Mata Kuliah : Keamanan Sistem Informasi

02

Perencanaan dan Managemen Keamanan Sistem

STMIK-Mikroskil

Ketika menyelesaikan bab ini, Anda bisa:

Mengenali pentingnya teknologi informasi & memahami siapa yang bertanggung jawab untuk melindungi suatu

aset organization’s informasi

Mengetahui & memahami definisi & karakteristik kunci keamanan informasi

Mengetahui & memahami definisi & karakteristik kunci kepemimpinan & manajemen

3

3

Pada kenyataannya, tetapi sering tidak disebutkan, berbagai hal:

Teknologi informasi adalah hal yang kritis untuk bisnis dan masyarakat

...& selalu begitu

( apa yang terjadi jika IT tidak tersedia?) Keamanan Komputer mengembangkan ke

dalam keamanan informasi

Keamanan Informasi adalah tanggung jawab dari tiap anggota dari suatu organisasi, tetapi

para manajer memainkan suatu peran yg genting

„

„ Review definisi dari security :Review definisi dari security :

-- Menurut Menurut Harold F. TiptonHarold F. Tipton ??

-- Menurut Wikipedia “Security” yaitu :Menurut

“Security is being free from danger”

- Wikipedia “Security (computers)” yaitu :

“usaha untuk menciptakan suatu platform secure,

didisain sedemikian sehingga agent (user atau program) hanya dapat melaksanakan tindakan yang telah

diijinkan.”

„ - Menurut Whitman dan mattord : “kualiti atau

status menjadi secure – menjadi bebas dari bahaya”

“The quality or state of being secure - to be free from danger”

5

5

„ Area Spesialisasi keamanan :

- Physical security - Personal security - Operations security

- Communications security - Network security

- Information security (InfoSec) - Computer security

„ Informaton Security meliputi :

- Physical security - Personal security - Operations security

- Communications security

9 - Network security

9 - Information security (InfoSec) 9 - Computer security

Keamanan Informasi melibatkan 3 komunitas : 1. Keamanan Informasi

Para manajer & Para profesional 2. Teknologi informasi

Para manajer & Para profesional 3. Bisnis non-teknis

Minat komunitas/Masyarakat : InfoSec community :

melindungi asset informasi dari ancaman IT community:

mendukung objektifitas bisnis dengan penyediaan teknologi informasi yg sesuai

Business community :

mengartikulasikan & kebijakan komunikasi & mengalokasikan sumber daya

Infosec meliputi :

manajemen keamanan informasi, keamanan komputer, keamanan data,

& keamanan jaringan.

Kebijakan adalah pusat bagi semua usaha infosec.

Segi tiga C.I.A terdiri dari:

Kerahasiaan/Confidentiality

Integritas/Integrity

Ketersediaan/Availability

( Dari waktu ke waktu daftar karakteristik telah diperluas ) C.I.A = standar industri untuk keamanan komputer yg

CIA +

Kerahasiaan/Confidentiality Integritas/Integrity Ketersediaan/Availability Privasi/Privacy Identifikasi/Identification otentifikasi/Authentication Otorisasi/Authorization Akuntanbilitas/Accountability

Kerahasiaan informasi :

-- memastikan bahwa hanya mereka yang mempunyai perlakuan khusus cukup boleh mengakses informasi tertentu.

-- Keterjaminan bahwa informasi yang berada pada sistem komputer

hanya dapat diakses oleh pihak-pihak yang diotorisasi

Untuk melindungi kerahasiaan informasi, sejumlah ukuran mungkin digunakan, mencakup:

- Penggolongan Informasi

-- storage dokumen secure

-- Aplikasi dari kebijakan keamanan umum -Edukasi dari petugas informasi & pemakai akhir

Integritas adalah :

-- mutu atau status menjadi utuh, lengkap, & tidak dirusak.

-- Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi pihak-pihak yang diotorisasi.

- Integritas Data (integrity Data) , yaitu akurasi dari data yang penyesuaiannya terhadap pengertian yang diharapkan, khususnya setelah data dipindahkan atau diproses. Dalam sistem database, pemeliharaan integritas data dapat termasuk pengesahan isi field individu, pemeriksaan nilai field satu terhadap yang lain, pengesahan data dalam satu file atau tabel yang dibandingkan terhadap file atau tabel lain, dan pemeriksaan bahwa sebuah database berhasil dan secara teliti diperbarui untuk setiap transaksi.

Integritas informasi terancam ketika diarahkan ke korupsi, kerusakan, pembinasaan,

atau lain gangguan tentang status asli nya . Korupsi dapat terjadi

selagi informasi sedang

Ketersediaan adalah :

- membuat informasi dapat diakses kepada akses user

tanpa gangguan campur tangan atau penghalang dalam format yang diperlukan.

- Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.

Seorang pemakai dalam definisi ini mungkin juga seseorang atau sistem komputer lain.

Ketersediaan berarti

PRIVASI

Informasi digunakan hanya

untuk tujuan mengenal pemilik data. Ini tidak difokuskan

pada kebebasan dari pengamatan, tetapi lebih dari itu

informasi itu akan digunakan

Sistim informasi menguasai karakteristik identifikasi

ketika identifikasi tersebut dapat

untuk mengenali para pemakai individu Identifikasi Dan otentifikasi

penting untuk menetapkan tingkat akses atau otorisasi

Otentifikasi terjadi

ketika suatu kendali menyediakan bukti bahwa seorang pemakai menguasai

Setelah identitas seorang pemakai dibuktikan keasliannya,

suatu proses disebut

otorisasi

menyediakan jaminan bahwa pemakai (apakah seseorang atau suatu komputer)

telah dibuat secara rinci & dengan tegas diberi hak dengan otoritas yang sesuai

untuk mengakses, update, atau menghapus muatan dari suatu asset informasi.

