E gov keamanan informasi 3 okt 2016 - kpk
-
Upload
sarwono-sutikno-drengcisacisspcismcsx-f -
Category
Education
-
view
78 -
download
1
Transcript of E gov keamanan informasi 3 okt 2016 - kpk
E-GOVERNMENT INFORMATION SECURITY,
RISK AND CONTROL
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F
Cybersecurity Nexus Liaison, ISACA Indonesia & Sekolah Teknik Elektro dan Informatika ITB
Presentasi di DAS BIN
Jayapura, 3 Oktober 2016
2
Current:• CybersecurityNexusLiaison,ISACAIndonesiaChapter• ISACAAcademicAdvocateatITB• AnggotaPembinaYayasanPendidikanInternalAudit• SMEforInformaEonSecurityStandardforISOatISACAHQ• AssociateProfessoratSchoolofElectricalEngineeringandInformaEcs,InsEtutTeknologiBandung• KetuaWGLayanandanTataKelolaTI,anggotaWGKeamananInformasisertaAnggotaPaniEaTeknis35-01Program
NasionalPenetapanStandarbidangTeknologiInformasi,BSN–Kominfo.Past:• KetuaKelompokKerjaEvaluasiTIKNasional,DewanTIKNasional(2007-2008)• PltDirekturOperasiSistemPPATK(IndonesiaFinancialTransacEonReportsandAnalysisCenter,INTRAC),April2009–
May2011ProfessionalCer0fica0on:• ProfessionalEngineering(PE),thePrinciplesandPracEceofElectricalEngineering,CollegeofEngineering,theUniversity
ofTexasatAusEn.2000• IRCAInformaEonSecurityManagementSystemLeadAuditorCourse,2004• ISACACerEfiedInformaEonSystemAuditor(CISA).CISANumber:0540859,2005• BrainbenchComputerForensic,2006• (ISC)2CerEfiedInformaEonSystemsSecurityProfessional(CISSP),No:118113,2007• ISACACerEfiedInformaEonSecurityManager(CISM).CISMNumber:0707414,2007Award:• (ISC)2AsiaPacificInforma0onSecurityLeadershipAchievements(ISLA)2011awardincategorySeniorInforma0on
SecurityProfessional.hcp://isc2.org/ISLA
2
SarwonoSu0kno,Dr.Eng.,CISA,CISSP,CISM,CSX-F
KESEPAKATAN DISKUSI
• Mohon maaf jika gaya/kebiasaan saya di ITB muncul dalam diskusi ini • Niatnya agar Indonesia lebih berdaulat • Boleh buka laptop dan akses internet • Seluruh peserta harus bicara, bertanya, berpendapat, guyon sebagai
pembuka kreatifitas • Sarwono Sutikno hanya fasilitator dan sedang belajar • Semoga saya dan semua insan Indonesia menjadi orang merdeka !!! • Semoga setiap insan Indonesia menjadi khalifah dalam arti tidak ada yang
dapat membatasi potensi seorang insan kecuali impian dirinya dan tuhannya.
Agar efektif berdiskusi
BLOOM’S TAXONOMY OF EDUCATIONAL OBJECTIVES
Apply
Comprehend Remember
list, recite explain, paraphrase
calculate, solve, determine, apply
Analyze compare, contrast, classify,
categorize, derive, model
Synthesize create, construct, design, improve, produce, propose
Evaluate judge, critique, justify,
verify, assess, recommend
Presentation: KamInfo.ID 5
Presentation: KamInfo.ID 6
E-Government Summit – Jakarta 6 September 2016
http://www.menpan.go.id/berita-terkini/120-info-terkini/5590-paparan-e-government-summit-2016-hotel-bidakara-jakarta-6-september-2016
