Membangun Sistem Pengamanan Informasi

Di Pemerintah Daerah Kabupaten Bogor

Tag line goes here

DASAR HUKUM PENERAPAN TATA

E-GOVERNMENT

Need Security

Agar Sistem Informasi Pemerintah dapat dengan

optimal mendukung pelaksanaan

E-Government maka

pengamanan

wajib menjadi

aspek utama yang harus diimplementasikan

Need Security

Need Security

Need Security

E-GOVERNMENT SUKSES

MEMBUKA PINTU

DENGAN

Brute Force Attack

_{Man in The Middle Attack}

_{Reverse Engineering}

•

Melakukan percobaan

login dengan

menggunakan banyak

kemungkinan password

•

Dapat dimitigasi dengan

menerapkan kebijakan

permbatasan jumlah

percobaan password

• Menambah variabel

dekripsi seperti mac

address device

•

Melakukan Tapping

terhadap traffic untuk

mendapatkan username

dan password yang

kemudian dapat bertindak

sebagai user legitimate

•

Dapat dimitigasi dengan

menerapkan HTTPS dan

enkripsi data

•

Melakukan bypass setelah

atau ketika proses dekripsi

file berjalan

•

Dapat juga dilakukan

dengan merekonstruksi data

yang ada di temporary file

atau di memory

• Dapat dimitigasi dengan

menyimpan temporary plain

data di RAM sehingga lebih

sulit direkonstruksi

91,2%

88,2%

88,2%

70,6%

67,6%

64,7%

64,7%

52,9%

52,9%

52,9%

0% 25% 50% 75% 100%

Ketidaktersediaan Peraturan Securtiy Clearence

Ketidaktersediaan Peraturan Penanganan Insiden

Backup Berkala Tidak Dilakukan

Penyimpanan Inf. Berklasifikasi Tidak Terenkripsi

Klasifikasi Belum Ditetapkan

JRA Informasi Berklasifikasi Belum Ditetapkan

Perubahan Susunan AKS Tidak Dilakukan

Pembuatan Informasi Berklasifikasi Tidak Aman

Kegiatan sosialisasi Tidak Dilakukan

Pengawasan dan pengendalian sendiri Tidak…

GOAL

6. Menjamin informasi yang dikirim tersebut tidak

dapat dibuka dan tidak dapat diketahui pihak yang

tidak berhak.

C

CONFIDENTIALIT

Y

I

INTEGRITY

A

AVAILABILIT

Y

INFORMASI

Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya.

Menjamin pengguna yang valid selalu

bisa mengakses informasi dan

sumberdaya miliknya sendiri.

NEED

CIA TRIAD

C

I

Tag line goes here

22

01

RISK

ASSESSMENT

MENGETAHUI RESIKO DARI SISI TEKNIS DAN

OPERASIONAL

02

APPLICATION SECURITY ASSESSMENT

MENGETAHUI KELEMAHAN KEAMANAN APLIKASI

03

NETWORK SECURITY ASSESSMENT

MENGETAHUI CELAH KEAMANAN JARINGAN

KOMPUTER

SOURCE CODE

ANALYSIS

01

PENETRATION

TESTING

03

UJI FUNGSI

KRIPTOGRAFI

04

NETWORK

DISCOVERY

05

BUSINESS

PROCESS REVIEW

05

Lemsaneg

E-Government

Security

Support

SERTIFIKAT

DIGITAL

LEMBAGA SANDI NEGARA

Sthana Paroksharta Bhakti

SECURE GOVT

INTRA

NETWORK

IT SECURITY

ASSESSMENT

ENCRYPTION DEVICES /

APPLICATIONS

National

Algorithm

Design

Produk Karya

Mandiri

Custom Algorithm

VPN

Encryption

Leased Line

Connection

Satelite Connection

VPN Client

Secure

Data Center

Digital

Signature

SSL Server /

Client

Atuhentication

Key Exchange

Application Security

Network

1. Membuat kebijakan terkait keamanan

operasional pengelolaan informasi di

pemda Bogor

2. Melakukan hardening pada sisi

aplikasi/sistem informasi yang sudah ada

saat ini. Dengan terlebih dahulu

melakukan IT security

Assessment/Penetration Test (OWASP

compliance recomended for optimal

application security)

