Online Class

Basic Cybersecurity
“Preparing the cybersecurity career
for your company’s information security”

Day - 1
 Who am I?

Arga B. Pangestu
-------------------------------------------------------------------------------
Professional Experience:
2022 - present
IT Security Policy & Standards at State-owned banking company
2016 - 2022
Enterprise Security Specialist at one of the biggest car financing company
-------------------------------------------------------------------------------
Professional Certification:
Lead Implementer ISO 27001
Lead Auditor ISO 27001
Certified Risk Management for Banking Sector
https://www.linkedin.com/in/argapangestu/
ISO 27001 Information Security Executive
ISO 27001 Information Security Risk Manager
.. etc
 Day-1 Class Agenda

01 Cybersecurity Overview

02 Cybersecurity Domains

03 The C.I.A Triads

04 Layers of Protection

05 Cybersecurity Framework
 Cyberspace, Cybercrime and Cybersecurity

“ruang dimana komunitas saling terhubung

dengan menggunakan jaringan untuk
melakukan berbagai kegiatan.”
- The oxford English Dictionary

“Teknologi yang saling terkoneksi”

- Wikipedia

“The complex environment resulting from the interaction

of people, software and services on the internet by means
of techology and networks connected to it, which does
not exist in any physical form.”
- ISO/IEC 27032 – Security Techniques
 Cyberspace, Cybercrime and Cybersecurity (2)

“kegiatan kriminal yang

dilakukan melalui komputer
atau internet” – Oxford Dictionary
Example:
Email and internet fraud Theft and sale of corporate data Identity fraud

Theft of financial or card payment data Cyberespionage

---------------------------------------------------------------------------------------------------------------------------------------------------------------
Example: “Cara penjahat
Distributed Denial of Service (DDoS) SQL Injection melakukan kejahatan
Malware Cryptojacking Ransomware attacks dunia maya disebut
Phishing Social Engineering sebagai cyber attack”
 Cyberspace, Cybercrime and Cybersecurity (3)

Keamanan siber mengacu pada perlindungan sistem

informasi (perangkat keras, perangkat lunak, dan infrastruktur
terkait), data di dalamnya, dan layanan yang diberikan, dari
akses tidak sah, ancaman bahaya, atau penyalahgunaan.

“Cybersecurity Body of Knowledge” - CyBOK

“Keamanan siber adalah seni melindungi jaringan,

perangkat, dan data dari akses tidak sah atau
penggunaan kriminal dan praktik untuk memastikan
kerahasiaan, integritas, dan ketersediaan informasi.”
“Cybersecurity & Infrastructure Security Agency”
 Summary - Cyberspace, Cybercrime and Cybersecurity

“Cyberspace”
“Tempat dimana terjadi interaksi antara manusia, jaringan, software, services
dalam jaringan internet ”

“Cybercrime”
“Kegiatan kriminial yang dilakukan lewat internet yang bertujuan untuk
merugikan orang lain ”

“Cybersecurity”
“Perlindungan sistem informasi (baik data, jaringan, aplikasi, maupun
layanan) dari akses yang tidak sah, ancaman berbahaya dan
penyalahgunaan yang berujung pada tindakan kriminal.”
 Cybersecurity Domains
System Security

Risk Management & Operating System & Security Operations &

Governance Virtualisation Security Incident Management

Cryptography Authentication, Authorisation

& Accountability
Formal Metthods
for Security Distributed System Forensics
Human Factors Security

Hardware Security Web & Mobile

Privacy & Online Network Security Security Adversarial
Rights Applied Behaviours
Cryptography Software &
Infrastructure Cyber Physical Software Security
Security
Platform
Systems
Secure Software
Security Malware & Attack
Law & Regulations Physical Layer and
Telecommunications Lifecycle Technologies
Security

Human, Organisational & Attacks & Defence

Regulatory Aspect
Cybersecurity Domains – Human, Organisational & Regulatory Aspect

Risk Management & Governance Privacy & Online Rights

“Sistem manajemen keamanan dan kontrol “Teknik untuk melindungi informasi
keamanan organisasi, termasuk standar, pribadi, termasuk komunikasi, aplikasi, dan
best practices, dan pendekatan untuk inferensi dari database dan pemrosesan
penilaian dan mitigasi risiko.” data.”

