01 Pendahuluan ISO 27001

7/26/2019 01 Pendahuluan ISO 27001

1/26

Sistem Manajemen Keamanan InformasiPendahuluan

Direktorat Keamanan Informasi - KOMINFOFasilitator:1. Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP

2. Haryatno, PMP, ISMS Auditor

Malang, 17 18 April 2012


2/26

KOMINFO - APRISMA2

Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP

Biod ata Singkat

PENDIDIKAN & KUALIFIKASI PROFESIONALBachelor of Engineering with Honours dalam bidang Aerospace Engineering (Space

Systems), dari De- partment of Aerospace Engineering, University of Bristol, United Kingdom

1990.

Doctor of Philosophy di bidang Aerospace Engineering (Advance Flight Control Systems), dari

Depart- ment of Aerospace Engineering, University of Bristol, United Kingdom 1995.

Information Security Management System Auditor (Provisional Level), Certificate #1188200,

International Register of Certificated Auditors, United Kingdom, 2005.

Certified Information System Auditor (CISA) #0542141, Information System Audit and Control

Associa- tion, USA, 2005.

Project Management Professional (PMP) #280749, Project Management Institute, USA, 2005.

Certified Information Security Manager (CISM) #0606073, Information System Audit and

Control Associa- tion, USA, 2006.

Chartered Engineer, United Kingdom Engineering Council, 2006. Chartered IT Professional

(CITP), British Computer Society, 2006.


3/26

KOMINFO - APRISMA3

Haryatno, PMP, ISMS AuditorBiodata Singkat

Pendidikan dan Sertifikasi Profesional: FMIPA UGM, 2007

ISO 9000 Lead Auditor, 2000

Project Management Professional (PMP), PMI USA, 2001

ISO 27001 Lead Auditor, 2006

Pengalaman Konsultan: Konsultan Utama PT. Xynexis International,

Lebih dari 15 tahun sebagai konsultan dan trainer di berbagai industri di bidang Quality danManajemen Teknologi Informasi

Konsutan ISO 27001:

Telkomsel, Indosat, Astra Honda Motor, Telkom Flexi, Telkom, Pama Persada, PLN KantorPusat, Lintasarta, Bank Bukopin, Bank Indonesia, Bank BRI, e-Proc Pemkot Surabaya, dll

ISO 9001:2000

PT. Trifa Abadi, Bellua Asia Pacific, Chroma, dll

IT Project Management:

Bank Mandiri, Pusintek Depkeu, Bank Mandiri, Dirjen Pajak, Tugu Pratama, MerpatiNusantara, Sucofindo, LKBN Antara, dll

Trainer: Project Management, IT Governance

Information Security Management System (ISMS), ISO 27001

Quality Management (ISO 9001)


4/26

KOMINFO - APRISMA 4

Pernahkah Laptop / PC hilang dilokasi kerja Anda?

Atau hilang di mobil?

HATI-HATI....... !

Sadarkah Anda bahwa file Anda

dapat diambil orang tanpa Andatahu?


5/26KOMINFO - APRISMA5

Kasus Penyalahgunaan Data F1 2007

StepneyGate

Data Teknis Ferrari di mobil McLaren?

Hukuman untuk McLaren:Kehilangan gelar konstruktor

Denda $100 juta

FLASHBACK:


6/26KOMINFO - APRISMA6

Pelajaran dari StepneyGate

Mengapa Pencurian DataTerjadi? Kekecewaan Senior Engineer

......I'm not currently happy with the situation within the team - I

really want to move forward with my career and that's something

that's not happening right now........

Dari Mana Ferrari Tahu?

Laporan Petugas Fotocopy......Mike Coughlan is alleged by Ferrari to be in possession of 780

pages of Ferrari documentation, and that his wife is alleged to have

taken them to a photocopying shop. Ferrari were unaware that their

technical information had been stolen until they received a tip from

an employee in the photocopying shop. The staff member saw that

the documents were confidential and belonged to Ferrari and, after

copying them, decided to contact the teams headquarters in

Italy.....


7/26KOMINFO - APRISMA

KNOWLEDGE IS POWER

Pergeseran paradigma .........

Kekuatan tidak lagi ditentukan secara finansial, kekuasaan atausumber daya alam, tetapi........

Informasi merupakan aset (paling) penting saat ini

Informasi Menguasai dunia

7



Apa itu Informasi?

Informasi dapat: Diciptakan Disimpan Diproses Dipancarkan Digunakan Dibuang/Dihancurkan/Dirusak

INFORMATIONis knowledge or data that has value to the organisation.

