KEAMANAN SISTEM INFORMASI
DAFTAR PUSAKA
• Furnell, S. M., Katsikas, S., Lopez, J., & Patel, A. (Eds.). (2008).
Securing Information and Communications Systems Principles, Technologies, and Applications. Artech House, Inc.
• Hawker, A. (2005). Security and Control in Information System (A guide for business and accounting). Taylor & Francis
e-Library.
• Rountree, D. (2011). Security for Microsoft Windows System Administrators Introduction to Key Information Security
Concepts. (R. Buike, Ed.). Elsevier, Inc.
• Straub, D. W., Goodman, S., & Baskerville, R. L. (Eds.). (2008).
ISTILAH DALAM KEAMANAN
SISTEM INFORMASI
• THREAT
– HACKING, MALWARE
• VULNERABILITY
– KELEMAHAN YANG DIMILIIKI SISTEM
• ASSET
– APAPUN, SIAPAPUN, PERANTI LUNAK/KERAS YANG MEMBENTUK SI
• RISK
– ANCAMAN TERHADAP TARGET TERTENTU
• IMPACT
– CONFIDENTIALITY
• CONSEQUENCE
STANDAR, ATURAN DAN
KESESUAIAN
•
ORGANISASI STANDAR TATA KELOLA
(SETTING)
– ISO, NIST, IETF DAN IANA
•
STANDAR KEAMANAN & SERTIFIKASI
– FIPS, COMMON CRITERIA DAN EAL
•
PERATURAN & COMPLIANCE
ISO
• INTERNATIONAL STANDARD ORGANIZATION
• WWW.ISO.ORG
• LOKASI KANTOR PUSAT DI JENEWA
• MENGATUR STANDAR KEAMANAN INFORMASI
(SET STANDARD FOR INFORMATION SECURITY)
NIST
• NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY
• DIRESMIKAN TAHUN 1901
• MENGATUR SEMUA WILAYAH TEKNOLOGI
TERMASUK DIDALAMNYA KEAMANAN INFORMASI
• WWW.NIST.ORG
• CURRENT VULNERABILITIES AND EXPOSURES (CVE)
• CVE-2013-2830 : Use-after-free vulnerability in
IETF
• RFC (REQUEST FOR COMMENT)
• RFC 0764 DIPERBARUI OLEH RFC5198
• KEDUA RFC MENGATUR (SETS) TENTANG SPESIFIKASI STANDAR TELNET
IANA
• INTERNET ASSIGNED NUMBER AUTHORITY
• WWW.IANA.ORG
FIPS
• STANDAR KEAMANAN
• FEDERAL INFORMATION PROCESSING STANDARDS
• DIKEMBANGKAN OLEH NIST
EAL
• EVALUATION ASSURANCE LEVEL
•
HTTPS://WWW.US-CERT.GOV/BSI/ARTICLES/BEST- PRACTICES/REQUIREMENTS-ENGINEERING/THE-COMMON-CRITERIA
• EAL1 = UJI FUNGSI
• EAL2 = UJI STRUKTUR
• EAL3 = UJI METODE DAN DIPERIKSA
• EAL4 = UJI DESAIN METODE DAN DIKAJI
• EAL5 = UJI DESAIN SEMI FORMAL
• EAL6 = UJI DESAIN SEMI FORMAL TERVERIFIKASI
PCI DSS
• PAYMENT CARD INDUSTRY DATA SECURITY STANDARD
• BERTUJUAN UNTUK MELINDUNGI PENIPUAN DAN ATAU PENCURIAN KARTU KREDIT
Build and maintain a secure network
Protect cardholder data
Maintain a vulnerability management program
Implement strong access control
measures
Regularly monitor and test networks
Maintain An
information security policy
1. Install and maintain a firewall
onfiguration to protect defaults for system
passwords and other security parameters data across open public Networks
1. Use and regularly update antivirus software or programs 2. Develop and maintain secure
systems and applications
1. Restrict access to each person with monitor all access to
2. Regularly test security systems and processes
1. Maintain a policy that addresses information security for employees and
SOX 2002
• SARBANES-OXLEY ACT 2002 (PASAL SARBANES-OXLEY TAHUN 2OO2)
• HTTP://WWW.SOXLAW.COM/
• BERTUJUAN UNTUK MENINGKATKAN TRANSPARANSI DAN AKUNTANBILITAS
REGULASI DESKRIPSI
TITLE I PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD
TITLE II AUDITOR INDEPENDENCE
TITLE III CORPORATE RESPONSIBILITY
TITLE IV ENHANCED FINANCIAL DISCLOSURES
TITLE V ANALYST CONFLICTS OF INTEREST
TITLE VI COMMISSION RESOURCES AND AUTHORITY
TITLE VII STUDIES AND REPORTS
TITLE VIII CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY
TITLE IX WHITE-COLLAR CRIME PENALTY ENHANCEMENT
TITLE X CORPORATE TAX RETURNS
SAS 70
• STATEMENT ON AUDITING STANDARDS NO. 70:
SERVICE ORGANIZATIONS
• AMERICAN INSTITUTE OF CERTIFIED PUBLIC
ACCOUNTANTS (AICPA)
• DUA JENIS AUDIT SAS 70
– TYPE I
• AUDIT REPORT ON THE CONTROLS THAT AN ORGANIZATION HAS IN PLACE
– TYPE II
HIPAA
• HEALTH INSURANCE PORTABILITY AND
ACCOUNTABILITY ACT
• FUNGSI HIPAA
– TITLE I
• PROTECTS HEALTH INSURANCE COVERAGE FOR PEOPLE WHO LOSE THEIR JOBS.