Human Factors Law & Regulations

“Faktor keamanan, sosial & perilaku “Persyaratan undang-undang dan peraturan
yang dapat digunakan memengaruhi internasional maupun nasional, kewajiban
keamanan, budaya dan kesadaran, serta kepatuhan, dan etika keamanan, termasuk
dampak kontrol keamanan pada perlindungan data dan pengembangan
perilaku pengguna.” doktrin tentang perang dunia maya.”
 Risk Management & Governance

“Risiko adalah peluang bahwa hasil

dapat berbeda dari yang diharapkan.”

“Manajemen Risiko melibatkan proses identifikasi,

analisa, evaluasi, dan prioritasisasi risiko saat ini dan
potensial risiko yang akan datang.”
Deliverable: (tidak terbatas pada)
Risk Control and Self Assessment (RCSA) Risk Register Control Testing

Contoh Template Risk Register

Source : https://pm-training.net/risk-register-template/
 Risk Management & Governance (2)

“Tata kelola keamanan siber memberikan pandangan strategis tentang bagaimana

organisasi mengontrol keamanannya, termasuk membangun kerangka kerja kontrol
keamanan siber internal, dan menetapkan siapa yang bertanggung jawab untuk
membuat keputusan.” - Gartner.com

Source : https://www.powersolv.com/service/it-security-governance/
 Security Governance, Risk, and Compliance (GRC)

Compliance requirements: Information Security Strategy

- Statutory, - Roles & responsibilities
Diwajibkan oleh hukum dan mengacu pada
undang-undang saat ini yang disahkan oleh
pemerintah suatu negara. Information Security Management System
- Policy, Standards & Procedures
- Regulatory, - Maturity & Certification Framework
Persyaratan yang mengacu pada aturan
yang dikeluarkan oleh badan pengatur yang
ditunjuk oleh pemerintah.

- Contractual.
Kewajiban kontraktual disyaratkan oleh
kontrak hukum antara pihak yang
bekerjasama.

Checking and testing:

- Internal audits Information Risk
- Independent reviews - Risk Assessment
- Technical testing - Risk Treatment and Explore Opportunities
- Privacy Impact Assessment

Source: https://www.complianceforge.com/faq/word-crimes/statutory-vs-regulatory-vs-contractual-compliance
 Cybersecurity Domains – Attacks & Defence

Malware & Attack Security Operations &

Technologies Incident Management
“Konfigurasi, operasional, dan pemeliharaan sistem
“Detail teknis dari eksploitasi dan sistem yang aman termasuk deteksi dan respons terhadap
berbahaya yang didistribusikan, bersama dengan insiden keamanan serta pengumpulan dan penggunaan
pendekatan penemuan dan analisis terkait.” Threat Intelligence.”
Penetration Testing (Pentest) Security Information and Event Management (SIEM)

Vulnerability Assessment Security Operation Center (SOC)

Adversarial Behaviours Forensics

“Motivasi, perilaku, & metode “Pengumpulan, analisis, &
yang digunakan oleh penyerang, pelaporan bukti digital
termasuk malware supply chain, untuk mendukung insiden
vektor serangan, dan transfer atau peristiwa kriminal.”
uang.” Digital Forensics
Interpersonal Offenders
Cyber-Dependent Organized Criminals
 Cybersecurity Domains – System Security

Cryptography
01 Sebuah proses mengubah pesan untuk menyembunyikan maknanya agar
pesan atau informasi tetap bersifat rahasia.

Operating Systems & Virtualisation Security

02 Mekanisme perlindungan sistem operasi, sharing of resource, dan secure virtualization.
Operating System security Principles & Models Operating System Hardening

Authentication, Authorization & Accountability

03 Aspek manajemen identitas dan teknologi otentikasi, serta arsitektur dan alat untuk mendukung otorisasi.
Identity Access Management Access Control

Distributed System Security

04 Mekanisme keamanan yang berkaitan dengan sistem peer-to-peer, cloud, dan pusat data multitenant.
Unstructured P2P Protocols Structured P2P Protocols Hybrid P2P Protocols

Formal Methods for Security

05 Spesifikasi formal, pemodelan dan penalaran tentang keamanan sistem, perangkat lunak dan protokol,
yang mencakup pendekatan dasar, teknik dan dukungan alat.
 Cybersecurity Domains – Software & Platform Security

Web & Mobile Security

“Masalah yang terkait dengan aplikasi dan layanan web yang didistribusikan di seluruh perangkat dan
kerangka kerja, termasuk beragam paradigma pemrograman dan model perlindungan.”
Sandboxing Webification Web PKI & HTTPS

