REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
SECURITY POLICY
MATA KULIAH PENJAMINAN DAN KEAMANAN INFORMASI
UNIVERSITAS PENDIDIKAN INDONESIA
Kampus Cibiru
Outlines
Review
• Aspek Administratif
• Contoh Metodologi Keamanan Informasi
Metodologi Keamanan Informasi
• Definisi Kebijakan Keamanan Informasi
• Elemen Kunci Kebijakan Keamanan Informasi
• Format Kebijakan Keamanan Informasi
Pendahuluan Kebijakan Keamanan Informasi
• Pengumpulan Informasi dan Analisis Kesenjangan
• Perumusan Kebijakan
• Pelaksanaan Kebijakan
Daur Hidup Kebijakan Keamanan Informasi
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Objektif
• Memahami model kebijakan keamanan informasi sebagai salah satu metode keamanan informasi
• Memahami penekanan kebutuhan kebijakan keamanan informasi yang efektif dan tepat.
• Memahami implikasi kebijakan dari prinsip-prinsip keamanan informasi.
• Memahami daur hidup kebijakan keamanan informasi
REVIEW
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Review
• Dari materi yang lalu diharapkan Anda telah memahami hala-hal berikut:
– Karakteristik utama serangan pada jaringan dan serangan pada aplikasi – Mengetahui setiap ciri serangan pada
pada jaringan dan serangan pada aplikasi
– Mengetahui bagaimana mengatasi serangan pada jaringan dan serangan pada aplikasi
Malicious Software
Needs Host
Program Independent
Trap
Doors Logic
Bombs Trojan
Horse Virus Worm Zombie
METODOLOGI KEAMANAN INFORMASI
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Metodologi Keamanan Informasi
Meminimalisir kerusakan dan memelihara
keberlangsungan kegiatan operasional instansi dengan memperhatikan semua
vulnerability dan threat.
• Kerahasiaan,
• Integritas
• Ketersediaan
Information Security Management System (ISMS
)
• seperangkat kebijakan dan
prosedur untuk mengelola data sensitif organisasi secara
sistematis.
• untuk meminimalkan risiko dan memastikan kelangsungan
operasi instansi dengan cara proaktif membatasi dampak pelanggaran keamanan
ISMS
• ISO/IEC27001 merupakan standar ISMS internasional.
• Berdasarkan pada BS7799, standar British Standards Institution (BSI).
– kebutuhan untuk implementasi dan pengelolaan ISMS dan standar-standar umum keamanan informasi serta manajemen keamanan yang efektif.
Bagian 1: kegiatan keamanan yang diperlukan berdasarkan praktik keamanan terbaik dalam organisasi
Bagian 2: menjadi ISO/IEC27001 saat ini, berisi persyaratan minimum yang dibutuhkan untuk operasi ISMS dan penilaian aktivitas keamanan
BS7799
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
ISMS
Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain
Domain Item Kontrol di ISO/IEC27001
A5. Kebijakan keamanan
A6. Organisasi keamanan informasi A7. Manajemen aset
A8. Keamanan sumber daya manusia A9. Keamanan fisik dan lingkungan A10. Manajemen komunikasi dan operas A11. Kontrol akses
A12. Pengadaan, pengembangan dan pemeliharaan sistem informasi A13. Manajemen insiden keamanan informasi
A14. Manajemen keberlangsungan bisnis A15. Kepatuhan (compliance)
ISMS (lanjutan)
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
ISMS (lanjutan)
• Analisis kesenjangan: proses pengukuran tingkat keamanan informasi saat ini sebagai dasar menetapkan kebijakan keamanan informasi di masa depan
– Didapat dari jawaban terhadap 133 kontrol dan 11 domain. Setelahnya area yang lemah dapat ditetapkan control keamanannya
• Kajian risiko: Kajian nilai aset dan Kajian ancaman & kerentanan.
– risiko dapat diterima vs risiko yang tidak dapat diterima
• Penerapan control: keputusan penerapan kontrol berbeda masing-masing nilai aset.
