E gov keamanan informasi 3 okt 2016 - kpk

E-GOVERNMENT INFORMATION SECURITY,

RISK AND CONTROL

Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F

Cybersecurity Nexus Liaison, ISACA Indonesia & Sekolah Teknik Elektro dan Informatika ITB

Presentasi di DAS BIN

Jayapura, 3 Oktober 2016

2

Current:•  CybersecurityNexusLiaison,ISACAIndonesiaChapter•  ISACAAcademicAdvocateatITB•  AnggotaPembinaYayasanPendidikanInternalAudit•  SMEforInformaEonSecurityStandardforISOatISACAHQ•  AssociateProfessoratSchoolofElectricalEngineeringandInformaEcs,InsEtutTeknologiBandung•  KetuaWGLayanandanTataKelolaTI,anggotaWGKeamananInformasisertaAnggotaPaniEaTeknis35-01Program

NasionalPenetapanStandarbidangTeknologiInformasi,BSN–Kominfo.Past:•  KetuaKelompokKerjaEvaluasiTIKNasional,DewanTIKNasional(2007-2008)•  PltDirekturOperasiSistemPPATK(IndonesiaFinancialTransacEonReportsandAnalysisCenter,INTRAC),April2009–

May2011ProfessionalCer0fica0on:•  ProfessionalEngineering(PE),thePrinciplesandPracEceofElectricalEngineering,CollegeofEngineering,theUniversity

ofTexasatAusEn.2000•  IRCAInformaEonSecurityManagementSystemLeadAuditorCourse,2004•  ISACACerEfiedInformaEonSystemAuditor(CISA).CISANumber:0540859,2005•  BrainbenchComputerForensic,2006•  (ISC)2CerEfiedInformaEonSystemsSecurityProfessional(CISSP),No:118113,2007•  ISACACerEfiedInformaEonSecurityManager(CISM).CISMNumber:0707414,2007Award:•  (ISC)2AsiaPacificInforma0onSecurityLeadershipAchievements(ISLA)2011awardincategorySeniorInforma0on

SecurityProfessional.hcp://isc2.org/ISLA

2

SarwonoSu0kno,Dr.Eng.,CISA,CISSP,CISM,CSX-F

KESEPAKATAN DISKUSI

• Mohon maaf jika gaya/kebiasaan saya di ITB muncul dalam diskusi ini • Niatnya agar Indonesia lebih berdaulat • Boleh buka laptop dan akses internet • Seluruh peserta harus bicara, bertanya, berpendapat, guyon sebagai

pembuka kreatifitas • Sarwono Sutikno hanya fasilitator dan sedang belajar • Semoga saya dan semua insan Indonesia menjadi orang merdeka !!! • Semoga setiap insan Indonesia menjadi khalifah dalam arti tidak ada yang

dapat membatasi potensi seorang insan kecuali impian dirinya dan tuhannya.

Agar efektif berdiskusi

BLOOM’S TAXONOMY OF EDUCATIONAL OBJECTIVES

Apply

Comprehend Remember

list, recite explain, paraphrase

calculate, solve, determine, apply

Analyze compare, contrast, classify,

categorize, derive, model

Synthesize create, construct, design, improve, produce, propose

Evaluate judge, critique, justify,

verify, assess, recommend

Presentation: KamInfo.ID 5

E-Government Summit – Jakarta 6 September 2016

http://www.menpan.go.id/berita-terkini/120-info-terkini/5590-paparan-e-government-summit-2016-hotel-bidakara-jakarta-6-september-2016

1.  Arsip Nasional (ANRI), 2.  Badan Kepegawaian Negara (BKN) | Best Practices e-Government Manajemen ASN, 3.  Badan Kepegawaian Negara (BKN), 4.  BPKP | Pengembangan SIMA HP menuju e-Government 5.  Badan Pengawas Obat dan Makanan (BPOM), 6.  Deputi Bidang Kelembagaan dan Tata Laksana - Kementerian PANRB, 7.  Prof. Eko Prasojo | The Role of Leadership and Key Success Factors in E-government 8.  KOICA | IT Capacity Building for Government Officials, 9.  Kementerian Kesehatan (KEMENKES), 10.  Kementerian Koordinator Bidang Pembangunan Manusia dan Kebudayaan (KEMENKOPMK), 11.  Kementerian Pekerjaaan Umum dan Perumahana Rakyat (KEMENPUPR) 12.  Kementerian Sekretariat Negara (KEMENSETNEG), 13.  Lembaga Administrasi Negara (LAN), 14.  Tae-Ho Youn KOICA | Indonesia Need Own Competitive e-Government Strategy, 15.  Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP), 16.  Badan Kependudukan dan Keluarga Berencana Nasional (BKKBN),

