MANAJEMEN

KEAMANAN
INFORMASI
Hanifa Zulhaimi, S.Pd.,M.Ak
KEAMANAN INFORMASI
 Kemanan Informasi menggambarkan usaha/prosedur untuk melindungi komputer dan non-
peralatan komputer, fasilitas pendukung, data, dan informasi dari penyalahgunaan oleh orang
yang tidak bertanggung jawab.
TUJUAN KEAMANAN
INFORMASI
 Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
 Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang –orang yang tidak
berhak
 Ketersediaan: meyakinkan bahwa data dan informasi perusahaan tersedia saat diperlukan dan hanya
dapat digunakan oleh orang yang berhak menggunakannya.
 Integritas: sistem informasi perlu menyediakan data yang akurat, utuh dan dapat dipercaya tanpa
modifikasi dari pihak pihak yang tidak berwenang.
TUJUAN MANAJEMEN
KEAMANAN INFORMASI
 Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan
integritas di dalam sumber daya informasi perusahaan.
JENIS MANAJEMEN
KEAMANAN INFORMASI
1. Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi (information security
management/ ISM)
2. Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen Kesinambungan Bisnis
(business continuity management /BCM)
MANAJEMEN KEAMANAN
INFORMASI
 Corporate information systems security officer (CISSO) adalah orang yang berada di
organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan.
 Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang
melaporkan kepada CEO dan mengatur suatu unit jaminan informasi
LANGKAH DALAM
MANAJEMEN KEAMANAN
INFORMASI
ISM terdiri dari empat langkah:
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan, misal :
pencuri, virus, bencana alam
2. Mendefinisikan resiko dari ancaman yang mungkin terjadi, misal : kehilangan data, data tidak
dapat diakses
3. Penetapan kebijakan keamanan informasi
4. Menerapkan controls yang tertuju pada resiko

 Gambar 9.1 mengilustrasikan pendekatan manajemen resiko

 Benchmarks juga digunakan untuk memastikan integritas dari sistem
manajemen resiko
LANGKAH MANAJEMEN KEAMANAN INFORMASI
ANCAMAN
 Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa yang
dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan
 Ancaman dapat berasal dari internal atau external, disengaja atau tidak disengaja
 Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan informas
diberlakukan terhadap empat jenis resiko:
 Ancaman Internal dan External
 Disengaja dan tidak disengaja
ANCAMAN
RESIKO
 Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :

1. Pencurian dan Penyingkapan tidak sah

2. Penggunaan Tidak Sah
3. Pembinasaan dan Pengingkaran Layanan yang tidak sah
4. Modifikasi yang tidak sah
TINDAKAN PENCEGAHAN /
KEBIJAKAN KEAMANAN
Perusahaan Harus (teknikal):
 Instalasi dan pelihara firewall
 Menjaga sistem keamanan selalu “up to date”
 Enkripsi penyimpanan data
 Gunakan dan perbaharui software antivirus
 Membatasi akses data bagi mereka yang memang perlu mengetahui
 Memberikan ID unik untuk orang yang memiliki akses data khusus
 Menelusuri akses data dengan ID unik
 Tidak menggunakan password default dari vendor
 Secara teratur menguji keamanan sistem

Perusahaan perlu :
 Memantau pegawai yang memiliki akses data
 Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam keadaan tidak aman
 Hapus data jika sudah tidak digunakan
MANAJEMEN RESIKO
1. Mengidentifikasi aset bisnis yang akan dilindungi dari risiko
2. Kenali risikonya
3. Tentukan tingkat dampak pada perusahaan jika risiko terwujud
4. Menganalisis kerentanan perusahaan terhadap resiko
LAPORAN ANALISIS RESIKO
 Temuan analisis risiko harus didokumentasikan dalam laporan yang berisi informasi rinci
seperti berikut untuk setiap risiko:
 Penjelasan tentang risiko
 Sumber risiko
 Tingkat keparahan risiko
 Pengendalian yang diterapkan pada risiko
 Pemilik risiko
 Tindakan yang disarankan untuk mengatasi risiko
 Kerangka waktu yang disarankan untuk menangani risiko
 Apa yang dilakukan untuk mengurangi risiko
KEBIJAKAN KEAMANAN
INFORMASI
 Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan pendekatan lima
fase berikut
 Fase 1: Inisiasi Proyek
 Fase 2: Pengembangan Kebijakan
 Tahap 3: Konsultasi dan Persetujuan
 Fase 4: Kesadaran dan Pendidikan
 Fase 5: Penyebaran Kebijakan
KEBIJAKAN SISTEM
KEAMANAN INFORMASI
 Kebijakan dikembangkan secara terpisah antara lain untuk:
 Keamanan sistem informasi
 Kontrol akses system
 Keamanan personel
 Keamanan fisik dan lingkungan
 Keamanan telekomunikasi
 Klasifikasi informasi
 Akuntabilitas manajemen perencanaan
 kesinambungan bisnis

