Kementerian Komunikasi dan Informatika bekerja sama dengan Institut Teknologi Bandung Institut Teknologi Sepuluh November Universitas Gajah Mada

Universitas Indonesia KEMKOMINFO

Regulasi bidang Keamanan Informasi &

Penjaminan Informasi

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privasi

KEMKOMINFO

Apakah informasi itu?

Dari perspektif Keamanan Informasi

Informasi diartikan sebagai sebuah

‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi

Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan

penilaian dan pengambilan keputusan

3

KEMKOMINFO

Bentuk informasi

 Gagasan, pikiran dalam bentuk tulisan, pidato

 Hardcopy (asli, salinan, transparan, fax)

 Softcopy (tersimpan di media tetap atau portabel)

 Pengetahuan perorangan

 Ketrampilan teknis

 Pengetahuan korporasi

 Pertemuan formal dan informal

 Percakapan telepon

 Telekonferensi video

KEMKOMINFO

Penjaminan Informasi



Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan:

ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan

mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet.



Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan

5

KEMKOMINFO

Keamanan Informasi

Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan,

integritas, keaslian dari informasi

Teknik: enkripsi, digital signature,

intrusion detection, firewall, kontrol akses dll

Manajemen: strategi, desain, evaluasi, audit

Standar dan sertifikasi

KEMKOMINFO

Gambar Besar (Big Picture)

Penjaminan Informasi

Sekuriti Informasi Ketergantungan Informasi

Kerahasiaan, Keutuhan, Ketersedian, Akuntabilitas

Keandalan, Ketersediaan, Pencegahan Kegagalan, Penghindaran dan Toleransi

Kemampuan untuk pulih dari kegagalan dan serangan

7

Y. Qian et al., 2008

KEMKOMINFO

Contoh-contoh kasus

2010 – Wikileaks

2010 – Virus Stuxnet menyerang PLTN di Iran

Ags 2008 – Serangan Internet terhadap Situs web Georgia

Apr 2007 – Serangan Cyber terhadap Estonia

Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)

Mei 2005 – Malaysia-Indonesia

Apr 2001 – Sino-AS

Stuxnet video

KEMKOMINFO

Regulasi

UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik

9

KEMKOMINFO

Konsep & Prinsip dasar

CIA dkk

 Confidentiality

 Integrity

 Availability

 Non-repudiation

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privasi

11

KEMKOMINFO

Hubungan antara Risiko dan Aset Informasi

Ancaman Vulnerability

eksploitasi

Resiko Aset

Manajemen

mengurangi

Kebutuhan

sekuriti Nilai

Aset

KEMKOMINFO

Klasifikasi informasi

Skema Klasifikasi Informasi Sederhana

13

Definisi Deskripsi

Public (umum) Informasi yang aman dibuka untuk umum (publik)

Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk eksternal

Company

confidential (Rahasia perusahaan)

Kriteria klasifikasi

• Nilai

• Umur

• Waktu berlaku (useful life)

• Keterkaitan dengan pribadi (personal association)

KEMKOMINFO

4R Keamanan Informasi

Right People (pada orang

yg tepat)

Right Time (pada waktu yg

tepat) Right Form

(format yg tepat)

Right Information

(informasi

yg tepat)

KEMKOMINFO

Jenis-jenis serangan

Hacking

Denial of Service (DoS)

Kode berbahaya (malicious code)

Social engineering

15

KEMKOMINFO

Peningkatan Keamanan Pengamanan Administratif

Strategi, kebijakan, dan pedoman keamanan informasi



Strategi keamanan informasi



Kebijakan keamanan informasi



Pedoman keamanan informasi



Standar keamanan informasi



IT Compliance

Proses dan operasi keamanan informasi



Program pendidikan dan pelatihan keamanan informasi



Penguatan promosi melalui berbagai kegiatan



Pengamanan dukungan

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privasi

17

KEMKOMINFO

Pengamanan dengan Teknologi (I)

 Model Defense-in-Depth (DID)

KEMKOMINFO

Pengamanan dengan Teknologi (II)

Teknologi Pencegah

 Kriptografi

Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami

 One-Time Passwords (OTP)

OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan brute- force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.

