Information Security Management Policy J

11 

Teks penuh

(1)

Ke bija ka n S is te m In fo rm a s i Ma n a je m e n Ke a m a n a n

IT ( In fo rm a tio n S e cu rity Ma n a ge m e n t Po licy)

S ta n d a rd IS O 1779 9 : 2 70 0 2

Deris Stiaw an (Dosen Jurusan Sistem Kom puter FASILKOM UNSRI) Sebuah Pem ikiran, Sharing, Ide Pengetahuan, Penelitian

Perkembangan yang sangat cepat saat ini mau t idak mau perusahaan dan pelaku bisnis harus

dapat beradapt asi dengan cepat , kebut uhan akan inf ormasi dan koneksi dat a unt uk updat e

inf ormasi dari kant or t idak mengenal wakt u dan t empat , munculnya solusi-solusi unif ied

communicat ions, mobile commut ers, dan sebagainya semakin menguat kan bahwa ket epat an

dan kecepat an dalam mendapat kan inf ormasi mut l ak dibut uhkan. Lihat saj a saat ini dimana

penggunaan blackberry sangat t inggi penet rasinya di pasar.

Sist em yang dapat diakses dengan availabilit y yang t inggi saat ini dibut uhkan, openness dan

t erdist ribusi past i sudah menj adi keharusan unt uk sist em yang t erint egrasi. Server-server yang

dikoneksikan t erus menerus t iada hent i ke j aringan publik mau t idak mau akan membuka

lubang-lubang sist em keamanan. Tidak ada sist em yang sempurna, kit a hanya dapat

meningkat kan dari st at us t idak aman menj adi relat if lebih aman, karena banyak sekali cara

at au met ode lubang-lubang keamanan yang dapat dit embus. Lubang keamanan it u baik pada

lapisan sist em operasi, aplikasi, layanan, dan sebagainya past i dapat dit emuka t it ik

kelemahanya. Secara garis besar keamanan sist em inf ormasi dan komput er dapat dibagi dua

yait u keamanan secara phisikal dan secara logikal. Secara Phisik berart i bagaimana kit a

mengamankan semua inf rast rukt ur peralat an sist em keamanan kit a baik dari sisi server,

ruangan, kabel, syst em backup redundant syst em, syst em cadangan power list rik dan lain-lain

sedangkan keamanan secara logikal t ent ang met ode keamanan sepert i prot ocol yang

digunakan, met ode komunikasi dat anya, model basis dat anya dan sist em operasinya.

Saat ini dengan kesadaran yang t inggi, t elah banyak perusahaan at au pelaku bisnis yang t elah

memperhat ikan masalah keamanan sist em inf ormasi dan comput ernya, apalagi dengan t awaran

one st op solut ion dari vendor-vendor IT semakin mempekecil masalah-masalah keamanan.

(2)

Banyak sekali t erdapat st at ement yang salah dari pengguna at au manaj emen t ent ang masalah

sist em keamanan comput er at au inf ormasi, sepert i :

1. “ …t et api kit a sudah menggunakan NAT”

2. “ kami t elah menut up semua paket yg masuk “

3. “ Ant i virus original kami “ keeps us saf e”

4. “ Maaf kami t idak menggunakan WINDOWS”

5. “ Kami mempunyai sist em DMZ”

6. “ Kami bukan sebuah t arget ”

7. “ Kami t idak mempublikasikan yang krusial di web”

8. “ Kami t elah mengekripsi dat a”

9. “ kami sudah memiliki f irewall yang banyak dan t erbaru”

10. “ kami mempunyai t eam t angguh dan hebat ”

11. “ kami mempunyai dana IT yang unlimit t ed”

Maka dibut uhkan suat u at uran yang dapat mengikat kepada seluruh pengguna dan karyawan di

t empat t ersebut yang sif at nya menyeluruh dan st andar. Ada banyak st andar yang dapat

digunakan yang biasanya st andar-st andar t ersebut dibuat oleh vendor solusi IT. Misalnya

st andarisasi perkabelan, st andarisasi pembangunan ruang server, st andarisasi server f arm, dan

sebagainya. Kebut uhan akan kebij akan sist em keamanan sangat dibut uhkan disaat suat u

perusahaan at au proses bisnis t elah menggunakan peralat an at au sist em IT sebagai salah sat u

f akt or st rat egi bisnisnya. ISO sebagai salah sat u badan dunia yang membuat st andarisasi yang

digunakan oleh para pengguna dan produsen dalam bidang t ert ent u. ISO 17799 : 27002 adalah

st andar yang berisi t ent ang t ahapan prakt is unt uk mengat ur sist em keamanan inf ormasi.

