KEAMANAN INFORMASIKEAMANAN INFORMASIINFORMATION SECURITYINFORMATION SECURITY

Muhammad Hidayat, SEMuhammad Hidayat, SE

POLITEKNIK PALCOMTECHPOLITEKNIK PALCOMTECHPalembang, 17 Juni 2010Palembang, 17 Juni 2010

Keamanan InformasiKeamanan Informasi Keamanan informasi digunakan Keamanan informasi digunakan

untuk menggambarkan perlindungan untuk menggambarkan perlindungan terhadap perangkat komputer dan terhadap perangkat komputer dan non-komputer, fasilitas-fasilitas, data non-komputer, fasilitas-fasilitas, data dan informasi dari penyalahgunaan dan informasi dari penyalahgunaan oleh pihak-pihak yang tidak oleh pihak-pihak yang tidak berwenangberwenang

Tujuan Keamanan InformasiTujuan Keamanan Informasi KerahasiaanKerahasiaan

perusahaan mencari cara untuk melindungi data perusahaan mencari cara untuk melindungi data dan informasinya dari penggunaan yang tidak dan informasinya dari penggunaan yang tidak sebagaimana mestinya oleh orang-orang yang sebagaimana mestinya oleh orang-orang yang tidak memiliki otoritas menggunakannyatidak memiliki otoritas menggunakannya

KetersediaanKetersediaantujuan dibangun infrastruktur informasi tujuan dibangun infrastruktur informasi perusahaan adalah supaya data dan informasi perusahaan adalah supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakanyamemiliki otoritas untuk menggunakanya

IntegritasIntegritasseluruh sistem informasi harus memberikan atau seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakilisistem fisik yang mereka wakili

Manajemen Keamanan Manajemen Keamanan InformasiInformasi

Manajemen Keamanan Informasi Manajemen Keamanan Informasi adalah aktivitas-aktivitas yang adalah aktivitas-aktivitas yang berhubungan dengan pengamanan berhubungan dengan pengamanan sumber daya informasisumber daya informasi

Manajemen Kelangsungan Bisnis Manajemen Kelangsungan Bisnis adalah kegiatan pengamanan adalah kegiatan pengamanan sumber daya informasi perusahaan sumber daya informasi perusahaan setelah terjadi bencana setelah terjadi bencana

Manajemen Keamanan Manajemen Keamanan InformasiInformasi

Manajemen Resiko adalah Manajemen Resiko adalah pendekatan secara mendasar pendekatan secara mendasar terhadap resiko keamanan yang terhadap resiko keamanan yang dihadapi sumber-sumber informasi dihadapi sumber-sumber informasi perusahaan.perusahaan.

BenchmarkBenchmark adalah salah satu tingkat adalah salah satu tingkat kinerja yang diharapkan dapat dicapai kinerja yang diharapkan dapat dicapai dalam keamanan informasi dalam keamanan informasi perusahaanperusahaan

Manajemen Keamanan Manajemen Keamanan InformasiInformasi

Mengidentifikasiancaman

MenerapkanPengawasan

MenetapkanKebijakan Keamanan

Informasi

MengenaliResiko

MenetapkanKebijakan Keamanan

Informasi

MenerapkanPengawasan

Benchmark

Manajemen Resiko Pelaksanaan Benchmark

AncamanAncaman Ancaman InternalAncaman Internal Ancaman EksternalAncaman Eksternal

ResikoResiko Pengungkapan dan pencurianPengungkapan dan pencurian Penggunaan secara tidak sahPenggunaan secara tidak sah Pengerusakan secara tidak sah dan Pengerusakan secara tidak sah dan

penolakan pelayananpenolakan pelayanan Modifikasi tidak sahModifikasi tidak sah VirusVirus

Contoh Manajemen Contoh Manajemen InformasiInformasi

Praktik-praktik keamanan yang diterapkan visa bagi Praktik-praktik keamanan yang diterapkan visa bagi para pengecerpara pengecer

Meng-Install dan memelihara firewallMeng-Install dan memelihara firewall Menjaga agar sistem keamanan selalu up to dateMenjaga agar sistem keamanan selalu up to date Encrypt data yang tersimpanEncrypt data yang tersimpan Encrypt data yang terkirimEncrypt data yang terkirim Menggunakan dan memperbaharui perangkat Menggunakan dan memperbaharui perangkat

lunak antiviruslunak antivirus Membatasi akses data hanya untuk yang Membatasi akses data hanya untuk yang

berkepentinganberkepentingan Menggunakan ID atau pengenal khusus untuk Menggunakan ID atau pengenal khusus untuk

pengguna tertentupengguna tertentu Melacak akses data dengan ID tertentuMelacak akses data dengan ID tertentu Tidak salah dalam menggunakan paswordTidak salah dalam menggunakan pasword Menguji sistem keamanan secara teraturMenguji sistem keamanan secara teratur

Manajemen ResikoManajemen ResikoLangkah-langkah Manajemen ResikoLangkah-langkah Manajemen Resiko Identifikasi aset-aset bisnis yang harus Identifikasi aset-aset bisnis yang harus

dilindungi dari resikodilindungi dari resiko Kenali resikoKenali resiko Tentukan tingkat-tingkat dari dampak Tentukan tingkat-tingkat dari dampak

yang ditimbulkan resiko pada yang ditimbulkan resiko pada perusahaanperusahaan

Analisis kelemahan-kelemahan Analisis kelemahan-kelemahan perusahaanperusahaan

Tingkat-Tingkat ResikoTingkat-Tingkat Resiko Dampak Minor, menyebabkan Dampak Minor, menyebabkan

gangguan tertentu pada operasional gangguan tertentu pada operasional harian perusahaanharian perusahaan

Dampak Signifikan, menyebabkan Dampak Signifikan, menyebabkan kerusakan signifikan dan merugikan kerusakan signifikan dan merugikan tetapi perusahaan masih dapat tetapi perusahaan masih dapat bertahanbertahan

Dampak Parah, mengehentikan bisnis Dampak Parah, mengehentikan bisnis perusahaan atau mengurangi perusahaan atau mengurangi kemampuan operasional perusahaan.kemampuan operasional perusahaan.