Firewall (Dinding api)

Firewall mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.



Alat penganalisis kerentanan

Ada 3 jenis alat penganalisis kerentanan:

Alat penganalisis kerentanan jaringan

Alat penganalisis kerentanan server

Alat penganalisis kerentanan web

19

KEMKOMINFO

Pengamanan dengan Teknologi (III)

Teknologi Pendeteksi



Anti-Virus

Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya



IDS (Intrusion Detection System)

IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan



IPS (Intrusion Prevention System)

IPS mengidentifikasi potensi ancaman dan bereaksi

sebelum mereka digunakan untuk menyerang

KEMKOMINFO

Pengamanan dengan Teknologi (IV)

Teknologi Terintegrasi



ESM (Enterprise Security Management)

Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan



ERM (Enterprise Risk Management)

Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis

21

KEMKOMINFO

Peran & Tanggung Jawab

Peran Deskripsi

Manajer senior Tanggung jawab paling besar untuk sekuriti Pejabat Sekuriti

Informasi

Tanggung jawab fungsional untuk sekuriti

Pemilik Menentukan klasifikasi informasi Penyimpan

(Custodian)

Memelihara CIA dari informasi

Pengguna/operator Menjalankan kebijakan yang telah ditetapkan Auditor Memeriksa sekuriti

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privasi

23

KEMKOMINFO

Metodologi Keamanan Informasi

Model Proses ISO/IEC 27001 (BS7799)

ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS (Information Security Management System).

Model PDCA yang diterapkan ke Proses ISMS

Memelihara dan memperbaiki ISMS

Memantau dan review

ISMS Implementasi

dan operasi ISMS

Menetapkan ISMS

Pihak-pihak yang terlibat

Pihak-pihak yang terlibat

Kebutuhan dan ekspektasi

sekuriti informasi

Sekuriti Informasi termanaj

KEMKOMINFO

Metodologi Keamanan Informasi

ISO/IEC 27001 (BS7799)

 Analisis kesenjangan

Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi

 Kajian risiko

Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan

 Penerapan kontrol

Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.

25

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privasi

KEMKOMINFO

Standar Kegiatan Keamanan Informasi

 ISO [International Standards Organization]

ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif

 CISA [Certified Information Systems Auditor]

CISA fokus pada kegiatan audit dan pengendalian sistem informasi

 CISSP [Certified Information Systems Security Professional]

CISSP fokus utamanya pada keamanan teknis

27

KEMKOMINFO

Aspek-aspek Keamanan Informasi

Teknologi

Orang

Operasi

• Pelatihan dan Kepeka-tanggapan

• Administrasi sekuriti

• Sekuriti pribadi

• Sekuriti fisik

• Manajemen fisik

• Auditing dan pemantauan

• Indikasi dan peringatan

• Deteksi dan Tanggapan Kejadian

• Kontingensi dan pemulihan

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privacy

29

KEMKOMINFO

Sekuriti IT, Etika dan Masyarakat

Tanggung jawab etika dari profesional bisnis

 Mempromosikan penggunaan etika dalam TI

 Menerima tanggung jawab etika dari pekerjaan

 Peran yang cocok sebagai SDM berkualitas

 Mempertimbangkan dimensi etika dalam segala kegiatan dan pengambilan keputusan

Teknologi informasi memiliki dampak baik

dan buruk bagi masyarakat (orang)

Manajemen aktivitas kerja untuk meminimkan dampak buruk Berupaya untuk memaksimalkan

dampak baik

KEMKOMINFO

Etika Teknologi Informasi

Tujuan pembelajaran tanggung jawab etika:

 Isu-isu etika terkait penggunaan teknologi informasi dalam bisnis yang mempengaruhi kepegawaian, perorangan,

privacy, situasi kerja, kriminal, kesehatan dan masalah- masalah sosial kemasyarakatan.

31

Kepegawaian Privacy

Kriminal

Situasi Kerja Perorangan

Kesehatan

Etika Sekuriti TI

dalam Bisnis

KEMKOMINFO

Ditinjau dari Teori Pertanggungjawaban Sosial Korporasi (CSR/Corporate Social Responsibility)

Stockholder Theory Teori Kontrak Sosial

Stakeholder Theory

Manajer adalah agen dari stockholders.

