INFORMASI
MULAI MATERI
Dosen Pengasuh
Fahmi Ajismanto.S.Kom.,M.kom
Fahmi_ajismanto@palcomtech.ac.id
0823.7222.9913
MULAI MATERI
Ketentuan Perkuliahan
Durasi Belajar
16 x Pertemuan Mematuhi Memiliki
Aktif belajar, Mengikuti
Aturan buku
2 SKS. (50 bertanya, UTS dan
Kesepakatan pegangan /
menit) / dan diskusi. UAS.
Kelas. referensi.
Pertemuan
PERTEMUAN 1
MULAI MATERI
Keamanan
Informai
• Maanfaat Keamanan
?
• Secara Umum
Contoh Keaman ?
ANCAMAN TERHADAP KEAMANAN
SISTEM
sistem informasi yang modern selalu berada :
• Kerentanan
• penyalah gunaan.
D
I
B
D
U
IB
T
U
U
H
T
K
U
A
N
H
K
A
N
perlindungan dalam suatu sistem informasi. Sedangkan pengendalian terdiri atas :
pengamanan yang merujuk kepada 1. metode,
1. kebijakan 2. kebijakan,
2. Prosedur 3. prosedur organisasi yang menjamin
3. pengukuran teknik yang digunakan keselamatan aset-aset organisasi,
untuk mencegah akses yang tidak sah 4. ketepatan,
4. penggantian, 5. keandalan catatan rekeningnya serta
5. pencurian, kepatuhan operasional pada standar-
6. kerusakan fisik pada sistem informasi. standar manajemen.
Pentingnya Keamanan Sistem
Informasi
• Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau
network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem
informasi sebagai komponen sangat penting (“extremely important”).
• Mereka lebih mementingkan : “reducing cost” dan “improving competitiveness”
Tujuan
1. integeritas,
2. kelanjutan dan kerahasian dari pengolahan data.
3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang
dikeluarkan untuk tujuan pengamanan.
PersonalSistem : Hardware
• Analis
• Programmer •CPU
• Operator •Printers
• database •Terminal/monitor
• adminstraktor •Routers
• Spesialis jaringan •Switch
• Spesialis PABX.
Aset
Software Aplikasi System Software Data
•Sistem Debtors • Operating Sistem • Transfer File
•Creditors • Compilers • Backup File,
•Pengajian • Utilities
•GL • Database system.
•ERP
Penunjang
Fasilitas
• Tapes
• Mebel • CD,DVD,disk pack
• Ruang Kantor • Kertas
• Filing Cabinet • Printer,Tinta Printer
Ancaman
• Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat
merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap
komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes.
2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program
update,tidak cukup memadainya uji coba program.
3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel.
4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil,
gempa,letusan gunung
5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja,
hura-hura
6. Eksternal : Sabotase,sepionase, hura-hura
7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius
software).
Sangat rahasia
Inti utama dari aspek kerahasiaan adalah:
usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
Privacy lebih kearah data-data yang sifatnya privat.
Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang
dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi
“KRIPTOGRAFI”.
Konfidentil (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak
repotasi organisasi
Ristricted
Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.
Internal Use
Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.
Public
Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi.
PERTEMUAN 2
KEAMANAN SISTEM INFORMASI
MULAI MATERI
Kebijakan Keamanan Sistem Informasi
• Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi
• Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang sistem,
pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan sistem tidak dibenarkan
• Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi
• Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer
membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta
penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai
• Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID)
• Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan
terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan
kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja
• LANGKAH-LANGKAH KEAMANAN :
1. Keamanan Fisik Komputer :
• membatasi akses fisik ke mesin :
• Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS, keamanan
Bootloader
back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat
computer akan di- reboot,
hal yang perlu diperiksa pada log dengan mencatat
kejanggalan yang ada
• Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi atau
kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang, masukan
atau login dari tempat yang janggal
• mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci semua
system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan seseorang
mengetahui password untuk mengakses system tersebut.
• Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk mengunci
agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan dengan mengunci
tampilan yang membutuhkan password untuk membukanya. xlock dapat digunakan untuk
mengamankan desktop pada saat meninggalkan meja anda, dan vlock berfungsi untuk mengunci
beberapa atau semua console teks yang terbuka.
2. Keamanan lokal
• Hati-hati terhadap bruto force attack, seperti “Crack” atau “John the
Ripper” sering digunakan untuk menerka password. Usahakan
dengan membuat password yang baik.
• Selalu mengenkripsi file yang dipertukarkan.
• kukan pengamanan pada level tampilan, seperti screen saver.
6. Keamanan Kernel
• Kernel merupakan otak system operasi yang
mengatur pemakai banyak (multiple users) dan
proses, mengelola directory system serta melakukan
seluruh pengelolaan I/O untuk system tersebut.
• selalu update kernel system operasi.