– TITLE II
• WHICH IS WHAT IT ADMINISTRATORS CARE ABOUT, SPECIFIES GUIDELINES FOR VARIOUS HEALTHCARE AGENCIES AND
INSTITUTIONS, INCLUDING HOSPITALS, DOCTORS’ OFFICES, AND
RULE OF HIPAA TITLE II
• ATURAN PRIVASI
• ATURAN TRANSAKSI DAN KODE
• ATURAN KEAMANAN
• ATURAN IDENTIFIKASI UNIK
PRINSIP KEAMANAN INFORMASI
• CONFIDENTIALITY
– MENCEGAH TERBUKANYA INFORMASI SENSITIF
• INTEGRITY
– MENCEGAH PERUBAHAN INFORMASI
• AVAILABILITY
NILAI INFORMASI
• KUALITAS INFORMASI
– INFORMASI YANG BAIK DAPAT MEMPENGARUHI
PENGAMBILAN KEPUTUSAN DALAM BISNIS
– INFORMASI YANG BURUK MEMPENGARUHI
KEPERCAYAAN DAN KREDIBILITAS
• MEMPEROLEH INFORMASI
– NILAI INFORMASI DIPENGARUHI OLEH
• PIHAK YANG MEMILIKI INFORMASI
NILAI INFORMASI
• ORGANISASI SAAT INI BERINVESTASI LEBIH TINGGI PADA PENGEMBANGAN PERANTI
FAKTOR YANG MEMPENGARUHI NILAI
INFORMASI
• TERPERCAYA
• WAKTU
• BERKAITAN
• AKURAT
FRAMEWORK UNTUK MENILAI
INFORMASI
• “KNOWLEDGE ASSET”, BOISOT (1998)
– KODIFIKASI
• TEKNIK YANG DIGUNAKAN UNTUK MENGORGANISASI INFORMASI MENJADI KATEGORI ATAU KELAS
– ABSTRAKSI
• BERMANFAAT UNTUK MENGUNGKAP BENTUK MAUPUN MAKNA SUATU INFORMASI
– DIFIUSI
• DIGUNAKAN UNTUK MENENTUKAN KETERSEDIAAN INFORMASI BAGI YANG INGIN MENGGUNAKAN
SISTEM INFORMASI SEBAGAI ASET
• SISTEM INFORMASI DINILAI SEBAGAI ASET TIDAK BERWUJUD (INTANGIBLE)
• DRAFT FINANCIAL ACCOUNTING STANDARD BOARD (FASB 1999)
– KLASIFIKASI ASET BERBASIS TEKNOLOGI
• PERANTI LUNAK
• BASISDATA
• SISTEM INFORMASI
– KARAKTERISTIK ASET BERBASIS TEKNOLOGI
• PATEN
• HAK CIPTA
KENDALA DALAM MENENTUKAN
NILAI SISTEM INFORMASI
• INFORMASI TIDAK SELALU BERHUBUNGAN
DENGAN CARA MEMPEROLEH MAUPUN BIAYA PENGEMBANGAN.
• PERBEDAAN PERSEPSI TERHADAP INFORMASI BERBEDA-BEDA.