Tanggung jawab etika mereka adalah

meningkatkan keuntungan tanpa melanggar hukum atau

menipu.

Perusahaan memiliki tanggung jawab

etika terhadap seluruh komponen

anggota masyarakat.

Manajer memiliki tanggung jawab

etika untuk memanaj perusahaan agar

menguntungkan bagi semua

pemegang saham.

KEMKOMINFO

Profesional Bertanggung Jawab

 Bertindak dengan integritas

 Selalu meningkatkan kompetensi diri

 Menetapkan standar yang tinggi untuk kinerja diri

 Menerima tanggung jawab atas kerjanya

 Memajukan derajat kesehatan, privacy dan kesejahteraan umum dari publik

KEMKOMINFO

Kejahatan Komputer (Kejahatan TI)

 Penggunaan tidak sah, akses tidak sah, modifikasi tidak sah, atau pengrusakan perangkat keras, perangkat lunak, data atau sumber daya jaringan

 Rilis yang tidak sah atas informasi

 Salinan yang tidak sah atas perangkat lunak

 Menolak akses pengguna terhadap perangkat kerasnya sendiri, perangkat lunaknya, datanya atau sumber daya jaringannya sendiri

 Penggunaan atau berkomplot untuk pemanfaatan komputer atau sumber daya jaringan untuk memperoleh informasi atau tangible property

KEMKOMINFO

35

 Hacking



Penggunaan obsesif atas komputer atau akses tidak sah dan penggunaan tidak sah jaringan

 Cyber Theft



Meliputi entry (masuk) jaringan tidak sah dan pengubahan isi basis data

Kejahatan Komputer (II)

Pelaku

KEMKOMINFO

Prinsip Etika Teknologi

 Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak ada cara lain yang dapat meraih kebaikan/keuntungan yang sama dengan mudharat atau resiko lebih kecil.

 Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh teknologi ini harus memashmi dan menerima resikonya

 Keadilan. Keuntungan dan beban dari teknologi harus

didistribusian secara adil. Siapa yang mengambil keuntungan seharusnya memikul beban yang pantas juga dan yang kurang mengambil keuntungan, tidak ketambahan resiko.

 Meminimkan resiko. Walaupun sudah ada tiga poin di atas, teknologi seharusnya diimplementasikan dengan menghindari semua resiko yang tidak perlu.

KEMKOMINFO

Agenda

 Konsep dan prinsip dasar

 Resiko dan aset informasi

 Klasifikasi informasi

 Teknologi keamanan informasi

 Metodologi keamanan informasi

 Standar Keamanan Informasi

 Etika

 Privacy

37

KEMKOMINFO

Konsep Privasi (1)

 Apakah “Informasi Pribadi”?

Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.

Nama Hubungan keluarga

Nomor telepon Alamat

Alamat e-mail Nomor lisensi mobil

Nomor kartu kredit Karakteristik fisik Informasi Pribadi, definisi sempit

KEMKOMINFO

Konsep Privasi (2)

 Apakah “Informasi Pribadi”?

Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.

39

Informasi Pribadi, Definisi Luas Informasi Kredit

Detail panggilan telepon Karir

Pendapat

Detail transaksi Latar belakang akademik

Evaluasi Catatan kriminal

KEMKOMINFO

Konsep Privasi (3)

Informasi Pribadi dan Privasi



Akses, pengumpulan, analisis, dan penggunaan

informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang

bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan

keselamatan-nya.



Oleh karena itu, informasi pribadi harus dilindungi dari

akses, pengumpulan, penyimpanan, analisis dan

penggunaan yang salah. Dalam hal ini, informasi

pribadi adalah subyek perlindungan.

KEMKOMINFO

Opt-in Versus Opt-out

Opt-In (Opsi Masuk) Anda harus secara eksplisit menyatakan bahwa data tentang Anda boleh

dikompilasi Default di Europe

Opt-Out (Opsi Keluar) Data tentang Anda dapat dikompilasi, kecuali Anda minta untuk tidak

dimasukkan Default di AS.