– Kontrol perlu diterapkan ke aset informasi dengan risiko yang tidak dapat diterima
Nilai Aset + Ancaman + Kerentanan = Risiko
Kerahasiaan: Nilai Aset(2) + Ancaman(3) + Kerentanan(3) = Risiko(8) Integritas: Nilai Aset(2) + Ancaman(3) + Kerentanan(1) = Risiko(6) Ketersediaan: Nilai Aset(2) + Ancaman(1) + Kerentanan(1) = Risiko(4)
Kajian risiko
Contoh Metodologi Keamanan Informasi
Federal Information Security
Modernization Act (FISMA)
Dikembangkan oleh US National Institute of Standards and Technology (NIST)
mengenai pedoman dan standar untuk
memperkuat keamanan informasi
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Contoh Metodologi Keamanan Informasi
Inggris (BS7799)
• BSI menganalisis aktivitas keamanan
organisasi di Inggris dan memberikan sertifikasi BS7799
• sekarang telah
dikembangkan menjadi ISO27001 (BS7799 bagian 2) dan ISO27002 (BS7799
bagian 1).
PENDAHULUAN KEBIJAKAN KEAMANAN INFORMASI
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Urgensi Kebijakan Keamanan Informasi
• Kebijakan keamanan informasi: dokumentasi keputusan di suatu instansi tentang penanganan dan perlindungan informasi.
– Pertimbangan alokasi sumber daya, tujuan, dan strategi instansi terhadap perlindungan informasi serta bagaimana membimbing perilaku karyawan.
• Pembuatan kebijakan terbaik harus memahami informasi adalah aset.
– Kebijakan yang efektif, mencakup seluruh instansi dan masuk program manajemen aset
• Kebijakan menetapkan sikap instansi terhadap informasi (internal/eksternal) informasi dilindungi dari akses, modifikasi, pengungkapan, dan penghancuran tidak sah.
– Internal: pengaruh terhadap elemen instansi
– Eksternal: pemberitahuan sikap instansi terhadap tanggung jawab pengelolaan informasi
Definisi
• Istilah kebijakan memiliki lebih dari satu arti.
– Arahan manajemen senior: bagaimana program dijalankan, tujuan dan sasarannya, dan pengambil tanggung jawab. Access Control Facility 2 (ACF2), Resource Access Control Facility (RACF),
– Arti lain kebijakan seperti keputusan mengatur privasi email organisasi atau penggunaan Internet/media sosial
• Kebijakan: pernyataan tingkat tinggi tentang keyakinan, tujuan, dan
sasaran perusahaan dan sarana umum untuk pencapaiannya untuk area subjek tertentu.
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Definisi
Definisi Tambahan
• Standar adalah persyaratan wajib yang mendukung kebijakan individu.
Standar dapat berkisar dari perangkat lunak atau perangkat keras apa yang dapat digunakan, hingga protokol akses jarak jauh apa yang akan
diimplementasikan, hingga siapa yang bertanggung jawab untuk menyetujui sesuatu.
• Prosedur adalah tindakan wajib, langkah demi langkah, terperinci yang diperlukan untuk menyelesaikan tugas dengan sukses. Prosedur bisa sangat detail.
• Pedoman adalah saran yang didokumentasikan untuk penerapan praktik yang diterima secara teratur dan konsisten. Biasanya memiliki kekuatan hukum mengikat yang lebih lemah dibanding yang lain.
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Definisi
Definisi
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Elemen Kunci Kebijakan Keamanan Informasi
Mudah dimengerti
• Penting diperhatikan materi yang disajikan memenuhi kualifikasi audiens yang dituju.
Diberlakukan
• apa pun yang tertulis memenuhi kebutuhan spesifik organisasi.
Bisa dilakukan
• Dapatkah organisasi dan karyawannya tetap memenuhi tujuan bisnis jika kebijakan tersebut diterapkan?
Dapat ditegakkan.
• Jangan menulis kebijakan yang merugikan diri sendiri Bertahap
• Ada waktu elemen organisasi mempelajari kebijakan sebelum diberlakukan.
Proaktif
• Nyatakan apa yang harus dilakukan, rawan terjebak dengan pernyataan—“Jangan!
Hindari yang Bersifat Mutlak
• Kebijakan masih dapat dievaluasi kembali Memenuhi tujuan instansi
• Proses pengendalian harus membantu organisasi ke tingkat risiko yang dapat diterima
Format Kebijakan Keamanan Informasi
• Terdapat tiga jenis kebijakan dalam program keamanan informasi:
– Global (tier 1)— kebijakan yang menciptakan visi dan arah organisasi secara keseluruhan
– Topic-specific (tier 2)—Aspek tertentu yang menjadi perhatian.
