Dasar-Dasar Keamanan IT

DASAR-DASAR KEAMANAN IT
1 © Copyright Yayasan Pendidikan Internal Audit

A. IT Security Framework & Standard
© Copyright Yayasan Pendidikan Internal Audit

1. Pendahuluan
• Kerangka kerja keamanan informasi adalah serangkaian kebijakan, prosedur, dan

proses terdokumentasi, disepakati, dan proses yang menentukan bagaimana informasi
dikelola dalam bisnis, untuk menurunkan risiko dan kerentanan, dan meningkatkan
kepercayaan terhadap dunia yang selalu terhubung.
• Poin utama dari memiliki kerangka kerja keamanan informasi adalah untuk mengurangi
tingkat risiko dan paparan organisasi terhadap kerentanan.
• Kerangka kerja ini memungkinkan customer untuk memahami bagaimana kita (provider)
melindungi data atau layanan mereka (customer) dari bahaya.

2. COBIT
• COBIT lahir tahun 1996 dari hasil riset yang dilakukan ISACF (Information
Systems Audit and Control Foundation), yaitu sebuah badan riset bentukan
ISACA.
• COBIT mengemukakan bahwa fokus pengendalian adalah terletak pada
proses kegiatan (business processes)nya, dimana setiap proses kegiatan
dibuatkan daftar ‘control objectives’-nya, yaitu control atau pengendalian
yang diciptakan dan digunakan untuk mencapai tujuan kegiatan dimaksud
© Copyright Yayasan Pendidikan Internal Audit 4

Information Systems Control
COBIT mengelompokkan Information systems control menjadi 2 (dua) bagian, yaitu
1. Pengendalian Umum (General Control)
a. Pervasive information systems control
b. Detailed information systems control
2. Pengendalian Aplikasi (Application Control)

a. Input – input validations
b. Process – embedded rules
c. Output - versioning
© Copyright Yayasan Pendidikan Internal Audit 5

Kelompok (Domain)
Proses Information Systems Control
Pemantauan dan Evaluasi Perencanaan dan Organisasi

(Monitoring & Evaluation = 4 1 (Planning & Organisation = PO)
ME)
Pasokan dan Dukungan Perolehan dan

(Delivery & Support = DS) Implementasi (Acquisition &
Implementation = AI)
3 2

Sumber Daya IT menurut COBIT
Data
Applica
People tion
systems
COBIT
Facilitie Technol
s ogy
© Copyright Yayasan Pendidikan Internal Audit7

Kriteria Informasi Bisnis
Efisien (efficiency)
02 01 Efektif (effective)
Kerahasiaan
(confidentiality)
03 04 Integritas (integrity)
Ketersediaan (availability)
06 05 Ketaatan (compliance)
Andal/dapat dipercaya 07
(reliability)
3. ISO 27000 Series
• ISO 27000 Series (mengacu kepada beberapa seri dalam range 27000) merupakan
standard dalam information security manajemen system yang dikembangan oleh
International Organization for standardization (ISO).
• Dalam sejarahnya ISO 27000 Series tidak lepas dari standard sebelumnya yang terkait juga
dengan keamanan informasi yakni BS (British Standard) 7799 dan ISO 17799.
• Pemindahan seri ini bertujuan untuk mengelompokkan seri-seri terkait standard keamanan
informasi dalam satu seri.

ISO/IEC 27001 (BS 7799-2)
mencakup spesifikasi dari ISMS based ISO 27000
ISO/IEC 27004 menyediakan implementasi, operasi, monitoring,
standard yang memberikan panduan reviewing, maintaining, dan improvement dari ISMS
tentang metode pengukuran,
bagaimana mengukur efektifitas dari
ISMS
ISO/IEC 27002 (ISO 17799)
ISO mencakup detail dari control yang ada/Code of
practices
ISO /IEC 27005 27000
Standard yang memberikan panduan Family
mengenai implementasi information
security risk management
ISO/IEC 27003
mencakup panduan mengenai
bagaimana mengimplementasikan ISMS
ISO/IEC 27006:2007 yang mencakup konsep PDCA
Information technology — Security techniques –
mencakup audit terhadap ISMS dan sertifikasi
dari ISMS beserta kriteria sertifikasi dari ISMS.
ISO/IEC 27001
• The ISO 27001 standard
contains best practices
and general principles
for managing company
information security.
• 114 information
security standard
controls organized in 14
areas.