3. Melakukan hardening pada sisi

infrastruktur jaringan yang ada saat ini

dengan menggunakan security devices

seperti Firewall dan IPS, akses kontrol,

backup data dan redudansi jaringan

4. Melakukan monitoring terhadap threat

secara berkala

5. Mempersiapkan sistem dan mekanisme

recovery terhadap insiden

6. Melakukan evaluasi secara berkala

dalam rangka optimalisasi sistem

SECURITY REQUIREMENT

Security

Policy

Application Hardening

Network

Security Perimeter Evaluation

Recovery System

Monitoring System

24

Secure Your Users

Secure Your Server

Secure Your Network

Monitor And Manage Operational Security

(NOC)

Manage Security

Incidents

(SOC)

Memastikan user

mendapatkan

edukasi tentang

keamanan

teknologi

informasi

Memastikan

seluruh sistem

dengan perangkat

lama maupun baru

terkonfigurasi

dengan aman

Melindungi

sistem yang

terimplementasi

dengan jaringan

secure intra

network milik

pemerintah

Memastikan

sistem yang

terimplementasi

termonitor dengan

baik dan aman

dan didukung

dengan kebijakan

yang ada

Perlu adanya

prosedur,kebijaka

n yang menjadi

pedoman/yang

dapat diikuti

dalam menangani

insiden terhadap

keamanan

informasi

UNSUR PENGAMANAN INFORMASI

MENETAPKAN ASSET

PENTING / INFRASTRUKTUR KRITIS

MENGETAHUI PERMASALAHAN KEAMANAN SISTEM INFORMASI SECARA

KOMPREHENSIF

MENETAPKAN KLASIFIKASI INFORMASI

MENENTUKAN PRIORITAS PENANGANAN

PERMASALAHAN KEAMANAN SISTEM

INFORMASI

INFORMATION RISK ASSESSMENT

Risk

Level

Risiko (Risk):

Efek suatu ketidakpastian terhadap sasaran, baik aspek strategis, organisasi, proses atau produk.

Catatan:

Risiko sering dinyatakan sebagai kombinasi dari dampak (impact/consequences) suatu kejadian dan kemungkinan (likelihood) terjadinya.

Ref. ISO 27000:2014 – Overview and Vocabulary

Risiko Keamanan Informasi

(information security risk)

Potensi ancaman (threat) yang memanfaatkan suatu kelemahan

(vulnerability) dari satu atau sejumlah aset yang membahayakan

organisasi

Risk Acceptance

Keputusan untuk menerima risiko tertentu

Catatan:

Risk acceptance dapat terjadi tanpa Risk Treatment. Risiko yang diterima harus dimonitor dan direview

Risk Analysis Proses memeriksa sifat risiko dan menentukan tingkat besarnya _{risiko yang dinyatakan sebagai kombinasi dampak}

(impact/consequences) dan kemungkinan terjadinya (likelihood)

Pemilik Risiko

(Risk Owner)

Orang atau entitas yang untuk bertanggung jawab dan berwenang

mengelola risiko

Nilai Risiko = Dampak x Kemungkinan

Dampak (Impact)

Apa dampaknya bagi organisasi?

(dampak: operasional/downtime, kinerja

proses, hukum, reputasi, biaya)

Kemungkinan (Probability)

Seberapa sering ancaman muncul

dengan kontrol yang ada?

Aset

Aset apa yang akan

dilindungi?

Kelemahan

(Vulnerability)

Mengapa ancaman

dapat terjadi?

Kontrol

Apa yang sudah ada

untuk mengurangi

risiko?

Ancaman (Threat)

Apa yang dikhawatirkan

akan terjadi?

