UNIVERSITAS PENDIDIKAN INDONESIA

(1)

REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA

SECURITY POLICY

MATA KULIAH PENJAMINAN DAN KEAMANAN INFORMASI

UNIVERSITAS PENDIDIKAN INDONESIA

Kampus Cibiru

(2)

Outlines

Review

• Aspek Administratif

• Contoh Metodologi Keamanan Informasi

Metodologi Keamanan Informasi

• Definisi Kebijakan Keamanan Informasi

• Elemen Kunci Kebijakan Keamanan Informasi

• Format Kebijakan Keamanan Informasi

Pendahuluan Kebijakan Keamanan Informasi

• Pengumpulan Informasi dan Analisis Kesenjangan

• Perumusan Kebijakan

• Pelaksanaan Kebijakan

Daur Hidup Kebijakan Keamanan Informasi

(3)

REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA

Objektif

• Memahami model kebijakan keamanan informasi sebagai salah satu metode keamanan informasi

• Memahami penekanan kebutuhan kebijakan keamanan informasi yang efektif dan tepat.

• Memahami implikasi kebijakan dari prinsip-prinsip keamanan informasi.

• Memahami daur hidup kebijakan keamanan informasi

(4)

REVIEW

(5)

Review

• Dari materi yang lalu diharapkan Anda telah memahami hala-hal berikut:

– Karakteristik utama serangan pada jaringan dan serangan pada aplikasi – Mengetahui setiap ciri serangan pada

pada jaringan dan serangan pada aplikasi

– Mengetahui bagaimana mengatasi serangan pada jaringan dan serangan pada aplikasi

Malicious Software

Needs Host

Program Independent

Trap

Doors Logic

Bombs Trojan

Horse Virus Worm Zombie

(6)

METODOLOGI KEAMANAN INFORMASI

(7)

Metodologi Keamanan Informasi

Meminimalisir kerusakan dan memelihara

keberlangsungan kegiatan operasional instansi dengan memperhatikan semua

vulnerability dan threat.

• Kerahasiaan,

• Integritas

• Ketersediaan

Information Security Management System (ISMS

)

• seperangkat kebijakan dan

prosedur untuk mengelola data sensitif organisasi secara

sistematis.

• untuk meminimalkan risiko dan memastikan kelangsungan

operasi instansi dengan cara proaktif membatasi dampak pelanggaran keamanan

(8)

ISMS

• ISO/IEC27001 merupakan standar ISMS internasional.

• Berdasarkan pada BS7799, standar British Standards Institution (BSI).

– kebutuhan untuk implementasi dan pengelolaan ISMS dan standar-standar umum keamanan informasi serta manajemen keamanan yang efektif.

Bagian 1: kegiatan keamanan yang diperlukan berdasarkan praktik keamanan terbaik dalam organisasi

Bagian 2: menjadi ISO/IEC27001 saat ini, berisi persyaratan minimum yang dibutuhkan untuk operasi ISMS dan penilaian aktivitas keamanan

BS7799

(9)

ISMS

Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain

Domain Item Kontrol di ISO/IEC27001

A5. Kebijakan keamanan

A6. Organisasi keamanan informasi A7. Manajemen aset

A8. Keamanan sumber daya manusia A9. Keamanan fisik dan lingkungan A10. Manajemen komunikasi dan operas A11. Kontrol akses

A12. Pengadaan, pengembangan dan pemeliharaan sistem informasi A13. Manajemen insiden keamanan informasi

A14. Manajemen keberlangsungan bisnis A15. Kepatuhan (compliance)

(10)

ISMS (lanjutan)

(11)

ISMS (lanjutan)

• Analisis kesenjangan: proses pengukuran tingkat keamanan informasi saat ini sebagai dasar menetapkan kebijakan keamanan informasi di masa depan

– Didapat dari jawaban terhadap 133 kontrol dan 11 domain. Setelahnya area yang lemah dapat ditetapkan control keamanannya

• Kajian risiko: Kajian nilai aset dan Kajian ancaman & kerentanan.

– risiko dapat diterima vs risiko yang tidak dapat diterima

• Penerapan control: keputusan penerapan kontrol berbeda masing-masing nilai aset.