4. NIST SP 800 Series
• Pertama kali diterbitkan pada tahun 1990, Institut Nasional Standar dan
Teknologi Publikasi Khusus 800-53 (NIST SP 800-53) menyediakan panduan
untuk membantu lembaga pemerintah federal AS mematuhi Standar
Pemrosesan Informasi Federal (FIPS).
• Meskipun kerangka kerja menetapkan standar keamanan dan pedoman
untuk lembaga pemerintah dan sistem informasi federal, kerangka ini juga
diikuti secara luas di sektor swasta. Secara umum dianggap mewakili praktik
terbaik industri

Kerangka Cybersecurity
Implementation
Framework Framework
Framework Core Level Profile
menyediakan membantu organisasi digunakan untuk
serangkaian kegiatan memandang manajemen mengidentifikasi dan
cybersecurity risiko keamanan siber memprioritaskan
peluang
01 02 03

B. Keamanan Sistem dan Fisik

1. Pendahuluan
• Physical Security atau keamanan fisik membahas ancaman, kerawanan dan tindakan
yang dapat diambil untuk memberi perlindungan fisik tehadap sumber daya
organisasi dan informasi yang sensitif.
• Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk
melindungi sistem, gedung dan infrastruktur pendukung yang terkait terhadap
ancaman yang berhubungan dengan lingkungan fisik.
• Secara singkat Physical Security dapat diartikan sebagai keamanan infrastruktur
teknologi informasi secara fisik.

Ancaman Keamanan Fisik
Ancaman Alam Ancaman Sistem

Seperti banjir, gempa bumi, badai dan Seperti distribusi tegangan, gangguan
tornado, kebakaran, kondisi temperatur, komunikasi, gangguan ke berbagai
dan lain sebagainya sumber daya lainnya seperti air, uap air,
gas dan lain sebagainya.
Ancaman yang dibuat Ancaman Bermotif

manusia Politik
Orang yang tidak memilki akses (internal Mogok kerja, kerusuhan, pemberontak,
maupun eksternal), dendam pegawai, serangan teroris, pemboman, dan
kesalahan dan kecelakaan pegawai, sebagainya.
vandalisme, penipuan, pencurian, dan
lain sebagainya.

Metodologi Keamanan
Level 4
Level 3 Keamanan
Keseluruhan
Level 2 Keamanan informasi
Level 1 Keamanan jaringan
Level 0 Keamanan database,

data, komputer,
Keamanan Fisik peralatan & aplikasi

Tujuan Keamanan Fisik
01 Mencegah tindak kriminal
02 Mengurangi kerugian
03 Mendeteksi tindak kriminal
04 Memperkirakan respon petugas keamanan
05 Membuat mekanisme respon

2. Data Integrity
• Integritas data mengacu pada akurasi dan konsistensi (validitas) data selama
siklus hidupnya.
• Menjaga integritas data adalah fokus inti dari banyak solusi keamanan
perusahaan. Setiap kali data direplikasi atau ditransfer, itu harus tetap utuh
dan tidak berubah di antara pembaruan.
• Metode pengecekan kesalahan dan prosedur validasi biasanya diandalkan
untuk memastikan integritas data yang ditransfer atau direproduksi tanpa
maksud perubahan.

Integritas Data Sebagai Proses
• Integritas data sebagai keadaan mendefinisikan kumpulan data yang valid dan
akurat.
• Di sisi lain, integritas data sebagai suatu proses, menggambarkan langkah-
langkah yang digunakan untuk memastikan validitas dan akurasi sebagian
data atau semua data yang terkandung dalam database atau konstruk
lainnya.
• Misalnya, metode pengecekan kesalahan dan validasi dapat disebut sebagai
proses integritas data.

Penyebab Hilangnya Integritas Data
Kesalahan transfer
Kesalahan manusia
Bug, virus/malware,
peretasan, & ancaman
cyber
Perangkat keras yang
dikompromikan
Kompromi fisik dengan perangkat

Empat Jenis Integritas Data untuk Database
Integritas
Entity Integritas Integritas
Buatan
Integrity Referensial Domain
(Primary Key) (Foreign Key) (Range Values) Pengguna
(Flag)

3. Physical Control
Sebelum sebuah keamanan fisik yang efisien dipenuhi, langkah-langkah berikut harus telah dilakukan:
Analisis resiko untuk Mendapatkan garis besar

Mendifinisikan resiko
Identifikasi tim mengidentifikasi performance yang
kerentanan dan ancaman yang dapat diterima dibutuhkan
Mengembangkan kriteria
dari hasil analisis, dan Mengidentifikasi dan Terus menerus
Membuat pengukuran
tindakan
memikirkan level mengimplementasika mengawasi setiap
keamanan dan kekuatan n tindakan tindakan
yang dibutuhkan

