KEMENTERIAN KEUANGAN

REPUBLIK INDONESIA

IT Security
Awareness

Preliminary FGD Pejabat

Administrator Triwulan II 2021
01 Tujuan dan Prinsip IT Security

02 Mengapa Perlu IT Security Awareness ?

03 Penerapan Keamanan Informasi

04 Ancaman Keamanan Informasi

 INISIATIF STRATEGIS
REFORMASI BIROKRASI DAN TRANSFORMASI KELEMBAGAAN 2021
Menjadi Pengelola Keuangan Negara untuk Mewujudkan Perekonomian Indonesia yang Produktif, Kompetitif, Inklusif, dan Berkeadilan
untuk Mendukung Visi dan Misi Presiden dan Wakil Presiden:
”Indonesia Maju yang Berdaulat, Mandiri, dan Berkepribadian Berlandaskan Gotong Royong”
#10
#11
FISKAL PENERIMAA Unified
Revenue
Joint Program
Optimalisasi
#9 N Account
Penerimaan
Management
Evaluasi Insentif Fiskal
#13
B #1 #2
C #12
Pengembangan
New Way Of Optimalisasi Core Tax
Working System National
SLDK #3
#8 Layanan Logistics
Enterprise
A Digital Ecosystem
Architecture Kemenkeu
Kemenkeu SENTRAL #4
#16 #17 #7 Office
Penyempurnaan
Simplifikasi Emerging Automation #14
Pengelolaan #5
Aset Negara Pelaksanaan Anggaran
Technology dalam
Organisasi dan Integrasi Proses Bisnis
#19 Pengawasan
#6 SDM Perencanaan dan
#18 Pengintegrasian Modern
Harmonisasi Belanja APBN
dan Belanja APBD
Informasi Keuangan
Pemerintah Pusat dan
E e-Learning D Penganggaran
#20 Daerah
Kerangka Kerja #21 #15
Pengelolaan Risiko Sustainable Development
Pengelolaan Dana Pensiun
Keuangan Negara Goals Bonds
PERBENDAHARAAN, KEKAYAAN NEGARA, DAN
BELANJA
PEMBIAYAAN
Penguatan
Budaya dan SDM TIK Aset Regulasi dan Advokasi Komunikasi Mankeu dan Kinerja Organisasi
3 3
KEMENKEU 3
SATU
01
Tujuan dan
Prinsip IT
Security
 Tujuan
Agar semua pegawai memahami pentingnya keamanan
informasi dan tanggung jawab mereka terkait keamanan
informasi
Prinsip
Confidentiality (Kerahasiaan)
melindungi data dan informasi organisasi dari
penyingkapan pihak-pihak yang tidak berhak.

Integrity (Integritas)
melindungikeutuhan data dan informasi
organisasi dari modifikasi yang tidak sah

Availability (Ketersediaan)
Melindungi ketersediaan data dan informasi IT Security bukan hanya tanggung jawab Top
organisasi,sehingga data tersedia pada saat Management, Tim TIK, maupun Tim Keamanan Informasi
dibutuhkan saja, namun merupakan tanggung jawab seluruh
. elemen organisasi.
 02
Mengapa perlu
IT Security
awareness?
 Mengapa perlu IT Security Awareness?

Meningkatnya tren ancaman

keamanan informasi Tingginya tingkat ketergantungan
proses bisnis terhadap TIK

Manusia adalah titik terlemah

dalam keamanan informasi

IT literacy dan information security

awareness pegawai perlu
ditingkatkan
Tingginya nilai transaksi
keuangan

Masih terdapat sistem informasi yang

belum sesuai standar keamanan
Perkembangan teknologi
semakin pesat
7
 Dampak Gangguan Keamanan Informasi

Terganggunya kegiatan Kerugian finansial

operasional

Hilangnya trust dari

stakeholder
Rusaknya reputasi

Kebocoran informasi Kehilangan kekayaan intelektual

8
03
Penerapan
Keamanan
Informasi
 Pengelolaan Keamanan Informasi Kemenkeu
Keputusan Sekretaris Jenderal Nomor
Keputusan Menteri Keuangan Republik Indonesia Nomor
Kep-35/SJ/2021 tentang Penetapan Keanggotaan
942/KMK.01/2019 tentang Pengelolaan Keamanan
Organisasi Keamanan Informasi Kementerian
Informasi di Lingkungan Kementerian Keuangan
Keuangan