• Ikuti review bugs dan kekurang-kekurangan pada
system operasi.
7. Keamanan Jaringan
• Waspadai paket sniffer yang sering menyadap port
Ethernet.
• Lakukan prosedur untuk mengecek integritas data
• Verifikasi informasi DNS
• Lindungi network file system
• Gunakan firewall untuk barrier antara jaringan privat
dengan jaringan eksternal
• Dengan munculnya komputer di lingkungan organisasi,aset perusahaan akan bertambah sehingga
diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan atau
kewajiban.
integrity
Availability Confidentiality
ISO 17799
• ISO (the International Organization for Standarization) dan IEC (the International
Electrotechnical Commission) membentuk sistem khusus untuk standardisasi
universal. Badan-badan nasional anggota ISO dan IEC berpartisipasi dalam
pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh
organisasi-organisasi yang terpercaya keahliannya dalam aktivitas-aktivitas teknis.
• Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris
(dikenal sebagai BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh
Panitia Teknis Gabungan ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan
dengan persetujuan dari badan-badan nasional ISO dan IEC).
• Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di
Argentina, salah satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas
harus didasarkan pada sedikit-dikitnya dua tonggak dasar yaitu etika dan kebudayaan.
ISO 17799 terdiri dari
1. Business Continuity Planning
2. System Control Access
3. System Development dan Maintenance
4. Physical and Environmental Security
5. Compliance
6. Personal Security
7. Security Organization
8. Computer and Network Management
9. Asset Classification and Control
10. Security Policy
JENIS STANDAR / SPESIFIKASI
STANDAR /
SPESIFIKASI
FISIK
DOKUMEN
DOKUMEN
(Gedung,
KEMAJUAN Lab, dll) SISTEM
IPTEK PRODUK
-- ISO
SMM9001:
ISO
- SPLN 42-3:1992 2008
9001
DOKUMEN KERAGAMAN/
SISTEM
-KOMPATIBILITAS
SNI 04-6507.1- - SML ISO
PENGUJIAN/
KOMPETENSI
(Gedung, LULUSAN/
2002
UAS/UTS/SIDANG
LULUSAN 14001
Lab, dll) -DLL
DLL - OHSAS, SMK3,
halaman 31 dari 50 halaman DLL
STANDAR SISTEM MUTU ISO 9000
LA S
KE IA
N
DU
• ILUSTRASI
P DP D
STANDAR MUTU A CA C
PRODUK TERTENTU ISO
9001
ISO
9001 PERBAIKAN
BERKELANJUTAN
FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM
PERBAIKAN BERKESINAMBUNGAN
SISTEM MANAJEMEN MUTU PT
M Tanggung jawab
manajemen M
A K
P e A
H e p
r Pengelolaan Ujian, analisis H
A s u
y sumber daya dan perbaikan a A
S a s
r a S
I a
Output
t Input n I
S a
Realisasi
ALUMNI
n LULUSAN S
W
W
A
Kunci: Pertambahan nilai A
Aliran Informasi
Tujuan :
– Memberi informasi kepada karyawan dan pelanggan, tentang
tujuan dan kebijakan manajemen dalam hal mutu.
– Memberi jaminan kepada asesor atau pembaca, bahwa organisasi
telah menerapkan sistem mutu yang sesuai dengan ISO 9001
Isi :
– Menggambarkan setiap elemen dari ISO 9001 yang diterapkan
dalam perusahaan.
– Penggambaran tersebut tidak perlu sangat detail.
– Secara luas, Pedoman Mutu menyatakan apa yang dilakukan
untuk menjamin mutu produk (barang atau jasa)
Pernyataan Kebijakan Mutu
Menguraikan
· Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan
· Bagaimana kebijakan mutu diterapkan dan dipelihara
P ROSEDUR, I NSTRUKSI K
ERJA, R
EKAMAN
MAJOR BUSINESS
PROCESS QUALITY MANUAL
PROCESSES (Manual define concept)
PROCEDURE
(Process to Activities)
ACTIVITIES
TASKS
WORK INSTRUCTION
(Activities to Tasks)
Proses pelayanan Pendidikan
Suppliers
S–P-O
Structure Proses Outcome
Customers
(MAHASISWA)
PK & IK CQI
SMM: SMM:
Kebijakan
Manual
Sistem yang menjamin
Perencanaan kualitas lulusan dan
Sasaran
proses melalui
standardisasi dan
Leadership
perbaikan yang
Management
berkesinambungan
Suppliers
S–P-O Customers
MULAI MATERI
Assess Risk
Keamanan informasi diperoleh dengan
menginplementasikan bermacam-macam alat kontrol
dan juga kebijakan-kebijakan atau prosedur-prosedur.
• Langkah awal organisasi harus mempelajari dan
terlebih dahullu harus mengevaluasi semua risiko
yang akan dihadapi dengan komputerisasi pada
perusahan tersebut.