Physical Security Checklist
Company Surroundings
Reception
Server
Workstation Area
Wireless Access Points
Access Control
Computer Equipment Maintenance
Wiretapping
Remote Access

10 Macam Langkah Keamanan
Mengatur Perangkat rentan

Mengunci ruang Gunakan rack
pengawasan / ditempatkan di
server surveillance mount server
ruangan terkunci
Kemas dan Lindungi Jauhkan

Jangan lupakan
simpan backup perangkat penyusup dari
workstation
dengan baik portable membuka casing
Lindungi printer
Anda

4. Logical Control
Rounding Salami
Data Diddling Trojan Horses Virus
Down Techniques
Asynchronous
Worms Logic Bombs Trap Doors Data Leakage
Attack
Shut Down of Denial of

Wire-tapping Piggybacking
the Computer Service

Virus biasanya menyerang:
File
File-
program Bagian boot
directory File Data
yang dapat dan sistem
system
dieksekusi

Pengendalian Bahaya Virus
1. Membangun sistem dari salinan master yang bersih dan original

2. Meng-update software anti virus
3. Vendor hanya menjalankan demonstrasi pada mesin mereka
4. Melarang penggunaan shareware tanpa diawali pen-scan-an shareware tersebut
5. Scan sebelum ada software baru diinstal
6. Menggunakan software anti-virus untuk workstation dan server
7. Men-encrypt file lalu decrypt kembali sebelum eksekusi
8. User mengindahkan kebijakan dan prosedur
9. Reviu kebijakan dan prosedur anti-virus minimal setahun sekali
10. Siapkan suatu prosedur pembasmian virus dan identifikasikan penanggungjawabnya

Tiga Tipe Software Anti-virus
Integrity
Checkers
Active
Monitors
Scanners

Ancaman Bisnis
Financial Loss Legal Repercussions

• dapat bersifat langsung, karena terjadi kehilangan dana atau • berbagai hukum pribadi dan hak asasi yang harus
tidak langsung, karena terjadi biaya untuk koreksi eksposur dipertimbangkan suatu organisasi saat mengembangkan
kebijakan dan prosedur sekuriti
Loss of Credibility or Competitive Edge Blackmail/Industrial Espionage

• pelanggaran sekuriti dapat sangat merusak kredibilitas, yang • pelanggar dapat memeras pembayaran atau jasa dari suatu
berakibat pada kerugian bisnis dan prestis organisasi dengan ancaman untuk mengekploitasi pelanggaran
sekuriti
Disclosure of Confidential, Sensitive or Sabotage

Embarassing Informasi • kerusakan karena ketidaksukaan pada organisasi tersebut atau
• Tindakan hukum terhadap perusahaan juga dapat terjadi untuk kepuasan diri sendiri
akibat pengungkapan informasi yang sifatnya rahasia

Pelanggar Logical Access
Former
Hackers Employees IS Personnel End Users
Employees
Interested or
Kejahatan
Educated Pesaing Pihak asing Crackers
terorganisasi
Outsiders
Part-time and
Vendors and Accidental
Phreackers Temporary
Consultants Ignorant
Personnel

5. Internet Security
Firewall adalah kombinasi hardware dan software yang dibangun

menggunakan routers, servers dan suatu jenis software. Firewall
sebaiknya diletakkan pada titik paling rawan antara suatu jaringan
perusahaan dan Internet dan dapat menjadi sederhana atau
kompleks tergantung administrator sistem yang ingin
membangunnya.

Tipe Firewall
Menyadap dan
Mengenkrip paket yang
mencatat semua
dikirimkan antara lokasi
komunikasi antara
fisik yang berbeda
Mencegah user suatu jaringan internal
Menghalangi akses ke dalam suatu organisasi
tertentu mengakses dengan dunia luar
situs tertentu dalam dengan menciptakan
server atau servis untuk menyelidiki
Internet suatu jaringan pribadi
tertentu adanya penetrasi
virtual (virtual private
jaringan atau
network) melalui
mendeteksi subversi
Internet
internal.