St andar ISO mempunyai 12 klausa keamanan, dengan j umlah 39 kat egori ut ama dalam bidang

keamana, dimana dalam beberapa kat egori it u mempunyai banyak komponen-komponen yang

(3)

Penj abaran kedua-belas klausa it u adalah ;

1. Risk assessment and treatment

a. Assessing securit y risks, perlu dibuat kebij akan t ent ang resiko yang mungkin akan

t imbul. Kebij akan dapat dibuat dengan diawali analisa t ent ang resiko yang mungkin

muncul pada sist em keamanan, misalnya ;

• Berapa besar ef ek dari berhent inya layanan IT

• Berapa besar ef ek resiko pada saat dat a dan inf ormasi berhasil dit embus

oleh penyusup

• Berapa lama sist em akan normal pada saat layanan t erhent i

b. Treat ing securit y risks t reat ment, kebij akan unt uk menj amin perawat an pada

seluruh sist em IT yang digunakan, at uran yang akan mengikat secara st andar

t ent ang perawat an, misalnya

• Perlu dibuat at uran t ent ang berapa kali dalam sat u wakt u unt uk masalah

maint enance, analisa penet rasi sist em, backup, rest orasi, dan sebagainya

yang berhubungan dengan kegagalan resiko keamanan.

2. Security policy

a. Informat ion securit y policy document & Review of informat ion securit y

policies, kebij akan ini menyangkut permasalahan t ent ang bagaimana perusahaan

memenuhi berbagai at uran keamanan dan privacy regulat ion sepert i st andar dari

Healt h Insurance Port abilit y and Account abilit y Act (HIPAA) , Gr amm-Leach-Bl i l ey

Fi nanci al Ser vi ces Moder ni zat i on Act (GLBA). Misalnya beberapa t ipe dari securit y

policy document , sepert i ;

• Mobile comput er policy

• Firewall policy

• Elect ronic mail policy

• Dat a classif icat ion policy

• Net work Securit y Policy

• Int ernet Accept able use policy

(4)

b. Coordinat ion wit h ot her securit y policies, j angan sampai kebij akan yang t elah

dibuat at au akan dibuat akan menyebabkan kont radikt if dengan kebij akan yang

t elah ada dengan depart emen lain at au malah dengan visi dan misi perusahaan.

Masalah sepert i ini sering kali muncul j ika policy keamanan yang dibuat t idak

melihat blue print perusahaan, misalnya ;

• Dalam policy keamanan karyawan bagian t eknis harus dapat leluasa

masuk ke ruangan lain sesuai dengan t ingkat annya, namun dalam policy

perusahaan dibuat at uran t ent ang model aut hent ikasi sist em unt uk masuk

ke ruangan t ert ent u.

3. Organization of information security

a. Int ernal organizat ion, hal ini diperlukan unt uk koordinasi dengan int ernal

perusaahan, misalnya

• komit men yang t inggi unt uk set iap level management dalam memat uhi

semua kebij akan sist em keamanan yang dibuat , akan lebih baik j ika

dibuat kan at uran t ent ang komint em manaj emen

• Menanamkan t anggung j awab t erhadap semua level manaj emen dan

karyawan at as kebij akan yang t elah dibuat

• Harus membuat kebij akan t ent ang pendef inisian inf ormasi yang masuk

dan keluar dari perusahaan dan inf ormasi t ersebut harus diklasif ikasikan

• Secara periodic melakukan analisa t erhadap sist em yang t elah dibuat ,

misalnya dengan menyewa dari pihak luar.

b. Ext ernal part ies, karena inf ormasi dan dat a j uga dimanf aat kan dan diakses oleh

part ner business maka dibut uhkan j uga kebij kan unt uk arus inf ormasi masuk dan

keluar, misalnya ;

• Karena t elah mengimplement asikan ERP / Supply chain maka beberapa

rekan bisnis dikoneksikan ke sit em dat abase, j angan sampai hak akses

yang diberikan disalahgunakan, maka dibut uhkan at uran yang j elas

t ent ang hak aksesnya

• Berapa nilai resiko yang akan t erj adi dengan mengkoneksikan rekan bisnis

ini, hal ini harus di ident if ikasi dari awal.