Jenis informasi
Terminologi jenis informasi paling sedikit akan menyangkut :
RISK
Analisi Risiko
• Risk analisis merupakan cikal bakal pembuatan kebijakan keamanan
sistem dari setiap organisasi.
• Risk analisis melibatkan penentuan :
– Apa yang harus diprioritaskan dan dikontrol oleh organisasi
– Apa yang dibutuhkan untuk memproteksinya
– Bagaimana cara memproteksi dan mengontrolnya
– Prioritas
Tujauan utama risk assesment mengedentifikasi proteksi dan kontrol terhadap
informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu (gray
area) atau bidang yang tidak jelas jenis kontrol apa yang cocok untuk diterapkan.
MULAI MATERI
katagori Tanggung jawab pemakaian dan keamanan
sistem informasi
Tanggung
Perusahaan karyawan
jawab
aset
Secara spesifik, personal yang memiliki kaitan
dengan sistem komputerisasi :
a. Personal yang telah ditunjuk sebagai pemilik sistem
b. Personal lain yang dikatagorikan sebagai pemakai
c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer)
d. Spesialis database
e. Spesialis jaringan komunikasi
f. Spesialis PABX
g. Organisasi data processing (operator)
h. Auditor (EDP)
i. Administrasi sistem keamanan
j. Personal andministrasi
Karyawan
• Karyawan
Tanggung jawab setiap karyawan :
1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan
keamanan yang berlaku.
2. Melaporkan kepada atasan apabila mengetahui kejanggalan-
kejanggalan atau kekurangan dalam hal keamanan.
3. Memasitikan agar semua informasi yang sensitif mengenai
perusahan tidak akan disebarluaskan yang mengakibatkan kerugian
perusahan.
4. Setelah menerima password, mengganti langsung dan secara teratur
sesuai dengan peraturan yang telah ditentukan.
Manajer
Tanggung jawab Manajer :
a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan
peraturan keamanan sistem yang informasi yang berlaku serta monitor.
b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk
melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi
c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi
yang mereka embang
d. Memastikan pemisahan tugas/pekerjan karyawan
e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan
berfungsi yang telah diintegrasikan dalam persuder kerja harian
f. Bertindak cepat dan tepat waktu
g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama
Tanggung Jawab Secar Spesifik Keamanan Sistem
Informasi
• Pemilik Sistem
Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional
dari sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan
penggunanya
• Tanggung Jawab. Pemilik Sistem:
1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem
tersebut berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala.
2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan
keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko
keamanan sistem.
3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan
otoritas diimplentasikan secara benar.
Pemakai
• Tanggung jawan Pemakai
1. Menggunakan sistem informasi sesuai dengan tanggung jawab
2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan menggunakan
User-ID.
3. Mengetahui semua intruksi beserta keamanan dan mematuhinya
4. Laporan kepada atasan
5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan
6. Tidak diperkenakan berbagi password
7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan hubungan
kerja.
8. Membuat backup sendiri dari pc.
9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang berkaitan
dengan pekerjaan dan bukan untuk kebutuhan pribadi
Pengembangan Sistem
Pengembang sistem adalah staf ICT yang
memiliki keahlian dalam bidang designing,
programing,troubleshooting sistem, dan memiliki
tanggung jawab untuk memilih,mengembangkan, dan
memilihara sistem komputer atas nama pemilik
sistem.
Spesialist Database
• Memiliki keahlian yang luas dalam bidang
manajemen database dan memiliki tanggung
jawab untuk memilih, mengembangkan dan
memelihara sistem database atas nama pemilik
sistem.
Spesialisasi jaringan komunikasi
• Staf yang memiliki keahlian mengenai jaringan komunikasi,
LAN, WAN, VSAT, beseta penunjang baik yang berupa
hadware maupun software. dan memiliki tanggung jawab
untuk memilih, mengembangkan dan memelihara jaringan
komunikasi atas nama pemilik sistem.
Spesialisasi PABX
• Staf yang memiliki keahlian
mengenai sistem telepon dan
memiliki tanggung jawab
untuk memilih PABX sesuai
kebutuhan perusahan dan
memeliharanya
Organisasi dan Processing
1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan
syarat yang diberikan oleh pemilik sistem untuk melskuksn
pemonitoran, dan keamanan.
2. Memindahkan sistem ke production environmen setelah
disetujui oeleh pemilik sitem
3. Memastikan agar wewenang yang diberikan kepada pemakai
dapat dimonitori dengan baik.
4. Log off apabila meninggalkan sistem
Auditor
• Tanggung jawab :
1. Memberikan penilaian dan rekomendasi
2. Melaporkan penemuan
3. Melakukan audit
4. Kontrak yang berkaitan dengan sistem informasi
sudah disetujui oleh unit kerja hukum.