Masalah Implementasi Firewall
Pemantauan
Adanya
aktivitas tidak
keraguan pada
dilakukan secara
security
teratur
Kesalahpaham Firewall dapat

an tentang apa dielakkan
yang ada melalui
dalam suatu penggunaan
firewall modem
Firewall yang
konfigurasinya
salah

6. Data Storage
• Sistem penyimpanan yang aman memberikan garis pertahanan terakhir terhadap

penyerangan.
• Keamanan penyimpanan data difokuskan pada pengamanan perangkat dan sistem
penyimpanan terhadap pengungkapan, modifikasi, atau penghancuran yang tidak sah
sembari memastikan ketersediaannya bagi pengguna yang berwenang
• Keamanan data: menjaga informasi pribadi dari yang tidak berwenang melihatnya dan
mencegah akses atas informasi dari serangan yang akan mengubah data.
• Perlindungan data: memastikan data tetap tersedia setelah insiden, seperti kegagalan sistem
atau komponen atau bahkan bencana alam

Kerentanan Penyimpanan Data
1. Kurangnya enkripsi - organisasi perlu menginstal perangkat lunak terpisah atau alat enkripsi untuk memastikan
bahwa data mereka dienkripsi.
2. Penyimpanan cloud - Semakin banyak perusahaan yang memilih untuk menyimpan data mereka di cloud karena
lebih aman daripada penyimpanan internal. Cloud mengharuskan personel penyimpanan untuk mempelajari alat
baru dan menerapkan prosedur baru untuk memastikan bahwa data diamankan dengan memadai.
3. Penghancuran data yang tidak lengkap - Ketika data dihapus dari hard drive atau media penyimpanan lain, data
tersebut dapat meninggalkan jejak yang memungkinkan individu yang tidak berwenang untuk memulihkan
informasi itu.
4. Kurangnya keamanan fisik - Beberapa organisasi tidak cukup memperhatikan keamanan fisik yang dilakukan oleh
orang dalam, seperti karyawan atau anggota kru pembersih, mereka mungkin dapat mengakses perangkat
penyimpanan fisik dan mengekstraksi data, melewati semua sistem keamanan yang diterapkan

Praktik Terbaik Keamanan Data
Kebijakan
Keamanan
keamanan
Enkripsi jaringan yang Redundansi
penyimpanan
kuat
data
Pencegahan Keamanan
Kontrol akses kehilangan titik akhir
data yang kuat
Backup & Restore

C. Information Protection

1. Pendahuluan
Untuk memelihara suatu keunggulan kompetitif dan memenuhi kebutuhan bisnis yang mendasar, suatu organisasi
harus:
Menjamin integritas informasi
Menjaga kerahasiaan data
Menjamin ketersediaan sistem informasi
Menjamin ketaatan pada hukum,

peraturan dan standar

2. Business Objectives
Perusahaan bisnis banyak berinvestasi dalam sistem informasi untuk mencapai enam tujuan
bisnis strategis:
Keunggulan
operasional
Produk, layanan,
Kelangsungan dan model bisnis
hidup baru
Keintiman
Keunggulan
pelanggan dan
kompetitif
pemasok
Pengambilan
keputusan yang
lebih baik
3. Malicious Software
Perangkat lunak berbahaya, umumnya dikenal sebagai malware, adalah

perangkat lunak apa pun yang membahayakan sistem komputer. Malware
dapat berupa worm, virus, trojan, spyware, adware dan rootkit, dan
lainnya. Yang mencuri data yang dilindungi, menghapus dokumen atau
menambah perangkat lunak yang tidak disetujui oleh pengguna

4. Controls Against Malware
• Install antivirus & jangan membuka lampiran file
Virus
Virus Trojan • Jangan membuka lampiran file
Rootkit • Batasi akses download
Worm • Install Firewall
Logic Bomb • Batasi akses download
• Install software antivirus & Batasi akses download

Spyware dan Adware
• Install software antivirus & Batasi akses download

Ransomware

5. Types of Attacks
Interruption Interception Modification Fabrication

(availability) (confidentiality) (integrity) (integrity)

6. Counters Measures IDS
IDS network-based
• ditempatkan diantara Internet dan firewall, hal itu akan mendeteksi
semua usaha serangan, memasuki atau tidak memasuki firewall
IDS host-based
• dikonfigurasikan untuk suatu lingkungan spesifik dan akan memantau
berbagai sumberdaya internal dari sistem operasi untuk memberi
peringatan adanya kemungkinan serangan.