• NILAI INFORMASI DIPENGARUHI OLEH WAKTU DAN HUBUNGAN.
MENGAPA SISTEM INFORMASI
DIBUTUHKAN
• SISTEM INFORMASI MERUPAKAN
FUNGSIONAL ORGANISASI TAK TERPISAHKAN (TERINTEGRASI) YANG MENJAMIN
KEBERLANGSUNGAN HIDUP ORGANISASI, PERUSAHAAN DAN KELOMPOK.
• FORECASTING, OTOMATISASI, KONTROL, MONITOR.
ANCAMAN SI DIPENGARUHI OLEH
FAKTOR
• SCALE = UKURAN
– SERVER PUSAT PERUSAHAAN MULTINASIONAL
BERMASALAH, DAPAT MENYEBABKAN MASALAH DI PERUSAHAAN OPERASIONAL
• SPEED = KECEPETEN
– DATA HILANG/RUSAK DALAM HITUNGAN DETIK
• INOVASI TEKNIS
RESIKO PADA SISTEM INFORMASI
• PENCURIAN (THEFT)
– KEGIATAN MEMINDAH ASET DARI ORGANISASI
• ILLEGAL COPY
• PENIPUAN (FRAUD)
– KEGIATAN MEMINDAH ASET DENGAN BENTUK
MUSLIHAT (DECEPTION)
• KONTRAK PALSU
• KERUSAKAN JANGGAL
– KERUSAKAN FISIK MAUPUN LOGIK
RESIKO PADA SISTEM INFORMASI
• KESALAHAN DAN KOMPETENSI
– SALAH INPUT, SALAH PROSEDUR
• KECELAKAAN DAN BENCANA
RINGKASAN ANCAMAN
KECELAKAAN & BENCANA
ANCAMAN INTERNAL VS
EKSTERNAL
• UNTUK MENENTUKAN SUMBER ANCAMAN
INTERNAL, EKSTERNAL, DAPAT DILIHAT DARI ARAH DATANGNYA ANCAMAN MELEWATI
BATAS ORGANISASI (ORGANISATIONAL
ORGANISATIONAL BOUNDARIES
• PENGGUNAAN PERANGKAT HUKUM BILA DILUAR ORGANISASI (BANDING)
• SULIT MEMBERI SANKSI BILA DILUAR ORGANISASI (KASUS KOMPLEK)
• KEPERCAYAAN LEBIH BESAR BILA DILUAR ORGANISASI
MITRA PELANGGAN RESMI
AD HOC CUST
PUBLIK
DISTRIBUSI RESIKO KEAMANAN
SISTEM INFORMASI
INTERNAL
EKSTERNAL
LALAI
KECELAKAAN BENCANA FRAUD
THEFT
STRATEGI KEAMANAN SISTEM
INFORMASI
Strategies for setting security policies
Strategies for implementing security policies
Information security
STRATEGI KEAMANAN INFORMASI
SEBAGAI PENYEIMBANG
• TINGKAT PERLINDUNGAN (LEVEL OF
PROTECTION)
• BIAYA KEAMANAN INFORMASI (COST OF
SECURITY INFORMATION)
• KEMUDAHAN AKSES BAGI CUSTOMER DAN
KARYAWAN (EASE OF ACCESS FOR CUSTOMER
HTTP STATUS CODE
• 1XX = INFORMATION RESPONSE
– 100, 101, 102, 103;
• 2XX = SUCCESS
– 200, 201 , 202, 203, 204, 205, 206, 207, 208, 226;
• 3XX = REDIRECTION
– 300, 301, 302, 303; 304, 305, 306, 307, 308;
• 4XX = CLIENT ERROR
ILUSTRASI SANDI ANGKA
• 1-1 = Hubungi per telepon
1-4 = Ingin bicaradiudara (langsung) 3-3 = Kualitas suara jelek
3-3L = Kecelakaan korban luka
3-3M = Kecelakaan korban material 3-3K = Kecelakaan korban meninggal 3-3KA = Kecelakaan kereta api
3-4-K = Kecelakaan, korbanmeninggal, pelaku melarikan diri 4-4 = Penerimaan jelek
5-5 = Penerimaan baik
8-4 = Tespesawat/penerimaannya 8-6 = Dimengerti
8-7 = Disampaikan
DISKUSI
• BERIKAN CONTOH PENERAPAN KODIFIKASI, ABSTRAKSI DAN DIFUSI BERDASARKAN
