Studi Kasus

INFORMATION SECURITY MANAGEMENT SYSTEM

(ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

presented by Melwin Syafrizal

STMIK AMIKOM YOGYAKARTA 2012

1

.

Latar Belakang

1

Banyak instansi/institusi memiliki kumpulan

data dan informasi penting yang harus dikelola

dengan benar, dijaga kerahasiannya,

integritasnya dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan

2. Rumusan Masalah   Adakah suatu sistem pengelolaan keamanan

informasi yang terstandar, yang dapat

diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan, sekaligus dapat mengarahkan kinerja karyawan,

meningkatkan kepercayaan publik, karena perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi ?

3. Batasan Masalah   Topik pembahasan dibatasi pada “bagaimana

implementasi ISMS sesuai standar ISO/IEC 27001:2005” dengan membuat perhitungan terhadap resiko keamanan (security risk

Landasan Teori Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: KERAHASIAAN (Confidentiality) INTEGRITAS

(Integrity) KETERSEDIAAN _{(Availability)} Informasi

I _A

ANCAMAN KEAMANAN ICT

Ekonomi Politik

Teknis

Keamanan Negara

Mengapa diperlukan keamanan informasi?   Keamanan informasi memproteksi informasi dari

ancaman yang luas untuk memastikan

kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan

kesempatan usaha.

  Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis,

sehingga diperlukan sistem untuk memastikan

UK business network attack unauthorised outsider in the last year

Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di

Inggris (UK) telah

mendapatkan serangan dari luar (31% perusahaan besar mendapat ancaman percobaan pembobolan jaringan, 11%

perusahaan kecil menengah, 13% telah terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada

Dasar Manajemen Keamanan Informasi

Informasi Sebagai Aset

  Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi, (memiliki nilai tertentu bagi perusahaan atau organisasi).

  Kerahasiaan dan integritas informasi dapat

menjamin kelangsungan bisnis perusahaan atau organisasi.

  Perlindungan terhadap informasi dengan

meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya

Jenis informasi yang perlu dilindungi   Electronic files   Software files   Data files   Paper documents   Printed materials

  Hand written notes

  Photographs   Recordings   Video recordings   Audio recordings   Communications   Conversations •  Telephone conversations •  Cell phone conversations •  Face to face conversations   Messages •  Email messages •  Fax messages •  Video messages •  Instant messages •  Physical messages

Perlukah keamanan informasi bagi perusahaan?   Bagaimana perusahaan/organisasi

mempersiapkan diri dan mengimplementasikan sistem manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi, sesuai kebutuhan dan kemampuan serta ber-standar nasional/internasional.

Bagaimana memulai perlindungan keamanan informasi?   Implementasi Best Practice

  Nasional atau Internasional ?

  Cakupan ISMS

Bagaimana menganalisis kebutuhan

keamanan informasi?

  ISO IEC 27001:2005 GAP Analysis Tool

  Risk Assesment Tools

Best Practice

  Best Practices IT & Security International Standard: 1. BS7799 milik Inggris

2. ISO/IEC 17799 : 2005 3. ISO/IEC 27001 : 2005

4. BSI IT baseline protection manual 5. COBIT

6. GASSP (Generally Accepted System Security Principles)

7. ISF Standard of good practice 8. ITIL

Identifikasi yang diperlukan 1.  Mengidentifikasi kebutuhan bisnis di masa

depan

2.  Mengidentifikasi resiko jika mengalami

kegagalan menerapkan sistem keamanan

3.  Mengidentifikasi jenis-jenis informasi yang perlu dilindungi,

4.  Inventarisasi kekayaan (bangunan, hardware, software, sdm, intelektual, sistem, disain, dll) yang perlu dilindungi.

Identifikasi Lanjut … 5.  Mengidentifikasi kelayakan dokumen yang

dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola.

6.  Melakukan penilaian terhadap upaya

perlindungan aset (sdm, bangunan, peralatan, teknologi, sistem, informasi, HaKI, dll)

7.  Melakukan pengamatan untuk mempelajari kondisi jaringan komputer

8.  Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem jaringan komputer yang digunakan.

Identifikasi Lebih Lanjut …

9.  Melakukan pentration testing sebagai tindak lanjut apabila ditemukan vulnerability.

10. Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan

vulnerability yang baru pada sistem keamanan

jaringan komputer dan informasi yang dikelola.

11. Melakukan perancangan/perbaikan ”security

policy” yang digunakan,

12. Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu dibuat

security policy yang disesuaikan dengan kondisi

Hal-hal yang perlu dipersiapkan

  Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen

Keamanan Informasi

  Mempersiapkan mental karyawan untuk

menghadapi perubahan budaya kerja, bila jadi implementasi Best Practice Standar Sistem

Manajemen Keamanan Informasi

  Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi Standar Sistem Manajemen Keamanan Informasi

  Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll

Kesulitan-kesulitan

  Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam proses penerapan   pemilihan metode pendekatan untuk risk assessment,   melakukan identifikasi resiko,

  memperkirakan resiko, dan

  memilih kendali yang tepat untuk diterapkan.

