Sistem informasi manajemen keamanan informasi
45
BAB 9 KEAMANAN INFORMASI
-
Upload
harisno-al-anshori -
Category
Science
-
view
333 -
download
16
description
ppt
Transcript of Sistem informasi manajemen keamanan informasi
BAB 9KEAMANAN INFORMASI
Tujuan belajar
setelah mempelajari bab ini diharapkan :
1. memahami kebutuhan organisasi akan keamanan dan
pengendalian
2. memahami bahwa keamanan informasi berkaitan
dengan keamanan semua sumber daya informasi,bukan
hanya peranti keras dan data
3. memahami tiga tujuan utama keamanan informasi
4. Memahami bahwa manajemen keamanan informasi
terdiri dari 2 area : manajemen keamanan informasi dan
manajemen keberlangsungan bisnis
5. melihat hubungan yang logis antara
ancaman,risiko,dan pengendalian
6. memahami apa saja ancaman keamanan yang utama
7. memahami apa saja risiko keamanan yang utama
8. memahami berbagai kekhawatiran keamanan e-
commerce dan bagaimana perusahaan-perusahaan kartu
kredit mengatasinya
8. Mengenali cara formal melakukan manajemen risiko
9. mengetahui proses implementasi kebijakan keamanan
informasi
10. mengenali cara-cara pengendalian keamanan yang
populer
11. mengetahui tindakan-tindakan pemerintah dan
kalangan industri yang memengaruhi keamanan
informasi
12. mengetahui cara mendapatkan sertifikasi profesional
dalam keamanan dan pengendalian
13. mengetahui jenis-jenis rencana yang termasuk
dalam perencanaan kontinjensi
PENDAHULUAN
semua organisasi memiliki kebutuhan untuk menjaga agar
sumber daya informasi mereka aman. Kalangan industri telah
lama menyadari kebutuhan untuk menjaga kemananan dari para
kriminal komputer, dan sekarang pemerintah telah mempertinggi
tingkat keamanan sebagai salah satu cara untuk memerangi
terorisme. Ketika organisasi-organisasi ini mengimplementasikan
pengendalian keamanan versus ketersediaan serta keamanan
versus hak pribadi harus diatasi.
KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIAN
dalam dunia masa kini, banyak organisasi semakin sadar
akan pentingnya menjaga seluruh sumber daya
mereka,baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam maupun luar. Sistem
komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah saat
perang vietnam ketika sejumlah instalasi komputer
dirusak oleh para pemrotes
Pemerintah federal amerika serikat sekarang menerapkan
pencegahan dan pengendalian yang serupa,melalui otoritas
patriot act ( undang-undang patriot ) dan office of homeland
security ( dinas keamanan dalam negeri ). Pendekatan-
pendekatan yang dimulai oleh kalangan industri dicontoh dan
diperluas. Ketika pencegahan federal ini diimplementasikan , dua
isu penting harus diatasi. isu yang pertama adalah keamanan
versus hak-hak individu. Tantangannya adalah bagaimana
mengimplementasikan kemananan yang cukup serta alat-alat
pengendalian yang tidak melanggar hak individu yang dijamin
oleh konstitusi.
Isu yang kedua adalah keamanan versus ketersediaan.
Isu ini amat menonjol pada bidang pelayanan medis,di
mana kekhawatiran akan privasi catatan medis individu
menjadi pusat perhatian. Keamanan catatan medis saat
ini sedang diperluas sehingga melibatkan mikrochip
yang ditanamkan pada pasien,selain data medis yang
disimpan di komputer.
KEAMANAN INFORMASIsaat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka,perhatian nyaris terfokus secara ekslusif pada perlindungan peranti keras dan data
Maka istilah keamanan sistem ( system security ) pun digunakan. Istilah keamanan informasi
( information security ) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan
non komputer,fasilitas,data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan keamanan informasi
keamanan informasi ditujukan untuk mencapai tiga
tujuan utama, yaitu :
1. kerahasiaan. Perusahaan berusaha melindungi data
dan informasinya dari pengungkapan kepada orang-
orang yang tidak berwenang
2. ketersediaan. Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
Manajemen keamanan informasi
aktivitas untuk menjaga agar sumber daya informasi
tetap aman disebut manajemen keamanan informasi.
Sedangkan aktivitas untuk menjaga agar perusahaan dan
sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan
bisnis.
CIO adalah orang yang untuk memikul tanggung jawab
atas keamanan informasi,namun kebanyakan organisasi
mulai menunjuk orang-orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini.
Jabatan direktur keamanan sistem informasi
perusahaan (corporate information system security
officer-CISSO) digunakan untuk individu di dalam
organisasi,biasanya anggota dari unit sistem
informasi,yang bertanggung jawab atas keamanan
informasi perusahaan tersebut.