(ISO 27000:2009)

SiklusPengamana

n

Informasi

8



Jensi/Bentuk Informasi

Kertas

Hard disk, Disket, FlashdiskCD-ROM

Tape

(Desain) Gambar

FilmPercakapan (Conversation)

9


10/26

KOMINFO - APRISMA

Jenis-Jenis InsidenKeamanan Informasi

Incident type 2004 2005 2006 2007 2008

Denial of service 39% 32% 25% 25% 21%

Laptop theft 49% 48% 47% 50% 42%

Telecom fraud 10% 10% 8% 5% 5%

Unauthorized access 37% 32% 32% 25% 29%

Virus 78% 74% 65% 52% 50%

Financial fraud 8% 7% 9% 12% 12%

Insider abuse 59% 48% 42% 59% 44%

System penetration 17% 14% 15% 13% 13%

Sabotage 5% 2% 3% 4% 2%

Theft/loss of proprietary info 10% 9% 9% 8% 9%

Abuse of wireless network 15% 16% 14% 17% 14%

Web site defacement 7% 5% 6% 10% 6%

Misuse of Web application 10% 5% 6% 9% 11%

Theft/loss of customer data - - - 17% 17%

Source: Computer Software Institute (CSI) Survey, 2008

10


11/26

KOMINFO - APRISMA1

1

Sumb er: PWC, Information Security Breach Survey, 2010

Apa insiden keamanan informasi terburuk yangdihadapi responden?

Apa faktor utama berinvestasi dalam kegiatankeamanan informasi?

Survey 2010: Jenis Insiden KeamananInformasi dan Alasan Investasi


12/26

KOMINFO - APRISMA

Apa itu Keamanan Informasi?

Information Security: Preservation of confidentiality,integrityand availabilityof information.(ISO 27000:2009)


13/26

KOMINFO - APRISMA

Komponen Keamanan Informasi

Availability:Menjamin pihak yang berwenang dapat mengakses

informasi saat diperlukan

Confidentiality:Menjamin agar informasi hanya dapat diakses oleh

pihak yang berwenang

Integrity:Mengamankan ketepatan dan kelengkapan informasidan metode pemrosesannya

RealibilitySifat konsisten dari

keadaan atau hasil yangdiinginkan.

13


14/26

KOMINFO - APRISMA

Tantangan Pengamanan Informasi

Security vs. Usability

Sistem yang aman lebih sulit digunakan.

Password kompleks dan kuat juga lebih sulit diingat.

User lebih menyukai password yang sederhana

Attacker hanya perlu menemukan satu kelemahan,Defender perlu mengamankan seluruh titik akses.

Attacker tidak mempunyai kendala waktu (fleksibel),

Defender bekerja dengan batasan/kendala waktu dan biaya.

Attacker vs. Defender

Apakahkeamananinformasiperlu?

Management sering memandang keamanan informasi tidak menambah

nilai bisnis.

Mengidentifikasi dan menutup kelemahan sebelum layanan di rilis perlu

waktu relatif lama & tambahan biaya.


15/26

KOMINFO - APRISMA1

5

Menjamin kelangsunganbisnis/usaha

Keamanan informasi berhubungan dengan

seluruh ko ntro l yang di tu jukan un tuk

mel indungi kerahasiaan, keutuhandan

ketersediaan informasi.

Tujuan Utama Keamanan Informasi

BUSINESS INTERRUPTIONMengatasi gangguanoperasi bisnis dengan lebihcepat


16/26


17/26

KOMINFO - APRISMA

Pentingnya Keamanan Informasi

Bisnis sudah sangat bergantung pada penyediaan danpengiriman informasi Sistem Informasi tidak lagi terpisah dari organisasi. Sistem

Informasi menghubungkan pemasok, pelanggan, mitra dan

pihak lainnya. Kecanggihan serangan / intrusi dari luar berkembang cepat: User pemula mungkin bisa menerobos sistem TI Anda

dengan software bantu yang tersedia

Jangan lagi mengandalkan Ketidaktahuan & Keluguansebagai kontrol.

17


18/26

KOMINFO - APRISMA

Keuntungan

Mendorong pengamanan sistem informasi daninfrastruktur TI secara praktis, komprehensif dan denganbiaya efektif.

Membangun kerjasama yang saling percaya terhadapmitra yang terhubung secara jaringan

Meningkatkan jaminan kualitas informasi Membuktikan diterapkannya standar keamanan informasi

yang tepat

Menambah kemampuan untuk mengelola danmeningkatkan daya tahan TI terhadap suatu bencana

18

K K I f i


19/26

KOMINFO - APRISMA19

Kapan Keamanan InformasiDiterapkan?