– Kontrol perlu diterapkan ke aset informasi dengan risiko yang tidak dapat diterima

Nilai Aset + Ancaman + Kerentanan = Risiko

Kerahasiaan: Nilai Aset(2) + Ancaman(3) + Kerentanan(3) = Risiko(8) Integritas: Nilai Aset(2) + Ancaman(3) + Kerentanan(1) = Risiko(6) Ketersediaan: Nilai Aset(2) + Ancaman(1) + Kerentanan(1) = Risiko(4)

Kajian risiko

(12)

Contoh Metodologi Keamanan Informasi

Federal Information Security

Modernization Act (FISMA)

Dikembangkan oleh US National Institute of Standards and Technology (NIST)

mengenai pedoman dan standar untuk

memperkuat keamanan informasi

(13)

Contoh Metodologi Keamanan Informasi

Inggris (BS7799)

• BSI menganalisis aktivitas keamanan

organisasi di Inggris dan memberikan sertifikasi BS7799

• sekarang telah

dikembangkan menjadi ISO27001 (BS7799 bagian 2) dan ISO27002 (BS7799

bagian 1).

(14)

PENDAHULUAN KEBIJAKAN KEAMANAN INFORMASI

(15)

Urgensi Kebijakan Keamanan Informasi

• Kebijakan keamanan informasi: dokumentasi keputusan di suatu instansi tentang penanganan dan perlindungan informasi.

– Pertimbangan alokasi sumber daya, tujuan, dan strategi instansi terhadap perlindungan informasi serta bagaimana membimbing perilaku karyawan.

• Pembuatan kebijakan terbaik harus memahami informasi adalah aset.

– Kebijakan yang efektif, mencakup seluruh instansi dan masuk program manajemen aset

• Kebijakan menetapkan sikap instansi terhadap informasi (internal/eksternal) informasi dilindungi dari akses, modifikasi, pengungkapan, dan penghancuran tidak sah.

– Internal: pengaruh terhadap elemen instansi

– Eksternal: pemberitahuan sikap instansi terhadap tanggung jawab pengelolaan informasi

(16)

Definisi

• Istilah kebijakan memiliki lebih dari satu arti.

– Arahan manajemen senior: bagaimana program dijalankan, tujuan dan sasarannya, dan pengambil tanggung jawab. Access Control Facility 2 (ACF2), Resource Access Control Facility (RACF),

– Arti lain kebijakan seperti keputusan mengatur privasi email organisasi atau penggunaan Internet/media sosial

• Kebijakan: pernyataan tingkat tinggi tentang keyakinan, tujuan, dan

sasaran perusahaan dan sarana umum untuk pencapaiannya untuk area subjek tertentu.

(17)

Definisi

(18)

Definisi Tambahan

• Standar adalah persyaratan wajib yang mendukung kebijakan individu.

Standar dapat berkisar dari perangkat lunak atau perangkat keras apa yang dapat digunakan, hingga protokol akses jarak jauh apa yang akan

diimplementasikan, hingga siapa yang bertanggung jawab untuk menyetujui sesuatu.

• Prosedur adalah tindakan wajib, langkah demi langkah, terperinci yang diperlukan untuk menyelesaikan tugas dengan sukses. Prosedur bisa sangat detail.

• Pedoman adalah saran yang didokumentasikan untuk penerapan praktik yang diterima secara teratur dan konsisten. Biasanya memiliki kekuatan hukum mengikat yang lebih lemah dibanding yang lain.

(19)

Definisi

(20)

Definisi

(21)

Elemen Kunci Kebijakan Keamanan Informasi

Mudah dimengerti

• Penting diperhatikan materi yang disajikan memenuhi kualifikasi audiens yang dituju.

Diberlakukan

• apa pun yang tertulis memenuhi kebutuhan spesifik organisasi.

Bisa dilakukan

• Dapatkah organisasi dan karyawannya tetap memenuhi tujuan bisnis jika kebijakan tersebut diterapkan?

Dapat ditegakkan.

• Jangan menulis kebijakan yang merugikan diri sendiri Bertahap

• Ada waktu elemen organisasi mempelajari kebijakan sebelum diberlakukan.

Proaktif

• Nyatakan apa yang harus dilakukan, rawan terjebak dengan pernyataan—“Jangan!

Hindari yang Bersifat Mutlak

• Kebijakan masih dapat dievaluasi kembali Memenuhi tujuan instansi

• Proses pengendalian harus membantu organisasi ke tingkat risiko yang dapat diterima

(22)

Format Kebijakan Keamanan Informasi

• Terdapat tiga jenis kebijakan dalam program keamanan informasi:

– Global (tier 1)— kebijakan yang menciptakan visi dan arah organisasi secara keseluruhan

– Topic-specific (tier 2)—Aspek tertentu yang menjadi perhatian.

