai ancaman. Keamanan informasi dirancang untuk melindungi
kerahasiaan (confidentiality), integritas (Integrity), dan ketersediaan (Availability) data dan informasi
dari mereka yang memiliki niat jahat. Maka, Confidentiality, integrity, dan Availability (C-I-A) adalah
prinsip dari keamanan informasi
Prinsip Keamanan Informasi:
 Confidentiality (Kerahasiaan)
Adalah prinsip untuk melindungi data dan informasi organisasi dari penyingkapan orang-
orang yang tidak berhak.
Contoh: Data Wajib Pajak (WP)
Data Wajib Pajak merupakan data yang bersifat rahasia pribadi. Selain WP sendiri, data
tersebut hanya boleh diakses oleh petugas pajak atau petugas hukum sesuai dengan
ketentuan yang berlaku.
 Integrity (Integritas)
Adalah prinsip untuk melindungi keutuhan data dan informasi organisasi dari modifikasi
yang tidak sah.
Contoh: Data penerimaan negara harus benaar, tidak ada modifikasi.
Dalam mengelola keuangan negara, sangat penting bagi pemerintah untuk mengetahui
data penerimaan negara yang valid. Data dimaksud digunakan sebagai dasar dalam alokasi
anggaran, perlu tidaknya negara melakukan pembiayaan, maupun sebagai dasar dalam
penyusunan kebijakan.
 Availability (Ketersediaan)
Adalah prinsip untuk melindungi ketersediaan data dan informasi organisasi, sehingga
data tersedia pada saat dibutuhkan.
Contoh: Sistem penerimaan negara dapat diakses saat dibutuhkan.
Dalam pengambilan kebijakan, ketersediaan data sangat berperan penting. Data yang
termutakhir memungkinkan pimpinan mempunyai dasar dalam memutuskan suatu kebijakan.
Sebagai contoh, dalam kondisi ekonomi global yang tidak menentu, ketersediaan data dapat
mempengaruhi perlu tidaknya pemerintah mengeluarkan paket kebijakan ekonomi, serta
 bentuk paket kebijakan yang ada. Data yang tidak tersedia tepat waktu dapat berpengaruh
pada kecepatan respon pemerintah dalam menyikapi suatu kondisi.

Alasan kenapa seluruh pegawai harus aware atas keamanan data dan informasi:
 Masih terdapat sistem informasi yang belum sesuai standar keamanan
Misalkan suatu aplikasi belum lulus uji kerentanan tapi sudah digunakan, sehingga bisa jadi
aplikasi rentan diretas.
 IT Literacy dan Information Security Awareness pegawai kemenkeu masih rendah
Misalnya masih banyak pegawai yang menggunakan email non kedinasan, tidak mengganti
password sejak pertama kali mendapatkan, atau pegawai menggunakan PC yang belum
terinstal antivirus.
 Tingginya tingkat ketergantungan proses bisnis kemenkeu terhadap Teknologi Informasi dan
Komunikasi (TIK)
Digitalisasi proses bisnis, seperti Office Automation Kemenkeu, Modul Penerimaan Negara
(MPN), Surat Berharga Negara (SBN) Retail, pelaporan pajak (e-filling), Sistem Perbendaharaan
dan Anggaran Negara (SPAN), Customs-Excise Information System and Automation (CEISA),
Sistem Informasi Keuangan Daerah (SKID), Sistem Informasi Manajemen Aset Negara (SIMAN),
Sistem Pengelolaan Beasiswa Pendidikan, Sistem Pengawasan Audit, SIstem Pengelolaan
Fiskal, dan Sistem Manajemen Pembelajaran, sehingga jika terjadi gangguan terhadap TIK
maka kegiatan bisnis kemenkeu akan terganggu.
 Perkembangan teknologi semakin pesat
Menyebabkan peningkatan cyber crime. Misalnya mobile banking.
 Tingginya nilai transaksi keuangan pada Kementerian Keuangan
Sehingga menjadikan kemenkeu target serangan siber. Data serangan pada sistem kemenkeu
pada pusat data kemenkeu pada tahun 2019 adalah sebanyak 2.518.536.
 Meningkatnya tren ancaman keamanan informasi di dunia
Misalnya serangan siber semakin canggih dan massif, ransomware menyerang setiap 14 detik
pada tahun 2019

Contoh dampak gangguan keamanan informasi:

 Terganggunya kegiatan operasional
Misalkan suatu aplikasi diretas dengan serangan DDos distributed denial of service) sehingga
down, maka proses bisnis yang bergantung pada aplikasi “X” akan terhenti. Contoh lain, jika
pengguna pada suatu kantor terkena ransomware dan menyebabkan kegiatan operasional
pada kantor tersebut terganggu.
