Inspection &

Protection
Hello!
Kelompok 1

2
 1. Let’s start with
the first set of
Inspection slides

3
Resource Inventory

Resource (sumber daya) adalah sesuatu yang

memiliki nilai bagi organisasi, yang jika hilang
atau rusak akan menyebabkan kerugian bagi
organisasi secara keseluruhan. Sumber daya
lebih dari sekadar asset, mereka termasuk
karyawan, infrastruktur, hubungan dengan
pelanggan atau mitra, dan reputasi perusahaan

4
Identifikasi Sumber daya (identifying resource)
langkah pertama adalah mengidentifikasi
sumber daya informasi organisasi. Ini akan
menentukan ruang lingkup evaluasi keamanan

5
Threat Assessment (Penilaian
Ancaman)

▣ Threat (Ancaman) Suatu objek, orang atau

entitas lain yang mewakili bahaya kosntan
terhadap suatu asset.

▣ Threat Assessment : pemeriksaan pada

sesuatu yang berbahaya untuk menilai
potensinya kepada dampak organisasi.

6
▣ The Computer Security Institute (CSI)
Computer crime and security survey adalah
studi yang representative. Studi CSI 2009
menemukan bahwa 64% organisasi yang
merespon survei tersebut menderita infeksi
malware, dengan hanya 14% yang
mengindikasikan penetrasi sistem oleh orang
luar.

7
No Kategori Ancaman
1 Kompromi terhadap kekayaan
intelektual
2 Software attacks
3 Kesalahan atau kegagalan
manusia
4 Pemerasan Informasi
5 Sabotase atau vandalisme
6 Kegagalan atau kesalahan
perangkat keras
Contoh
Privacy, Copyright dll
Virus, Penolakan layanan dll
Kecelekaan dan kesalahan
pegawai
Pemerasan (Blackmail),
Pengungkapan informasi
Penghancuran sistem atau
informasi
Kegagalan peralatan
8
Contoh-Contoh Threat

Deliberate software attack (Serangan

Perangkat lunak yang disengaja)

Serangan perangkat lunak yang disengaja

terjadi ketika sesorang individu atau kelompok
merancang dan menyebarkan perangkat lunak
untuk menyerang suatu sistem. Sebagian besar
perangkat lunak ini disebut sebagai malicious
code atau malware.

9
Contoh-Contoh Threat Cont’d

▣ Virus : virus computer terdiri dari segmen

kode yang melakukan tindakan jahat dengan
menggunakan mesin replikasi sel sendiri
untuk menyebarkan serangan diluar target
awal.

10
Contoh Threat Cont’d

▣ Worms: dinamai cacing pita dalam novel

John Brunner The Shockwave Rider, worm
adalah program jahat yang meriplikasi dirinya
sendiri terus-menerus tanpa memerlukan
lingkungan program yang lain. Worms dapat
terus mereplikasi diri mereka sendiri sampai
mereka memenuhi sumber daya yang
tersedia, seperti memori, ruang hard drive dan
bandwidth jaringan.

11
Contoh Threat Cont’d

▣ Intruders (Penyusup) : Tindakan tanpa

senagaja mengakses sistem computer dan
jaringan tanpa otoritas umumnya disebut
sebagai peretasan, dengan individu yang
melakukan kegiatan ini disebut sebagai
peretas. Istilah peretasan juga berlaku untuk
tindakan melebihi otoritas seseorang dalam
suatu sistem.

12
Identifying Vulnerabilities
(Kerentanan)

▣ Sebuah kerentanan didefinisikan sebagai

“cacat dalam suatu sistem, aplikasi atau
layanan yang memungkinkan seorang
penyerang untuk menghindari kontrol
keamanan dan memanipulasi sistem dengan
cara pengembang tidak pernah dimaksudkan

▣ penilaian kerentanan bertujuan untuk

menguji sistem komputer, jaringan, atau
aplikasi untuk mengidentifikasi, mengukur,
dan peringkat kerentanan dalam sistem
untuk mitigasi sistematis
13
Assigning Safeguards

Safeguard didefinisikan sebagai mekanisme

atau prosedur apa pun yang dirancang untuk
mengurangi dampak ancaman sebelum dapat
terjadi

14
Assigning Safeguards cont’d

Prinsip perlindungan keamanan informasi

adalah prinsip privasi informasi utama yang
terkandung dalam setiap langkah, kerangka
kerja, dan pedoman undang-undang privasi.