MANAJEMEN KEAMANAN INFORMASI
pada bentuknya yang paling dasar,manajemen
keamanan informasi terdiri atas 4 tahap:
mengidentifikasi ancaman yang dapat menyerang
sumber daya informasi perusahaan;mendefinisikan
risiko yang dapat disebabkan oleh ancaman-ancaman
tersebut;menentukan kebijakan keamanan informasi;
serta mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut. Istilah manajemen
risiko dibuat untuk menggambarkan pendekatan
inidimana tingkat keamanan sumber daya informasi
perusahaan
Figur 9.1 strategi
keamanan
informasi
Mengidentifikasikan ancaman
Mendefinisikan risiko
Menentukan kebijakan keamanan informasi
Mengimplementasikan
pengendalian
ANCAMANancaman keamanan informasi adalah
orang,organisasi,mekanisme,atau peristiwa yang
memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Ketika kita membayangkan
ancaman keamanan informasi,adalah sesuatu yang
alami jika kita membayangkan beberapa kelompok atau
beberapa orang di luar perusahaan tersebut yang
melakukan tindakan yang disengaja.
Ancaman internal dan eksternalancaman internal mencakup bukan hanya karyawan
perusahaan,tetapi juga pekerja
temporer,konsultan,kontraktor,dan bahkan mitra bisnis
perusahaan tersebut. Ancaman internal diperkirakan
menghasilkan kerusakan yang secara potensi lebih
serius jika dibandingkan dengan ancaman
eksternal,dikarenakan pengetahuan ancaman internal
yang lebih mendalam akan sistem tersebut.
Tindakan kecelakaan dan disengaja
tidak semua ancaman merupakan tindakan disengaja
yang dilakukan dengan tujuan mencelakai. Beberapa
merupakn kecelakaan,yang disebabkan oleh orang-
orang di dalam ataupun di luar perusahaan. Sama halnya
di mana keamanan informasi harus ditujukan untuk
mencegah ancaman yang disengaja,sistem keamanan
juga harus mengeliminasi atau mengurangi
kemungkinan terjadinya kerusakan yang disebabkan
kecelakaan.
JENIS ANCAMAN
semua orang pernah mendengar mengenai virus
komputer. Sebenarnya virus hanyalah salah satu contoh
jenis peranti lunak yang menyandang nama peranti lunak
berbahaya(malicious software). Malicious software, atau
malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu sistem
dan melakukan fungsi-fungsi yang tidak diharapkan oleh
pemilik sistem. Fungsi-fungsi tersebut dapat menghapus
file atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak yang
berbahayaselain virus,terdapat pula worm,trojan,adware,
dan spyware.virus adalah program komputer yang dapat
mereplikasi dirinya sendiri tanpa dapat diamati oleh si
pengguna dan menempelkan salinan dirinya pada
program-program dan boot sector lain. Tidak seperti virus
, worm(cacing) tidak dapat mereplikasi dirinya sendiri di
dalam sistem,tapi dapat menyebarkan salinannya melalui
e-mail. Trojan horse ( kuda troya ) tidak dapat
mereplikasi ataupun mendistribusikan dirinya sendiri si
pengguna menyebarkannya sebagai suatu perangkat.
hardware memunculkan pesan-pesan iklan yang
mengganggu,dan spyware mengumpulkan data dari
mesin pengguna. Program anti spyware sering kali
menyerang cookies,yaitu file teks kecil yang di letakkan
perusahaan di hard drive pelanggan untuk mencatat
minat belanja pelanggan mereka. Menghapus cookies
menggunakan program anti spyware menciptakan
kekhawatiran di kalangan beberapa pemasar.solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang di simpan perusahaan untuk pelanggannya,tapi hanya menghapus cookies pihak ketiga yang di letakkan oleh perusahaan lain.
RISIKO
risiko keamanan informasi (information security
risk ) didefinisikan sebagai potensi output yang tidak di
harapkan dari pelanggaran keamanan informasi oleh
ancaman keamanan informasi. Semua risiko mewakili
tindakan yang terotorisasi. Risiko-risiko seperti ini
dibagi menjadi 4 jenis;pengungkapan informasi yang
tidak terotorisasi dan pencurian,penggunaan yang tidak
terotorisasi,penghancuran yang tidak terotorisasi dan
penolakan layanan,serta modifikasi yang tidak
terotorisasi.
Pengungkapan Informasi Yang Tidak Terotorisasi dan Pencurian
Suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses., hasilnya adalah hilangnya informasi atau uang.Contoh : mata-mata industri dapat memperoleh informasi mengenai kompetisi yang beharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.