 Rusaknya reputasi (Reputation Lost)
Misalkan aplikasi “Y” yang digunakan untuk ekspor-impor terganggu sehingga mengganggu
proses ekspor-impor maka akan menyebabkan rusaknya reputasi penyelenggara aplikasi “Y”.
misalkan situs kemendagri dan KPAI diretas sehingga menyebabkan rusaknya reputasi
kemendagri dan KPAI sehingga masyarakat meragukan keamanan data yang disimpan oleh
Kementerian/Lembaga dimaksud.
 Kerugian finansial (Financial Lost)
Misalnya jika terjadi pencurian sebesar “X” rupiah untuk setiap transaksi penerimaan negara,
maka akan menyebabkan kehilangan finansial atau kehilangan penerimaan negara. Contohnya
bank sentral Bangladesh dibobol hacker sebanyak Rp1,06 triliun.
 Kehilangan kekayaan intelektual (Intellectual Property Loss)
Misalnya pencurian atas hasil penelitian-penelitian, design sistem informasi dan source code
aplikasi tersebar ke pihak lain. Akibatnya marak terjadi pelanggaran hukum HAKI, bahkan
orang yang mempunyai hak kekayaan intelektual itupun sering tidak menyadari kalua haknya
telah dilanggar.
 Kehilangan kepercayaan dari stakeholder (Loss of Stakeholder’s Confidence)
Data dan informasi pribadi warga negara tersebar sehingga menyebabkan kepercayaan
masyarakat terhadap instansi hilang.
 Opportunity Loss
Misalkan sistem retail Surat Berharga Negara (SBN) down, maka opportunity untuk
mendapatkan investasi akan berkurang. Contohnya, salah satu artikel dari Bloomberg
menyebutkan akibat dari peretasan yang dialami oleh suatu perusahaan pertumbuhan
penjualan suatu perusahaan dapat berkurang sampai dengan 3%.
 Bocornya rahasia negara (Information Leakage)
Rancangan Rencana Kerja dan Anggaran Kementerian Negara/Lembaga (RKA-K/L) tersebar ke
masyarakat luas. Spesifikasi pengadaan tersebar sebelum proses lelang dimulai. Apabila
informasi yang terdapat pada Kerangka Acuan Kerja (KAK) Pengadaan Barang dan Jasa bocor
kepada masyarakat, maka dikhawatirkan akan terjadi persaingan yang tidak sehat di antara
penyedia barang dan jasa. Selain itu dimungkinkan juga terjadi kolusi dan manipulasi pada
ketersediaan barang yang diperlukan oleh masyarakat yang menimbulkan harga di luar
kewajaran.
Modul II – Kebijakan dan Sanksi dalam Implementasi Keamanan
Informasi
Kebijakan keamanan informasi adalah serangkaian aturan terkait keamanan informasi dalam
rangka melindungi keamanan informasi.
Kebijakan keamanan informasi yang dikeluarkan pemerintah Indonesia antara lain:
 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
sebagaimana telah diubah melalui Undang-Undang No,or 19 Tahun 2016 tentang Perubahan
Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik
 Perpres Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)
 Peraturan Kepala Arsip Nasional Republik Indonesia Nomor 17 Tahun 2011 tentang Pedoman
Pembuatan Sistem Klasifikasi Keamanan dan Akses Arsip Dinamis
 Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem
Manajemen Pengamanan Informasi
 Peraturan Menteri Komunikasi dan Informatika Nomor 11 Tahun 2018 tentang
Penyelenggaraan Sertifikat Elektronik
 Surat Edaran Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 137
Tahun 2018 tentang Penyebarluasan Informasi Melalui Media Sosial Bagi Aparatur Sipil Negara

Kasus-Kasus Pelanggaran Keamanan Informasi:

 Kasus : Melakukan aktivitas hacking
Analisis : Hal ini melanggar Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan
Transaksi Elektronik sebagaimana telah diubag melalui Undang-Undang No,or 19
Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008
Tentang Informasi dan Transaksi Elektronik
Secara umum, materi UU ITE dibagi menjadi dua bagian besar yang terkait keamanan
informasi, yaitu:
 Pengaturan mengenai informasi dan transaksi elektronik termasuk di dalamnya
mengenai tanda tangan digital
 Pengaturan mengenai perbuatan yang dilarang, antara lain:
 Penggunaan setiap informasi melalui media elektronik yang menyangkut data
pribadi seseorang tanpa persetujuan orang yang bersangkutan
  Mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara
apapun dengan sengaja dan tanpa hak atau melawan hukum
 Melakukan intersepsi atau penyadapan atas informasi elektronik dan/atau
dokumen elektronik dalam suatu komputer dan/atau sistem elektronik tertentu
