Membangun Sistem Pengamanan Informasi
Di Pemerintah Daerah Kabupaten Bogor
Tag line goes here
DASAR HUKUM PENERAPAN TATA
E-GOVERNMENT
Need Security
Agar Sistem Informasi Pemerintah dapat dengan
optimal mendukung pelaksanaan
E-Government maka
pengamanan
wajib menjadi
aspek utama yang harus diimplementasikan
Need Security
Need Security
Need Security
E-GOVERNMENT SUKSES
MEMBUKA PINTU
DENGAN
Brute Force Attack
Man in The Middle Attack
Reverse Engineering
•
Melakukan percobaan
login dengan
menggunakan banyak
kemungkinan password
•
Dapat dimitigasi dengan
menerapkan kebijakan
permbatasan jumlah
percobaan password
• Menambah variabel
dekripsi seperti mac
address device
•
Melakukan Tapping
terhadap traffic untuk
mendapatkan username
dan password yang
kemudian dapat bertindak
sebagai user legitimate
•
Dapat dimitigasi dengan
menerapkan HTTPS dan
enkripsi data
•
Melakukan bypass setelah
atau ketika proses dekripsi
file berjalan
•
Dapat juga dilakukan
dengan merekonstruksi data
yang ada di temporary file
atau di memory
• Dapat dimitigasi dengan
menyimpan temporary plain
data di RAM sehingga lebih
sulit direkonstruksi
91,2%
88,2%
88,2%
70,6%
67,6%
64,7%
64,7%
52,9%
52,9%
52,9%
0% 25% 50% 75% 100%
Ketidaktersediaan Peraturan Securtiy Clearence
Ketidaktersediaan Peraturan Penanganan Insiden
Backup Berkala Tidak Dilakukan
Penyimpanan Inf. Berklasifikasi Tidak Terenkripsi
Klasifikasi Belum Ditetapkan
JRA Informasi Berklasifikasi Belum Ditetapkan
Perubahan Susunan AKS Tidak Dilakukan
Pembuatan Informasi Berklasifikasi Tidak Aman
Kegiatan sosialisasi Tidak Dilakukan
Pengawasan dan pengendalian sendiri Tidak…
GOAL
6. Menjamin informasi yang dikirim tersebut tidak
dapat dibuka dan tidak dapat diketahui pihak yang
tidak berhak.
C
CONFIDENTIALIT
Y
I
INTEGRITY
A
AVAILABILIT
Y
INFORMASI
Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya.
Menjamin pengguna yang valid selalu
bisa mengakses informasi dan
sumberdaya miliknya sendiri.
NEED
CIA TRIAD
C
I
Tag line goes here
22
01
RISK
ASSESSMENT
MENGETAHUI RESIKO DARI SISI TEKNIS DAN
OPERASIONAL
02
APPLICATION SECURITY ASSESSMENT
MENGETAHUI KELEMAHAN KEAMANAN APLIKASI
03
NETWORK SECURITY ASSESSMENT
MENGETAHUI CELAH KEAMANAN JARINGAN
KOMPUTER
SOURCE CODE
ANALYSIS
01
PENETRATION
TESTING
03
UJI FUNGSI
KRIPTOGRAFI
04
NETWORK
DISCOVERY
05
BUSINESS
PROCESS REVIEW
05
Lemsaneg
E-Government
Security
Support
SERTIFIKAT
DIGITAL
LEMBAGA SANDI NEGARA
Sthana Paroksharta Bhakti
SECURE GOVT
INTRA
NETWORK
IT SECURITY
ASSESSMENT
ENCRYPTION DEVICES /
APPLICATIONS
National
Algorithm
Design
Produk Karya
Mandiri
Custom Algorithm
VPN
Encryption
Leased Line
Connection
Satelite Connection
VPN Client
Secure
Data Center
Digital
Signature
SSL Server /
Client
Atuhentication
Key Exchange
Application Security
Network
1. Membuat kebijakan terkait keamanan
operasional pengelolaan informasi di
pemda Bogor
2. Melakukan hardening pada sisi
aplikasi/sistem informasi yang sudah ada