•

Data/Informasi

: Rencana pengadaan, daftar karyawan, dokumen manajemen

tata kelola TI (kebijakan, prosedur), dokumen kontrak/pengadaan, source

code, materi training, Daftar Risiko TI, hasil audit TI, rekaman implementasi

penggunaan TI, dll

•

Software

: software aplikasi, software sistem (O/S), development tools dan

utilities (AntiVirus, WinZip, dsb)

•

Hardware dan infrastruktur jaringan

: server, PC, Laptop, removable media

(hard disk, tape backup, CD, flash disk, dsb), router, firewall, Hanndphone,

Tablet, dsb/

•

Sarana pendukung

: A/C, alat pemadam kebakaran, CCTV, UPS, sumber

daya listrik, alarm kebakaran, penangkal petir,dsb

•

SDM & Pihak Ketiga

: System Administrator, programmer, Pejabat Pembuat

Komitmen/Pengambil Keputusan, vendor kritikal, dsb

RESPOND

Network Incident Response

Network Forensics

Threat Analysis Validation

Reporting and Statistics

MANAGE

Before During After

DETECT

Network

Monitoring System

Anomaly Detection

Traffing Monitoring

Bandwith Monitor

MONITOR

Network Controlling Network Policy

Fault Analysis

Assessment

Education and Awareness

ORGANIZE

PLAN

Topology

Asset Inventory and Management

Documentation

OPTIMIZE

Redundant

Back Up

Quality Of Service

RUN

Proxy

Load Balance

Network Acess Logging

Security Policy

Process Inventory

Asset Inventory and Management

Assessment

Change

Management Education and

Awareness Dashboard and

Reporting

ORGANIZE

PLAN BUILD

Network Segmentation

Secure Access And Control

Centralized Anti Virus

Patch Management

Encryption

Virtualization

Secure Storage

Portable Media Security

Physical Security

Whitelisting and Blacklisting

IPS and Signatures

DEFEND

DETECT

Security Log Collection and

Management

Proactive Monitoring

Security Monitoring

Anomaly Detection

Malware Detection

Intrusion Detection

Location Awareness

MONITOR

RESPOND

Incident Response

Forensics

Disaster Recovery

Backup and Restore

Before During After

HARDEN

24 x 7 Knowledge Center

SOC - LEMSANEG

Threats Identification

1

2

Managing the Log

Monitoring of Security Environments

for Security Events

3

Reaction to Threats

Incident Management

Reporting

4

5

6

SECURITY OPERATING CENTER

24/7 Security Monitoring

Better Security Management Improve Security Posture

Preventing Future Security Incident Regulatory Compliance

ATTACK

IP spoofing

Gaining

access

Server

spoofing

DNS

poisoning

Man in the

Midle

Server

spoofing

etc

Ancaman

Fungsi

SOC

SOC

Penda Bogor membangun sistem informasi dan jaringan

dengan mengedepankan kaidah keamanan

Application Development

Lemsaneg Memberikan Dukungan Terhadap Fungsi

Authentikasi, Enkripsi dan Signing File dari Aplikasi yang pemda Bogor bangun

Kostumisasi Fungsi

Lemsaneg melakukan IT Security Assessmnet terhadap

Aplikasi Sistem Informasi dan Infrastruktur yang dibangun dan memberikan rekomendasi terkait miitigasi celah

keamanan yang ditemukan.

IT Security Assessment

Lemsaneg memberikan rekomendasi terkait Desain Arsitekur Keamanan Aplikasi dan Desain Keamanan Jaringan yang

dapat digunakan Pemda Bogor sebagai referensi dalam membangun keamanan Sistem Informasi di Pemda Bogor

System Design

Lemsaneg memberikan asistensi tekait implementasi

pembangunan / pengembangan sistem (aplikasi dan jaringan) terkait aspek security

Asistensi Implementasi

Pemda Bogor membuat kebijakan terkait operasional dan keamanan Sistem Informasi sesuai dengan kebutuhan.

Policy Making

33

TERIMA KASIH