milik orang lain dengan sengaja dan tanpa hak atau melawan hukum
 Mengubah, menambah, mengurangi, melakukan transmisi, merusak,
menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik
dan/atau dokumen elektronik milik orang lain atau milik publik dengan sengaja
dan tanpa hak atau melawan hukum dengan cara apapun
 Melakukan tindakan apapun yang berakibat terganggunya sistem elektronik
dan/atau mengakibatkan sistem elektronik menjadi tidak bekerja sebagaimana
mestinya dengan sengaja dan tanpa hak atau melawan hukum
 Kasus : Mengcopy data sangat rahasia untuk mendapatkan keuntungan
Analisis : Hal ini merupakan salah satu pelanggaran atas Peraturan Kepala Arsip Nasional
Republik Indonesia Nomor 17 Tahun 2011 tentang Pedoman Pembuatan Sistem
Klasifikasi Keamanan dan Akses Arsip Dinamis
Peraturan Kepala Arsip Nasional Republik Indonesia Nomor 17 Tahun 2011 mengatur
mengenai hal-hal sebagai berikut:
 Tentang pedoman pembuatan sistem klasifikasi keamanan dan akses arsip dinamis
 Penentuan kategori klasifikasi keamanan:
 Sangat rahasia
 Rahasia
 Terbatas
 Biasa/terbuka
 Pengamanan berdasarkan tingkat klasifikasinya (dalam hal penyimpanan dan
penyampaian)
 Kasus : - Penyelenggara sistem elektronik tidak menyelenggarakan sistem elektronik
yang andal dan aman sehingga berpotensi tidak dapat melindungi
ketersediaan, keotentikan, dan kerahasiaan informasi elektronik
- Penyelenggara sistem elektronik tidak melindungi keamanan data pribadi dari
kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta
pengubahan atau perusakan
Analisis : Hal ini melanggar Peraturan Pemerintah Nomor 71 Tahun 2019 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik
 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik mengatur mengenai hal-hal sebagai berikut:
 Penyelenggaraan sistem elektronik, antara lain termasuk penyelenggara sistem
elektronik, penempatan sistem elektronik dan data elektronik, serta transaksi elektronik
dan sertifikasi elektronik.
 Pengelolaan nama domain
 Kasus : Menggunakan tanda tangan digital atasan tanpa izin
Analisis : Hal ini merupakan pelanggaran terhadap Peraturan Menteri Komunikasi dan
Informatika Nomor 11 Tahun 2018 tentang Penyelenggaraan Sertifikat Elektronik
Peraturan Menteri Komunikasi dan Informatika Nomor 11 Tahun 2018 tentang
Penyelenggaraan Sertifikat Elektronik mengatur mengenai hal-hal berikut:
 Sertifikat elektronik adalah sertifikat yang bersifat elektronik yang memuat tanda
tangan elektronik dan identitas yang menunjukkan status subjek hukum para pihak
dalam transaksi elektronik yang dikeluarkan oleh penyelenggara sertifikasi elektronik
 Penyelenggara sertifikasi elektronik terdiri atas penyelenggara sertifikasi elektronik
Indonesia (Instansi dan Non-instansi) dan Asing
 Tata cara memiliki sertifikat elektronik
 Pengawasan terhadap penyelenggaraan sertifikasi elektronik dilaksanakan oleh Menteri
Kominfo.
 Kasus : - Tidak melaksanakan sertifikasi Sistem Manajemen Pengamanan Informasi (SNI
ISO/IEC 27001)
- Lalai mengurus sertifikat sistem manajemen pengamanan informasi
Analisis : Hal ini merupakan bentuk-bentuk pelanggaran atas Peraturan Menteri
Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen
Pengamanan Informasi
Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem
Manajemen Pengamanan Informasi mewajibkan penyelenggara sistem elektronik dengan
kategori strategis dan tinggi untuk melakukan sertifikasi SNI ISO/IEC 27001
 Kasus : Memberi Informasi Menyesatkan Terkait Kedinasan
Analisis : Hal ini merupakan salah satu pelanggaran atas Surat Edaran Menteri
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 137 Tahun 2018
tentang Penyebarluasan Informasi Melalui Media Sosial Bagi Aparatur Sipil
Negara
 Surat Edaran Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 137
Tahun 2018 tentang Penyebarluasan Informasi Melalui Media Sosial Bagi Aparatur Sipil Negara
mengatur mengenai hal-hal berikut:
 Menjaga kerahasiaan yang menyangkut kebijakan negara, memberikan informasi secara
benar dan tidak menyesatkan kepada pihak lain yang memerlukan informasi terkait
kepentingan kedinasan
 Tidak menyalahgunakan informasi intern negara untuk mendapat atau mencari