Akuntanbilitas Karakteristik ada

ketika suatu kendali menyediakan jaminan

bahwa tiap-tiap aktivitas dikerjakan dapat ditujukan

untuk menamai orang atau mengotomatiskan proses.

To review ... CIA +

Confidentiality Integrity Availability Privacy Identification Authentication Authorization Accountability

Pikirkan ttg komputer rumah Anda!

Bagaimana anda menjamin secure? Bagaimana anda menjamin

Dua pendekatan terkenal pada manajemen: Traditional management theory

menggunakan prinsip perencanaan/

planning

, pengaturan/

organizing

, susunan

kepegawaian/

staffing

, pengarahan/

directing

, & pengendalian/

controlling

(POSDC).

Popular management theory

menggunakan prinsip manajemen ke dalam perencanaan/

planning

, pengaturan/

organizing

,

Perencanaan adalah proses yang

berkembang, menciptakan, & implementasi strategi

untuk pemenuhan pada sasaran hasil. Tiga tingkatan perencanaan:

1. strategic 2. tactical

Secara umum,

perencanaan mulai

dengan perencanaan strategis untuk keseluruhan organisasi.

Untuk melakukan ini dengan sukses,

suatu organisasi harus secara menyeluruh mendefinisikan

Organisasi :

struktur sumber daya untuk mendukung

pemenuhan sasaran hasil.

Tugas mengorganisasikan memerlukan :

9 Apa yang akan dilaksanakan 9 apa yang di pesan

9 Oleh siapa

Kepemimpinan mendorong implementasi

tentang perencanaan dan mengorganisir fungsi,

termasuk pengawasan

perilaku karyawan, hasil, kehadiran, & sikap. Kepemimpinan biasanya menunjuk

arah dan motivasi

Kendali adalah monitoring kemajuan ke arah penyelesaian

& membuat penyesuaian

untuk mencapai sasaran hasil yang diinginkan. Fungsi Pengendalian menentukan

apa yang harus dimonitor juga penggunaan tool kendali spesifik

untuk mengumpulkan dan mengevaluasi informasi.

Empat kategori alat kendali :

Informasi/Information Finansial/Financial

Operasional/Operational Tingkah laku/Behavioral

33

33 Bagaimana cara Memecahkan Permasalahan

Langkah 1:

Mengenali & mendefinisikan masalah tersebut Langkah 2:

kumpulkan fakta dan buat asumsi Langkah 3:

Kembangkan kemungkinan pemecahan Langkah 4:

Analisa & bandingkan kemungkinan solusi Langkah 5:

Analisis Kelayakan

Kelayakan ekonomi menilai

biaya-biaya & keuntungan-keuntungan suatu solusi Kelayakan teknologi menilai

suatu kemampuan organisasi

untuk memperoleh & mengatur suatu solusi Kelayakan tingkah laku menilai

apakah anggota dari suatu organisasi akan mendukung suatu solusi

35

35

Karakteristik yang diperluas atau prinsip

tentang infosec manajemen ( AKA, 6 P) Perencanaan/planning

Kebijakan/policy

Program-program/programs Proteksi/protection

Orang/people

1. Perencanaan

sebagai bagian dari manajemen Infosec yaitu suatu perluasan

tentang model dasar perencanaan Tercakup di Infosec Model Perencanaan

yaitu aktivitas yg diperlukan untuk mendukung disain, ciptaan, dan implementasi

tentang strategi keamanan informasi ketika mereka ada

37

37

Beberapa tipe InfoSec rencana ada :

Tanggap peristiwa/Incident response Kesinambungan usaha/Business continuity

Pemulihan bencana/Disaster recovery Kebijakan/Policy

Personil/Personnel

Pemaparan teknologi/Technology rollout Management resiko/Risk management

Program keamanan, termasuk pendidikan, pelatihan dan kesadaran/Security program,

2. Kebijakan:

satuan petunjuk organisatoris dari perilaku tertentu

di dalam organisasi. Di dalam Infosec, ada 3 kategori kebijakan umum: 1. Kebijakan Program umum

( Kebijakan Keamanan Perusahaan)

2. Kebijakan keamanan issue-specific ( ISSP = issue-specific security policy )

3. Program-program:

kesatuan spesifik mengatur

di dalam daerah keamanan informasi. Satu kesatuan:

Program pelatihan pendidikan keamanan & kesadaran ( SETA = security education training & awareness)

program2 lain yang muncul meliputi program keamanan phisik,

lengkap dengan api, akses phisik, gerbang, pengawal

4. Proteksi:

Aktivitas Manajemen resiko,

mencakup penilaian resiko dan kendali,

seperti halnya mekanisme proteksi, teknologi, & tools.

Masing-Masing mekanisme ini menghadirkan beberapa aspek

tentang manajemen ttg kendali spesifik

5. Orang :

Adalah mata rantai yang paling kritis didalam program keamanan informasi.

sangat mendesak untuk

para manajer yang secara terus-menerus mengenali tugas yang rumit dari permainan orang.

meliputi personil keamanan informasi dan keamanan personil, seperti halnya aspek program SETA.

6. Manajemen Proyek

Disiplin yg

harus disajikan keseluruhannya semua unsur-unsur

tentang program keamanan informasi. Ini melibatkan:

9 Identifikasi dan Pengendalian

sumber daya berlaku untuk proyek

9 Ukur kemajuan

F

F

ile Dapat didownload pada alamat :

ile Dapat didownload pada alamat :

http://afenprana.wordpress.com