saat ini. Dengan terlebih dahulu
melakukan IT security
Assessment/Penetration Test (OWASP
compliance recomended for optimal
application security)
3. Melakukan hardening pada sisi
infrastruktur jaringan yang ada saat ini
dengan menggunakan security devices
seperti Firewall dan IPS, akses kontrol,
backup data dan redudansi jaringan
4. Melakukan monitoring terhadap threat
secara berkala
5. Mempersiapkan sistem dan mekanisme
recovery terhadap insiden
6. Melakukan evaluasi secara berkala
dalam rangka optimalisasi sistem
SECURITY REQUIREMENT
Security
Policy
Application Hardening
Network
Security Perimeter Evaluation
Recovery System
Monitoring System
24
Secure Your Users
Secure Your Server
Secure Your Network
Monitor And Manage Operational Security
(NOC)
Manage Security
Incidents
(SOC)
Memastikan user
mendapatkan
edukasi tentang
keamanan
teknologi
informasi
Memastikan
seluruh sistem
dengan perangkat
lama maupun baru
terkonfigurasi
dengan aman
Melindungi
sistem yang
terimplementasi
dengan jaringan
secure intra
network milik
pemerintah
Memastikan
sistem yang
terimplementasi
termonitor dengan
baik dan aman
dan didukung
dengan kebijakan
yang ada
Perlu adanya
prosedur,kebijaka
n yang menjadi
pedoman/yang
dapat diikuti
dalam menangani
insiden terhadap
keamanan
informasi
UNSUR PENGAMANAN INFORMASI
MENETAPKAN ASSET
PENTING / INFRASTRUKTUR KRITIS
MENGETAHUI PERMASALAHAN KEAMANAN SISTEM INFORMASI SECARA
KOMPREHENSIF
MENETAPKAN KLASIFIKASI INFORMASI
MENENTUKAN PRIORITAS PENANGANAN
PERMASALAHAN KEAMANAN SISTEM
INFORMASI
INFORMATION RISK ASSESSMENT
Risk
Level
Risiko (Risk):
Efek suatu ketidakpastian terhadap sasaran, baik aspek strategis, organisasi, proses atau produk.
Catatan:
Risiko sering dinyatakan sebagai kombinasi dari dampak (impact/consequences) suatu kejadian dan kemungkinan (likelihood) terjadinya.
Ref. ISO 27000:2014 – Overview and Vocabulary
Risiko Keamanan Informasi
(information security risk)
Potensi ancaman (threat) yang memanfaatkan suatu kelemahan
(vulnerability) dari satu atau sejumlah aset yang membahayakan
organisasi
Risk Acceptance
Keputusan untuk menerima risiko tertentu
Catatan:
Risk acceptance dapat terjadi tanpa Risk Treatment. Risiko yang diterima harus dimonitor dan direview
Risk Analysis Proses memeriksa sifat risiko dan menentukan tingkat besarnya risiko yang dinyatakan sebagai kombinasi dampak
(impact/consequences) dan kemungkinan terjadinya (likelihood)
Pemilik Risiko
(Risk Owner)
Orang atau entitas yang untuk bertanggung jawab dan berwenang
mengelola risiko
Nilai Risiko = Dampak x Kemungkinan
Dampak (Impact)
Apa dampaknya bagi organisasi?
(dampak: operasional/downtime, kinerja
proses, hukum, reputasi, biaya)
Kemungkinan (Probability)
Seberapa sering ancaman muncul
dengan kontrol yang ada?
Aset
Aset apa yang akan
dilindungi?
Kelemahan
(Vulnerability)
Mengapa ancaman
dapat terjadi?
Kontrol
Apa yang sudah ada
untuk mengurangi
risiko?
Ancaman (Threat)
Apa yang dikhawatirkan
akan terjadi?