keuntungan atau manfaat bagi diri sendiri atau untuk orang lain
 Memastikan bahwa informasi yang disebarluaskan jelas sumbernya, dapat dipastikan
kebenarannya dan tidak mengandung unsur kebohongan
Guna melengkapi kebijakan sebelumnya, Kemenkeu juga sudah mengeluarkan regulasi terkait
keamanan informasi, antara lain:
 Regulasi terkait keamanan informasi di lingkungan Kementerian Keuangan dipayungi oleh
PMK Nomor 97/PMK.01/2017
 Kebijakan terkait pegelolaan keamanan informasi ditetapkan dengan KMK
Nomor 942/KMK.01/2019
Modul III – Penerapan Pengamanan Informasi
A. Pengamanan Fisik
Pengamanan fisik meliputi pengamanan dokumen dan pengamanan area kerja. Ada
beberapa tindakan yang dapat dilakukan dalam pengamanan dokumen, yaitu:
 Jangan membiarkan dokumen sensitif terbuka
 Jangan mencetak dokumen sensitif di printer uang diluar jangkauan
 Jangan berbagi informasi sensitif
 Jangan melihat informasi sensitif yang bukan kewenangannya
 Jangan menyimpan informasi sensitif di luar fasilitas kedinasan
 Jangan membuat sharing folder dengan akses “everyone”
 Jangan membuang laporan/informasi tanpa dihancurkan terlebih dahulu
 Jangan memberikan asset informasi kepada pihak lain untuk kepentingan di luar
kedinasan
 Memberikan label/kode kerahasiaan pada amplop pembungkus dokumen sensitif
Sedangkan untuk pengamanan area kerja, tindakan-tindakan yang dapat dilakukan antara lain:
 Gunakan sistem akses keamanan lingkungan seperti access card, finger print, dll
 Jangan berbagi akses masuk area kerja
 Area kerja harus terlindungi dari bahaya lingkungan dan akses pihak tidak berwenang
 Jalur keluar masuk area kerja harus dijaga dan dipantau
 Area kerja harus terlindungi dari benda berbahaya dan benda mudah terbakar
 Menerapkan clear desk dan clear screen pada saat meninggalkan area kerja
 Hati-hati terhadap orang asing, misalnya menanyakan ID terhadap orang tak dikenal yang
berapa di lingkungan kerja
 Membawa pengunjung hanya di ruang resepsionis atau ruang tamu
 Waspada terhadap “tailgating”, yaitu tindakan bypass access fisik yang dilakukan dengan
cara mengikuti individu yang berwenang untuk memasuki area aman
B. Pengelolaan Kata Sandi (Password)
Pengelolaan kata sandi (password) adalah salah satu bentuk pengamanan informasi. Untuk
mengelola password, terdapat hal-hal yang boleh dilakukan (do’s) dan hal-hal yang tidak boleh
dilakukan (don’ts).
Hal-hal yang boleh dilakukan dalam mengelola password:
 Minimal 8 karakter
 Kombinasi huruf kapital, huruf kecil, dan angka (0-9)
Contoh: Kbr7MizU
  Ganti sandi secara berkala, maksimal dalam waktu 180 hari atau dalam hal kata sandi
diketahui orang lain
 Jaga kerahasiaan sandi
 Ubah kata sandi yang telah diberikan oleh Unit TIK Eselon I pada saat pertama kali
diberikan
Hal-Hal uang tidak boleh dilakukan dalam mengelola password:
 Menggunakan kata sandi yang mengandung:
 Nama diri/kerabat
 Lokasi kerja
 Tanggal lahir
 Alamat rumah
 Jabatan kerja
 Hal pribadi lainnya
 Baik Sebagian atau seutuhnya nama akun
 Menggunakan kata sandi yang mudah ditebak, misalnya Jakarta, Kemenkeu, P@ssw0rd
 Berbagi kata sandi
 Menggunakan akun dan kata sandi milik pengguna lain
 Menuliskan kata sandi dimanapun dan/atau menyimpan kata sandi dalam berkas
elektronik pada sistem komputer (termasuk perangkat mobile computing atau
sejenisnya)
 Membuat kata sandi yang sama pada Sistem TIK di lingkungan Kementerian Keuangan
dengan kata sandi yang digunakan dalam akun di luar sistem TIK milik Kementerian
Keuangan
 Mengaktifkan fitur ”remember password” pada browser internet
C. Klasifikasi Aset Informasi dan Kerahasiaan Informasi (KI)
Berdasarkan PMK Nomor 97 Tahun 2017, setiap data/informasi memiliki klasifikasi masing-
masing, sehingga perlu ditangani dan diamankan dengan cara yang berbeda-beda sesuai
dengan klasifikasinya.
Klasifikasi Data dan Informasi:
 Publik
Data Kementerian Keuangan yang secara sengaja disediakan oleh Kementerian keuangan
untuk dapat diketahui oleh masyarakat umum.
Contoh: Siaran Pers; PMK
 Terbatas
 Data Kementerian Keuangan yang apabila didistribusikan secara tidak sah atau jatuh ke
tangan yang tidak berhak akan mengganggu kelancaran kegiatan Kementerian Keuangan
tetapi tidak mengganggu citra dan reputasi Kementerian Keuangan.