Jika terdapat informasi berklasifikasi rahasia,penting, atau berharga Jika kebocoran, kerusakan dan

ketidaktersediaannya menimbulkan RISIKO yangberdampak besar bagi organisasi

Pengamanan informasi diawali dengan Klasifikasi

Informasi dan Kajian Risikoterhadap gangguankerahasiaan, keutuhan, dan ketersediaan informasi.


20/26

KOMINFO - APRISMA

Keamanan .vs. Kenyamanan

20


21/26

KOMINFO - APRISMA21

Hirarki Framework Tata Kelola TI- Konsep/Model -

KEBIJAKAN TATA KELOLA TI

PENGELOLAAN PROYEK TI PENGELOLAANOPERASIONAL LAYANAN TI

(ISO 20000)

STANDAR SOFTWARE

QUALITY (CMMI)Pengelolaan

Kelangsungan Layanan TI

SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)

ISO 27001

RENCANA STRATEGIS TI

(IT Blue Print/Master Plan)

MONITORING DAN EVALUASI(COBIT)

RENCANA STRATEGIS ORGANISASIGOOD CORPORATE GOVERNANCE


22/26

KOMINFO - APRISMA22

Tata Kelola TI vs Undang-Undang & Regulasi

COBIT Control Objective for Information and related Technology ISO 27001 Information Security Management System ISO 20000 Information Technology Service Management PMBOK Project Management Body of Knowledge CMMI Capability Maturity Model Integration (Software Quality)

Undang-Undang & Regulasi:UU No. 19/2002 tentang Hak Cipta

UU No.11/2008 tentang Informasi dan Transaksi Elektronik

Permen Kominfo No.28/Per/M.Kominfo/9/2006 tentangPenggunaan nama Domain go.id

Peraturan Bank Indonesia No. 09/15/PBI/2007 Manajemen Risiko

Penggunaan TI bagi Bank Umum

Permen Kominfo No.41/PER/Men.Kominfo/11/2007 tentangPanduan Umum Tata Kelola TIk Nasional

Draft UU No. ??? tentang Rahasia Negara


23/26

KOMINFO - APRISMA23

ISO 27001:2005 vs Regulasi BankISO 27001:2005

Standar internasional untuk Sistem ManajemenKeamanan Informasi (Information SecurityManagement System - ISMS): Menetapkan persyaratan-persyaratan dan kontrol untuk

melindungi keamanan informasi

Peraturan Bank Indonesia: 09/15/PBI/2007

Regulasi tentang Penerapan Manajemen Risiko dalamPenggunaan Teknologi Informasi (TI) oleh Bank Umum:

Kewajiban penerapan Manajemen Risiko dalam penggunaan TIdengan mengamankan proses, Teknologi & aset yang berharga bagi

Bank Aset yang berharga meliputi: data perangkat lunak, perangkat

keras, jaringan komunikasi data, sarana pendukung dan SDM(Lampiran SE BI: 9/30/DPNP 12 Des 07)

Pentingkah


24/26

KOMINFO - APRISMA

PentingkahKeamanan Informasi bagi Anda?

Seberapa banyak (masif) informasi yang Andabutuhkan dan / atau Anda Kelola?

Seberapa besar RISIKO yang menyertaiInformasi dan Sistem Teknologinya bagi

organisasi Anda?

24


25/26

KOMINFO - APRISMA

Kelemahan yang ada dalam Network

Internet

Internal LAN

Internet/DMZ/Servers

Remote Access Servers

Border Router

Internal Router

1. Inadequate Router

Access Control

Mobile/home user

2. Unsecured / Unmonitored Remote

Access

3. Information Leakage Via

Zone Transfer & Services

(SMTP, Telnet)

4. Running Unnecessary

Services (FTP, DNS, SMTP)

5. Weak

or ReusedPasswords

6. User Accts with

Excessive Privileges

7. Mis-configured

Internet Servers

8. Mis-configured

Firewall or Router

9. Un-patched, Outdated Software

with DefaultConfigurations

10. Excessive File & Directory

Access Controls

Workstation

Source: Hacking Exposed McClure, Scambray & Kurtz

25


26/26

KOMINFO - APRISMA

Hambatan Keamanan Informasi

Membangun sistem yang aman dan kompleks tidakmudah

Faktor Manusia: Keamanan mensyaratkan kesiapanbudaya, bukan sekedar teknologi

Investasi Keamanan tidak segera dapat dipetik hasilnya

Keengganan pimpinan mengeluarkan biaya untukkeamanan ...... SAMPAI ADA KEJADIAN

Sejak kapan Gedung Perkantoran, Bank,Minimarket dilengkapi dengan CCTV?

26

01 Pendahuluan ISO 27001

Documents

Transcript of 01 Pendahuluan ISO 27001