7. Information Integrity and Reliability
Jadi, bagaimana Anda tahu kapan data Anda memiliki integritas? Anda harus melihat fitur-fitur
berikut:
Retrievability Traceability Reliability

Daftar Periksa Menjaga Integritas Data & Meminimalkan Risiko
Input Validasi
Validasi Data
Hapus Data Duplikat
Mencadangkan Data
Kontrol Akses
Selalu Jaga Jejak Audit

8. Privacy
Privasi informasi dianggap sebagai aspek penting dari berbagi informasi. Privasi informasi
berkaitan dengan berbagai tipe data, termasuk:
Privasi Privasi
medis internet
Privasi
keuangan
D. Authentication and Encryption

1. Pendahuluan
Identifikasi/otentikasi adalah suatu proses untuk menetapkan dan

memastikan identitas pengguna suatu sistem.
Something Something Something

you know you have you are
password, user id,

electronic card,
personal sidik jari, telapak
swipt card, atau
identification tangan, dan retina
smart card
number (PIN)

2. Encryption Overview
Enkripsi merupakan proses pengkonversian suatu pesan plaintext ke dalam bentuk teks
yang dikodekan untuk pengamanannya yang disebut Ciphertext. Ciphertext tidak dapat
dibaca dan dimengerti tanpa mengkonversinya kembali melalui proses
pembalikan/dekripsi ke format plaintext
Plain text Ciphertext PlainText
Encryption Decryption

Enkripsi Secara Umum digunakan untuk:
Memproteksi data dalam

perjalanan melalui jaringan
Memproteksi informasi yang

disimpan dalam computer
Enkripsi
Mengurangi dan mendeteksi
perubahan data
Memverifikasi otentikasi transaksi

atau dokumen
Keterbatasan enkripsi adalah bahwa penggunaannya tidak dapat mencegah

hilangnya data dan program untuk mengenkripsi mungkin dapat
dikompromisasikan
3. Public Key
• Sistem enkripsi asimetris, sering disebut sistem kriptografi kunci public (public
key cryptographic system), menjawab kesulitan yang dihadapi dalam
mendistribusikan kunci simetris kepada pihak yang melakukan transaksi
namun tidak saling kenal sebelumnya.
• Sistem enkripsi asimetris menggunakan 2 (dua) kunci yang bekerja sebagai
suatu pasangan. Satu kunci digunakan untuk mengenkripsi data, dan kunci
lainnya digunakan untuk mendekripsi data.

4. Private Key Encription
• Algoritma enkripsi simetris (symmetric encryption) menggunakan suatu kunci

rahasia untuk mengenkripsi plaintext ke dalam ciphertext, dan dengan
menggunakan kunci yang sama untuk mendekripsi ciphertext kembali ke
dalam plaintext.
• Dalam hal ini kunci yang digunakan disebut simetris karena kunci untuk
mengenkripsi sama dengan kunci untuk mendekripsi. Sistem enkripsi dengan
kunci simetris ini disebut juga sistem kriptografi kunci pribadi (private key
cryptographic system).

5. Digital Signature
Integritas Data
Otentikasi
Digital
Signature
Non–repudiation
Replay protection

Dasar-Dasar Keamanan IT

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Dasar-Dasar Keamanan IT

Diunggah oleh

Hak Cipta:

Format Tersedia

DASAR-DASAR KEAMANAN IT

1 © Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

• Kerangka kerja keamanan informasi adalah serangkaian kebijakan, prosedur, dan

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit 4

2. Pengendalian Aplikasi (Application Control)

© Copyright Yayasan Pendidikan Internal Audit 5

Pemantauan dan Evaluasi Perencanaan dan Organisasi

Pasokan dan Dukungan Perolehan dan

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit7

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Ancaman Alam Ancaman Sistem

Ancaman yang dibuat Ancaman Bermotif

© Copyright Yayasan Pendidikan Internal Audit

Level 1 Keamanan jaringan

Level 0 Keamanan database,

© Copyright Yayasan Pendidikan Internal Audit

01 Mencegah tindak kriminal

03 Mendeteksi tindak kriminal

04 Memperkirakan respon petugas keamanan

05 Membuat mekanisme respon

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Kompromi fisik dengan perangkat

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Analisis resiko untuk Mendapatkan garis besar

© Copyright Yayasan Pendidikan Internal Audit

Wireless Access Points

Computer Equipment Maintenance

© Copyright Yayasan Pendidikan Internal Audit

Mengatur Perangkat rentan

Kemas dan Lindungi Jauhkan

© Copyright Yayasan Pendidikan Internal Audit

Shut Down of Denial of

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

1. Membangun sistem dari salinan master yang bersih dan original

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Financial Loss Legal Repercussions

Loss of Credibility or Competitive Edge Blackmail/Industrial Espionage

Disclosure of Confidential, Sensitive or Sabotage

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Firewall adalah kombinasi hardware dan software yang dibangun

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Kesalahpaham Firewall dapat

© Copyright Yayasan Pendidikan Internal Audit

• Sistem penyimpanan yang aman memberikan garis pertahanan terakhir terhadap

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit

Backup & Restore

© Copyright Yayasan Pendidikan Internal Audit

© Copyright Yayasan Pendidikan Internal Audit