• Jika kebijakan tingkat 1 tipikal mungkin membahas "Komunikasi
Perusahaan", kebijakan tingkat 2 yang mendukung mungkin membahas persyaratan komunikasi saat menggunakan email, media sosial, pesan suara, dsb.
– Application-specific (tier 3)— fokus pada keputusan yang diambil oleh manajemen untuk mengendalikan aplikasi tertentu (pelaporan keuangan, penggajian, dll.) atau sistem (sistem penganggaran)
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
DAUR HIDUP KEBIJAKAN KEAMANAN INFORMASI
Pendekatan Bertahap Kebijakan Keamanan Informasi
FASE 1: Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
FASE 2: Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
FASE 3: Konsultasi dan persetujuan.Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
FASE 4: Kesadaran dan edukasi.Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
FASE 5: Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Daur Hidup Kebijakan Keamanan Informasi
• Penyusun kebijakan perlu memperhatikan beberapa hal, seperti:
– dasar pemikiran kebijakan – sumber daya tersedia – arah kebijakan,
– kebutuhan hukum – anggaran,
– hasil yang diharapkan
Information Gathering
Gap Analysis
Establishment
Execution
Review and Evaluation
Pengumpulan Informasi dan Analisis Kesenjangan
• Dalam pengumpulan informasi:
– Informasi pembentukan dan operasi organisasi yang ikut serta dalam keamanan informasi
– Kebijakan, hukum dan peraturan keamanan informasi
– Metodologi keamanan informasi yang digunakan secara internasional dan nasional beserta contohnya
– Tren ancaman dan metode penanganan berbagai jenis serangan
• Dalam analisis kesenjangan: penting memahami infrastruktur terkait keamanan informasi (hukum,sistem yang ada, area, kesenjangan yang perlu dikejar → menentukan prioritas kebijakan keamanan informasi
– Memahami kemampuan dan kapasitas instansi
– Mengidentifikasi ancaman eksternal pada keamanan informasi.
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Penetapan Kebijakan
• Merumuskan kebijakan
keamanan informasi nasional mencakup:
– menentukan arah kebijakan;
– membentuk organisasi keamanan informasi beserta peran dan tanggung jawabnya;
– menyatakan kerangka kerja kebijakan keamanan informasi;
– menyusun dan/atau merevisi hukum supaya konsisten dengan kebijakan;
– mengalokasikan anggaran
implementasi kebijakan informasi.
Implementasi Kebijakan
• Implementasi kebijakan keamanan informasi yang lancar membutuhkan kerjasama antar unit
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
Pengendalian Dan Umpan Balik
• Revisi kebijakan penting sesudah efisiensi kebijakan keamanan informasi
telah ditentukan.
• Metode evaluasi kebijakan ditentukan oleh instansi yang dapat diterapkan untuk menentukan
– efisiensi kebijakan keamanan informasi.
TUGAS
1. Carilah contoh kebijakan keamanan informasi dari suatu instansi (sertakan
referensinya), lalu lakukan analisis dan jelaskan dari contoh kebijakan informasi yang Anda dapatkan:
1. Arah kebijakan
2. Organisasi keamanan informasi 3. Kerangka kerja kebijakan
4. Hukum yang mendukung kebijakan keamanan informasi 5. Alokasi biaya untuk keamanan informasi
2. Menurut Anda, bagaimana pengaruh dan keterkaitan dari satu tahapan ke tahapan lainnya pada daur hidup kebijakan keamanan? Apakah suatu tahapan dapat
dilewati atau bahkan dihilangkan? Jelaskan!
3. Mengapa kerjasama antar unit/sektor penting dalam pengembangan dan
REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA
REFERENCES
• Korea Information Security Agency, Network Security and Information Security &
Privacy Modul. UN-APCICT, 2009.
• Peltier, Thomas, “Information Security Fundamentals”, pp: 1-15. CRC Press, 2014.
• IT Governance Indonesia. https://itgid.org/information-security-management- system-isms-iso-27001/
• Ross Anderson, “Security Engineering: A Guide to Building Dependable Distributed Systems”, Wiley, 2008.