•
Data/Informasi
: Rencana pengadaan, daftar karyawan, dokumen manajemen
tata kelola TI (kebijakan, prosedur), dokumen kontrak/pengadaan, source
code, materi training, Daftar Risiko TI, hasil audit TI, rekaman implementasi
penggunaan TI, dll
•
Software
: software aplikasi, software sistem (O/S), development tools dan
utilities (AntiVirus, WinZip, dsb)
•
Hardware dan infrastruktur jaringan
: server, PC, Laptop, removable media
(hard disk, tape backup, CD, flash disk, dsb), router, firewall, Hanndphone,
Tablet, dsb/
•
Sarana pendukung
: A/C, alat pemadam kebakaran, CCTV, UPS, sumber
daya listrik, alarm kebakaran, penangkal petir,dsb
•
SDM & Pihak Ketiga
: System Administrator, programmer, Pejabat Pembuat
Komitmen/Pengambil Keputusan, vendor kritikal, dsb
RESPOND
Network Incident Response
Network Forensics
Threat Analysis Validation
Reporting and Statistics
MANAGE
Before During After
DETECT
Network
Monitoring System
Anomaly Detection
Traffing Monitoring
Bandwith Monitor
MONITOR
Network Controlling Network Policy
Fault Analysis
Assessment
Education and Awareness
ORGANIZE
PLAN
Topology
Asset Inventory and Management
Documentation
OPTIMIZE
Redundant
Back Up
Quality Of Service
RUN
Proxy
Load Balance
Network Acess Logging
Security Policy
Process Inventory
Asset Inventory and Management
Assessment
Change
Management Education and
Awareness Dashboard and
Reporting
ORGANIZE
PLAN BUILD
Network Segmentation
Secure Access And Control
Centralized Anti Virus
Patch Management
Encryption
Virtualization
Secure Storage
Portable Media Security
Physical Security
Whitelisting and Blacklisting
IPS and Signatures
DEFEND
DETECT
Security Log Collection and
Management
Proactive Monitoring
Security Monitoring
Anomaly Detection
Malware Detection
Intrusion Detection
Location Awareness
MONITOR
RESPOND
Incident Response
Forensics
Disaster Recovery
Backup and Restore
Before During After
HARDEN
24 x 7 Knowledge Center
SOC - LEMSANEG
Threats Identification
1
2
Managing the Log
Monitoring of Security Environments
for Security Events
3
Reaction to Threats
Incident Management
Reporting
4
5
6
SECURITY OPERATING CENTER
24/7 Security Monitoring
Better Security Management Improve Security Posture
Preventing Future Security Incident Regulatory Compliance
ATTACK
IP spoofing
Gaining
access
Server
spoofing
DNS
poisoning
Man in the
Midle
Server
spoofing
etc
Ancaman
Fungsi
SOC
SOC
Penda Bogor membangun sistem informasi dan jaringan
dengan mengedepankan kaidah keamanan
Application Development
Lemsaneg Memberikan Dukungan Terhadap Fungsi
Authentikasi, Enkripsi dan Signing File dari Aplikasi yang pemda Bogor bangun
Kostumisasi Fungsi
Lemsaneg melakukan IT Security Assessmnet terhadap
Aplikasi Sistem Informasi dan Infrastruktur yang dibangun dan memberikan rekomendasi terkait miitigasi celah
keamanan yang ditemukan.
IT Security Assessment
Lemsaneg memberikan rekomendasi terkait Desain Arsitekur Keamanan Aplikasi dan Desain Keamanan Jaringan yang
dapat digunakan Pemda Bogor sebagai referensi dalam membangun keamanan Sistem Informasi di Pemda Bogor
System Design
Lemsaneg memberikan asistensi tekait implementasi
pembangunan / pengembangan sistem (aplikasi dan jaringan) terkait aspek security
Asistensi Implementasi
Pemda Bogor membuat kebijakan terkait operasional dan keamanan Sistem Informasi sesuai dengan kebutuhan.
Policy Making