Penggunaan yang tidak terotorisasi
Penggunaan ini terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
Contoh kejahatan komputer yang disebut “Hacker” yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Misalnya Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.
Modifikasi yang tidak terotorisasi
• Perubahan dapat dilakukan pada data,informasi,dan peranti lunak perusahaan.beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan salah, salah satunya adalah perubahan nilai pada catatan akademis seorang siswa.
PERSOALAN E-COMMERCE
• E-commerce: (perdagangan ektronik)memperkenalkan suatu permasalahan keamanan baru. Dan menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.
Praktik Keamanan yang Diwajibkan oleh Visa• Visa mengumumkan 10 praktik terkait keamanan
yang diharapkan perusahaan ini. Untuk diikuti oleh paritelnya. Diantaranya yaitu :
• a .memasang dan memelihara firewall• b. memperbarui keamanan• c. melakukan enkripsi pada data yang disimpan• d. melakukan ekripsi pada data yang dikirimkan• e. menggunakan dan memperbaiki peranti lunak
antivirus• F. membatasi akses data kepada orang-orang yang
ingin tahu
• g. memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data
• h. memantau akses data dengan ID unik• I. Tidak menggunakan kata sandi default yang
disediakan oleh vendor
Manajemen Risiko
• Diidentifikasikan sebagai salah satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Terdiri atas 4 langkah.
• 1. identifikasi aset bisnis yang harus dilindungi dari risiko
• 2. menyadari risikonya• 3. menentukan tingkatan dampak pada perusahaan
jika risiko benar terjadi• 4. menganalisis kelemahan perusahaan tersebut
• Tingkat keparahan dari dampak parah ini diklasifikasikan untuk membuat perusahaan bankrut atau sangat membatasi kemampuan perusahaan tersebut.
• Dampak signifikan menyebabkan kerusakan dengan biaya yang signifikan tetapi perusahaan tersebut akan selamat.
• Dampak minor,kerusakan yang mirip dengan terjadi dalam operasional sehari-hari.
Tingkat Dampak dan Kelemahan Menentukan Pengendalian
Dampak parah Dampak signifikan Dampak minor
Kelemahan tingkat tinggi
Melaksanakan analisis kelemahan.harus meningkatkan pengendalian
Melaksanakan analisis kelemahan.harus meningkatkan pengendalian.
Analisis kelemahan tidak dibutuhkan
Kelemahan tingkat menegah
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian
Melaksananakan analisis kelemahan, sebaiknya meningkatkan pengendalian
Analisis kelemahan tidak dibutuhkan
Kelemahan tingkat rendah
Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat.
Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat.
Analisis kelemahan tidak dibutuhkan.
Kebijakan Keamanan Informasi
• Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap.figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan.
• Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite akan mencangkup manajer dari wilayah dimana kebijakan akan diterapkan
• Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak yang berminat & berpengaruh oleh proyek.
• Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk memberitaukan temuannya. Serta untuk mendapatkan pandangan mengenai persyaratan kebijakan
• Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi dilaksanakan dalam unit organisasi
• Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan.
• Figur 9.3 {penyusunan kebijakan keamanan}
Fase 1Inislasi proyek
Fase 2 Penyusunan kebijakan
Fase 3 konsultasi dan persetujuan
Fase 4 Kesadaran dan pendidikan
Fase 5 Penyebarluasan kebijakan
Penetapan
Tim proyek
Komite pengawas proyek keamanan
konsultasi Pihak yang berminat dan terpengaruh
konsultasi manajemen
Pelatihan kesadaran & edukasi kebijakan
Unit organisasi
Kebijakan keamanan Unit organisasi
pengendalian
Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori yaitu :
• Teknis• Formal• Dan Informal
• PENGENDALIAN TEKHNIS(tehnical control) pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh penyusun sistem selama masa siklus penyusunan sistem.
Sistem Deteksi Gangguan
• Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.
firewall
Berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah untuk untuk masing-masing komputer.
Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.
Pengendalian Kriptografis
• Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses matematika.
• Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untuk meningkatkan keamanan e-commerence
PENGENDALIAN FORMAL
• mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan. Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya, mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang.
Pengendalian Informal
• Mencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
Meletakan manajemen keberlangsungan bisnis pada tempatnyamanajemen keberlangsungan bisnis merupakan salah
satu bidang penggunaan komputer dimana kita dapat melihat perkembangan besar. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasi ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarkan sistem pemulihan bencana yang mencangkup sistem manajemen basis data, intruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan.
Sekian Presentasi Bab 9 Terimakasih dan
Wasalamualaikum.WR.WB