Contoh: Standard Operational Procedure (SOP); Laporan Kinerja
 Rahasia
Data Kementerian Keuangan yang apabila didistribusikan secara tidak sah atau jatuh ke
tangan yang tidak berhak akan mengganggu kelancaran kegiatan Kementerian Keuangan
atau mengganggu citra dan reputasi Kementerian Keuangan dan/atau yang menurut
peraturan perundang-undangan dinyatakan rahasia
Contoh: Data Wajib Pajak; Data Wajib Bayar
 Sangat Rahasia
Data Kementerian Keuangan yang apabila didistribusikan secara tidak sah atau jatuh ke
tangan yang tidak berhak akan menyebabkan kerugian ketahanan ekonomi nasional
Contoh: Data RAPBN
Dalam hal pengamanan, dokumen konvensional dan dokumen elektronik memiliki cara
penanganan yang berbeda yaitu:
 Dokumen Konvensional
 Klasifikasi Biasa/Publik
 Pelabelan
Tidak ada persyaratan dan prosedur khusus
 Pengguna
Pengguna yang berasal dari eksternal dan internal yang mempunyai hak
akses
 Prasarana dan Sarana
Tidak memerlukan prasarana dan sarana khusus
 Klasifikasi Terbatas
 Pelabelan
Ada persyaratan dan prosedur dengan memberikan cap “TERBATAS” pada
fisik dokumen
 Pengguna
Dibatasi hanya untuk penentu kebijakan, pengawas internal dan eksternal
serta penegak hukum
 Prasarana dan Sarana
Diperlukan tempat penyimpanan yang aman
  Klasifikasi Rahasia
 Pelabelan
- Ada persyaratan dan prosedur rahasia dengan memberika cap
“RAHASIA” pada fisik dokumen
- Tidak sembarangan meletekkan arsip/dokumen yang bersifat rahasia
 Pengguna
Dibatasi hanya untuk penentu kebijakan, pengawas internal dan eksternal
serta penegak hukum
 Prasarana dan Sarana
Lokasi aman dengan akses yang terbatas
 Klasifikasi Sangat Rahasia
 Pelabelan
Ada persyaratan dan prosedur rahasia dengan memberikan cap “SANGAT
RAHASIA” pada fisik dokumen
 Pengguna
Ada persyaratan dan prosedur rahasia dengan memberikan cap “SANGAT
RAHASIA” pada fisik dokumen
 Prasarana dan sarana
- Disimpan dalam zona yang sangat aman, dengan penelusuran jejak
akses
- Penerapan kebijakan “Meja harus bersih”
 Dokumen Elektronik
 Klasifikasi Biasa/Terbuka
 Pelabelan
Back-up secara teratur untuk tujuan pemulihan sistem dalam rangka
menjamin keaslian dokumen
 Pengguna
Pengguna yang berasal dari eksternal dan internal yang mempunyai akses
 Prasarana dan Sarana
Tidak memerlukan prasarana dan sarana khusus
 Klasifikasi Terbatas
 Pelabelan
- Back-up secara teratur untuk tujuan pemulihan sistem dalam rangka
menjamin keaslian dokumen
 - File-file elektronik (termasuk database) harus dilindungi terhadap
pengguna internal atau oleh pihak-pihak eksternal
 Pengguna
- Autentikasi pengguna (nama pengguna/password atau ID digital)
- Penggunaan untuk log in pada tingkat individual
 Prasarana dan Sarana
- Autentikasi server
- Langkah-langkah keamanan dengan operating system khusus atau
aplikasi khusus
- Firewall dan sistem-sistem serta prosedur-prosedur deteksi terhadap
intrusi
 Klasifikasi Rahasia
 Pelabelan
- Back-up secara teratur untuk tujuan pemulihan sistem dalam rangka
menjamin keaslian dokumen
- File-file elektronik (termasuk database) harus dilindungi terhadap
pengguna internal atau oleh pihak-pihak eksternal
 Pengguna
- Hanya staf yang ditunjuk oleh kementerian atau organisasi dan tingkat
di atasnya yang dapat mengakses arsip tersebut
- Autentikasi pengguna (nama pengguna/password atau ID digital)
- Penggunaan untuk log in pada tingkat individual
 Prasarana dan Sarana
- Langkah-langkah keamanan dengan Operating System khusus atau
aplikasi khusus
- Firewall serta sistem-sistem dan prosedur-prosedur deteksi terhadap
intrusi. Firewall adalah sistem untuk melindungi komputer atau
jaringan dari akses komputer lain yang tidak memiliki hak untuk
mengakses komputer atau jaringan kita
 Klasifikasi Sangat Rahasia
 Pelabelan
- Back-up secara teratur untuk tujuan pemulihan sistem dalam rangka
menjamin keaslian dokumen
 - File-file elektronik (termasuk database) harus dilindungi terhadap
pengguna internal atau oleh pihak-pihak eksternal
 Pengguna
- Autentikasi pengguna (nama pengguna/password atau ID digital)
- Penggunaan untuk log in pada tingkat individual
 Prasarana dan Sarana
- Autentikasi server
- Langkah-langkah keamanan dengan operating system khusus atau
aplikasi khusus
- Firewall dan sistem-sistem serta prosedur-prosedur deteksi terhadap
intrusi
Pengiriman data dan informasi juga harus sesuai prosedur. Prosedur tersebut harus
memperhatikan jenis dokumennya (apakah konvensional atau elektronik) dan juga klasifikasi
datanya (apakah biasa/terbuka, terbatas, rahasia, atau sangat rahasia).
