Post on 09-Jun-2015
description
Information Security
Awareness
Dedi Dwianto, C|EH, OSCP, ISO 27001
Certified
Sasaran
Memperoleh pemahaman atas pengertian Information Security (Keamanan Informasi)
Menginformasikan / mensosialisasi Kebijakan tentang Informasion Security
Membangun Information Security awareness (kesadaran atas pentingnya Information Security) pada setiap karyawan dalam melakukan aktivitas pekerjaan sehari-hari
Agenda
Pengertian Information Security
Penanganan Informasi
Pengamanan Password
Virus dan Spyware
Standar Perangkat Lunak
Keamanan Internet-Browsing
Keamanan Penggunaan E-mail
Keamanan Lingkungan Kerja
Kebijakan Information Security
Kesalahan Konsep yang umum
Kami tidak pernah mengalami insiden
Data saya tidak penting
Kami sudah aman
Isu Keamanan
Berbagi dan penulisan password
Pasword mudah ditebak
Password dikirim dalam bentuk plaintext (contoh: telnet,POP)
Remote Komputer
Tidak kejalasan policy dan prosedur
Ancaman
Menggunakan dan menyalahgunakan resource
Denial of Service (DOS)
Penghapusan Data
Penyebarluasan Data
Kegagalan komponen
Pengrusakan Data
Pengertian Information Security
Information Security adalah :
Pengamanan pada Confidentiality (C), Integrity (I) dan Availability (A) sistem informasi, baik yang berada di media penyimpanan (storage), tahap pemrosesan maupun saat informasi tersebut dikirim (transmit), terhadap akses dan modifikasi ilegal dan juga terhadap gangguan pada ketersediaan layanan (denial of service)
Pengertian Information Security
Mengapa kita memerlukan Information Security ?
Ancaman hacker di Internet dan Intranet
Ketergantungan bisnis pada IT
Internal Control / IT Audit
Penerapan Information Security
Terdapat tiga pendekatan dalam menerapkan Information Security :
Preventive
Penerapan pengendalian untuk mencegah terjadinya pelanggaran keamanan sistem informasi
Detective
Penerapan pengendalian untuk mendeteksi terjadinya pelanggaran keamanan sistem informasi
Penerapan Information Security
Response & Recovery
Penerapan pengendalian untuk menjaga kelangsungan pengoperasian sistem informasi
Proteksi Informasi
Proteksi informasi dalam penggunaan notebook :
Jaga agar notebook berada dalam pengawasan kita.
Jika berpergian usahakan tidak diletakkan di bagasi.
Proteksi Informasi
Proteksi informasi dalam penggunaan notebook :
Jangan menyimpan informasi sensitif di dalam notebook.
Gunakan security lock
Backup data secara periodik
Pengamanan Password
Beberapa hal yang perlu diperhatikan dalam pembuatan password :
Jangan menggunakan nama, tanggal lahir, nama perusahaan, idiom, atau kata-kata yang terdapat dalam kamus
Gunakan password dengan 8 karakter atau lebih yang terdiri dari kombinasi angka, huruf besar, huruf kecil dan simbol
Pengamanan Password
Beberapa hal yang perlu diperhatikan dalam pembuatan password :
Hindari prosedur yang meminta anda menyimpan password untuk kepentingan login berikutnya
Ingat baik-baik password tersebut, dan jangan dituliskan (seperti di dekat komputer atau di handphone)
Virus dan Spyware
Waspada terhadap operasi yang di luar normal
Jika terinfeksi virus, hentikan pekerjaan/operasi dan cari bantuan
Jangan buka email dengan attachment yang mencurigakan
Pastikan agar definisi antivirus terupdate dengan baik
Standar Perangkat Lunak
Beberapa standar perangkat lunak pada PC/notebook saat ini antara lain adalah :
Microsoft Windows Operating System
Microsoft Office
Symantec Antivirus
Acrobat Reader
Keamanan Penggunaan
InternetApa itu Phishing ?
Phishing adalah jenis serangan yang menggunakan e-mail atau web site palsu yang
didisain untuk mengelabui orang lain dalam rangka memperoleh data-data penting seperti nomor kartu kredit, usernames dan password
dengan cara ilegal.
Keamanan di Lingkungan Kerja
Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :
Hindari penyebaran informasi penting/sensitif. Jangan meninggalkan dokumen sembarangan di meja kerja.
Gunakan metoda pemusnahan dokumen yang benar. Misal: menggunakan paper shredder
Jangan biarkan dokumen tertinggal di mesin fotocopy atau fax
Kunci layar komputer dengan menggunakan password jika ingin meninggalkan komputer
Keamanan di Lingkungan Kerja
Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :
Jangan menyimpan informasi penting di dalam USB flash disk
Jangan meminjamkan USB flash disk sembarangan
Jaga agar pintu masuk kantor senantiasa tertutup
Jangan biasakan meminjamkan ID Card
Keamanan di Lingkungan Kerja
Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :
Gunakan Enkripsi untuk data-data sensitif
GNUPG
Truecrypt
Social Engineering
Pengertian :
Akuisisi informasi sensitif atau privilege akses informasi yang dilakukan oleh outsider, dengan menggunakan kepercayaan yang tidak semestinya yang dapat dibangun dengan insider
Social Engineering
Social Engineering memanfaatkan kelemahan sifat dasar manusia:
Keinginan untuk menolong orang lain
Kecenderungan untuk mempercayai orang lain
Kekhawatiran akan memperoleh kesulitan/masalah
Social Engineering
Tingkatkan kewaspadaan:
Tanyakan nama dan identitas
Tanyakan mengapa memerlukan informasi
Tanyakan siapa yang mengautorisasi permintaan informasi
Kebijakan Information Security
Information Security Policy
Bank Mega Information Security Policy
Third party access policy
Security Training and Awareness Policy
Desktop Management Policy
Password Policy
....
Kebijakan Information Security
Information Security Procedure
Information Classification & Handling Procedure
User Account Management Procedure
End User Computing Procedure
Information Security Incident Response Procedure
Router hardening Procedure
....
Renungan Akhir
Jika Bukan Kita,Lalu Siapa ?
Jika Bukan Sekarang Lalu Kapan ?