Pengelolaan Keamanan Informasi di Lingkungan

Kemenkeu terdiri atas:
a. Sistem Manajemen Keamanan Informasi
b. Penggunaan Akun dan Kata Sandi, Surat Elektronik,
Intranet dan Internet
c. Penggunaan Sertifikat Elektronik
Dalam rangka penerapan SMKI di Lingkungan Kemenkeu,
dibentuk:
a. Organisasi Keamanan Informasi Kemenkeu
b. Organisasi Keamanan Informasi Unit
c. Organisasi Keamanan Informasi Instansi Vertikal
dan/atau Unit Pelaksana Teknis (UPT) pada Unit Eselon I
OKI Kementerian Keuangan terdiri atas:
a. Ketua Keamanan Informasi Kemenkeu
b. Koordinator Keamanan Informasi Kemenkeu
c. Petugas Keamanan Informasi Kemenkeu
d. Sekretariat Keamanan Informasi Kemenkeu
e. Pendamping Penerapan Sistem Manajemen
Keamanan Informasi
10
Organisasi Keamanan Informasi (OKI)

Ketua Komite Pengarah TIK Ketua Keamanan Informasi Ketua Keamanan Informasi
Kemenkeu Kemenkeu Unit

Ketua Keamanan Informasi Ketua Keamanan Informasi

Kemenkeu Unit Koordinator Keamanan
Informasi Instansi
Vertikal /atau UPT
Koordinator Keamanan Koordinator Keamanan
Informasi Kemenkeu Informasi Unit

Petugas Keamanan Informasi

Petugas Keamanan Informasi Petugas Keamanan Informasi
Instansi Vertikal atau UPT
Kemenkeu Unit

Struktur OKI Kemenkeu Struktur OKI Unit Struktur OKI Instansi Vertikal / UPT

- - - Garis laporan
Garis koordinasi
11
Internet Aman dan Sehat
Meningkatkan Kesadaran Keamanan Informasi

Peningkatan Literasi Digital

termasuk etika dalam berinternet

Pemahaman Peraturan/Kebijakan Mengikuti Training/Diklat

Keamanan Informasi di link. Keamanan Informasi
Kemenkeu

12
 Menggunakan Perangkat Mobile Device secara aman

Menggunakan akun & kata
sandi sesuai ketentuan
Seuai KMK 942/KMK.01/2019
tentang Pengelolaan
Keamanan Informasi di link.
Kemenkeu
Mengunci perangkat
saat ditinggalkan
atau tidak berada dalam kendali
Menggunakan
menggunakan auto lock
computer pada saat idle (clear
otentikasi dua faktor
desk dan clear screen)

Menginstal aplikasi yang aman

• Tidak unduh & menggunakan Plug-in, Selalu update
update software dari sumber yang software/patch sistem
tidak dipercayai operasi
• Menggunakan perangkat lunak
berlisensi

Menggunakan perangkat dan akses

Menginstal Firewall, Antivirus dan
jaringan secara aman
aplikasi perlindungan lainnya
• Tidak menggunakan free wifi
• Pastikan menggunakan SSID Kemenkeu* • Memperbaharui signature antivirus
• Tidak memancarkan SSID lain selain • Mendaftarkan perangkat ke domain
SSID resmi Kemenkeu kemenkeu.go.id (join domain)

13
Beretika dalam berinternet

Kehati-hatian sebelum menerima/mengirim/

membagikan tautan
.

Menggunakan surat elektronik resmi

kedinasan

Bijak dalam berinternet

Sesuai dengan tugas dan fungsi

Waspada pencurian/
Peniru identitas

Tidak Menyebarkan rumor/hoax

Beretika dalam bermedia sosial

14
Klasifikasi Aset Informasi dan Kerahasiaan Informasi
Sangat Rahasia
Data Kementerian Keuangan yang apabila didistribusikan
secara tidak sah atau jatuh ke tangan yang tidak berhak
akan menyebabkan kerugian ketahanan ekonomi
nasional.
Contoh: Data RAPBN
Rahasia
Data Kementerian Keuangan yang apabila didistribusikan
secara tidak sah atau jatuh ke tangan yang tidak berhak
akan mengganggu kelancaran kegiatan Kementerian
Keuangan atau mengganggu citra dan reputasi
Kementerian Keuangan dan/ atau yang menurut
peraturan perundangundangan dinyatakan rahasia.
Contoh: Data Wajib Pajak; Data Wajib Bayar.
Terbatas
Data Kementerian Keuangan yang apabila didistribusikan
secara tidak sah atau jatuh ke tangan yang tidak berhak
akan mengganggu kelancaran kegiatan Kementerian
Keuangan tetapi tidak mengganggu citra dan reputasi
Kementerian Keuangan.
Contoh: SOP; Laporan Kinerja.
Publik
Data Kementerian Keuangan yang secara sengaja
disediakan oleh Kementerian Keuangan untuk dapat
diketahui oleh masyarakat umum.
Contoh: Siaran Pers; PMK
15
Keamanan Fisik
Panduan Umum Pengamanan Dokumen
o Jangan membiarkan dokumen sensitif terbuka
o Jangan mencetak dokumen sensitif di printer yang diluar jangkauan
o Jangan berbagi informasi sensitif
o Jangan melihat informasi sensitif yang bukan kewenangannya
o Jangan menyimpan informasi sensitif di luar fasilitas kedinasan
o Jangan membuang laporan/informasi tanpa dihancurkan terlebih dahulu
o Jangan memberikan aset informasi kepada pihak lain untuk kepentingan di
luar kedinasan
o Memberikan label/kode kerahasiaan pada amplop pembungkus dokumen
sensitif