Kebijakan Informasi Kebijakan Informasi KeamananKeamanan

Tanpa melihat apakah perusahaan Tanpa melihat apakah perusahaan mengikuti manajemen resiko atau mengikuti manajemen resiko atau strategi pelaksanaan strategi pelaksanaan benchmarkbenchmark,, kebijakan keamanan harus kebijakan keamanan harus diimplementasikan untuk diimplementasikan untuk mengarahkan keseluruhan programmengarahkan keseluruhan program

KontrolKontrol Kontrol adalah mekanisme yang Kontrol adalah mekanisme yang

diimplementasikan baik untuk diimplementasikan baik untuk melindungi perusahaan dari resiko melindungi perusahaan dari resiko atau untuk memperkecil dampak atau untuk memperkecil dampak resiko terhadap perusahaan.resiko terhadap perusahaan.

Kontrol TeknisKontrol Teknis Kontrol teknis adalah kontrol yang Kontrol teknis adalah kontrol yang

dibangun di dalam sistem oleh dibangun di dalam sistem oleh pengembang selama siklus hidup pengembang selama siklus hidup pengembangan sistem. Auditor pengembangan sistem. Auditor internal dalam tim proyek harus internal dalam tim proyek harus memastikan bahwa kontrol telah memastikan bahwa kontrol telah disertakan sebagai bagian dari disertakan sebagai bagian dari perancangan sistemperancangan sistem

Macam-macam Kontrol Macam-macam Kontrol TeknisTeknis

Kontrol terhadap aksesKontrol terhadap akses Sistem deteksi gangguanSistem deteksi gangguan FirewallsFirewalls Kontrol KriptografiKontrol Kriptografi Kontrol FisikKontrol Fisik

Kontrol Terhadap AksesKontrol Terhadap Akses Pengenalan otomatis penggunaPengenalan otomatis pengguna Pembuktian otomatis penggunaPembuktian otomatis pengguna Pengesahan otomatis penggunaPengesahan otomatis pengguna

Sistem Deteksi GangguanSistem Deteksi Gangguan Logika dasar dari sistem deteksi Logika dasar dari sistem deteksi

gangguan adalah bagaimana gangguan adalah bagaimana mengenali usaha-usaha yang mengenali usaha-usaha yang bertujuan mengganggu keamanan bertujuan mengganggu keamanan sebelum usaha tersebut menjadi sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan.nyata dan menimbulkan kerusakan.

Contoh: antivirusContoh: antivirus

FirewallsFirewalls Firewall bertindak sebagai suatu Firewall bertindak sebagai suatu

saringan dan penghalang yang saringan dan penghalang yang membatasi aliran data dari internet membatasi aliran data dari internet masuk dan keluar perusahaanmasuk dan keluar perusahaan

Konsep yang menjadi latar belakang Konsep yang menjadi latar belakang firewall adalah membangun satu firewall adalah membangun satu pengamanan untuk seluruh komputer pengamanan untuk seluruh komputer yang ada di jaringan perusahaan, yang ada di jaringan perusahaan, bukan seperti pengamanan lainnya bukan seperti pengamanan lainnya yang diterapkan secara terpisah pada yang diterapkan secara terpisah pada setiap komputer.setiap komputer.

Kontrol KriptografiKontrol Kriptografi Kriptografi adalah penyusunan dan Kriptografi adalah penyusunan dan

penggunaan kode dengan proses-penggunaan kode dengan proses-proses matematikaproses matematika

Kontrol FisikKontrol Fisik Adalah pengendalian yang dilakukan Adalah pengendalian yang dilakukan

secara fisik terhadap suatu secara fisik terhadap suatu gangguan.gangguan.

Kontrol FormalKontrol Formal Kontrol formal meliputi penetapan Kontrol formal meliputi penetapan

kode, dokumentasi prosedur dan kode, dokumentasi prosedur dan penerapanya, serta monitoring dan penerapanya, serta monitoring dan pencegahan perilaku yang pencegahan perilaku yang menyimpang dari peraturan-menyimpang dari peraturan-peraturan yang telah ditetapkan.peraturan yang telah ditetapkan.

Kontrol InformalKontrol Informal Pengawasan informal meliputi Pengawasan informal meliputi

aktivitas-aktivitas seperti aktivitas-aktivitas seperti menanamkan etika kepercayaan menanamkan etika kepercayaan perusahaan terhadap pegawainya, perusahaan terhadap pegawainya, memastikan bahwa pegawai memastikan bahwa pegawai memahami misi dan tujuan memahami misi dan tujuan perusahaan.perusahaan.

TERIMA KASIHTERIMA KASIH