Bimbingan Teknis Sistem Manajemen Keamanan Informasi Pendahuluan

Fasilitator: Haryatno, PMP, ISMS Auditor

Medan, 7 – 8 November 2012

1

KOMINFO 2

Haryatno, PMP, ISMS Auditor Biodata Singkat

q  Pendidikan dan Kualifikasi Profesional: –  FMIPA UGM, 2007 –  ISO 27001 Lead Auditor, 2006 –  Project Management Professional (PMP), 2001 –  ISO 9000 Lead Auditor, 2000

q  Pengalaman Konsultan: –  Konsultan Utama PT. Xynexis International, –  Lebih dari 15 tahun sebagai konsultan dan trainer di berbagai industri di bidang Quality Manajemen dan

Tata Kelola Teknologi Informasi –  Konsutan ISO 27001:

ü  Telkomsel, Indosat, Astra Honda Motor, Telkom Flexi, Telkom, Pama Persada, PLN Kantor Pusat,Dirjen Pajak, Lintasarta, Bank Bukopin, Bank Indonesia, Bank BRI, e-Proc Pemkot Surabaya, Bentoel, dll

–  IT Project Management: ü  Bank Mandiri, Pusintek Depkeu, Bank Mandiri, Dirjen Pajak, Tugu Pratama, Merpati Nusantara,

Sucofindo, LKBN Antara, dll

q  Trainer: –  Project Management, IT Governance –  Information Security Management System (ISMS), ISO 27001 –  Quality Management (ISO 9001)

KOMINFO 3

KOMINFO

Wamenlu: Tidak Penting Lagi Bahas Laptop Hilang

Anwar Khumaini - detikNews

Selasa, 22/02/2011 08:28 WIB

Bogor Wakil Menteri Luar Negeri Triyono Wibowo menganggap permasalahan hilangnya laptop delegasi Indonesia di Korea Selatan sudah selesai lantaran data yang hilang bukanlah data rahasia. Sehingga, pembahasan kasus ini sudah tidak penting lagi.

"Itu sudah tidak penting, karena yang hilang bukan data militer, hanya presentasi," kata Triyono di Istana Bogor, Senin (22/2/2011) pagi.

Triyono menganggap, gencarnya media di Korea Selatan yang memberitakan kasus hilangnya laptop delegasi Indonesia cuma spekulasi saja. "Itu spekulasi saja," ujarnya.

Dia menjelaskan, Duta Besar RI di Korea juga sudah menanyakan kepada Kementerian Luar Negeri Korea Selatan. Hasilnya tidak ada kebocoran data pertahanan Indonesia. "Dubes kita sudah tanya ke Kemlu, kita tidak merasa ada yang bocor," imbuhnya.

Kepada Dubes RI, Menteri Luar Negeri Korea Selatan membantah informasi hilangnya laptop delegasi RI ini dari mereka. "Kementerian luar Negeri Korea prihatin dengan hilangnya laptop tersebut, Kemenlu Korea Selatan membantah informasi tersebut dari dia," ungkap Triyono.

4

KOMINFO 5

KOMINFO 6

Berapa banyak kejadian Laptop / PC yang hilang di sekitar Anda ?

Atau dicuri dari mobil?

HATI-HATI....... !

Sadarkah Anda bahwa file Anda dapat diambil orang tanpa Anda

tahu?

KOMINFO 7

���Kasus Penyalahgunaan Data F1 2007

StepneyGate

Data Teknis Ferrari di mobil McLaren?

Hukuman untuk McLaren: ‣  Kehilangan gelar konstruktor

‣  Denda $100 juta

FLASHBACK:

KOMINFO

ATM lagi…

8

KOMINFO

KNOWLEDGE IS POWER

•  Pergeseran paradigma .........

•  Kekuatan tidak lagi ditentukan secara finansial, kekuasaan atau sumber daya alam, tetapi........

Informasi merupakan aset (paling) penting saat ini

Informasi Menguasai dunia

9

KOMINFO

Karakteristik dan Keberlangsungan Bisnis

Roda bisnis makin cepat...

Perubahan terus terjadi di tengah perjalanan

Tetap memimpin dengan Kecepatan melakukan

perubahan

Berani berinovasi dan mengambil keputusan

10

KOMINFO

Apa itu Informasi?

Informasi dapat: •  Diciptakan •  Disimpan •  Diproses •  Dipancarkan •  Digunakan •  Dibuang/Dihancurkan/Dirusak

•  INFORMATION is knowledge or data that has value to the organisation. (ISO 27000:2009)

Sikl

us P

enga

man

an

Info

rmas

i 11

KOMINFO

Jensi/Bentuk Informasi

Kertas Hard disk, Disket, Flashdisk

CD-ROM Tape

(Desain) Gambar Film

Percakapan (Conversation) …

12

KOMINFO 13

Sumber: PWC, Information Security Breach Survey, 2010

Apa insiden keamanan informasi terburuk yang dihadapi responden?

Apa faktor utama berinvestasi dalam kegiatan keamanan informasi?

Survey 2010: Jenis Insiden Keamanan Informasi dan Alasan Investasi

KOMINFO

Apa itu Keamanan Informasi?

Information Security: “Preservation of confidentiality, integrity and availability of information.” (ISO 27000:2009)

14

KOMINFO

Komponen Keamanan Informasi

Availability (Ketersediaan): Menjamin pihak yang berwenang dapat mengakses

informasi saat diperlukan

Confidentiality (Kerahasiaan): Menjamin agar informasi hanya dapat diakses oleh

pihak yang berwenang

Integrity (Keutuhan): Mengamankan ketepatan dan kelengkapan informasi

dan metode pemrosesannya

Realibility

Sifat konsisten dari keadaan atau hasil yang

diinginkan.