Administrator Sistem Keamanan
• Staf yang memiliki keahlian untuk mengimplementasi dan memelihara
keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik
sistem dan kepala unit kerja yang terkait.
• Tanggung jjawab:
1. Mentrukturkan keamanan sistem informasi
2. Implementasi dan maintain
3. Administrasi dan memberikan otoritas pengaksesan sistem
4. Pengawasan software leseni asli
• Keamanan pasword administrator
Personal Aministrasi
• Staf yang bertanggung jawab untuk urusan
administrasi berkaitan dengan sistem
informasi.
Tanggung jawab manajemen
• 1. Komitmen manajemen:
– Manajemen puncak harus menyediakan bukti komitmennya untuk
mengembangkan dan melaksanaan SMM secara berkelanjutan,
menyempurnakan efektivitasnya dengan:
• mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan
dan peraturan yang berlaku
• menetapkan kebijakan mutu
• menetapkan sasaran mutu
• melakukan tinjauan manajemen
• Memastikan ketersediaan sumber daya
• 2. Fokus pelanggan:
– Manajemen puncak harus memastikan bahwa persyaratan
pelanggan/mahasiswa ditentunkan dan dipenuhi dengan sasaran meningkatkan
kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan 8.2.1)
Tanggung jawab manajemen
• 3. Kebijakan mutu:
• Manajemen puncak memastikan bahwa kebijakan mutu:
– Sesuai dengan tujuan organisasi
– Memuat komitmen untuk mematuhi persyaratan dan secara
berkelanjutan akan menyempurnakan efektifitas sistem manajemen
mutu
– Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-
sasaran mutu
– Dikomunikasikan dan dipahami oleh semua dosen & karyawan
– Ditelaah untuk kesesuaian berkelanjutan
Tanggung jawab, wewenang, dan
komunikasi
– Tanggung jawab dan wewenang:
• Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan
dan dikomunikasikan di dalam organisasi
– Wakil manajemen (MR):
• Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar
tanggung jawab yang lain harus mempunyai tanggung jawab dan wewenang meliputi:
– Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan
dipelihara
– Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan
untuk penyempurnaan
– Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa
di dalam organisasi
– Komunikasi internal:
• Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai
ditetapkan dalam organisasi dan bahwa komunikasi mengenai efektivitas SMM
berlangsung.
6. Telaah manajemen:
– Umum
– Manajemen puncak harus menelaah SMM organisasi,
pada interval yang terencana, untuk memastikan
kesesuaian yang berkelanjutan, kecukupan, dan efektivitas
– Penelaahan harus meliputi penilaian kesempatan untuk
penyempurnaan dan kebutuhan untuk perubahan SMM
termasuk kebijakan dan sasaran mutu
PERTEMUAN 5
LOGIKAL SCURITY DAN KONTROL
PASSWORD
MULAI MATERI
Logikal Scurity dan Kontrol Password
User ID
Password
Access level
Closed menu
User ID
Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses
sistem komputer.
• Beberapa informasi yang disimpan dalam User ID
User name
Password
Initial menu
Output queue
Special authorities
Password change date
Access level
Dll
Password
• Berhubungan dengan User ID, untuk membuktikan bahwa
pemilik memiliki wewenang untuk mengakses sistem.
• Akses ke dalam sistem dapat ditolak bila
User ID salah, password benar
User ID benar, password salah
Keduanya salah
Batasan kesalahan, dan pemblokiran
Rekaman file log
Access Level
MULAI MATERI
Access Level
• Physical Security atau keamanan fisik membahas ancaman,
kerawanan dan tindakan yang dapat diambil untuk mamberi
perlindungan fisik tehadap sumber daya organisasi dan informasi
yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan
yang diambil untuk melindungi sistem, gedung dan infrastruktur
pendukung yan terkait terhadap ancaman yang berhubungan dengan
lingkungan fisik.
• Secara singkat Physical Security dapat diartikan sebagai
keamanan infrastruktur teknologi informasi secara fisik
1. Company Surroundings
• Sebuah perusahaan besar biasanya memiliki sistem keamanan yang
terstruktur dengan sangat baik. Untuk memasuki wilayah perusahaan
dibutuhkan hak akses yang sah, dan hanya orang-orang tertentu saja yang
memiliki hak tersebut.
• Beberapa cara mengamankan daerah sekitar perusahaan:
Pagar / gerbang
Tembok tinggi
Penjaga
Menggunakan alarm keamanan
2. Reception
• Posisi seorang resepsionis harus diperhatikan, karena
orang luar perusahaan dapat dengan mudah untuk melihat
dan mengetahui segala aktivitas yang dilakukan resepsionis
terhadap komputer perusahaan. Sebaiknya:
Posisi monitor komputer tidak menghadap keorang luar
Tidak meninggalkan komputer dalam keadaan menyala
2. Server
• Komputer server pada sebuah perusahaan adalah bagian yang
paling penting, karena dalam komputer tersebut tersimpan data-data
penting (rahasia) perusahaan. Perlindungan terhadap komputer server
dapat dilakukan dengan 2 cara:
1. Perlindungan data pada computer server, biasanya dari serangan virus
dan spy. Disarankan untuk menginstall antivirus dan sering-sering
untuk mengpdatenya.