Prinsip perlindungan keamanan dalam privasi

informasi berfokus pada pencapaian tingkat
‘wajar ’atau‘ ‘memadai’ untuk informasi pribadi
orang perorangan.

15
Awareness (Kesadaran)

▣ Untuk mencapai keamanan Sistem Informasi,

kebijakan keamanan informasi dan program
Pendidikan, Pelatihan dan Kesadaran
Keamanan adalah tindakan non-teknis untuk
mencegah pelanggaran keamanan oleh
karyawan (Lebek, Uffen, Neumann, Hohler, &
Breitner, 2014).

16
Kesadaran cont’d

▣ Kesadaran keamanan informasi telah

dipromosikan sebagai cara untuk
mengurangi risiko keamanan di sejumlah
area ancaman (Allam, Flowerday, & Flowerday,
2014).

Mengikuti faktor-faktor yang harus dihasilkan

dari menyikapi tingkat kesadaran dalam suatu
organisasi (Allam et al., 2014):
▣ Pengetahuan: apa yang diketahui orang
▣ Sikap: apa yang dipikirkan orang
▣ Perilaku: apa yang dilakukan orang
17
Kesadaran cont’d

▣ Kurangnya kesadaran akan kontrol keamanan

adalah hambatan utama bagi tata kelola
keamanan sistem informasi yang efektif
(Mishra et al., 2014).

18
Kesadaran cont’d

▣ Sayangnya, sebagian besar pengguna

komputer memiliki kesadaran keamanan
yang kurang karena kurangnya pendidikan,
kesadaran, profesionalisme dan pelatihan
(Asanka et al., 2014).
▣ Menciptakan kesadaran tentang masalah
keamanan adalah langkah penting dalam
program keamanan keseluruhan organisasi.
Kesadaran tentang kerentanan keamanan
dapat secara efektif diciptakan melalui modul
pendidikan dan pelatihan yang tepat dalam
suatu organisasi (Mishra et al., 2014).
19
Access

▣ Akses dapat berarti tindakan memasuki atau

menggunakan. Dalam bidang keamanan
akses kontrol adalah akses pembatasan
selektif ke suatau tempat atau sumber daya
lainnya. Definisi akses kontrol biasanya
merujuk pada praktek pembatasan pintu
masuk ke suatu properti, bangunan, atau
ruangan hanya untuk orang yang berwenang.

20
Access cont’d

Sedangkan izin untuk mengakses suatu sumber

daya disebut otorisasi. Sebuah sistem akses
kontrol akan menentukan:
▣ siapa saja yang diperbolehkan masuk atau
keluar
▣ di mana mereka diizinkan untuk keluar atau
masuk dan
▣ kapan mereka diizinkan untuk masuk atau
keluar

21
Akses control fisik

▣ Akses kontrol secara fisik biasanya diberikan

pada petugas khusus seperti penjaga
keamanan. Umumnya ada pagar atau pintu
untuk menghindari akses kontrol fisik dari
pihak yang tidak berkepentingan.

22
Akses control elektronik

▣ Kontrol akses elektronik biasanya

menggunakan komputer untuk
memecahkan keterbatasan pada kunci
mekanik dan tradisional. Berbagai macam
hak akses dapat digunakan untuk
menggantikan kunci mekanik.

23
Identification

Identifikasi adalah proses pemberian ID

komputer ke pengguna tertentu, komputer,
perangkat jaringan, atau proses komputer.
Proses identifikasi adalah biasanya dilakukan
hanya sekali, ketika ID pengguna dikeluarkan
untuk pengguna tertentu.

24
Authentication

Otentikasi adalah proses pengikatan ID tertentu

ke koneksi komputer tertentu. Dua item perlu
disajikan untuk menyebabkan pengikatan ini
terjadi pada ID pengguna, dan beberapa
"rahasia" untuk membuktikan bahwa pengguna
adalah pemilik sah kredensia

25
Kombinasi Otentikasi

▣ Sesuatu yang diketahui pengguna (misalnya,

kata sandi, nomor identifikasi pribadi (PIN),
jawaban rahasia, pola).
▣ Sesuatu yang dimiliki pengguna (misalnya,
kartu pintar , Kartu ID, token keamanan, token
perangkat lunak, smartphone).
▣ Sesuatu yang dilakukan atau dilakukan
pengguna (mis. Sidik jari, wajah, iris, gaya
berjalan) Yang terakhir dikenal sebagai
biometrik

