Information System Security - Konsep Manajemen Keamanan
25
Information System Security Pertemuan ke-2, Konsep Manajemen Keamanan. Dudy Fathan Ali, 2013.
-
Upload
dudy-ali -
Category
Technology
-
view
128 -
download
2
Transcript of Information System Security - Konsep Manajemen Keamanan
Information System SecurityPertemuan ke-2, Konsep Manajemen Keamanan. D
udy
Fath
an A
li, 2
013.
Konsep Manajemen Keamanan• Suatu konsep yang terkait dengan penerapan /
implementasi dari metode-metode keamanan agar tercapai suatu tujuan yang sudah didefinisikan pada Prinsip Manajemen Keamanan.
Dud
y Fa
than
Ali,
201
3.
Privacy• Suatu hal yang masih terkait dengan
Confidentiality (kerahasiaan).• 3 Rumusan Privacy :• Pencegahan dari akses yang tidak berhak.• Bebas dari akses yang tidak berhak terhadap data
yang bersifat pribadi atau rahasia.• Bebas dari observasi, pengawasan atau
pemeriksaan tanpa ijin.
Dud
y Fa
than
Ali,
201
3.
Identification• Identifikasi adalah proses dimana suatu subyek
(pengguna maupun sistem) dikenali dan dimulainya pertanggungjawaban. Subyek harus memberikan identitas pada sistem untuk memulai proses otentikasi, otorisasi, dan pertanggungjawaban.
• Pemberian identitas dapat berupa penulisan username, penggesekan smartcard, penggunaan token, ungkapan dengan suara, pemotretan wajah, sidik jadi atau lainnya. D
udy
Fath
an A
li, 2
013.
Authentication• Otentikasi merupakan suatu proses untuk
memverifikasi atau menguji suatu klaim terhadap identitas dianggap valid. Metode otentikasi yang paling umum digunakan adalah password.
• Otentikasi digunakan untuk memverifikasi identitas terhadap informasi yang bersifat rahasia. Kemampuan suatu sistem dalam melakukan otentikasi dapat dianggap mewakili tingkat keamanan suatu sistem.
Dud
y Fa
than
Ali,
201
3.
Authorization• Otorisasi memastikan bahwa hak yang diberikan
pada suatu aktivitas yang diminta atau akses terhadap suatu obyek dapat diberikan sesuai dengan identitas yang telah diverifikasi.
• Otorisasi diberikan berdasarkan suatu matriks yang dibuat berdasarkan identifikasi, otentikasi, subyek, obyek dan aktifitas yang dapat diijinkan.
• Contoh : Seorang pengguna telah menjalani proses otentikasi dengan baik namun tidak dapat melakukan pengeditan terhadap suatu data dikarenakan pengguna tersebut tidak diberikan hak untuk melakukan proses pengeditan, hanya pembacaan data saja.
Dud
y Fa
than
Ali,
201
3.
Auditing• Audit atau pengawasan terhadap suatu layanan atau data
berarti menyelenggarakan proses pertanggungjawaban untuk setiap aksi yang terjadi pada sistem yang telah terotentikasi.
• Audit merupakan aktivitas merekam suatu obyek atau subyek yang bertujuan menjaga kinerja sistem dan mekanisme keamanan.
• Audit dijalankan dengan membuat suatu sistem perekam kejadian dalam suatu catatan yang disebut dengan log untuk selanjutnya digunakan untuk mengevaluasi kesehatan dan kinerja sistem.
• Pengawas sistem melakukan pengawasan dengan cara membaca log untuk menurut sejarah kejadian maupun melihat apapun yang terjadi pada sistem untuk selanjutnya dapat mengevaluasi terjadinya kesalahan sistem.
Dud
y Fa
than
Ali,
201
3.
Accountability• Proses mengaitkan seorang pengguna dengan
layanan keamanan dan implementasi dari mekanisme keamanan (audit, otorisasi, otentikasi, dan identifikasi) terhadap aktivitas yang dilakukan pada suatu sistem.
Dud
y Fa
than
Ali,
201
3.
Non Repudiation• Non-repudiasi mencegah subyek melakukan
klaim bahwa subyek tidak melakukan sesuatu hal atau tidak melakukan suatu aksi bahkan subyek tidak dapat menyangkal bila telah mengakibatkan terjadinya suatu kejadian.
• Non-repudiasi tidak dapat terwujud tanpa adanya identifikasi, otentikasi, otorisasi, audit, dan akuntabilitas.
• Non-repudiasi dapat dibuat menggunakan sertifikat digital, identifikasi sesi (session identification), log transaksi, mekanisme access control dan berbagai transaksi lain.
