KONSEP DASAR

KEAMANAN SISTEM
INFORMASI
PANJI AGUSTINO

KOMUNIKASI
DATA

PANJI AGUSTINO
KEAMANAN INFORMASI

Sistem informasi Untuk dapat bersaing, Dengan meningkatnya

memiliki peranan perusahaan dipaksa transaksi dan
besar di semua untuk menciptakan dan tersedianya bermacam-
perusahaan untuk berinovasi dengan macam teknik
menghasilkan teknologi informasi agar pemrosesan dengan
keuntungan dapat bertahan komputer
memungkinkan
berinterkasi dengan
sistem lain

2
KEAMANAN INFORMASI

Disisi lain pesat Penyebabnya, semakin Rendahnya kesadaran

lajunya teknologi, banyak pemanfaatan atas masalah
munculnya resiko teknologi informasi dan keamanan (lack of
ancaman baru yang jaringan internet, Serta security awareness)
berkaitan dengan teknik untuk merupakan salah satu
komputerisasi menemukan lubang kunci utama
keamanan juga semakin munculnya masalah
canggih sehingga lebih keamanan
banyak ditemukan
kelemahan-kelemahan
tersebut
3
KASUS KEJAHATAN SIBER
YANG MENGHEBOHKAN
KASUS SIBER DI INDONESIA

5
KASUS SIBER DI INDONESIA

6
KASUS SIBER DI INDONESIA

7
KASUS SIBER DI INDONESIA

8
KASUS SIBER DI DUNIA INTERNATSIONAL

9
“
Pada kenyataannya, keamanan
informasi tidak hanya soal bagaimana
langkah teknis dalam menerapkan
teknologi keamanan sistem, tapi juga
soal
user awareness

10
INFORMASI
ADALAH ASET
YANG PALING
BERHARGA

11
KATEGORI ASET DALAM SISTEM
INFORMASI
Personel Hardware Software aplikasi
▪ Sistem analis, ▪ CPU, router, switch,  Sistem penggajian,
programmer, printer Sistem HRD,
Operator, database Sistem kredit
administrator,
network engineer,
PABX engineer

12
KATEGORI ASET DALAM SISTEM
INFORMASI
Software Sistem Data
Operasi ▪ Master file, Backup
▪ Database sistem, file, file transaksi
Sistem operasi

13
ANCAMAN
Ancaman  aksi atau Kategori Ancaman :
kejadian yang dapat ▪ Hardware failure  Korsleting listrik, disk crash,
merugikan perusahaan pemadaman listrik
▪ Software failure  Adanya bug, kesalahan sistem
operasi, tidak dilakukan testing
▪ Kegagalan SDM  Minimnya training untuk SDM,
tidak memiliki inisiatif
▪ Alam  Banjir, kebakaran, gempa, gunung meletus
▪ Keuangan  Pailit
▪ Eksternal  Sabotase
▪ Internal  Perbuatan jahat dengan memasukan virus
14
PRE TEST

Jika anda adalah seorang Information System Security

Specialist di sebuah perusahaan, hal apa sajakah yang anda
anggap vital dan perlu untuk dilindungi ?
Apa saja langkah yang akan anda lakukan ?

(10 Menit)

15
KEAMANAN SISTEM
INFORMASI
SISTEM INFORMASI

Sistem informasi  Kombinasi yang membentuk sistem,dengan

memanfaatkan teknologi,dan digunakan untuk mengumpulkan,
memproses, menyimpan, menggunakan dan menyebarkan informasi

17
KOMPONEN SISTEM INFORMASI

18
“ Keamanan Sistem Informasi :
Cara mengamankan, menjaga, serta
menjamin sistem agar informasi dapat
tersedia saat dibutuhkan dengan keaslian dan
kerahasiaanya.

19
KEAMANAN SISTEM INFORMASI

20
KEAMANAN VS KENYAMANAN

Kemudahan (kenyamanan) Semakin tinggi tingkat

mengakses informasi berbanding keamanan, semakin sulit (tidak
terbalik dengan tingkat keamanan nyaman) untuk mengakses
sistem informasi itu sendiri informasi

21
ASPEK KEAMANAN SISTEM INFORMASI

Confidentiality/Privacy Integrity

Availability Authentication

Access Control Non-repudiation

22
CONFIDENTIALITY / PRIVACY

Confidentiality menjamin Serangan terhadap aspek

perlindungan terhadap akses privacy misalnya adalah usaha
informasi (kerahasiaan) untuk melakukan penyadapan
(dengan program sniffer)

Usaha yang dapat dilakukan untuk meningkatkan privacy dan

confidentiality adalah dengan menggunakan teknologi kriptografi

23
INTEGRITY

Integritas menjamin bahwa Serangan yang dapat terjadi

informasi tidak dapat diubah dan berasal dari virus, trojan, atau
tetap konsisten. user yang mengubah informasi
tanpa izin.