26
Level keamanan sistem otentikasi:

▣ Sesuatu yang diketahui pengguna;

▣ Sesuatu yang dimiliki pengguna;
▣ Sesuatu yang diketahui pengguna dan sesuatu yang
dimiliki pengguna;
▣ Sesuatu yang dilakukan atau dilakukan pengguna;
▣ Sesuatu yang pengguna miliki dan sesuatu yang
dilakukan atau dilakukan pengguna;
▣ Sesuatu yang diketahui pengguna dan sesuatu yang
dilakukan atau dilakukan pengguna;
▣ Sesuatu yang diketahui pengguna, sesuatu yang dimiliki,
dan sesuatu yang dilakukan atau dilakukan pengguna.

27
Authorization (Otorisasi)

▣ Otorisasi adalah proses perijinan atau

menolak akses ke sumber daya tertentu.
Setelah identitas dikonfirmasi melalui
otentikasi, tindakan tertentu dapat disahkan
atau ditolak.
▣ Banyak jenis skema otorisasi yang digunakan,
tetapi tujuannya adalah sama: menentukan
apakah pengguna tertentu yang telah
diidentifikasi memiliki izin untuk objek
tertentu atau sumber daya yang diminta.

28
Availability

Ketersediaan (availability) menggambarkan

kebutuhan data untuk dapat diakses, dipahami,
dan diproses secara tepat waktu.

29
Cont’d

Ketersediaan (availability hanya dapat

direalisasikan dengan menambahkan
redundansi ke system, mis. dengan cara
menyimpan banyak salinan dari data yang sama
di lokasi penyimpanan yang berbeda

30
Komponen Ketersediaan

 Reliabilitas: Reliabilitas adalah probabilitas sistem yang

menjalankan tujuannya secara memadai untuk periode
waktu yang dimaksudkan dalam kondisi operasi yang
dihadapi
 Aksesibilitas: Aksesibilitas adalah "sejauh mana suatu
sistem dapat digunakan oleh sebanyak mungkin orang
tanpa modifikasi"
 Ketepatan waktu: Ketepatan waktu adalah
kemampuan untuk mengakses Informasi dan Layanan
secara tepat waktu. Ini adalah responsif sistem atau
sumber daya terhadap permintaan pengguna

31
Accuracy (Akurasi)

32
Akurasi cont’d

▣ Keakuratan informasi yang hendak

disampaikan bergantung pada dua hal.
Pertama adalah bagaimana penyampaian
informasi yang bisa dalam bentuk tertulis
atau pun lisan. Proses yang terjadi adalah
encoding pesan dari sumber menjadi sebuah
informasi yang hendak disampaikan.

33
confidentiality

▣ Maksudnya secara singkat sama dengan arti

katanya yaitu kerahasian. Kerahasian dalam
hal ini adalah informasi yang kita miliki pada
sistem/database kita, adalah hal yang rahasia
dan pengguna atau orang yang tidak
berkepentingan tidak dapat
melihat/mengaksesnya.

34
 Cont’d

Ancaman yang muncul dari pihak yang tidak

berkepentingan terhadap aspek confidentiality antara
lain:
▣ password strength (lemahnya password yang
digunakan, sehingga mudah ditebak ataupun di-
bruteforce)
▣ malware (masuknya virus yang dapat
membuat backdoor ke sistem ataupun
mengumpulkan informasi pengguna)
▣ social engineering (lemahnya security
awareness pengguna dimana mudah sekali untuk
‘dibohongi’ oleh attacker, yang biasanya adalah
orang yang sudah dikenalnya). 35
Accountability (Akuntabilitas)

▣ Akuntabilitas, Juga dikenal sebagai

auditability, memastikan bahwa semua
tindakan pada sistem-resmi atau tidak sah-
dapat dikaitkan dengan identitas
dikonfirmasi. Akuntabilitas yang paling sering
dilakukan dengan cara sistem log dan jurnal
database, dan audit catatan ini.

36
Administration

Administrasi digambarkan sebagai elemen

keamanan informasi (Nyikes, Nemeth, & Kerti,
2016). Administrasi, oleh karena itu, memenuhi
peran perlindungan dokumen dalam keamanan
administrasi, yang membentuk bagian dari
keamanan informasi.

37
Thanks!
Any questions?

38