Implementation Target of E-Government

19

1. Satisfaction: improving access; shorting interaction2. Customization: services based on the needs of the

community Social development based on the expertise and capabilities of ICT

3. Proactive interaction with the public and democratic participation in decision-making

Public Service Quality

1. Improve productivity and skills of civil servants2. Improve collaboration and knowledge-sharing among all

levels of the government agencies3. Sharpen the formulation of Standard Operating Procedure in

the government

Effective and efficient

government

1. Bureaucratic reforms towards a better good governance2. Increased transparency and accountability3. Increased productivity performance

Bureaucracy reform

COBIT 5

SNI ISO 38500

Internal Control Framework COSO

HUBUNGAN ANTAR KERANGKA

PP60/2008 Sistem Pengendalian Intern

Pemerintah

Tata

Kel

ola

Tata

Kel

ola

TI

Man

ajem

en T

I

Panduan Umum Tata Kelola TIK Nas +

Kuesioner Evaluasi Pengendalian Intern TIK

SNI ISO 27001 SNI ISO 20000 SNI ISO 15408

RISK VS CONTROL

CHAPTER 2 COBIT 5 PRINCIPLES APPLIED TO INFORMATION

17

Enterprises have many stakeholders, and ‘creating value’ means different—and sometimes conflicting—things to each of them. Governance is about negotiating and deciding amongst different stakeholders’ value interests. By consequence, the governance system should consider all stakeholders when making benefit, risk and resource assessment decisions. For each decision, the following questions should be asked:

Stakeholder needs must be transformed into the enterprise’s actionable strategy. The COBIT 5 goals cascade is the mechanism to translate stakeholder needs into specific, actionable and customised enterprise goals, IT-related goals and enabler goals. This translation allows the enterprise to set specific goals at every level and in every area, in support of the overall goals and stakeholder requirements.

Figure 6 shows an extension of the generic COBIT 5 goals cascade. The three steps in the goals cascade are explained in the following paragraphs.

Figure 6—COBIT 5 Goals Cascade for the Enterprise

STEP A. GOVERNANCE OBJECTIVE INFLUENCES ENTERPRISE GOALSStakeholder needs are influenced by a number of drivers, e.g., strategy changes, a changing business or regulatory environment and new technologies.

Stakeholder needs can be related to a set of generic enterprise goals. These enterprise goals have been developed using the balanced scorecard (BSC)2 dimensions, and they represent a list of commonly used goals that an enterprise may define for itself. Although this list is not exhaustive, most enterprise-specific goals can be mapped easily onto one or more of the generic enterprise goals.

Stakeholder Needs

Supported by

Drivers (environment, technology evoluton,…) for theGovernance Objective of Value Creation

Supported by

Enterprise Goals

Supported by

Enterprise Value Chain (example representation of an enterprise)

Business information is managedby the IT function enablers

Function Goals (to be defined for each enterprise)

Enablers for the Procurement Function

Enablers for the Human Resources Function

Enablers for the IT Function

Seefigures 7 and 60

See examples infigures 9 and 61


InboundLogistics

Principles,Policies andFrameworks

OrganisationalStructures Processes

People, Skillsand

Competencies

Culture,Ethics andBehaviour

Services,Infrastructure

and ApplicationsInformation


OrganisationalStructures Processes

People, Skillsand

Competencies





OrganisationalStructures

ProcessesPeople, Skills

andCompetencies




Operations OutboundLogistics

Marketingand Sales Services

IT HumanResources Infrastructure Procurement

Step A

Step B

Step C

Supportedby

Supportedby


Seefigure 10 Supported by

2 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996

Personal Copy of: Dr. Sarwono Sutikno

Enabling Information

Personal Copy of: Dr. Sarwono Sutikno

DEMO

Silakan masuk dengan android anda ke: www.google.com/maps/timeline Dimana android anda pada Sabtu yang lalu? Apa komentar anda? (jika app maps perlu update, silakan)