2. Perlindungan fisik komputer server dari berbagai serangan, khususnya
dari serangan bencana alam.
4.Workstation area
• Workstation area merupakan tempat yang sangat rawan untuk
keamanan data, karena orang dapat dengan mudah untuk mengambil
data dari komputer milik orang lain. Sebaiknya kita melakukan
pengamanan dengan cara:
Tidak meninggalkan meja kerja dengan keadaan komputer menyala,
komputer harus dalam keadaan terkunci
Gunakan kamera CCTV
Tidak meninggalkan usb / media drives lainnya masih terhubung ke
komputer
5. Wireless access points
• Keberadaan alat wireless access points sudah semakin
meluas dan dibutuhkan pengamanan yang lebih ketat. Untuk
mencegah akses-akses yang tidah sah, sebaiknya wireless
access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:
Nyalakan WEP encryption
Rubah default SSID-nya
Access point harus menggunakan password
Password harus cukup kuat sehingga tidak mudah untuk dicrack
6. Access control
• Access control digunakan untuk mencegah
panggunaan akses yang tidak sah terhadap area-area
operasional sensitif perusahaan. Pengontrolan dapat
dilakukan dengan cara:
Kartu pengenal yang dilengkapi chip
• Biometric device: retina mata, sidik jari, pengenal
suara
7. Computer equipment maintenance
• Pemeliharaan komputer secara rutin sangat disarankan,
karena dapat membuat komputer tahan lama dan tetap stabil
untuk jangka waktu yang panjang. Sebaiknya:
Perusahaan memiliki orang-orang yang terlatih dan
bertanggungjawab dalam bidang maintenance
Tidak membiarkan orang luar perusahaan untuk melakukan
maintenance
8. Wiretapping
• Wiretapping adalah tindakan secara diam-diam
mendengarkan pembicaraan orang lain melalui saluran
telepon. Biasa dikenal dengan istilah penyadapan.
Pengamanan dapat dilakukan dengan:
Tidak membiarkan kabel berserakkan sembarangan,
susun kabel secara rapih
Lindungi kabel dengan pelindung kabel
9. Remote access
• Remote access dapat mempermudah pegawai
untuk mengakses komputer perusahaan dari
luar perusahaan. Namun sebaiknya
penggunaan remote access ini dihindari karena
keamanan dari remote access sangat rendah
dan rentan terhadap pencurian data.
PERTEMUAN 7
PROSEDUR PERUBAHAN PROGRAM
MULAI MATERI
Prosedur Perubahan Program
Dinamis, inovasi teknologi sebagai alat pendukung.
mengganti sistem lama. perubahan prosedur yang berlaku.
Pemakai.
• Pengontrolan terhadap aktivitas perubahan sistem yang memiliki resiko
tinggi
MULAI MATERI
PERTEMUAN 9
PENGEMBANGAN SISTEM
MULAI MATERI
Pengembangan sistem
Untuk membangun sistem sesuai dengan
persyaratan bisnis penting untuk menerapkan secara sistematis
kebijakan pengembangan sistem. Metode yang
diterapkan,pengetahuan. Metode yang diterapkan dukungan
dari manajemen.
Tanggung jawab
• Apabila telah diputuskan untuk membangun
sistem dari nol, harus menentukan terlebih
dahulu tanggung jawab masing-masing
karyawan yang terlibat dalam proses yang
akhir-akhir ini disebut system development
Life Cycle (SDLC).
Streering Committe/Tim Pengendali
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan.
• Tugas utama pengendali :
1. Menyetujui rencana departemen ICT
2. Memonitori kemajuan proyek yang sedang berjalan, sesuai dengan gagasan ICT.
Commitment Direction
Steering
Committee
Planning Monitoring
• User Group / Tim Pemakai
User Group bertanggung jawab atas
pengimplementasian peraturan (policy) yang telah
diputuskan di steering Committee atau policy yang telah
dibuat sebelumnya. Tes Group/ Tim Uji coba.
• Tim terdiri dari tim pengembang sistem dan pemakai,
tugas utama menguji coba sistem yang baru dibangun
Pengembangan Sistem
1. Perencanaan Sistem
• Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja &
dana yang dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung
operasinya setelah diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2
tahun) dan jangka panjang (sampai dengan 5 tahun).
• Proses utama dalam perencanaan sistem :
Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem
Menentukan proyek-proyek sistem dilakukan oleh komite pengarah
Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis
• Pengembangan Sistem
2. Analisis Sistem
• Tahap yang digunakan oleh analis
sistem untuk menemukan kelemahan-
kelemahan dari sistem yang ada
sehingga dapat diusulkan perbaikannya.