Prosedur Pengiriman Informasi:
 Informasi Konvensional
 Biasa/Terbuka
Biasa/terbuka tidak ada persyaratan prosedur khusus
 Terbatas
Amplop segel
 Rahasia
 Menggunakan warna kertas yang berbeda
 Diberi kode rahasia
 Menggunakan amplop dobel
 Amplop segel, stemple rahasia
 Konfirmasi tanda terima
 Harus dikirim melalui orang yang sudah diberi wewenang dan tanggung
jawab terhadap pengendalian arsip/dokumen rahasia
 Sangat Rahasia
 Menggunakan warna kertas yang berbeda
 Menggunakan amplop dobel bersegel
 Audit jejak untuk setiap titik akses (misal: tanda tangan)
 Harus dikirim melalui orang yang sudah diberi wewenang dan tanggung
jawab terhadap pengendalian arsip/dokumen rahasia
  Informasi Elektronik
 Biasa/Terbuka
Biasa/terbuka tidak ada persyaratan prosedur khusus
 Terbatas
Apabila pesan elektronik atau email berisi data tentang informasi personal, harus
menggunakan enkripsi, email yang dikirim dengan alamat khusus, password, dll
 Rahasia
 Harus ada konfirmasi dari penerima pesan elektronik atau email
 Menggunakan perangkat yang dikhususkan bagi pesan elektronik atau email
rahasia
 Menggunakan persandian atau kriptografi
 Sangat Rahasia
 Harus ada konfirmasi dari penerima pesan elektronik atau email
 Menggunakan perangkat yang dikhususkan bagi pesan elektronik atau email
rahasia
 Menggunakan persandian atau kriptografi
 Harus ada pelacakan akses informasi untuk suatu pesan elektronik atau
email
D. Penggunaan Intranet dan Internet, Surat Elektronik, WIFI, dan Etika Bersosial Media
Penggunaan intranet dan internet, WIFI, E-mail, dan media sosial perlu dilakukan secara
bijak. Apalagi saat ini penggunaan jaringan kemenkeu masih sangat banyak yang tidak sesuai
peruntukkannya. Masing-masing akun pengguna jaringan kemenkeu dapat dipantau aktivitas
internetnya, jadi sangat diharapkan pengguna bijak dalam menggunakan jaringan internet
kemenkeu.
Hal-hal yang boleh dilakukan dan tidak boleh dilakukan dalam penggunaan Internet dan
Intranet, e-mail, WIFI, dan media sosial:
1. Intranet dan Internet
a. Boleh dilakukan
 Menggunakan fasilitas akses intranet dan internet secara bijak sesuai
dengan tugas, fungsi, dan wewenang
 Menggunakan fasilitas akses intranet dan internet sesuai norma hukum
dan etika yang berlaku
b. Tidak Boleh dilakukan
  Menyampaikan pendapat yang bermuatan ujaran kebencian terhadap
Pancasila, Undang-Undang Dasar Republik Indonesia Tahun 1945, Bhinneka
Tunggal Ika, Negara Kesatuan Republik Indonesia, Pemerintah, dan Suku,
Agama, Ras, dan Antar Golongan
 Mengirimkan dan/atau mempublikasikan konten yang berisi perjudian,
pornografi, keasusilaan, ancaman, penghinaan, pemerasan, dan/atau
pencemaran nama baik orang lain atau digunakan untuk mengemukakan
pandangan dan pendapat pribadi (positif maupun negatif) terhadap
sesame pegawai, pimpinan, mitra, dan pihak lain yang terkait dengan
Kementerian Keuangan
 Melewati ketentuan pembatasan hak akses internet
 Memberikan pendapat pribadi mengatasnamakan Kemenkeu
 Menyebarkan berita bohong dan menyesatkan yang mengakibatkan
kerugian bagi individu maupun Kementerian Keuangan
 Menggunakan perangkat lunak yang dapat mengelabui sistem
pengendalian/pembatasan akses internet
 Melakukan kegiatan yang dapat menimbulkan gangguan terhadap sistem
TIK unit di lingkungan Kementerian Keuangan antara lain menggunakan
tunneling tools, mengakses laman yang berpotensi mengandung virus,
mengakses video streaming yang membutuhkan bandwidth besar
 Mengunggah, mengunduh, menjalankan software berlisensi milik
Kemenkeu atau pihak ketiga manapun untuk keperluan di luar kedinasan
 Mengungkapkan/menyebarkan informasi milik Kemenkeu yang bersifat
sensitif (terbatas, rahasia, dan sangat rahasia)
 Menggunakan HAKI pihak lain tanpa persetujuan melalui fasilitas internet
Kemenkeu
 Mengakses, mengunggah, mengunduh, dan/atau mempublikasikan situs-
situs yang tidak menunjang kedinasan
 Melakukan kegiatan yang dapat merusak/mencoreng nama baik individu
maupun Kementerian Keuangan melalui fasilitas akses intranet atau
internet
2. E-Mail
a. Boleh dilakukan
 Menjaga kerahasiaan dan keamanan e-mail miliknya
  Menggunakan e-mail Kemenkeu hanya untuk kepentingan kedinasan
secara bijak sesuai dengan tugas, fungsi, dan wewenang
 Verifikasi email kepada pengirimnya
 Hapus email spam/junk
 Pastikan identitas individu dan organisasi penerima email sebelum
mengirimkan informasi kedinasan
 Waspada attachment dan email dari orang asing
 Waspada terhadap virus
 Gunakan e-dropbox kemenkeu untuk pengiriman file dengan ukuran besar