1. Arsip Nasional (ANRI), 2. Badan Kepegawaian Negara (BKN) | Best Practices e-Government Manajemen ASN, 3. Badan Kepegawaian Negara (BKN), 4. BPKP | Pengembangan SIMA HP menuju e-Government 5. Badan Pengawas Obat dan Makanan (BPOM), 6. Deputi Bidang Kelembagaan dan Tata Laksana - Kementerian PANRB, 7. Prof. Eko Prasojo | The Role of Leadership and Key Success Factors in E-government 8. KOICA | IT Capacity Building for Government Officials, 9. Kementerian Kesehatan (KEMENKES), 10. Kementerian Koordinator Bidang Pembangunan Manusia dan Kebudayaan (KEMENKOPMK), 11. Kementerian Pekerjaaan Umum dan Perumahana Rakyat (KEMENPUPR) 12. Kementerian Sekretariat Negara (KEMENSETNEG), 13. Lembaga Administrasi Negara (LAN), 14. Tae-Ho Youn KOICA | Indonesia Need Own Competitive e-Government Strategy, 15. Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP), 16. Badan Kependudukan dan Keluarga Berencana Nasional (BKKBN),
Implementation Target of E-Government
19
1. Satisfaction: improving access; shorting interaction2. Customization: services based on the needs of the
community Social development based on the expertise and capabilities of ICT
3. Proactive interaction with the public and democratic participation in decision-making
Public Service Quality
1. Improve productivity and skills of civil servants2. Improve collaboration and knowledge-sharing among all
levels of the government agencies3. Sharpen the formulation of Standard Operating Procedure in
the government
Effective and efficient
government
1. Bureaucratic reforms towards a better good governance2. Increased transparency and accountability3. Increased productivity performance
Bureaucracy reform
COBIT 5
SNI ISO 38500
Internal Control Framework COSO
HUBUNGAN ANTAR KERANGKA
PP60/2008 Sistem Pengendalian Intern
Pemerintah
Tata
Kel
ola
Tata
Kel
ola
TI
Man
ajem
en T
I
Panduan Umum Tata Kelola TIK Nas +
Kuesioner Evaluasi Pengendalian Intern TIK
SNI ISO 27001 SNI ISO 20000 SNI ISO 15408
RISK VS CONTROL
CHAPTER 2 COBIT 5 PRINCIPLES APPLIED TO INFORMATION
17
Enterprises have many stakeholders, and ‘creating value’ means different—and sometimes conflicting—things to each of them. Governance is about negotiating and deciding amongst different stakeholders’ value interests. By consequence, the governance system should consider all stakeholders when making benefit, risk and resource assessment decisions. For each decision, the following questions should be asked:
Stakeholder needs must be transformed into the enterprise’s actionable strategy. The COBIT 5 goals cascade is the mechanism to translate stakeholder needs into specific, actionable and customised enterprise goals, IT-related goals and enabler goals. This translation allows the enterprise to set specific goals at every level and in every area, in support of the overall goals and stakeholder requirements.
Figure 6 shows an extension of the generic COBIT 5 goals cascade. The three steps in the goals cascade are explained in the following paragraphs.
Figure 6—COBIT 5 Goals Cascade for the Enterprise
STEP A. GOVERNANCE OBJECTIVE INFLUENCES ENTERPRISE GOALSStakeholder needs are influenced by a number of drivers, e.g., strategy changes, a changing business or regulatory environment and new technologies.
Stakeholder needs can be related to a set of generic enterprise goals. These enterprise goals have been developed using the balanced scorecard (BSC)2 dimensions, and they represent a list of commonly used goals that an enterprise may define for itself. Although this list is not exhaustive, most enterprise-specific goals can be mapped easily onto one or more of the generic enterprise goals.