• Jika kebijakan tingkat 1 tipikal mungkin membahas "Komunikasi

Perusahaan", kebijakan tingkat 2 yang mendukung mungkin membahas persyaratan komunikasi saat menggunakan email, media sosial, pesan suara, dsb.

– Application-specific (tier 3)— fokus pada keputusan yang diambil oleh manajemen untuk mengendalikan aplikasi tertentu (pelaporan keuangan, penggajian, dll.) atau sistem (sistem penganggaran)

(23)

REKAYASA PERANGKAT LUNAK – UNIVERSITAS PENDIDIKAN INDONESIA

DAUR HIDUP KEBIJAKAN KEAMANAN INFORMASI

(24)

Pendekatan Bertahap Kebijakan Keamanan Informasi

FASE 1: Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.

FASE 2: Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.

FASE 3: Konsultasi dan persetujuan.Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.

FASE 4: Kesadaran dan edukasi.Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.

FASE 5: Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.

(25)

Daur Hidup Kebijakan Keamanan Informasi

• Penyusun kebijakan perlu memperhatikan beberapa hal, seperti:

– dasar pemikiran kebijakan – sumber daya tersedia – arah kebijakan,

– kebutuhan hukum – anggaran,

– hasil yang diharapkan

Information Gathering

Gap Analysis

Establishment

Execution

Review and Evaluation

(26)

Pengumpulan Informasi dan Analisis Kesenjangan

• Dalam pengumpulan informasi:

– Informasi pembentukan dan operasi organisasi yang ikut serta dalam keamanan informasi

– Kebijakan, hukum dan peraturan keamanan informasi

– Metodologi keamanan informasi yang digunakan secara internasional dan nasional beserta contohnya

– Tren ancaman dan metode penanganan berbagai jenis serangan

• Dalam analisis kesenjangan: penting memahami infrastruktur terkait keamanan informasi (hukum,sistem yang ada, area, kesenjangan yang perlu dikejar → menentukan prioritas kebijakan keamanan informasi

– Memahami kemampuan dan kapasitas instansi

– Mengidentifikasi ancaman eksternal pada keamanan informasi.

(27)

Penetapan Kebijakan

• Merumuskan kebijakan

keamanan informasi nasional mencakup:

– menentukan arah kebijakan;

– membentuk organisasi keamanan informasi beserta peran dan tanggung jawabnya;

– menyatakan kerangka kerja kebijakan keamanan informasi;

– menyusun dan/atau merevisi hukum supaya konsisten dengan kebijakan;

– mengalokasikan anggaran

implementasi kebijakan informasi.

(28)

Implementasi Kebijakan

• Implementasi kebijakan keamanan informasi yang lancar membutuhkan kerjasama antar unit

(29)

Pengendalian Dan Umpan Balik

• Revisi kebijakan penting sesudah efisiensi kebijakan keamanan informasi

telah ditentukan.

• Metode evaluasi kebijakan ditentukan oleh instansi yang dapat diterapkan untuk menentukan

– efisiensi kebijakan keamanan informasi.

(30)

TUGAS

1. Carilah contoh kebijakan keamanan informasi dari suatu instansi (sertakan

referensinya), lalu lakukan analisis dan jelaskan dari contoh kebijakan informasi yang Anda dapatkan:

1. Arah kebijakan

2. Organisasi keamanan informasi 3. Kerangka kerja kebijakan

4. Hukum yang mendukung kebijakan keamanan informasi 5. Alokasi biaya untuk keamanan informasi

2. Menurut Anda, bagaimana pengaruh dan keterkaitan dari satu tahapan ke tahapan lainnya pada daur hidup kebijakan keamanan? Apakah suatu tahapan dapat

dilewati atau bahkan dihilangkan? Jelaskan!

3. Mengapa kerjasama antar unit/sektor penting dalam pengembangan dan

(31)

REFERENCES

• Korea Information Security Agency, Network Security and Information Security &

Privacy Modul. UN-APCICT, 2009.

• Peltier, Thomas, “Information Security Fundamentals”, pp: 1-15. CRC Press, 2014.

• IT Governance Indonesia. https://itgid.org/information-security-management- system-isms-iso-27001/

• Ross Anderson, “Security Engineering: A Guide to Building Dependable Distributed Systems”, Wiley, 2008.