Manajemen Keamanan Informasi

Dipaparkan oleh Lembaga Sandi Negara

Jakarta,

11 November 2015

RAPAT KERJA NASIONAL LPSE 2015

Definisi TIK

• Teknologi Informasi & Komunikasi

• Terdiri dari dua aspek yaitu Teknologi Informasi dan Teknologi Komunikasi.

• Teknologi Informasi dan Komunikasi, sering disingkat TIK atau ICT (information and communication technology). Ada juga yang menyebut dengan istilah “telematika” yaitu singkatan dari telekomunikasi dan informatika.

• Haag dan Keen (1996) : TI adalah seperangkat alat yang membantu dan melakukan tugas-tugas yang berhubungan dengan pemrosesan informasi.

• Martin (1999) : Teknologi informasi tidak hanya terbatas pada teknologi komputer, melainkan juga mencakup teknologi komunikasi.

Definisi TIK (2)

• Teknologi Informasi adalah segala hal yang berkaitan dengan proses manipulasi dan pemrosesan informasi. Sedangkan Teknologi Komunikasi adalah segala hal yang berkaitan dengan proses menyampaikan informasi dari pengirim ke penerima.

• Secara garis besar, teknologi informasi & komunikasi diartikan sebagai teknologi untuk memperoleh, mengolah, menyimpan, dan menyebarkan berbagai jenis file informasi dengan memanfaatkan komputer dan telekomunikasi.

[Sumber: Bahan Ajar TIK – TIK Dalam Bidang Pemerintahan]

Pemanfaatan TIK

• E- Banking (Perbankan)

• E- Commerce (Bisnis)

• E- Government (Pemerintahan)

• dsb

Latar Belakang (Kerawanan & Penyalahgunaan TIK)

Statistik Kerawanan TIK

Kerawanan TIK meningkat dari tahun ke tahun

Sumber :

http://www.zone-h.org/ stats/ymd

• Setiap hari, terdapat 20-50 buah situs instansi pemerintah RI dibobol oleh hacker. • Tujuan : pencurian informasi, akses info secara tidak sah, tindakan

iseng/tidak bertanggung jawab

http://www.zone-h.org/archive

Latar Belakang (Kerawanan & Penyalahgunaan TIK)

Kasus Wikileaks

Wikileaks banyak mendapatkan informasi rahasia (melalui hacking) dg tujuan menciptakan transparansi utk memerangi korupsi dan kejahatan kemanusiaan

Kerugian : Penyebaran informasi kawat diplomatik rahasia, termasuk Indonesia

Risiko Kerawanan & Penyalahgunaan TIK • Dicuri

• Diubah isi/konten-nya

• Disebar luaskan tanpa izin

• Disalah gunakan

• Diakses/dibuka tanpa izin

• dsb ..

Klasifikasi Ancaman Keamanan pada TIK

• Interception • Informasi diketahui oleh pihak yang tidak sah

• Ancaman terhadap : Kerahasiaan

• Contoh : penyadapan

• Interruption • Menghilangkan informasi sehingga tidak dapat diakses oleh

penerima

• Ancaman terhadap : Ketersediaan

• Contoh : penyadapan

Sumber Tujuan

Sumber Tujuan

Klasifikasi Ancaman Keamanan pada TIK

• Modification • Mengubah informasi sehingga penerima menerima

informasi yang salah / tidak valid

• Ancaman terhadap : Integritas

• Contoh : perusakan website

• Fabrication • Penerima menerima informasi yang seakan-akan

dikirim oleh pengirim yang sah

• Ancaman terhadap : Otentikasi

• Contoh : perusakan website

Sumber Tujuan

Sumber Tujuan

Sumber Serangan Keamanan TIK

Serangan

Denial of Service

Aktivitas hacking

Program komputer

berbahaya (malware)

Kesimpulan Diperlukan Kerangka Keamanan Teknologi Informasi dan Komunikasi

Strategi

Kebijakan

Pedoman

1. Tetapkan strategi keamanan informasi

2. Buat kebijakan keamanan informasi

3. Buat penjabaran kebijakan dalam bentuk pedoman keamanan informasi

Bagaimana memulainya?