3. Desain/Perancangan Sistem
• Tahap untuk membentuk sistem yang
baru berdasarkan hasil analisis.
4. Implementasi Sistem
• Tahap untuk memilih perangkat keras dan perangkat lunak yang
dibutuhkan dan meletakkan sistem supaya siap untuk dioperasikan.
• Kegiatan yang dilakukan dalam implementasi :
• Pemilihan dan pelatihan personil
• Pemilihan tempat dan instalasi hardware dan juga software
• Pemrograman dan pengetesan program
• Pengetesan sistem
• Konversi
•
• Manajemen Sistem
Maintenance Sistem
• Tahap setelah pengembangan sistem dilakukan
dan sistem dioperasikan. Disebut sebagai tahap
manajemen sistem karena yang melakukan proses
ini sudah bukan analis sistem tetapi manajemen.
• SDLC yang lebih lengkap dapat dilihat pada
gambar di bawah ini :
PERTEMUAN 10
PENGAMANAN SYSTEM
MULAI MATERI
Web Server
• Adalah suatu daemon yang berfungsi menerima
request melalui protocol http baik dari local
maupun dari internet
• Informasi yang direquest oleh web browser bisa
berupa file yang ada dalam storage atau
meminta server untuk melakukan fungsi
tertentu
Cara kerja web browser
1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser.
2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP
REQUEST kepada Web Browser melalui layer-layer TCP/IP,
3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.
4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE
(melalui layer-layer TCP/IP)
5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER
Macam Web Server
•DoS attack
Request dalam jumlah yang banyak (bertubi-tubi)
Request yang memblokir (lambat mengirimkan perintah GET)
Membatasi Akses
• Access Control
Hanya IP tertentu yang dapat mengakses server
(konfigurasi web server atau firewall) Via userid &
password (htaccess)
Menggunakan enkripsi untuk menyandikan data-data
htaccess di Apache
Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile
/dev/null AuthName “
Khusus untuk Tamu Budi”
AuthType Basic
<Limit GET>
require user tamu
</Limit>
Membatasi akses ke user “tamu” dan password Menggunakan perintah
“htpasswd“ untuk membuat password yang disimpan di “.passme”
Secure Socket Layer (SSL)
MULAI MATERI
Kontrol terhadap PC
• Persoalan kontrol
– Peraturan Pengadaan barang
• Pertimbangan yg kuat
• Standarisasi
• Supplier
• Pembelian software
• Persoalan manajemen
– Pengembangan sistem
– Integritas sistem aplikasi
• Ancaman terhadap PC
– Hacking
– Virus
• Peraturan manajemen
– Peraturan penggunaan internet dan email
– Prosedur operasi untuk bagian ICT
– Prosedur recovery
– Pemeriksaan konfigurasi
– Pemeriksaan mesin
– Pemeriksaan ekstensi file yg tersembunyi
• PC vs Mainframe
– Physical security
• Sentra pengolahan data
• Proteksi terhadap kebakaran
• Maintenance
– Software security
• Logical security
• Menggunakan software utility
• Pengontrolan terhadap aplikasi yang dibuat
• Menghilangkan file
• Persoalan administrasi
– Pembelian
– Operasional
– Saat darurat
PERTEMUAN 12
KEAMANAN JARINGAN PC DAN LAN
MULAI MATERI
Pegertian keamanan jaringan
Keamanan jaringan adalah suatu cara atau suatu system yang
digunakan untuk memberikan proteksi atau perlindungan pada suatu jaringan
agar terhindar dari berbagai ancaman luar yang mampu merusak jaringan.
MULAI MATERI
DISASTER RECOVERY
PENDAHULUAN
• Selain domain yang concern dengan pencegahan
risiko dan melindungi infrastruktur dari serangan,
keamanan sistem juga membahas satu domain
dengan asumsi bahwa kejadian terburuk telah
terjadi.
PENDAHULUAN
• Berbagai bencana yang mungkin terjadi antara lain adalah:
– Bencana alam karena kondisi geografis dan geologis dari lokasi
– Kebakaran karena faktor lingkungan dan pengaturan sistem
elektrik yang dapat menyebabkan korsleting
– Kerusakan pada jaringan listrik karena sistem elektrik
– Serangan teroris karena lemahnya keamanan fisik dan non fisik
data center
– Sistem atau perangkat yang rusak terkait dengan kesalahan
manajemen pengawasan perangkat
– Kesalahan operasional akibat ulah manusia
– Virus yang disebabkan oleh kesalahan pemilihan anti virus
Disaster Recovery Plan
• Disaster Recovery Plan (DRP) adalah sekumpulan aksi dan proses
yang mendefinisikan rangkaian prosedur yang harus dilakukan saat
terjadi keadaan darurat, untuk memastikan tercapainya suatu kondisi
pulih dalam waktu yang ditentukan sehingga perusahaan tersebut
mampu melanjutkan fungsinya dengan kerugian minimal.