KEMKOMINFO

Isu-isu Tambahan Privacy

 Pelanggaran Privacy

 Mengakses email pribadi, percakapan pribadi dan rekaman komputer pribadi

 Mengumpulkan dan berbagi informasi tentang seseorang dari kunjungannya ke situs-situs Internet

 Pemantauan Komputer

 Selalu tahu di mana seseorang berada

 Layanan seluler cenderung dekat dengan asosiasi di mana seseorang berada

 Computer Matching

 Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa layanan bisnis

 Akses Tidak Sah atas File-file Pribadi

 Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit, dan informasi-informasi lain untuk membangun profil orang

KEMKOMINFO

Melindungi Privacy di Internet

 Menyandi surel

 Mengirim posting surel lewat remailer anonim

 Meminta ISP untuk tidak menjual nama dan informasi Anda ke penyedia milis dan

pengguna jasa broadcast lainnya.

(Meminta operator seluler?)

 Tidak membuka data pribadi dan hobi secara daring (online) atau di situs web

KEMKOMINFO

Kebebasan Komputer dan Sensor



Sisi berlawanan dari debat privacy

Kebebasan informasi, kebebasan berbicara dan kebebasan pers



Tempat-tempat

Bulletin boards (kaskus, kompasiana, surel pembaca)

Email boxes

Online files of Internet and public networks



“Persenjataan dalam Pertempuran”



Spamming

Pengiriman e-mail ke banyak pengguna unsolicited



Flame mail

Sending extremely critical, derogatory, and often vulgar email messages or newsgroup postings to other Internet users or online services

Especially prevalent on special-interest newsgroups

KEMKOMINFO

Cyberlaw

Irisan antara teknologi dan hukum merupakan bahan perdebatan

 Perlukah regulasi Internet?

 Kriptografi menyulitkan bila regulasinya tradisional

 Komunitas Internet menganggap sensor merupakan penghambat dan beberapa pihak malah melakukan by-pass



UU ITE

Hukum diniatkan untuk mengatur aktivitas ber-Internet via perangkat komunikasi

Mencakup sejumlah isu hukum dan politik

Meliputi properti intelektual, privacy, kebebasan berekspresi dan jurisdiksi

KEMKOMINFO

Ringkasan

 Informasi adalah salah satu aset yg sangat berharga bagi suatu organisasi. Ancaman terhadap keamanan informasi datang berupa pembeberan yang tidak sah, korupsi atau halangan terhadap layanan.

 Tujuan dari keamanan adalah untuk melindungi aset yang sangat berharga, khususnya berkaitan dengan kerahasiaan, integritas dan ketersediaan dari informasi dan aset yang mengolah, menyimpan dan mengirim informasi tersebut.

 Regulasi, kebijakan dan petunjuk tentang keamanan didasarkan pada konsep dan prinsip kemanan.

 Pemahaman terhadap konsep dan prinsip tersebut memungkinkan seorang staf IA mengambil keputusan yang benar dan efektif.

KEMKOMINFO

Informasi lebih lanjut

 www.cert.or.id - Indonesia Computer Emergency Response Team

 www.wired.com/threatlevel/ - Artikel2 tentang keamanan informasi

47

KEMKOMINFO

Diskusi

 Nilailah tingkat kesadaran keamanan informasi di antara anggota organisasi Anda.

 Temukan contoh langkah keamanan informasi dalam domain administratif, fisik, dan teknis di organisasi Anda atau organisasi lain di negara atau wilayah Anda.

 Ancaman keamanan informasi apa yang mudah menyerang organisasi Anda? Mengapa?

 Solusi teknologi keamanan informasi mana yang tersedia di organisasi Anda?

 Apakah organisasi Anda memiliki kebijakan, strategi dan pedoman keamanan informasi?

KEMKOMINFO

Akhir dari Modul 4 Terima kasih

KEMKOMINFO

Ethical Guidelines of the AITP

KEMKOMINFO

Privacy Issues

 The power of information technology to store and retrieve information can have a negative effect on every individual’s right to privacy

 Personal information is collected with every visit to a Web site

 Confidential information stored by credit

bureaus, credit card companies, and the government has been stolen or misused