Software Security
“Praktik pengkodean dan desain bahasa yang ditingkatkan, alat, teknik, dan metode
untuk mendeteksi kesalahan pengkodean.”
Prevention of Vulnerabilities Detection of Vulnerabilities Mitigating Exploitation of Vulnerabilities

Secure Software Lifecycle

“Penerapan teknik keamanan rekayasa perangkat lunak di seluruh siklus hidup pengembangan
sistem menghasilkan perangkat lunak yang aman secara default.”
Secure SDLC Process Secure Code DevSecOps
 Cybersecurity Domains – Infrastructure Security

Hardware Security
Keamanan dalam desain, implementasi,
& penerapan perangkat keras khusus
dan serba guna. Applied Cryptography
SESIP: Security Evaluation Standard for IoT Platforms Penerapan algoritma kriptografi, skema, dan
Secure Platform protokol, termasuk implementasi, manajemen
kunci, dan penggunaannya dalam sistem.
Network Security Public Key Encryption Key Encapsulation Mechanisms
Aspek keamanan protokol jaringan &
telekomunikasi. Physical Layer and
Security at the Transport Layer Security at the Link Layer Telecomunications Security
Keamanan dan keterbatasan lapisan fisik
Cyber Physical System Security termasuk aspek pengkodean frekuensi radio
dan teknik transmisi, radiasi yang tidak
Tantangan keamanan dalam sistem diinginkan, dan interferensi.
cyber-fisik, seperti Internet of Things dan C-I-A Controll Secure Positioning
keamanan infrastruktur skala besar.
Attacks Against CPS Crosscutting Security
 Summary - Cybersecurity Domains

Keamanan siber yang baik menuntut upaya terkoordinasi di semua sistem organisasi karena
asetnya terdiri dari berbagai platform yang berbeda. Keamanan siber memiliki sub-domain
berikut:
Human, Organisational & Regulatory

Attacks & Defence

System Security

Infrastructure Security

Software & Platform Security

 The Information Security Principals - C.I.A Triad

Kerahasiaan
Perlindungan agar informasi tidak terakses oleh pihak yang tidak berwenang.
Multi factor Strong Hardware Security Data
Penggunaan
authentication Password Module - Key Classification &
Enkripsi
(2FA) Policy Management Labelling

Integritas Ketersediaan
Menjaga agar data atau informasi tidak Memastikan informasi harus tersedia
dapat dimanipulasi, diubah atau diedit oleh untuk user berwenang kapan pun mereka
pihak yang tidak berwenang. membutuhkannya.
Impelementasi Always On Firewall
Backup & Security Anti Server Network
User Access DDoS Redundancy Security
Restore Information and
Management
Policy Event
Management
Always On
Autentikasi Network
Autorisasi & Redundancy
Akuntabilitas

The Potential Risk of the C.I.A Triad

 Cybersecurity / Information Security Layers of Protection

Common Cybersecurity Layers of Protection Recently Cybersecurity Layers of Protection

 Cybersecurity / Information Security Layers of Protection

Layer 1 People
Layer 3 - Technology
Peningkatan awareness eksternal
dan internal. Governance
Peningkatan kompetensi internal. Kecukupan kebijakan & standar
pengamanan informasi.
Pengawasan aktif oleh pejabat terkait.
Penyelenggaraan security awareness

Newsletter Cyberdrill
Protection
Podcast Seluruh perangkat yang digunakan
telah memiliki protection tools.

Operation
24x7 Response & recovery security
incident cepat dan efektif.

Layer 2 - Process
Pengamanan fisik dan memastikan
pengamanan informasi disematkan
pada setiap proses bisnis yang ada.
 3 - Pillars of Cybersecurity

1. Security Awareness 2. Ketentuan Internal 3. Dedicated IT Security Team

Prosedur Pengamanan Informasi Pemantauan operasional Information
Program security awareness
untuk internal karyawan, dapat berisi security dalam organisasi oleh
untuk karyawan dan customer dedicated team beserta peningkatan
yang dilakukan secara berkala. do’s and don’t atau panduan
kompetensi personil didalamnya.
pengamanan internal.
Media: podcast, internal Contoh: Ketentuan pengamanan informasi, Contoh: Penunjukan CISO, struktur
newsletter, poster. etc panduan penyimpanan dokumen rahasia, organisasi IT Security, Pelatihan dan
Sertifikasi Profesional Cybersecurity.
Governance clean desk and clear screen policy, etc