Kebijakan ini didistribusikan kepada karyawan, lebih baik secara tertulis dan dalam program
pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, pengendalian dapat diterapkan
KONTROL
 Pengendalian/kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari
risiko atau meminimalkan dampak risiko tersebut pada perusahaan jika terjadi.
 Kontrol teknis adalah yang dibangun ke dalam sistem oleh pengembang sistem selama siklus hidup
pengembangan system
 Kontrol akses adalah dasar untuk keamanan terhadap ancaman oleh orang yang tidak berwenang
 Sistem deteksi intrusi mencoba mengenali upaya untuk melanggar keamanan sebelum memiliki
kesempatan untuk menimbulkan kerusakan
KONTROL AKSES
 Identifikasi pengguna. Pengguna pertama-tama mengidentifikasi diri mereka sendiri dengan
memberikan sesuatu yang mereka ketahui, seperti kata sandi
 Otentikasi pengguna. Setelah identifikasi awal dilakukan, pengguna memverifikasi hak
mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki, seperti kartu pintar
atau token, atau chip identifikasi.
 Otorisasi pengguna. Dengan lolosnya pemeriksaan identifikasi dan otentikasi, seseorang
kemudian dapat diberi wewenang pada tingkat atau tingkat penggunaan tertentu. Misalnya,
satu pengguna mungkin diizinkan hanya untuk membaca dari file, sedangkan pengguna lain
mungkin diizinkan untuk membuat perubahan
JENIS KONTROL
 Teknikal control
 Formal control
 Informal control
TEKNIKAL KONTROL :
FIREWALLS, ANTIVIRUS,
CRYPTOGRHAPIC CONTROL
 Firewall

bertindak sebagai filter dan penghalang yang membatasi aliran data antara jaringan perusahaan dan
Internet

 Antivirus

Perangkat yang melindungi system informasi dari serangan virus.

 Kriptografi
 merupakan sebuah ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat
dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga.
 Naskah asli  yang diacak memanfaatkan sebuah kunci enkripsi sehingga naskah asli tersebut berubah menjadi
naskah yang sulit dibaca (chipertext) oleh pihak yang tidak memiliki kunci enkripsi
CRYPTOGRAPHIC CONTROLS
 Kriptografi merupakan sebuah ilmu yang mempelajari bagaimana cara menjaga agar data atau
pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari
pihak ketiga.
 Naskah asli  yang diacak memanfaatkan sebuah kunci enkripsi sehingga naskah asli tersebut
berubah menjadi naskah yang sulit dibaca (chipertext) oleh pihak yang tidak memiliki kunci
enkripsi
FORMAL CONTROL
 Kontrol formal mencakup penetapan:
 Kode etik
 Dokumentasi prosedur yang diharapkan dan praktek Perilaku
 pemantauan dan pencegahan yang bervariasi dari pedoman yang ditetapkan

 Pengendalian bersifat formal dalam manajemen itu:

 Luangkan banyak waktu untuk merancangnya
 didokumentasikan secara tertulis
 diharapkan berlaku untuk jangka panjang
INFORMAL KONTROL
 Pengendalian informal mencakup aktivitas seperti:
 Menanamkan keyakinan etis perusahaan pada karyawannya;
 Memastikan pemahaman tentang misi dan tujuan perusahaan;
 Program pendidikan dan pelatihan; dan
 program pengembangan manajemen

 Pengendalian ini dimaksudkan untuk memastikan bahwa karyawan perusahaan memahami

dan mendukung program keamanan
KEPUTUSAN KONTROL YANG
MEMADAI
 Tentukan jenis control yang paling tepat
 Pemilihan jenis control memperhatikan biaya dan manfaat yang diperoleh
 Memperhatikan kenyamanan pengguna, contohnya :
 system keamanan di Bank harus didesain sedemikian rupa agar transaksi nasabah aman, namun juga
harus memperhatikan kenyamanan nasabah
 Sistem keamanan informasi di rumah sakit harus didesain sedemikian rupa sehingga menjamin
kemanan namun tidak mengurangi atau mempersulit akses data penting pasien
KEBIJAKAN PEMERINTAH
DAN ORGANISASI INDUSTRI
 Beberapa pemerintah dan organisasi internasional telah menetapkan standar (slide berikutnya)
yang dimaksudkan sebagai pedoman bagi organisasi yang ingin mencapai keamanan informasi
KEBIJAKAN PEMERINTAH
DAN ORGANISASI INDUSTRI
 United Kingdom's BS7799 The UK standards establish a set of baseline controls. Both Australia and New Zealand have
instituted controls based on BS 7799
 BSI IT Baseline Protection Manual The baseline approach is also followed by the German Bundesamt fur Sicherheit in der
Informationstechnik (BSI). The baselines are intended to provide reasonable security when normal protection requirements
are intended. The baselines can also serve as the basis for higher degrees of protection when those are desired
 COBIT COBIT, from the Information Systems Audit and Control Association & Foundation (ISACAF), focuses on the
process that a firm can follow in developing standards, paying special attention to the writing and maintaining of the
document
 GASSP Generally Accepted System Security Principles (GASSP) is a product of the U. S. National Research Council.
Emphasis is on the rationale for establishing a security policy
 GMITS The Guidelines for the Management of IT Security (GMITS) is a product of the International Standards
Organization (ISO) Joint Technical Committee and it provides a list of the information security policy topics that should be
included in an organization's standards
 ISF Standard of Good Practice The Information Security Forum Standard of Good Practice takes a baseline approach,
devoting considerable attention to the user behavior that is expected if the program is to be successful
KEBIJAKAN DI INDONESIA
 UU no 11 tahun 2008 tentang Informasi dan Transaksi Elektronik diubah menjadi UU no 19
tahun 2016
 Peraturan Pemerintah no 71 Tahun 2019 tentang penyelenggaraan Sistem dan Transaksi
Elektronik
 Peraturan Presiden no 95 tahun 2018 tentang system pemerintahan berbasis elektronik
 dll
 INDUSTRY STANDARDS
 The Center for Internet Security (CIS) is a non profit organization dedicated to assisting
computer users to make their systems more secure
 CIS Benchmarks have been established and are integrated in a software package that calculates a
"security" score on a 10-point scale

30
 PROFESSIONAL CERTIFICATION
 Beginning in the 1960s the IT profession began offering certification programs:
 Information Systems Audit and Control Association (ISACA)
 International Information System Security Certification Consortium (ISC)
 SANS (SysAdmin, Audit, Network, Security) Institute

31
TUGAS
 Buatlah resume kebijakan keamanan informasi di Indonesia!