Stakeholder Needs
Supported by
Drivers (environment, technology evoluton,…) for theGovernance Objective of Value Creation
Supported by
Enterprise Goals
Supported by
Enterprise Value Chain (example representation of an enterprise)
Business information is managedby the IT function enablers
Function Goals (to be defined for each enterprise)
Enablers for the Procurement Function
Enablers for the Human Resources Function
Enablers for the IT Function
Seefigures 7 and 60
See examples infigures 9 and 61
See examples infigures 9 and 61
InboundLogistics
Principles,Policies andFrameworks
OrganisationalStructures Processes
People, Skillsand
Competencies
Culture,Ethics andBehaviour
Services,Infrastructure
and ApplicationsInformation
Principles,Policies andFrameworks
OrganisationalStructures Processes
People, Skillsand
Competencies
Culture,Ethics andBehaviour
Services,Infrastructure
and ApplicationsInformation
Principles,Policies andFrameworks
OrganisationalStructures
ProcessesPeople, Skills
andCompetencies
Culture,Ethics andBehaviour
Services,Infrastructure
and ApplicationsInformation
Operations OutboundLogistics
Marketingand Sales Services
IT HumanResources Infrastructure Procurement
Step A
Step B
Step C
Supportedby
Supportedby
See examples infigures 11 and 61
Seefigure 10 Supported by
2 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996
Personal Copy of: Dr. Sarwono Sutikno
Enabling Information
Personal Copy of: Dr. Sarwono Sutikno
15
DEMO
Silakan masuk dengan android anda ke: www.google.com/maps/timeline Dimana android anda pada Sabtu yang lalu? Apa komentar anda? (jika app maps perlu update, silakan)
SNI ISO/IEC 27001:2013
RSNI2 ISO/IEC 27001:2015
3 dari 26
b) mencakup sasaran keamanan informasi (lihat 6.2) atau menyediakan kerangka kerja
untuk menetapkan sasaran keamanan informasi; c) mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan
keamanan informasi; dan d) mencakup komitmen untuk perbaikan berkelanjutan terhadap SMKI. Kebijakan keamanan informasi harus: e) disediakan sebagai informasi yang terdokumentasi; f) dikomunikasikan dalam organisasi; dan g) disediakan untuk pihak yang berkepentingan, jika diperlukan. 5.3 Peran organisasi, tanggung jawab dan wewenang Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk peran-peran yang relevan dengan keamanan informasi ditetapkan dan dikomunikasikan. Manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk: a) memastikan bahwa SMKI sesuai dengan persyaratan dari Standar ini; b) melaporkan kinerja SMKI kepada manajemen puncak. CATATAN Manajemen puncak juga dapat menetapkan tanggung jawab dan wewenang untuk melaporkan kinerja SMKI dalam organisasi. 6 Perencanaan
6.1 Tindakan untuk menangani risiko dan peluang 6.1.1 Umum Ketika merencanakan SMKI, organisasi harus mempertimbangkan permasalahan yang dimaksud dalam 4.1 dan persyaratan yang dimaksud dalam 4.2 serta menentukan risiko dan peluang yang perlu ditangani untuk: a) memastikan SMKI dapat mencapai manfaat yang diharapkan; b) mencegah, atau mengurangi, efek yang tidak diinginkan; c) mencapai perbaikan yang berkelanjutan. Organisasi harus merencanakan: d) tindakan untuk menangani risiko dan peluang; dan
e) bagaimana cara:
1) mengintegrasikan dan menerapkan tindakan ke dalam proses SMKI; dan
Presentation: KamInfo.ID 21 21
KEAMANAN INFORMASI VERSI ISACA
Information security is a business enabler that is strictly bound to stakeholder trust, either by addressing business risk or by creating value for an enterprise, such as competitive advantage. At a time when the significance of information and related technologies is increasing in every aspect of business and public life, the need to mitigate information risk, which includes protecting information and related IT assets from ever-changing threats, is constantly intensifying.
ISACA defines information security as something that: Ensures that information is readily available (availability), when required, and protected against disclosure to unauthorised users (confidentiality) and improper modification (integrity).
Presentation: KamInfo.ID 22 22
KEAMANAN INFORMASI
......... pemerintah negara Indonesia yang melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial........
Pemanfaatan INFORMASI sebagai darah nadi kehidupan bangsa dalam perspektif Pertumbuhan Ekonomi untuk Kesejahteraan Rakyat
Presentation: KamInfo.ID 23 23
KEAMANAN NASIONAL
......... pemerintah negara Indonesia yang melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial........
Pemanfaatan INFORMASI sebagai darah nadi kehidupan bangsa dalam perspektif Pertumbuhan Ekonomi untuk Kesejahteraan Rakyat
RISK-BASED CATEGORIZATION CONTROL
The CSX Liaison reports to the chapter president.
Presentation: KamInfo.ID 29
IMPLEMENTING FRAMEWORKS TO POPULATE BMIS
ISO 27031
COBIT 5 Enabling Process
29
Presentation: KamInfo.ID 32
PENDEKATAN KAMI Penyusunan Master Plan TI merupakan rangkaian tahapan assessment, visioning, design dan roadmap. Beberapa framework dijadikan rujukan dalam assessment dan penyusunan cetak biru berbasis enterprise architecture.
32
SARAN
• Strategis dan Kebijakan • Kaji manfaat dan risiko informasi • Sumber daya manusia diutamakan • Kaji risiko dan manfaat perangkat teknologi, manusia, process dan organisasi
• Q&A • isaca.org/cyber • ISACA Cybersecurity Teaching Materials