Dud
y Fa
than
Ali,
201
3.
Mekanisme Perlindungan Keamanan• Aspek lain dari solusi keamanan adalah elemen
dari mekanisme perlindungan keamanan. Tidak semua kendali keamanan memiliki aspek ini karena ini hanya merupakan karakteristik dari kendali keamanan, namun banyak kendali keamanan untuk menjaga kerahasiaan, integritas data dan ketersediaan data menggunakan mekanisme ini.
Dud
y Fa
than
Ali,
201
3.
Layering• Penerapan pertahanan bertingkat untuk
mencegah segala ancaman keamanan yang terjadi.
• Suatu sistem didisain untuk memiliki mekanisme keamanan yang bertingkat, masing-masing tingkatan memiliki mekanisme keamanan tersendiri dan dievaluasi (verifikasi dan validasi) secara mandiri.
• 2 Metode Layering :• Seri.• Paralel.
Dud
y Fa
than
Ali,
201
3.
Layering• Metode Layering Seri• Layering secara seri memiliki tingkat keamanan
lebih karena dilakukan secara linier bertingkat dan memiliki mekanisme yang berbeda-beda pada setiap lapisnya.
• Contoh : Layering secara seri dapat diandaikan pada pemeriksaan dalam bandar udara, ketika memasuki gedung bandara, calon penumpang akan diperiksa, selanjutnya setelah melalui proses check in, sebelum penumpang memasuki ruang tunggu akan dicek kembali, bahkan bagi calon penumpang yang akan keluar negeri harus melakukan pengecekan visa dan paspor selain barang bawaan.
Dud
y Fa
than
Ali,
201
3.
Layering• Metode Layering Paralel• Layering secara paralel mengimplementasikan
pengecekan keamanan hanya dilakukan sekali namun digunakan untuk mengakses berbagai layanan dimana setiap menggunakan layanan akan menggunakan identifikasi dan otentikasi yang sama yang telah dilakukan.
• Contoh : Layering paralel dapat diandaikan dalam sebuah bangunan mall yang memiliki banyak pintu, dimana masing-masing pintu memiliki metode pengecekan yang sama dan dilakukan secara terpisah, sekali seseorang melewati pengecekan keamanan, maka ia bebas mengakes apapun yang ada di mall.
Dud
y Fa
than
Ali,
201
3.
Abstraction• Dikenal dalam pemrograman khususnya
pemrograman berorientasi obyek.• Abstraction menggunakan doktrin “black box”
yang menyatakan bahwa pengguna dari suatu obyek/komponen sistem operasi tidak perlu mengetahui detil dari bagaimana obyek tersebut bekerja, yang perlu diketahui hanya sintaks dan tipe datanya saja.
• Implementasi abstraction dalam keamanan dapat berupa kumpulan dari suatu komponen/obyek ke dalam grup, class, atau role untuk diberikan hak/larangan/izin secara kolektif.
Dud
y Fa
than
Ali,
201
3.
Data Hiding• Teknik ini digunakan untuk mencegah pengguna
menarik kesimpulan berdasarkan potongan-potongan informasi.
• Data hiding menyembunyikan informasi dari pengguna sehingga informasinya tidak dapat diperoleh oleh pihak yang tidak berhak.
Dud
y Fa
than
Ali,
201
3.
Process Isolation• Mekanisme ini biasanya terjadi pada sistem
operasi yang menyediakan tempat terpisah dalam memori untuk setiap instruksi dan data.
• 2 Keuntungan Process Isolation :• Mencegah akses data yang tidak diijinkan• Melindungi integritas dari suatu proses
Dud
y Fa
than
Ali,
201
3.
Hardware Segmentation• Mekanisme ini mengimplementasikan pemisahan
perangkat keras secara nyata bukan hanya secara logika melalui sistem operasi sebagaimana isolasi proses diatas, oleh karena itu biasanya mekanisme ini jarang dilakukan dan umumnya mengandung kerumitan tersendiri sehingga mengakibatkan mahalnya biaya untuk mengimplementasikan mekanisme ini.
• Contoh : Di implementasikan pada pengendalian keamanan negara yang terkait dengan informasi yang sangat sensitif dan pengguna yang memiliki resiko tinggi.
Dud
y Fa
than
Ali,
201
3.
Encryption• Encryption (enkripsi) adalah proses untuk
menyembunyikan informasi dari penerima yang tidak berhak.
• Dapat diterapkan pada berbagai jenis komunikasi maupun berbagai data, misalnya: audio, video, teks, dll.
• Data yang telah mengalami proses enkripsi harus di dekripsi untuk dapat dibaca kembali menggunakan kunci (key).