• DRP adalah proses, kebijakan, dan prosedur yang berkaitan dengan
persiapan untuk pemulihan atau kelanjutan dari infrastruktur
teknologi yang penting bagi organisasi setelah terjadi bencana, baik
karena alam ataupun ulah manusia.
• Proses pembangunan Disaster Recovery Plan disebut Disaster
Recovery Planning.
Disaster Recovery Plan
• Disaster Recovery Plan menyediakan operasi cadangan selama
sistem terhenti, dan mengelola proses pemulihan serta penyelamatan
sehingga mampu meminimalisir kerugian yang dialami oleh
organisasi.
• Karena bertindak sebagai pegangan saat terjadi keadaan darurat,
DRP tidak dapat disusun secara sembarangan.
• DRP yang tidak sesuai dapat berakibat lebih buruk bagi
keberlangsungan organisasi daripada bencana itu sendiri.
• Disaster Recovery Planning merupakan bagian dari rangkaian
Business Continuity Planning (BCP).
Tujuan Disaster Recovery Plan
• Secara umum manfaat atau tujuan penyusunan DRP bagi
perusahaan adalah sebagai berikut;
– Melindungi organisasi dari kegagalan layanan
komputer utama
– Meminimalisasi risiko organisasi terhadap
penundaan (delay) dalam penyediaan layanan
– Menjamin kehandalan dari sistem yang tersedia
melalui pengetesan dan simulasi
– Meminimalisasi proses pengambilan keputusan
oleh personal/manusia selama bencana.
Business Continuity Plan (BCP) & Disaster Recovery Plan
(DRP)
• BCP & DRP merupakan dua hal yang sangat penting dalam
proses bisnis, namun jarang menjadi prioritas karena alasan
memerlukan biaya yang mahal dan sulit penerapannya.
• Alasan : bencana adalah hal yang umumnya diyakini karena
faktor alam yang tak dapat diprediksi , tak dapat dicegah atau
pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa
pelanggan mereka akan memaklumi hal ini.
• Hal terpenting bagi setiap perusahaan yang berniat membangun
BCP adalah mendapatkan dukungan dari pihak manajemen.
Business Continuity Plan (BCP) & Disaster Recovery Plan
(DRP)
MULAI MATERI
ALGORITMA
KRIPTOGRAFI KLASIK
TEKNIK TRANSPOSISI
STEGANOGRAFI
TEKNIK TRANSPOSISI
• Teknik ini menggunakan permutasi karakter, yang mana dengan
menggunakan teknik ini pesan asli tidak dapat dibaca kecuali oleh
orang yang memiliki kunci untuk mengembalikan pesan tersebut
kebentuk semula.
• Sebagai contoh, ada 6 kunci untuk melakukan perutasi kode :
Dan 6 kunci untuk inversi dari permutasi tersebut :
Teks-asli heksa :
43 4F 4D 50 55 54 45 52
Teks-asli biner :
xo = 01000011 01001111 01001101 01010000 01011010 01010100 01000101
01010010
STANDAR ENKRIPSI DATA
• Misalkan kunci heksa :
– 13 34 57 79 9B BC DF F1
Kunci biner :
K = 00010011 00110100 01010111 01111001 10011011
10111100 11011111 11110001
Dengan initial permutaion (IP) diperoleh :
x0= IP (x) = L0R0
Dimana
L0 : 11111111 10111000 01110110 01010111
R0 : 00000000 00000000 00000110 10000011
Enkripsi DES 16 putaran
STANDAR ENKRIPSI DATA
• MODE OPERASI DES
• DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN CFB.
• Namun karena kesederhanaanya, mode ECB lebih sering
digunkaan pada paket program komersial meskipun sangat
rentan terhadap serangan.
• Mode CBC lebih kompleks daripada EBC namun memberikan
tingkat keamanan yang lebih bagus.
• Mode CBC kadang- kadang saja digunakan.
• Mode EBC cocok digunakan untuk blok kode. Diberikan urutan
x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis dengan
kunci K.
• Secara formal initial aturan
STANDAR ENKRIPSI DATA
• Penggunaan mode CBC dapat dilihat pada gambar
dibawah ini :
STANDAR ENKRIPSI DATA
• Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan
elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian
• Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
ADVANCE ENCRYPTION STANDARD (AES)
• Advance Encryption Standard (AES) merupakan algoritma kriptografi
yang dapat digunakan untuk mengamankan data.
• Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi
dan dekripsi.
• Pada tahun 1997, National Institute of Standard and Technology (NIST) of
United States mengeluarkan Advance Encryption Standard (AES) untuk
menggantikan Data Encryption STANDARD (DES).