Pengamanan Area Kerja

o Gunakan sistem akses keamanan lingkungan seperti access card, finger print, dll
o Jangan berbagi akses masuk area kerja
o Area kerja harus terlindungi dari bahaya lingkungan dan akses pihak tidak berwenang
o Jalur keluar masuk area kerja harus dijaga dan dipantau
o Area kerja harus terlindungi dari benda berbahaya dan benda mudah terbakar
o Menerapkanclear desk dan clear screen pada saat meninggalkan area kerja
o Hati-hati terhadap orang asing, misalnya menanyakan ID terhadap orang tak dikenal yang
berada di lingkungan kerja
o Membawa pengunjung hanya diruang resepsionis/ ruang tamu
o Waspada terhadap “tailgating” (Tailgating adalah tindakan bypass access fisik yang
dilakukan dengan cara mengikuti individu yang berwenang untuk memasuki area aman). 16
 Keamanan Komputer
o Perangkat Pengguna wajib Join Domain resmi Kementerian Keuangan
o Pengguna login pada perangkat dengan Akun Domain resmi Kementerian
Keuangan
o Pastikan sistem operasi selalu update dengan patch sistem operasi terbaru
o Perangkat Pengguna menggunakan antivirus dan signature versi terbaru
o Aktifkan fitur lock pada komputer saat ditinggalkan
o Backup berkala untuk data penting
o Matikan komputer ketika meninggalkan kantor
o Waspada terhadap shoulder surfing, yaitu metode observasi langsung dengan
cara mengintip untuk mendapatkan informasi.

Kata Sandi (Password)

o Gunakan kata sandi dengan kriteria:
o Minimal 8 karakter
o Kombinasi: huruf kapital, huruf kecil dan angka (0 – 9)
o Ganti kata sandi secara berkala, maksimal dalam waktu 180 hari atau dalam hal kata sandi
diketahui orang lain
o Menjaga kerahasiaan Kata Sandi
o Ubah kata sandi yang telah diberikan oleh Unit TIK Eselon I pada saat pertama kali diberikan

17
 Penggunaan Intranet dan
Internet
o Menggunakan fasilitas akses Intranet dan Internet
secara bijak sesuai dengan tugas, fungsi, dan wewenang;
o Menggunakan fasilitas akses Intranet dan Internet sesuai
norma hukum dan etika yang berlaku;
Surat Elektronik
o Menjaga kerahasiaan dan keamanan email miliknya
o Menggunakan email Kemenkeu hanya untuk kepentingan
kedinasan secara bijak sesuai dengan tugas, fungsi, dan
wewenang;
o Waspadaattachment dan email dari orang asing
o Verifikasi email kepada pengirimnya
o Hapus email spam/junk
o Waspada terhadap virus
o Pastikan identitas individu dan organisasi penerima email
sebelum mengirimkan informasi kedinasan
o Gunakan e-dropbox kemenkeu untuk pengiriman file
dengan ukuran besar
o Hubungi Service Desk Pusintek / PIC TIK masingmasing
unit jika ada hal yang mencurigakan, seperti email spam,
pishing, dll
Penggunaan Wifi
o Memperhatikan ketentuan penggunaan intranet dan internet di lingkungan
kementerian Keuangan
o Pastikan menggunakan SSID yang di sediakan oleh Kementerian
Keuangan jika berada di area Kementerian Keuangan
o Tidak memancarkan SSID lain dari perangkat Stand alone Wifi, Handphone,
hal ini dapat mengurangi kualitas sinyal yang dipancarkan oleh SSID yang
di kelola Unit TIK.
o Jangan terhubung dengan SSID yang tidak dikenal. Jika dalam keadaaan
mendesak, hal-hal yang perlu diperhatikan saat menggunakan free wifi
anatara lain:
o Tidak mengakses aplikasi sensitif misalnya aplikasi kedinasan atau
mobile banking
o Jangan menginput data rahasia (password, pin akun bank, login
administrator, dll) pada sembarang situs
o Gunakan layanan keamanan dasar seperti antivirus
18
 Perangkat Lunak Berlisensi
o Gunakan software yang direkomendasikan oleh Unit TIK
o Gunakan software milik Kemenkeu untuk kedinasan
o Pastikan membaca dan memahami End User License
Agreement untuk pemasangan software
o Menghubungi PIC TIK untuk instalasi software