• Mulai dari identifikasi risiko keamanan • Fokuskan pada nilai informasi yang tinggi dengan tingkat kerentanan yang

besar

Nilai Informasi

Tingkat Kerentanan

Prioritas

Contoh : Penanganan Virus Komputer

1. Strategi Melaksanakan tata kelola infrastruktur TIK dengan mengedepankan

aspek fungsionalitas dan keamanan. 2. Kebijakan Setiap bagian dari infrastruktur TIK instansi, termasuk komputer

personal harus menggunakan/terinstalasi aplikasi Antivirus. 3. Pedoman Pedoman instalasi dan penggunaan aplikasi Antivirus : - Instalasi aplikasi - Cara update aplikasi Antivirus - Cara menangani komputer atau file yang terinfeksi virus

Langkah Selanjutnya

Strategi

Kebijakan

Pedoman

Teknologi Pengamanan TIK

Proses/Pelaksanaan Pengamanan TIK

Pengembangan :

+

Proses / Pelaksanaan Pengamanan TIK

1. Melaksanakan program pendidikan/pelatihan dan sosialisasi/kampanye internal keamanan TIK

2. Implementasi pengamanan TIK

3. Kontrol / pengawasan terhadap implementasi pengamanan TIK

Teknologi Pengamanan TIK

Perangkat Pencegah Kriptografi

Firewall

Perangkat penganalisis kerentanan

Perangkat Pendeteksi Antivirus

Intrusion Detection System (sistem pendeteksi penyusupan)

Teknologi Pengamanan TIK Kriptografi

Teknologi Pengamanan TIK Firewall

Tips & Contoh Pengamanan TIK

Gunakan aplikasi Antivirus

Gunakan aplikasi firewall untuk setiap komputer yang terhubung dengan internet

Jangan download file .exe secara langsung dari Internet.

Jangan membuka semua file yang mencurigakan dari Internet.

Simpan file dokumen dalam format RTF (Rich Text Format/ .rtf) bukan .doc.

Selektif dalam mengunduh attachment file dari email.

Kontak administrator jika “merasa” komputer Anda kena gangguan virus.

Tips & Contoh Pengamanan TIK

Penggunaan Password Password : alat paling umum untuk membatasi akses ke sistem TIK Password yang efektif : Bukan susunan huruf/kata yang mudah ditebak Bukan Nama Dirahasiakan Mudah diingat Kombinasi dari huruf (besar/kecil) dan angka Diubah secara berkala

Kebutuhan Pengamanan Dokumen e-Procurement

Teknologi Keamanan Authentication Confidentiality Integrity Non-Repudiation

Anti Virus √

Firewall √ √

Access Control √ √

Encryption √

Public Key Infrastructure √ √ √ √

Public Key Infrastructure dalam rangka keamanan informasi bertujuan: • Menjaga kerahasiaan, integritas dan ketersediaan informasi organisasi. • Dalam e-Procurement para pihak yang bertransaksi harus yakin bahwa transaksi ini aman, dapat

diverifikasi, terotorisasi, dan diakui secara hukum.

Sertifikat Elektronik

Adi Budiman

Otoritas Sertifikat Digital Pengadaan

Barang/Jasa Secara Elektronik

Sertifikat Elektronik sebagai kerangka untuk pengamanan sistem elektronik :

• Enkripsi

• Tanda tangan elektronik

• Identitas Digital

Undang-Undang ttg ITE

(No.11/2008)

Peraturan Pemerintah ttg PSTE

(No.82/2012)

ISO 27001

Kesesuaian terhadap Peraturan (Transaksi Elektronik, termasuk e-Procurement)

BAB IV

PENYELENGGARAAN TRANSAKSI ELEKTRONIK

Bagian Kedua

Persyaratan Penyelenggaraan Transaksi Elektronik

Pasal 41

1. Penyelenggaraan Transaksi Elektronik dalam lingkup publik atau privat yang menggunakan Sistem Elektronik untuk kepentingan pelayanan publik wajib menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik.

Tujuan : - Memastikan tata kelola yang baik

- Meningkatkan keamanan sistem

Catatan : Peraturan Pemerintah No.82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik)

Program Lembaga Sandi Negara Terkait dengan Implementasi Sertifikat Elektronik

Penyelenggaraan Sertifikasi Elektronik :

1) Otoritas Sertifikat Digital Pengadaan Secara Elektronik (OSD PSE)

2) Otoritas Sertifikat Digital Layanan Universal (OSD LU)

Aplikasi Berbasis Sertifikat Elektronik :

1) Sistem Pengamanan Komunikasi Dokumen pada Layanan Pengadaan Secara Elektronik

2) Aplikasi Keamanan untuk e-Tax Invoice pada Ditjen Pajak, Kemenkeu

3) Modul Pengamanan pada Sistem Informasi & Koordinasi Dewan Ketahanan Nasional (Wantannas)

Sekian &

Terima Kasih