KEAMANAN
INFORMASI
Hanifa Zulhaimi, S.Pd.,M.Ak
KEAMANAN INFORMASI
Kemanan Informasi menggambarkan usaha/prosedur untuk melindungi komputer dan non-
peralatan komputer, fasilitas pendukung, data, dan informasi dari penyalahgunaan oleh orang
yang tidak bertanggung jawab.
TUJUAN KEAMANAN
INFORMASI
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang –orang yang tidak
berhak
Ketersediaan: meyakinkan bahwa data dan informasi perusahaan tersedia saat diperlukan dan hanya
dapat digunakan oleh orang yang berhak menggunakannya.
Integritas: sistem informasi perlu menyediakan data yang akurat, utuh dan dapat dipercaya tanpa
modifikasi dari pihak pihak yang tidak berwenang.
TUJUAN MANAJEMEN
KEAMANAN INFORMASI
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan
integritas di dalam sumber daya informasi perusahaan.
JENIS MANAJEMEN
KEAMANAN INFORMASI
1. Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi (information security
management/ ISM)
2. Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen Kesinambungan Bisnis
(business continuity management /BCM)
MANAJEMEN KEAMANAN
INFORMASI
Corporate information systems security officer (CISSO) adalah orang yang berada di
organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan.
Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang
melaporkan kepada CEO dan mengatur suatu unit jaminan informasi
LANGKAH DALAM
MANAJEMEN KEAMANAN
INFORMASI
ISM terdiri dari empat langkah:
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan, misal :
pencuri, virus, bencana alam
2. Mendefinisikan resiko dari ancaman yang mungkin terjadi, misal : kehilangan data, data tidak
dapat diakses
3. Penetapan kebijakan keamanan informasi
4. Menerapkan controls yang tertuju pada resiko
Perusahaan perlu :
Memantau pegawai yang memiliki akses data
Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam keadaan tidak aman
Hapus data jika sudah tidak digunakan
MANAJEMEN RESIKO
1. Mengidentifikasi aset bisnis yang akan dilindungi dari risiko
2. Kenali risikonya
3. Tentukan tingkat dampak pada perusahaan jika risiko terwujud
4. Menganalisis kerentanan perusahaan terhadap resiko
LAPORAN ANALISIS RESIKO
Temuan analisis risiko harus didokumentasikan dalam laporan yang berisi informasi rinci
seperti berikut untuk setiap risiko:
Penjelasan tentang risiko
Sumber risiko
Tingkat keparahan risiko
Pengendalian yang diterapkan pada risiko
Pemilik risiko
Tindakan yang disarankan untuk mengatasi risiko
Kerangka waktu yang disarankan untuk menangani risiko
Apa yang dilakukan untuk mengurangi risiko
KEBIJAKAN KEAMANAN
INFORMASI
Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan pendekatan lima
fase berikut
Fase 1: Inisiasi Proyek
Fase 2: Pengembangan Kebijakan
Tahap 3: Konsultasi dan Persetujuan
Fase 4: Kesadaran dan Pendidikan
Fase 5: Penyebaran Kebijakan
KEBIJAKAN SISTEM
KEAMANAN INFORMASI
Kebijakan dikembangkan secara terpisah antara lain untuk:
Keamanan sistem informasi
Kontrol akses system
Keamanan personel
Keamanan fisik dan lingkungan
Keamanan telekomunikasi
Klasifikasi informasi
Akuntabilitas manajemen perencanaan
kesinambungan bisnis
Kebijakan ini didistribusikan kepada karyawan, lebih baik secara tertulis dan dalam program
pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, pengendalian dapat diterapkan
KONTROL
Pengendalian/kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari
risiko atau meminimalkan dampak risiko tersebut pada perusahaan jika terjadi.
Kontrol teknis adalah yang dibangun ke dalam sistem oleh pengembang sistem selama siklus hidup
pengembangan system
Kontrol akses adalah dasar untuk keamanan terhadap ancaman oleh orang yang tidak berwenang
Sistem deteksi intrusi mencoba mengenali upaya untuk melanggar keamanan sebelum memiliki
kesempatan untuk menimbulkan kerusakan
KONTROL AKSES
Identifikasi pengguna. Pengguna pertama-tama mengidentifikasi diri mereka sendiri dengan
memberikan sesuatu yang mereka ketahui, seperti kata sandi
Otentikasi pengguna. Setelah identifikasi awal dilakukan, pengguna memverifikasi hak
mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki, seperti kartu pintar
atau token, atau chip identifikasi.
Otorisasi pengguna. Dengan lolosnya pemeriksaan identifikasi dan otentikasi, seseorang
kemudian dapat diberi wewenang pada tingkat atau tingkat penggunaan tertentu. Misalnya,
satu pengguna mungkin diizinkan hanya untuk membaca dari file, sedangkan pengguna lain
mungkin diizinkan untuk membuat perubahan
JENIS KONTROL
Teknikal control
Formal control
Informal control
TEKNIKAL KONTROL :
FIREWALLS, ANTIVIRUS,
CRYPTOGRHAPIC CONTROL
Firewall
bertindak sebagai filter dan penghalang yang membatasi aliran data antara jaringan perusahaan dan
Internet
Antivirus
Kriptografi
merupakan sebuah ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat
dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga.
Naskah asli yang diacak memanfaatkan sebuah kunci enkripsi sehingga naskah asli tersebut berubah menjadi
naskah yang sulit dibaca (chipertext) oleh pihak yang tidak memiliki kunci enkripsi
CRYPTOGRAPHIC CONTROLS
Kriptografi merupakan sebuah ilmu yang mempelajari bagaimana cara menjaga agar data atau
pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari
pihak ketiga.
Naskah asli yang diacak memanfaatkan sebuah kunci enkripsi sehingga naskah asli tersebut
berubah menjadi naskah yang sulit dibaca (chipertext) oleh pihak yang tidak memiliki kunci
enkripsi
FORMAL CONTROL
Kontrol formal mencakup penetapan:
Kode etik
Dokumentasi prosedur yang diharapkan dan praktek Perilaku
pemantauan dan pencegahan yang bervariasi dari pedoman yang ditetapkan
30
PROFESSIONAL CERTIFICATION
Beginning in the 1960s the IT profession began offering certification programs:
Information Systems Audit and Control Association (ISACA)
International Information System Security Certification Consortium (ISC)
SANS (SysAdmin, Audit, Network, Security) Institute
31
TUGAS
Buatlah resume kebijakan keamanan informasi di Indonesia!