15

KOMINFO

Tantangan Pengamanan Informasi

Security vs. Usability

Sistem yang aman lebih sulit digunakan. Password kompleks dan kuat juga lebih sulit diingat.

User lebih menyukai password yang sederhana

Attacker hanya perlu menemukan satu kelemahan, Defender perlu mengamankan seluruh titik akses.

Attacker tidak mempunyai kendala waktu (fleksibel),

Defender bekerja dengan batasan/kendala waktu dan biaya.

Attacker vs. Defender

Apakah keamanan informasi perlu…?

Management sering memandang keamanan informasi tidak menambah nilai bisnis.

Mengidentifikasi dan menutup kelemahan sebelum layanan disediakan bagi publik perlu waktu relatif lama & tambahan biaya.

16

KOMINFO 17

Menjamin kelangsungan proses dan fungsi pekerjaan

Keamanan informasi berhubungan dengan seluruh metode dan alat kontrol yang ditujukan untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi.

Tujuan Utama Keamanan Informasi

BUSINESS  INTERRUPTION  

Mengatasi gangguan operasi proses / pekerjaan dengan lebih cepat

KOMINFO

Perubahan Cara Pandang terhadap Keamanan Informasi

•  Fokus pada Hardware & Software: ๏  Keamanan Informasi menjadi tanggungjawab personil TI (System/Database

Administrator) ๏  Mengandalkan keamanan teknis (Antivirus, Firewall)

•  Fokus pada informasi: ๏  Pemilik informasi adalah setiap Unit Kerja sesuai tupoksi (business owner) ๏  Setiap jenis pekerjaan memiliki informasi yang harus dipelihara, disimpan dan

diamankan ๏  Penggunaan TI mengandung RISIKO yang harus dikendalikan dan diatasi

dengan tepat ๏  Keamanan Informasi harus menjadi tanggungjawab bersama setiap Unit Kerja

dan Unit Pengelola TI ๏  Manajemen keamanan informasi merupakan bagian dari Tata Kelola TI à Tata

Kelola Perusahaan

18

KOMINFO

Pentingnya Keamanan Informasi

• Adakah tugas atau pekerjaan yang tidak mengandalkan Teknologi Informasi? Jika ada, berapa persen?

•  Sistem Informasi tidak lagi terpisah dari organisasi. Sistem Informasi menghubungkan pengguna, pemasok, mitra dan pihak lainnya.

• Kecanggihan metode penyusupan (intrusi) ke dalam jaringan komputer berkembang cepat: ๏  User pemula mungkin bisa menerobos sistem jaringan TI Anda dengan

software yang banyak beredar di internet

•  Pengendalian keamanan harus dilakukan dalam setiap proses dan terhadap setiap orang yang melakukan akses informasi, baik personil internal maupun eksternal

19

KOMINFO 20

Kapan Keamanan Informasi Diterapkan?

•  Jika terdapat informasi berklasifikasi rahasia, penting, atau berharga

•  Jika kebocoran, kerusakan dan ketidaktersediaannya menimbulkan RISIKO yang berdampak besar bagi organisasi

Pengamanan informasi diawali dengan Klasifikasi Informasi dan Kajian Risiko terhadap gangguan

kerahasiaan, keutuhan, dan ketersediaan informasi.

KOMINFO

Keamanan .vs. Kenyamanan

21

KOMINFO 22

Hirarki Framework Tata Kelola TI - Konsep/Model -

KEBIJAKAN TATA KELOLA TI

PENGELOLAAN PROYEK TI PENGELOLAAN OPERASIONAL LAYANAN TI

(ISO 20000)STANDAR SOFTWARE

QUALITY (CMMI) Pengelolaan

Kelangsungan Layanan TI

SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)ISO 27001

RENCANA STRATEGIS TI (IT Blue Print/Master Plan)

MONITORING DAN EVALUASI (COBIT)

RENCANA STRATEGIS ORGANISASI

GOOD CORPORATE GOVERNANCE Tata Kelola Pemerintahan yang baik

KOMINFO 23

Undang-Undang & Regulasi .vs. Tata Kelola TI

•  COBIT – Control Objective for Information and related Technology

•  ISO 27001 – Information Security Management System

•  ISO 20000 – Information Technology Service Management

•  PMBOK – Project Management Body of Knowledge

•  CMMI – Capability Maturity Model Integration (Software Quality)

Undang-Undang & Regulasi: •  UU No. 14/2008 tentang “Keterbukaan Informasi Publik” •  UU No. 19/2002 tentang “Hak Cipta” •  UU No.11/2008 tentang “Informasi dan Transaksi Elektronik”

•  Permen Kominfo No.28/Per/M.Kominfo/9/2006 tentang “Penggunaan nama Domain go.id”

•  Peraturan Bank Indonesia No. 09/15/PBI/2007 – “Manajemen Risiko Penggunaan TI bagi Bank Umum”

•  Permen Kominfo No.41/PER/Men.Kominfo/11/2007 tentang “Panduan Umum Tata Kelola TIk Nasional”

•  Draft UU No. ??? tentang “Rahasia Negara”

KOMINFO

Pentingkah Keamanan Informasi bagi Anda?

Seberapa banyak (masif) informasi yang Anda butuhkan dan / atau Anda Kelola?

Seberapa besar RISIKO yang menyertai Informasi dan Sistem Teknologinya bagi

organisasi Anda?

24