SNI ISO/IEC 27001:2013

RSNI2 ISO/IEC 27001:2015

3 dari 26

b) mencakup sasaran keamanan informasi (lihat 6.2) atau menyediakan kerangka kerja

untuk menetapkan sasaran keamanan informasi; c) mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan

keamanan informasi; dan d) mencakup komitmen untuk perbaikan berkelanjutan terhadap SMKI. Kebijakan keamanan informasi harus: e) disediakan sebagai informasi yang terdokumentasi; f) dikomunikasikan dalam organisasi; dan g) disediakan untuk pihak yang berkepentingan, jika diperlukan. 5.3 Peran organisasi, tanggung jawab dan wewenang Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk peran-peran yang relevan dengan keamanan informasi ditetapkan dan dikomunikasikan. Manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk: a) memastikan bahwa SMKI sesuai dengan persyaratan dari Standar ini; b) melaporkan kinerja SMKI kepada manajemen puncak. CATATAN Manajemen puncak juga dapat menetapkan tanggung jawab dan wewenang untuk melaporkan kinerja SMKI dalam organisasi. 6 Perencanaan

6.1 Tindakan untuk menangani risiko dan peluang 6.1.1 Umum Ketika merencanakan SMKI, organisasi harus mempertimbangkan permasalahan yang dimaksud dalam 4.1 dan persyaratan yang dimaksud dalam 4.2 serta menentukan risiko dan peluang yang perlu ditangani untuk: a) memastikan SMKI dapat mencapai manfaat yang diharapkan; b) mencegah, atau mengurangi, efek yang tidak diinginkan; c) mencapai perbaikan yang berkelanjutan. Organisasi harus merencanakan: d) tindakan untuk menangani risiko dan peluang; dan

e) bagaimana cara:

1) mengintegrasikan dan menerapkan tindakan ke dalam proses SMKI; dan

Presentation: KamInfo.ID 21 21

KEAMANAN INFORMASI VERSI ISACA

Information security is a business enabler that is strictly bound to stakeholder trust, either by addressing business risk or by creating value for an enterprise, such as competitive advantage. At a time when the significance of information and related technologies is increasing in every aspect of business and public life, the need to mitigate information risk, which includes protecting information and related IT assets from ever-changing threats, is constantly intensifying.

ISACA defines information security as something that: Ensures that information is readily available (availability), when required, and protected against disclosure to unauthorised users (confidentiality) and improper modification (integrity).


KEAMANAN INFORMASI

......... pemerintah negara Indonesia yang melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial........

Pemanfaatan INFORMASI sebagai darah nadi kehidupan bangsa dalam perspektif Pertumbuhan Ekonomi untuk Kesejahteraan Rakyat


KEAMANAN NASIONAL

......... pemerintah negara Indonesia yang melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia dan untuk memajukan kesejahteraan umum, mencerdaskan kehidupan bangsa, dan ikut melaksanakan ketertiban dunia yang berdasarkan kemerdekaan, perdamaian abadi dan keadilan sosial........

Pemanfaatan INFORMASI sebagai darah nadi kehidupan bangsa dalam perspektif Pertumbuhan Ekonomi untuk Kesejahteraan Rakyat

RISK-BASED CATEGORIZATION CONTROL

The CSX Liaison reports to the chapter president.


IMPLEMENTING FRAMEWORKS TO POPULATE BMIS

ISO 27031

COBIT 5 Enabling Process

29


PENDEKATAN KAMI Penyusunan Master Plan TI merupakan rangkaian tahapan assessment, visioning, design dan roadmap. Beberapa framework dijadikan rujukan dalam assessment dan penyusunan cetak biru berbasis enterprise architecture.

32

SARAN

• Strategis dan Kebijakan • Kaji manfaat dan risiko informasi • Sumber daya manusia diutamakan • Kaji risiko dan manfaat perangkat teknologi, manusia, process dan organisasi

• Q&A • isaca.org/cyber • ISACA Cybersecurity Teaching Materials

E gov keamanan informasi 3 okt 2016 - kpk

Education

Transcript of E gov keamanan informasi 3 okt 2016 - kpk