Penggunaan Wifi
o Memperhatikan ketentuan penggunaan intranet dan internet di lingkungan
kementerian Keuangan
o Menggunakan SSID yang di sediakan oleh Kementerian Keuangan jika
berada di area Kementerian Keuangan
o Tidak memancarkan SSID lain dari perangkat Stand alone Wifi, Handphone,
hal ini dapat mengurangi kualitas sinyal yang dipancarkan oleh SSID yang
di kelola Unit TIK.
o Jangan terhubung dengan SSID yang tidak dikenal. Jika dalam keadaaan
mendesak, hal-hal yang perlu diperhatikan saat menggunakan free wifi
anatara lain:
o Tidak mengakses aplikasi sensitif misalnya aplikasi kedinasan atau
mobile banking
o Jangan menginput data rahasia (password, pin akun bank, login
administrator, dll) pada sembarang situs
o Gunakan layanan keamanan dasar seperti antivirus

19
 04
Ancaman
Keamanan
Informasi
 Ancaman Terhadap
Sistem Informasi Kemenkeu

Top 10 Malware Top 10 Intrusi

Jumlah keseluruhan serangan malware selama periode

bulan April 2021 adalah 1117, sedangkan total intrusi
* Data Pusintek per April 2021 adalah sebanyak 191.806 21

Yahoo data breach
‍ ahoo disclosed that a breach in
Y In April 2019, the UpGuard Cyber
August 2013 by a group of hackers
had compromised 1 billion accounts.
In this instance, security questions
and answers were also
compromised, increasing the risk of
identity theft. The breach was first
reported by Yahoo on December 14,
2016, and forced all affected users
to change passwords, and to
reenter any unencrypted security
questions and answers to make
them encrypted in the future.
https://www.upguard.com/blog/biggest-data-breaches
Data Breaches in History
Impact: 540 million users
Risk team revealed two third-
party Facebook app datasets had
been exposed to the public
Internet
Impact: 330 million users
In May of 2018, social media
giant Twitter notified users of a
glitch that stored passwords
unmasked in an internal log, making
all user passwords accessible to
the internal network.
‍ etween February and March
B
2014, eBay was the victim of a
breach of encrypted
passwords, which resulted in
asking all of its 145 million
users to reset their
password. Attackers used a
small set of employee
credentials to access this
trove of user data. The breach
was disclosed in May 2014,
after a month-long
investigation by eBay.
22
U.S. Attack and Data Types 2020
Average Cost of Breach in U.S.

The average cost of a breach in the U.S. was the

highest in the world, at $8.64 million, up 5%
from $8.19 million the year before.

In 2020, unauthorized access was

again the most common attack method,
representing 43% of breaches (up from 40%
in 2019 and 34% in 2018)

23
Sumber: 2021 ForgeRock Consumer Identity Report
Ancaman Keamanan Informasi

Ransomware
Salah satu bentuk malware Phising Social Engineering
dengan metodologi kegiatan untuk
suatu upaya untuk mendapatkan
cryptovirology, yang mendapatkan informasi
informasi data seseorang (data
mengancam untuk rahasia/penting dengan cara
pribadi, data akun, data finansial)
menyebarkan data atau memanipulasi pemilik
dengan teknis pengelabuan.
memblok semua akses ke informasi, mendapatkan
Biasanya pelaku menggunakan
dalam data kepercayaan korban untuk
website atau email palsu yang
tersebut jika pemilik data mencuri data, informasi, dan
menyerupai aslinya.
tidak memberikan sejumlah uang
uang tebusan 24
 25
Sumber: https://govcsirt.bssn.go.id/penanganan-dan-pencegahan-insiden-ransomware/
Insiden Keamanan Informasi
What to do?
Catat semua rincian penting gangguan dengan segera,
seperti jenis pelanggaran, jenis kerusakan, pesan pada
layar, atau anomali system

Segera laporkan gangguan ke Service Desk, PIC TIK

masing-masing unit, atau Petugas Keamanan Informasi
(KI) masing-masing unit

Petugas KI berkoordinasi dengan Gov-CSIRT Indonesia

(BSSN) dalam menangani gangguan keamanan informasi
KEMENTERIAN KEUANGAN
REPUBLIK INDONESIA

Terima Kasih

27