 Hubungi service desk pusintek/PIC TIK masing-masing unit jika ada hal yang
mencurigakan, seperti email span, pishing, dll
b. Tidak Boleh dilakukan
 Mengirimkan email yang berisi ancaman, penghinaan, pencemaran nama
baik
 Menyampaikan pendapat ke pihak lain dengan mengatasnamakan
Kementerian keuangan melalui email
 Menggunakan email Kemenkeu untuk mailing list, forum diskusi, atau
sosial media untuk kepentingan pribadi
 Membuka email/attachment dari orang asing yang terindikasi dapat
mengancam keamanan informasi
 Mengirim informasi pribadi kepada pihak yang tidak dikenal
 Mengirim informasi kedinasan kepada pihak yang tidak berkepentingan
 Mengirim email berantai atau email hoax
 Mengirim email atas nama pengguna lain
3. WIFI
a. Boleh dilakukan
 Memperhatikan ketentuan penggunaan intranet dan internet di lingkungan
Kementerian Keuangan
 Pastikan menggunakan SSID yang disediakan oleh Kementerian Keuangan
jika berada di area Kementerian Keuangan
b. Tidak Boleh dilakukan
 Tidak memancarkan SSID lain dari perangkat Stand alone Wifi, Handphone,
hal ini dapat mengurangi kualitas sinyal yang dipancarkan oleh SSID yang
dikelola unit TIK
  Jangan terhubung dengan SSID yang tidak dikenal. Jika dalam keadaan
mendesak, hal-hal yang perlu diperhatikan saat menggunakan free wifi
antara lain:
 Tidak mengakses aplikasi sensitif misalnya aplikasi kedinasan atau
mobile banking
 Jangan menginput data rahasia (password, pin akun bank, login
administrator, dll) pada sembarang situs
 Gunakan layanan keamanan dasar seperti antivirus
4. Media Sosial
Himbauan sesuai SE MenPAN-RB Nomor 137 Tahun 2018, penyebarluasan informasi
melalui media sosial khususnya terkait keamanan informasi:
a. Menjaga kerahasiaan yang menyangkut kebijakan negara, memberikan informasi
secara benar dan tidak menyesatkan kepada pihak lain yang memerlukan
informasi terkait kepentingan kedinasan
b. Tidak menyalahgunakan informasi intern negara untuk mendapat atau mencari
keuntungan atau manfaat bagi diri sendiri atau untuk orang lain
c. Memastikan bahwa informasi yang disebarluaskan jelas sumbernya, dapat
dipastikan kebenarannya dan tidak mengandung unsur kebohongan
Sedangkan untuk etika bermedia sosial terkait keamanan informasi sesuai SE yang
sama adalah:
a. Melakukan pengaturan privasi (identitas dan unggahan) di berbagai platform
media sosial untuk menjaga keamanan informasi
b. Membuka media sosial secara berkala untuk memastikan akun media sosial tidak
disalahgunakan
c. Hindari membagi identitas pribadi seperti alamat lengkap, nomor telepon, email
pribadi/kantor, atau tanggal lahir. Jika diperlukan lakukan komunikasi privat
dalam saluran terpercaya
d. Tidak menggunakan alamat email kantor untuk medaftar media sosial kecuali
untuk keperluan resmi kantor
e. Segera komunikasikan ke tim terkait sambil berupaya mengamankan kembali
akses akun media sosial anda jika kehilangan akses ke akun media sosial
E. Keamanan Komputer
 Pengamanan perangkat komputer adalah salah satu bentuk penerapan pengamanan
informasi. Hal-hal yang perlu dilakukan terhadap perangkat pengguna (desktop dan/atau
laptop) termasuk perangkat pribadi adalah sebagai berikut:
 Perangkat pengguna wajib join domain resmi Kementerian Keuangan
 Pengguna login pada perangkat dengan akun domain resmi kementerian keuangan
 Pastikan sistem operasi selalu update dengan patch sistem operasi terbaru
 Perangkat pengguna menggunakan antivirus dan signature versi terbaru
 Akntifkan fitur lock pada komputer saat ditinggalkan
 Backup berkala untuk data penting
 Matikan komputer ketika meninggalkan kantor
 Waspada terhadap shoulder surfing, yaitu metode observasi langsung dengan cara
mengintip untuk mendapatkan informasi
 Hati-hati menyimpan data penting di komputer seperti nomor kartu kredit, atau tanggal
ulang tahun dan jangan mengirimkan data penting tersebut melalui pesan instan/email
 Konfigurasi komputer yang tidak digunakan dalam 15 menit dibuat mati
(hibernate/sleep) secara otomatis
 Jangan menggunakan Removable Media (misal DVD, HDD eksternal, atau USB) yang
tidak diketahui pemiliknya ke perangkat pengguna (perangkat pengguna termasuk
perangkat pribadi yang digunakan untuk kepentingan kedinasan dan mengakses
jaringan kemenkeu)
F. Perangkat Lunak Berlisensi
Berdasarkan hasil temuan ITJEN, diketahui bahwa terdapat pegawai kemenkeu yang masih
menggunakan atau memasang perangkat lunak tidak berlisensi alias bajakan pada perangkat
pengguna (desktop dan/atau laptop).