Kesulitan lain untuk penerapan ISO/IEC 27001:2005   pimpinan perusahaan/organisasi tidak memahami

pentingnya mengelola keamanan informasi,

  tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan.

11 control clause

  Security policy.

  Organization of information security.

  Asset management.

  Human resources security.

  Physical and environmental security.

  Communications and operations management.

  Access control.

  Information system acquisition, development, and maintenance.

  Information security incident management.

  Business continuity management.

Cakupan ISMS   Information Security Management System (ISMS)

merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis, untuk

pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan.

  Information Security sering menjadi tantangan

besar bagi para praktisi information security untuk dapat “dijual” ke manajemen dan para “decision

Contoh Hasil identifikasi kondisi jaringan

 Awalnya, jaringan komputer di instansi dibangun tanpa perencanaan yang matang.

 Organisasi belum mempersiapkan diri untuk

mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat,

 Perencanaan pengembangan menyedot energi

sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih program atau resource mana yang akan dikembangkan terlebih dulu.

 Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau

mendapat perhatian khusus adalah infrastruktur IT

khususnya jaringan komputer.

HASIL PENILAIAN

Kelayakan dokumen yang dijadikan

standar keamanan, dan kondisi sumber daya manusia yang mengelola.

  Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan maupun informasi yang dimiliki,

  ”security policy” yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau network

engineer.

  Banyak aturan belum tertulis dan ditetapkan oleh

pimpinan namun di implementasikan oleh administrator, hanya berdasarkan keinginan pribadi.

Assesment

  Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu melayani dan

mengamankan infrastruktur jaringan yang sudah besar,   Fasilitas komputer tidak dipelihara dengan baik, tidak ada

sosialisasi pemanfaatan jaringan komputer yang ada, penggunaan jaringan belum efektif.

  Staf teknis biasanya bekerja berdasarkan komplain dari staf/karyawan atau permintaan pimpinan,

  Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi.

  Tidak ada job description tertulis, biasanya

masing-masing staf bekerja berdasarkan kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasing-masing bagian.

Hasil pengamatan topologi jaringan

  Hasil pengamatan topologi jaringan dan capture /

monitoring jaringan dari access point dibeberapa titik, mengindikasikan masih buruknya topologi jaringan

  Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal.

  Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer gateway maupun

server, memiliki IP Publik yang terhubung langsung dengan jaringan internet

  Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung langsung ke internet, masih sangat minim (konfigurasi minimal).

Hal yang harus disadari dari ISMS

  Information Security adalah sebuah proses bukan

produk, sebuah proses yang bertujuan untuk

mengidentifikasi dan meminimalkan resiko sampai ke

tingkat yang dapat diterima, proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu

industri.

  ISMS merupakan sebuah kerangka kerja dalam

business plan perusahaan, bukan sekedar program IT

Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan organisasi, seperti: perbankan,

Langkah-langkah untuk mendesain ISMS

  Langkah pertama adalah memilih kerangka kerja yang

sesuai dengan industri/perusahaan yang akan di aplikasikan (diimplementasikan).

  Langkah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak dipahami) pada saat ISMS sudah dijalankan.

  Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses implementasi policy dan prosedur ISMS dapat

dijalankan dengan baik dan benar oleh seluruh jajaran pimpinan dan karyawan.

  Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul environment dimana ISMS akan dibangun, baik dari sisi organisasi atau teknologi yang ada disana.

Enam langkah persiapan dalam membangun ISMS 1.  Risk assessment

2.  Top down approach

3.  Functional roles

4.  Write the policy

5.  Write the standards

Kesimpulan

  ISO/IEC 27001 dapat diimplementasikan sebagai

Information Security Management System (ISMS).

  ISO/IEC 27001:2005 mencakup semua jenis organisasi/ perusahaan (seperti perusahaan swasta, lembaga

pemerintahan, atau lembaga nirlaba).

  ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor,

menganalisa dan memelihara serta mendokumentasikan

ISMS dalam konteks resiko bisnis organisasi/perusahaan

Saran

Beberapa saran umum bagi instansi

  berfikir positip dan melakukan analisa yang lebih dalam untuk melihat manfaat yang dapat diperoleh dari

implementasi ISMS,

  bila belum berkenan mengimplementasikan ISMS secara menyeluruh, dapat mencoba implementasi beberapa

kontrol yang sesuai untuk diterapkan,

  mulai mendokumentasikan rencana kerja dan rencana

pengembangan bisnis (menulis apa yang akan dikerjakan dan mengerjakan apa yang dituliskan),

  membuat laporan hasil pekerjaan yang telah dilakukan dan mengevaluasi segala hal yang telah dikerjakan