• Ilmu dalam melakukan proses enkripsi dan dekripsi disebut sebagai kriptografi.
Dud
y Fa
than
Ali,
201
3.
Manajemen Perubahan• Suatu perubahan pada sistem yang sudah
mengimplementasikan keamanan akan mengakibatkan terciptanya suatu celah / lubang keamanan.
• Dikarenakan sering terjadinya perubahan yang tidak dapat diperkirakan, maka perubahan dijadikan sebagai bagian yang perlu diperhatikan dalam mengamankan sistem.
• Untuk meminimalkan dampak negatif dari adanya perubahan perlu dilakukan suatu manajemen terhadap perubahan yang terjadi.
• Tujuan dari manajemen perubahan adalah memastikan agar perubahan tidak mempengaruhi keamanan.
Dud
y Fa
than
Ali,
201
3.
Manajemen Perubahan• Kriteria yang perlu diperhatikan dalam Manajemen
Perubahan :• Perubahan harus dapat diawasi dan dikendalikan
dengan baik.• Perubahan harus dapat dikembalikan ke posisi semula.• Dampak dari perubahan dapat dianalisis secara
sistematik.• Dampak negatif terhadap kinerja, fungsionalitas,
produktifitas dan kapabilitas minimum.• Perubahan harus diinformasikan sebelumnya
untukmenghindari penurunan produktifitas.• Testing yang terstruktur diperlukan untuk memastikan
perubahan sesuai dengan yang diharapkan.
Dud
y Fa
than
Ali,
201
3.
Klasifikasi Data• Klasifikasi data digunakan untuk menggolongkan
data yang memiliki tingkatan kerahasiaan sama agar pemberian hak dapat dilakukan secara murah, efektif dan efisien dengan tetap memperhatikan keamanan data.
• Keuntungan Klasifikasi Data :• Menunjukkan komitmen terhadap pengamanan
sumber daya dan aset.• Mengidentifikasi aset yang penting bagi organisasi.• Memberikan pilihan mekanisme perlindungan.• Memerlukan peraturan dan aturan hukum.• Membantu mendefinisikan tingkatan akses, jenis
otorisasi pengguna, parameter kerahasiaan.
Dud
y Fa
than
Ali,
201
3.
Klasifikasi Data• Kriteria yang digunakan untuk
mengklasifikasikan data antara lain :• Kegunaan data.• Kerahasiaan data berdasarkan waktu.• Nilai dari suatu data bagi organisasi.• Hubungan data dengan personil.• Dampak keterbukaan data dan kerusakan data bagi
perusahaan.• Restriksi data.• Perawatan dan pengawasan data.• Penyimpanan data.
Dud
y Fa
than
Ali,
201
3.
Klasifikasi Data• Berdasarkan undang-undang kebebasan informasi amerika
serikat, klasifikasi data dibagi menjadi 4 jenis dalam sektor komersial sebagai berikut :• Confidential, merupakan data yang bersifat rahasia sehingga
apabila terbuka kerahasiaannya akan mengakibatkan dampak negatif yang serius terhadap organisasi.
• Private, memiliki tingkatan keamanan data yang sama dengan confidential, hanya saja private terfokus pada data pribadi perorangan ataupun bagian dari organisasi, sehingga apabila data tersebut terbuka kerahasiaannya akan mengakibatkan dampak negatif yang serius terhadap orang tersebut maupun organisasi secara keseluruhan.
• Sensitive, merupakan data yang lebih rahasia dibandingkan klasifikasi public, data ini tidak dengan sengaja terbuka kerahasiaannya, namun ketika terbuka tidak memberikan dampak yang signifikan terhadap organisasi.
• Public, merupakan klasifikasi data dengan tingkatan terrendah dimana data yang terbuka tidak memiliki dampak negatif terhadap organisasi.
Dud
y Fa
than
Ali,
201
3.
Tugas1. Menurut anda, mengapa sebuah sistem harus
memiliki sistem keamanan?2. Apa yang dimaksud dengan Konsep Manajemen
Keamanan?3. Berikan contoh implementasi dari Konsep
Manajemen Keamanan dan jelaskan masing-masing contohnya.
4. Sebutkan dan jelaskan 3 tujuan utama dari manajemen keamanan.
5. Analisalah suatu aplikasi atau website, kemudian berikan kesimpulan apakah aplikasi sudah memenuhi 3 tujuan utama keamanan atau belum. Berikan penjelasannya.
Dud
y Fa
than
Ali,
201
3.
Dud
y Fa
than
Ali,
201
3.
Terima Kasih.Dudy Fathan Ali.Prinsip dan Konsep Keamanan, 2013.Email :- [email protected]