24
AVAILABILITY

Ketersediaan menjamin kesiapan Sistem informasi yang diserang

akses informasi dapat menghambat atau
meniadakan akses ke informasi

Contoh serangan yang sering disebut “denial of service attack” (DoS

attack), dimana server dikirimi permintaan palsu yang bertubi-tubi
sehingga tidak dapat melayani permintaan lain atau bahkan sampai
down, hang, crash
25
AUTHENICATION
Autentikasi menjamin bahwa
informasi yang diterima asli, atau
orang yang mengakses atau
memberikan informasi adalah pihak
yang berhak
Pengguna harus menunjukkan
bukti bahwa memang dia adalah
pengguna yang sah, misalnya
dengan menggunakan password,
biometric (ciri-ciri khas), dan
sejenisnya
26
ACCESS CONTROL

Aspek ini berhubungan dengan cara Dilakukan dengan

pengaturan akses kepada informasi, menggunakan kombinasi
berhubungan dengan masalah userid/password atau dengan
authentication dan privacy. menggunakan mekanisme lain.

27
NON-REPUDATION

Aspek ini menjaga agar seseorang Penggunaan digital signature

tidak dapat menyangkal telah dan teknologi kriptografi secara
melakukan sebuah transaksi. umum dapat menjaga aspek ini.

28
KLASIFIKASI KEJAHATAN KOMPUTER

1. Keamanan yang bersifat fisik ▪ Wiretapping

(Physical Security)
Penyadapan saluran komunikasi
▪ Denial of Service (DoS)
Menghambat kerja sebuah
layanan
▪ Pencurian berkas

29
KLASIFIKASI KEJAHATAN KOMPUTER

2. Keamanan yang berhubungan ▪ Manipulasi hak akses

dengan orang (Personel
▪ Social engineering
Security)

30
KLASIFIKASI KEJAHATAN KOMPUTER

3. Keamanan data & media serta ▪ Serangan malware (virus, worm,

teknik komunikasi trojan, backdoor, etc

31
KLASIFIKASI KEJAHATAN KOMPUTER

4. Keamanan dalam operasi ▪ Kebijakan (policy) dan prosedur

yang digunakan untuk mengatur
dan mengelola sistem keamanan,
dan juga termasuk prosedur
setelah serangan (post attack
recovery). Seringkali perusahaan
tidak memiliki dokumen
kebijakan dan prosedur

32
PENINGKATAN KEJAHATAN KOMPUTER

Jumlah pengguna semakin Aplikasi bisnis berbasis teknologi

meningkat informasi semakin meningkat

Security awareness masih Penerapan cyberlaw masih lemah

rendah

Jaringan publik semakin luas,tidak didukung dengan sistem

pengamanan yang baik

33
MANAJEMEN RISIKO
Manajemen risiko dibuat guna
untuk melindungi suatu
perusahaan atau organisasi yang
juga mencakup karyawan,
properti, reputasi dan lainnya dari
sebuah bahaya yang sewaktu –
waktu dapat terjadi
Tidak semua risiko dapat
dihilangkan atau dihindari,
karena diperlukan tindakan –
tindakan pencegahan atau
tindakan untuk menghadapi
risiko yang telah teridentifikasi
tersebut
34
TAHAPAN MANAJEMEN RISIKO
Identifikasi risiko
▪ Proses ini meliputi identifikasi
resiko yang mungkin terjadi
dalam suatu aktivitas yang
melibatkan SI/TI.
▪ Teknik teknik yang dapat
digunakan dalam identifikasi
resiko antara lain Brainstorming,
Survei, Wawancara, Informasi
historis, Kelompok kerja dll
Analisis risiko
▪ Pengukuran risiko dgn cara
melihat potensial terjadinya
ancaman & seberapa besar
severity kerusakan serta
probabilitas terjadinya risiko
▪ Penentuan probabilitas terjadnya
suatu ancaman sangatlah
subyektif & berdasarkan
nalar/pengalaman.
35
TAHAPAN MANAJEMEN RISIKO

Pengelolaan risiko Implementasi

▪ Menetapkan kategori / jenis ▪ Mengimplementasikan rencana /
pengelolaan risiko plan manajemen resiko
▪ Accepted, Transfer, Mitigation,
Avoidance, Sharing

Monitoring
▪ Pentingnya monitoring dan
evaluasi, khususnya terhadap
kemungkinan perubahan ancaman
dan risiko
36
SECURITY LIFE CYCLE

Sumber : SANS Institute

37
SECURITY LIFE CYCLE
Assessment  Aktivitas audit,
pengujian dan tinjauan penetrasi
secara berkala atau ketika
kebutuhan muncul.
Design  Merancang konfigurasi
keamanan yang tepat dan efektif
berdasarkan standar organisasi dan
industri adalah tahap penting dari
security life cycle. Merancang juga
mencakup kegiatan seperti
merumuskan proses dan perbaikan
atas desain yang ada.
38
SECURITY LIFE CYCLE

Deployment  tahap implementasi Manage  Mengelola dan memantau

berdasarkan dari desain yang untuk memastikan sistem berfungsi
dikembangkan dengan baik

39
THANKS!
Any questions?

40