1. Multi Layer protection 2. Security Testing 3. User Access Management

Pengujian peretasan untuk Melakukan pembatasan akses
Implementasi level pengamanan memastikan tidak terdapat terhadap sistem internal, akses
berlapis (sistem, aplikasi, jaringan). celah pada aplikasi, jaringan, data dan akses phsycal
Contoh: sistem environment.
Layer sistem : hardening. Contoh: Penetration Testing, Contoh: Implementasi IAM,
Layer aplikasi : pembatasan akses user, Vulnerability Assessment, Review berkala User Akses,
Layer jaringan : firewall. Cybersecurity Drill. Access Door using Access Card
Protection

1. Security Monitoring 2. Deteksi Threat 3. Evaluasi Keamanan Vendor

Security monitoring dilaksanakan Deteksi terhadap ancaman Evaluasi terhadap keamanan
secara real-time, penerapan (threat) menggunakan tools yang vendor yang dimulai dari proses
best practive cybersecurity. terpercaya. pengadaan hingga evaluasi
Contoh: secara berkala.
Contoh:
Contoh:
Security information and event Kontrol pemilihan vendor
Security Operation Center 24x7.
management (SIEM)
Operation Adopsi ISO 27001, NIST, CIS Control.
Threat Intelligence.
Non-disclosure Agreement
Cybersecurity Multi Layer Defence Mechanism

Internet facing Apps

Connection Perimeter

Internal Systems

Company Datas
 Cybersecurity Multi Layer Defence Mechanism

Mobile Apps Web Apps E-mail

Internet facing Apps Mobile Security CIAM Pentest Website Security Pentest E-mail Protection E-mail Sandboxing

Internet Virtual Private Network (VPN) Proxy

Connection Perimeter Web Application

Firewall (WAF)
Anti DDoS
Firewall
(IPS/IDS)
Firewall
(IPS/IDS)
Multi-factor
authentication URL Filtering
Website Access
Restriction
(MFA)

Server Production

Internal Systems Firewall (IPS/IDS) Multi Factor Vulnerability 1. Authorization

Security Control Security Patches Pentest
Authentication Assessment 2. Authentication

End Point (PC/Laptop)

Desktop Management Antivirus Security Control Access Control

Data Security / Data Protection

Company Datas
Encryption Data Discovery and
Data Masking Data Erasure Data Back-up Data Resiliency Data Lost Prevention
Classification
 The Cybersecurity Framework

“Seperangkat pedoman untuk mengurangi risiko keamanan siber

organisasi, diterbitkan oleh Institut Standar dan Teknologi Nasional
AS berdasarkan standar, pedoman, dan praktik yang ada.”
NIST SP 800-53

“Standar best practice untuk manajemen keamanan informasi

dalam organisasi yang di terbitkan oleh ISO dan IEC..”
The Cybersecurity Framework – NIST
 The Cybersecurity Framework – NIST

IDENTIFY PROTECT DETECT RESPOND RECOVER

Pengembangan Mengembangkan dan Mengembangkan dan Pengembangan dan Pengembangan dan

pemahaman organisasi menerapkan perlindungan menerapkan kegiatan yang penerapan aktivitas yang pengimplementasian
tentang risiko keamanan yang tepat untuk sesuai untuk sesuai untuk mengambil aktivitas yang sesuai untuk
siber untuk mengelolanya memastikan delivery of mengidentifikasi terjadinya tindakan terkait peristiwa mempertahankan rencana
dan dampaknya terhadap critical infrastructure peristiwa keamanan siber. keamanan siber yang ketahanan dan untuk
sistem, data, karyawan, dan services. terdeteksi. memulihkan kondisi apa
kemampuan. pun yang terganggu karena
peristiwa keamanan siber.

KEY ENABLERS KEY ENABLERS KEY ENABLERS KEY ENABLERS KEY ENABLERS
• Business Context • Access Control • Anomaly and Event • Incident Response • Incident Recovery
• Asset Management • Awareness and Training Detection Planning Planning
• Governance • Data Security • Security Continuous • Communications • Communications
• Risk Assessment • Information Protection Monitoring • Analysis
• Risk Management Policies and Procedures • Detection Processes • Mitigation
Strategy • Proactive Maintenance
• Protective Technology
 The Cybersecurity Framework – ISO 27001

ISO 27001 adalah standar yang diakui secara internasional untuk

Sistem Manajemen Keamanan Informasi (ISMS). Ini menyediakan
kerangka kerja yang kuat untuk melindungi informasi yang dapat
disesuaikan dengan semua jenis dan ukuran organisasi.
The Cybersecurity Framework – ISO 27001
Sesi pertanyaan
 Thanks!

THANK YOU FOR YOUR ATTENTION!