RAPAT KERJA NASIONAL LPSE 2015 Manajemen Keamanan … · •Teknologi Informasi adalah segala hal...
Transcript of RAPAT KERJA NASIONAL LPSE 2015 Manajemen Keamanan … · •Teknologi Informasi adalah segala hal...
Manajemen Keamanan Informasi
Dipaparkan oleh Lembaga Sandi Negara
Jakarta,
11 November 2015
RAPAT KERJA NASIONAL LPSE 2015
Definisi TIK
• Teknologi Informasi & Komunikasi
• Terdiri dari dua aspek yaitu Teknologi Informasi dan Teknologi Komunikasi.
• Teknologi Informasi dan Komunikasi, sering disingkat TIK atau ICT (information and communication technology). Ada juga yang menyebut dengan istilah “telematika” yaitu singkatan dari telekomunikasi dan informatika.
• Haag dan Keen (1996) : TI adalah seperangkat alat yang membantu dan melakukan tugas-tugas yang berhubungan dengan pemrosesan informasi.
• Martin (1999) : Teknologi informasi tidak hanya terbatas pada teknologi komputer, melainkan juga mencakup teknologi komunikasi.
Definisi TIK (2)
• Teknologi Informasi adalah segala hal yang berkaitan dengan proses manipulasi dan pemrosesan informasi. Sedangkan Teknologi Komunikasi adalah segala hal yang berkaitan dengan proses menyampaikan informasi dari pengirim ke penerima.
• Secara garis besar, teknologi informasi & komunikasi diartikan sebagai teknologi untuk memperoleh, mengolah, menyimpan, dan menyebarkan berbagai jenis file informasi dengan memanfaatkan komputer dan telekomunikasi.
[Sumber: Bahan Ajar TIK – TIK Dalam Bidang Pemerintahan]
Pemanfaatan TIK
• E- Banking (Perbankan)
• E- Commerce (Bisnis)
• E- Government (Pemerintahan)
• dsb
Statistik Kerawanan TIK
Kerawanan TIK meningkat dari tahun ke tahun
Sumber :
http://www.zone-h.org/ stats/ymd
• Setiap hari, terdapat 20-50 buah situs instansi pemerintah RI dibobol oleh hacker. • Tujuan : pencurian informasi, akses info secara tidak sah, tindakan
iseng/tidak bertanggung jawab
http://www.zone-h.org/archive
Latar Belakang (Kerawanan & Penyalahgunaan TIK)
Kasus Wikileaks
Wikileaks banyak mendapatkan informasi rahasia (melalui hacking) dg tujuan menciptakan transparansi utk memerangi korupsi dan kejahatan kemanusiaan
Kerugian : Penyebaran informasi kawat diplomatik rahasia, termasuk Indonesia
Risiko Kerawanan & Penyalahgunaan TIK • Dicuri
• Diubah isi/konten-nya
• Disebar luaskan tanpa izin
• Disalah gunakan
• Diakses/dibuka tanpa izin
• dsb ..
Klasifikasi Ancaman Keamanan pada TIK
• Interception • Informasi diketahui oleh pihak yang tidak sah
• Ancaman terhadap : Kerahasiaan
• Contoh : penyadapan
• Interruption • Menghilangkan informasi sehingga tidak dapat diakses oleh
penerima
• Ancaman terhadap : Ketersediaan
• Contoh : penyadapan
Sumber Tujuan
Sumber Tujuan
Klasifikasi Ancaman Keamanan pada TIK
• Modification • Mengubah informasi sehingga penerima menerima
informasi yang salah / tidak valid
• Ancaman terhadap : Integritas
• Contoh : perusakan website
• Fabrication • Penerima menerima informasi yang seakan-akan
dikirim oleh pengirim yang sah
• Ancaman terhadap : Otentikasi
• Contoh : perusakan website
Sumber Tujuan
Sumber Tujuan
Sumber Serangan Keamanan TIK
Serangan
Denial of Service
Aktivitas hacking
Program komputer
berbahaya (malware)
Kesimpulan Diperlukan Kerangka Keamanan Teknologi Informasi dan Komunikasi
Strategi
Kebijakan
Pedoman
1. Tetapkan strategi keamanan informasi
2. Buat kebijakan keamanan informasi
3. Buat penjabaran kebijakan dalam bentuk pedoman keamanan informasi
Bagaimana memulainya?