• AES ini dibangun dengan maksud untuk mengamankan pemerintahan
diberbagai bidang.
• Algoritma AES di design menggunakan blok cipher minimal dari blok 128
bit input dan mendukung ukuran 3 kunci (3-key-sizes), yaitu 128 bit, dan
256 bit.
METODE ALGORITMA
•
AES
Algoritma Rijndael kemudian dikenal dengan Advanced Encryption
Standard (AES) kemudian diadopsi menjadi standard algoritma
kriptografi secara resmi pada 22 Meil 2002.
• Jenis AES terbagi 3, yaitu :
– AES-128
– AES-192
– AES-256
• Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit
dengan kunci 128-bit adalah sebagai berikut (diluarproses
pembangkitan round key):
1. AddRoundKey : melakukan XOR antara state awal (plainteks)
dengan cipher key. Tahap ini disebut juga initial round.
METODE ALGORITMA
2.
AES
Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah :
– subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box).
– shiftRows : pergeseran baris-baris array state secara wrapping.
– MixColumns : mengacak data dimasing-masing kolom array state.
– AddRoundKey : melakukan XOR antara state sekarang round key.
3. Final Round : proses untuk putaran terkhir.
– SubBytes
– ShiftRows
– AddRoundKey
4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci
sepanjang 128, 192, atau 256.
5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4
diaman tiap-tiap sel matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri
dapat mempunyai ukuran matriks yang lebih dari itu dengan menmbahkan kolom
sebanyak yang diperlukan.
METODE ALGORITMA AES
• Secara umum metode yang digunakan dalam
pemrosesan enkripsi dalam algoritma ini dapat dilihat
melalui gambar berikut :
METODE ALGORITMA AES
1. ADD ROUND KEY
Add Round Key pada dasarnya adalah mengkombinasikan cipherteks
yang sudah ada dengan cipher key yang cipher key dengan hubunga
XOR. Bagannya bisa dilihat pada gambar :
METODE ALGORITMA
2. SUB BYTES
AES
Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan
matriks/tabel lain yang disebut dengan Rijndael S-Box. Dibawah ini adalah
contoh Sub Bytes dan Rijndael S-Box.
METODE ALGORITMA
AES
• Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok
cipher berisi informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf,
ataupun huruf – angka yang semuanya tercantum dalam Rijndael S-Box.
• Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan
digit kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi
tabel dari Rijndael S-Box. Lamgkah terkahir adalah mengubah keseluruhan blok cipher menjadi blok yang
baru yang isinya adalah hasil penukaran semua isi blok dengan isi langkah yang disebutkan sebelumnya.
METODE ALGORITMA
3. SHIFT ROWS
AES
Shift Rows seperti namanya adalah sebuah proses yang melakukan
shift atau pergeseran pada setiap elemen blok/tabel yang diperlukan
per barisnya. Yaitu baris pertama tidak dilakukan pergeseran, baris
kedua dilakukan pergeseran 1 byte, baris ketiga dilakukan
pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte.
– Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah
pergeseran tiap elemen kekiri tergantung berapa byte
tergesernya, tiap pergeseran 1 byte berarti begeser ke kiri
sebanyak satu kali
METODE ALGORITMA AES
4. MIX COLUMNS
Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher
dengan matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu
menggunakan dot product lalu perkalian keduanya dimasukan kedalam blok
cipher baru.
METODE ALGORITMA AES
5. DIAGRAM ALIR AES
seperti yang terlihat semua proses yang telah dijelaskan sebelumnya
terdapat pada diagram tersebut. Yang artinya adalah mulai dari ronde
kedua, dilakukan pengulangan terus menerus dengan rangkaian proses
Sub Bytes, Shift Rows, Mix Columns and Add Round Key, setelah itu
dari ronde tersebut akan digunakan pada ronde berikutnya dengan
metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns
tidak dilakukan, dengan kata lain urutan proses yang dilakukan adalah
Sub Bytes, Shift Rows, and Add Round Key, hasil dari Add Round
Key ini lah yang dijadikan sebagai cipherteks dari AES.
• Seperti gambar dihalaman berkutnya :
METODE ALGORITMA AES
IMPLEMENTASI ADVANCED ENCRYPTION
STANDARD
• AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting
tentu memiliki berbagai kegunaan yang sudah diaplikasikan atau
diimplementasikan dikehidupan sehari-hari yang tentu saja membutuhkan
suatu perlindungan atau penyembunyian informasi didalam prosesnya.
• Salah satu contoh penggunaan AES adalah pada kompresi 7-Zip.
• Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan
menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi
Hash.
• Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat
lunak yang digunakan untuk kompresi.
• Metode enkripsi yang ditawarkan adalah menggunakan AES-256,
Twofish, atau Serpent
TERIMAKASIH
MULAI MATERI