Hal-hal yang boleh dan tidak boleh dalam penggunaan perangkat lunak:
 Boleh dilakukan
 Gunakan software yang direkomendasikan oleh unit TIK
 Gunakan software milik kemenkeu untuk kedinasan
 Pastikan membaca dan memahami End User License Agreement untuk
pemasangan software
 Menghubungi PIC TIK untuk instalasi software
 Tidak boleh dilakukan
 Menginstal dan menggunakan software yang tidak direkomendasikan
 Menggunakan software kemenkeu untuk kepentingan pribadi
 Perangkat lunak yang tidak direkomendasikan:
 Perangkat lunak yang melanggar hak cipta (bajakan dan cracking)
 Perangkat lunak yang tidak mendukung kedinasan
 Perangkat lunak yang digunakan untuk aktivitas hacking/exploit celah keamanan
 Perangkat lunak yang sudah tidak disupport
 Perangkat lunak yang digunakan untuk remote access
 Perangkat lunak yang digunakan untuk upload dan download secara illegal
 Perangkat lunak yang digunakan untuk mendukung koneksi privat yang tidak sah
G. Insiden KI dan Kewaspadaan terhadap Malware, Phising, dan Social Engineering
Hal-hal yang boleh dan tidak boleh dilakukan jika pegawai mengalami gangguan terkait
keamanan informasi:
1. Boleh dilakukan
a. Mencatat semua rincian penting gangguan dengan segera, seperti jenis
pelanggaran, jenis kerusakan, pesan pada layar, atau anomali sistem
b. Segera melaporkan gangguan ke Service Desk, PIC TIK masing-masing unit, atau
Petugas Keamanan Informasi (KI) masing-masing unit
c. Petugas KI berkoordinasi dengan Gov-CSRIT Indonesia (BSSN) dalam menangani
gangguan keamanan informasi
2. Tidak boleh dilakukan
a. Membicarakan insiden keamanan dengan siapapun di luar organisasi maupun di
tempat umum
b. Menghambat atau mencegah pegawai lain melaporkan insiden keamanan
informasi
Bnetuk-bentuk penerobosan Informasi:
1. Ransomware
Adalah salah satu bentuk malware dengan metodologi cryptovirology, yang mengancam
untuk menyebarkan data atau memblok semua akses ke dalam data tersebut jika pemilik
data tidak memberikan sejumlah uang tebusan
2. Phising
Adalah suatu metode yang digunakan hacker untuk mencuri password denganc ara
mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs
aslinya.
3. Social Engineering
 Adalah kegiatan untuk mendapatkan informasi rahasia/penting dengan cara menipu
pemilik informasi tersebut. Social Engineering ini mengkonsentrasikan diri pada rantai
terlemah sistem jaringan komputer yaitu manusia.
Cara mencegah dan menangani ransomware dan phising:
1. Ransomware
a. Batasi akses sharing folder
b. Lakukan backup secara berkala
c. Putuskan jaringan perangkat yang terindikasi ransomware
d. Laporkan kepada Service Desk dan PIC TIK masing-masing unit
e. Jangan menginstal software tidak berlisensi/software dari sumber yang tidak
terpercaya
f. Jangan mengunduh attachment dari pengirim yang tidak dikenal
2. Phising
a. Pastikan mengakses halaman website yang benar. Periksa tanda keamanan
(gambar gembok terkunci) untuk memastikan website yang diakses adalah benar.
Tanda tersebut akan memberikan informasi pemilik website yang sebenarnya
b. Jaga selalu kerahasiaan user id, password, serta data pribadi lain. Jangan pernah
memberikan atau memasukkan data tersebut ke program aplikasi yang tidak
terpercaya
c. Pastikan menggunakan media komputer yang aman, tidak dari tempat publik atau
media lain yang keamanan transaksinya tidak terjamin
d. Laporkan kepada unit TIK atau Service Desk Kementerian Keuangan jika
menemukan halaman website yang terindikasi pishing
e. Jangan pernah membuka halaman dari link yang dikirimkan melalui surat, email,
sms atau media lain yang sumbernya tidak jelas