• Mulai dari identifikasi risiko keamanan • Fokuskan pada nilai informasi yang tinggi dengan tingkat kerentanan yang
besar
Nilai Informasi
Tingkat Kerentanan
Prioritas
Contoh : Penanganan Virus Komputer
1. Strategi Melaksanakan tata kelola infrastruktur TIK dengan mengedepankan
aspek fungsionalitas dan keamanan. 2. Kebijakan Setiap bagian dari infrastruktur TIK instansi, termasuk komputer
personal harus menggunakan/terinstalasi aplikasi Antivirus. 3. Pedoman Pedoman instalasi dan penggunaan aplikasi Antivirus : - Instalasi aplikasi - Cara update aplikasi Antivirus - Cara menangani komputer atau file yang terinfeksi virus
Langkah Selanjutnya
Strategi
Kebijakan
Pedoman
Teknologi Pengamanan TIK
Proses/Pelaksanaan Pengamanan TIK
Pengembangan :
+
Proses / Pelaksanaan Pengamanan TIK
1. Melaksanakan program pendidikan/pelatihan dan sosialisasi/kampanye internal keamanan TIK
2. Implementasi pengamanan TIK
3. Kontrol / pengawasan terhadap implementasi pengamanan TIK
Teknologi Pengamanan TIK
Perangkat Pencegah Kriptografi
Firewall
Perangkat penganalisis kerentanan
Perangkat Pendeteksi Antivirus
Intrusion Detection System (sistem pendeteksi penyusupan)
Tips & Contoh Pengamanan TIK
Gunakan aplikasi Antivirus
Gunakan aplikasi firewall untuk setiap komputer yang terhubung dengan internet
Jangan download file .exe secara langsung dari Internet.
Jangan membuka semua file yang mencurigakan dari Internet.
Simpan file dokumen dalam format RTF (Rich Text Format/ .rtf) bukan .doc.
Selektif dalam mengunduh attachment file dari email.
Kontak administrator jika “merasa” komputer Anda kena gangguan virus.
Tips & Contoh Pengamanan TIK
Penggunaan Password Password : alat paling umum untuk membatasi akses ke sistem TIK Password yang efektif : Bukan susunan huruf/kata yang mudah ditebak Bukan Nama Dirahasiakan Mudah diingat Kombinasi dari huruf (besar/kecil) dan angka Diubah secara berkala
Kebutuhan Pengamanan Dokumen e-Procurement
Teknologi Keamanan Authentication Confidentiality Integrity Non-Repudiation
Anti Virus √
Firewall √ √
Access Control √ √
Encryption √
Public Key Infrastructure √ √ √ √
Public Key Infrastructure dalam rangka keamanan informasi bertujuan: • Menjaga kerahasiaan, integritas dan ketersediaan informasi organisasi. • Dalam e-Procurement para pihak yang bertransaksi harus yakin bahwa transaksi ini aman, dapat
diverifikasi, terotorisasi, dan diakui secara hukum.
Sertifikat Elektronik
Adi Budiman
Otoritas Sertifikat Digital Pengadaan
Barang/Jasa Secara Elektronik
Sertifikat Elektronik sebagai kerangka untuk pengamanan sistem elektronik :
• Enkripsi
• Tanda tangan elektronik
• Identitas Digital
Undang-Undang ttg ITE
(No.11/2008)
Peraturan Pemerintah ttg PSTE
(No.82/2012)
ISO 27001
Kesesuaian terhadap Peraturan (Transaksi Elektronik, termasuk e-Procurement)
BAB IV
PENYELENGGARAAN TRANSAKSI ELEKTRONIK
Bagian Kedua
Persyaratan Penyelenggaraan Transaksi Elektronik
Pasal 41
1. Penyelenggaraan Transaksi Elektronik dalam lingkup publik atau privat yang menggunakan Sistem Elektronik untuk kepentingan pelayanan publik wajib menggunakan Sertifikat Keandalan dan/atau Sertifikat Elektronik.
Tujuan : - Memastikan tata kelola yang baik
- Meningkatkan keamanan sistem
Catatan : Peraturan Pemerintah No.82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik)
Program Lembaga Sandi Negara Terkait dengan Implementasi Sertifikat Elektronik
Penyelenggaraan Sertifikasi Elektronik :
1) Otoritas Sertifikat Digital Pengadaan Secara Elektronik (OSD PSE)
2) Otoritas Sertifikat Digital Layanan Universal (OSD LU)
Aplikasi Berbasis Sertifikat Elektronik :
1) Sistem Pengamanan Komunikasi Dokumen pada Layanan Pengadaan Secara Elektronik
2) Aplikasi Keamanan untuk e-Tax Invoice pada Ditjen Pajak, Kemenkeu
3) Modul Pengamanan pada Sistem Informasi & Koordinasi Dewan Ketahanan Nasional (Wantannas)