• Ant ara perusahaan dan rekan bisnis harus dibuat rambu-rambu yang j elas

(5)

User i d dan Gr oup i d, menerapkan kelompok-kelompok berdasarkan user

dan kelompok agar mudah dimaint enence. Dengan password at au user

root maka kit a bisa mengat ur mesi n comput er t ersebut secara penuh.

Kit a bisa membuat user dan menghapus user, mengakif kan dan

menonakt if kan user, membagi quot a bagi para user, memberikan akses

resource j aringan, sampai dengan inst alasi secara penuh pada server.

4. Asset management

a. Responsibilit y for asset s, permasalahan asset perusahaan harus j uga menj adi

perhat ian khusus, hal ini dibut uhkan unt uk mengklasif ikasikan asset dat a, inf ormasi

dan barang sert a lainnya dalam sebuah kebij akan, misalnya ;

• Bagaimana kit a dapat menget ahui j uml ah barang dan spesif ikasi barang

j ika t idak menget ahui model/ f ormat , t anggal creat ion manuf act ure dan

inf ormasi pent ing lainnya pada saat ingin menget ahui t ent ang barang

t ersebut

• Harus mendokument asikan dengan baik t ent ang inf ormasi dat abase,

kont rak at au kerj asama, inf ormasi dari bagian R&D, user manual, t raining

mat erial, operasional, SOP, dan support procedure.

• Mendat a semua peralat an keseluruhn comput er secara phisik, peralat an

komunikasi, st orage media, sist em penyimpanan backup, perangkat

lunak, dat a base, t ools dan ut ilit ies lainnya.

• Melakukan klasif ikasi inf ormasi, misalnya dengan membuat guidelines

at au membuat labeling inf ormasi, bayangkan j ika asset yang ada banyak

dengan spesif ikasi yang sama at au berbeda, haruslah inf ormasi asset

dibuat st andard dengan mempunyai karakt erist ik dari set iap asset yang

ada.

5. Human resources security, pada kebij akan ini t erf okus pada employees, kont rakt or, dan

pengguna lannya t ent ang t anggung j awab yang ada, misalnya permasalahan pencurian,

perusakan dan kehilangan f asilit as, misalnya ;

• Membuat bat asan t anggung j awab, t erm dan kondisi dari set iap employee

• Harus membuat pert emuan-pert emuan unt uk meningkat kan inf ormat ion

securit y awareness, melakukan edukasi dan t raining t ent ang kebij akan

dan sist em yang t elah dan akan dibangun, hal ini unt uk meningkat kan

(6)

• Perusahaan harus bisa membuat at uran dan regulasi yang baku

bagaimana pengat uran hak akses semua karyawan dan pihak luar lainnya

yang berhubungan dengan sist em inf ormasi

• Set iap employee harus mempunyai bat asan hak akses sesuai dengan

j obsdesk dan depart emnya

• Kebij akan t ent ang bagaimana j ika seorang pegawai karena sesuat u

masalah harus dicabut hak yang melekat , misalnya hak unt uk akses ke

server, hak bagian dari suat u group, hak akses ke ruang t ert ent u, dan

sebagainya.

• Kebij akan harus dapat mengat ur bagaimana j ika employee di cabut hak

aksesnya dan dalam wakt u t ert ent u di kembalikan dengan perset uj uan

managemen

6. Physical and environmental security, dalam bagian ini harus dapat diat ur t ent ang hak

akses secara phisik, kerusakan yang diakibat kan inf rast rukt ur, dapat mengident if ikasi resiko

dan nilai dari set iap asset yang diprot eksi, ada beberapa isu yang dapat diangkat misalnya ;

• Membuat sist em dengan mengat ur bagaimana j ika t erj adi f orce maj ure

(kebakaran, huru-hara, bencana alam)

• Membuat st andar sist em redundant dan backup, membuat at uran dengan

menerapkan kegiat an backup secara berkala at au menggunakan sist em

cadangan, saat ini t rend perkembangan DRC (Disast er Recovery Cent er)

yang biasa digunakan perusahaan banking, dimana menggunakan server

cadangan unt uk menyalin dat abase ke dalam server lain secara mirroring

dengan met ode penyalinan bisa diat ur.

• Membuat membuat at uran baku t ent ang akses comput er dan j aringan

secara langsung misalnya kabel, server yang dilet akkan diruangan khusus,

hub, rout er, dan lain-lain. Ruang server ini sering disebut NOC (Net work

Operat ing Cent er) yang biasanya diruangan khusus yang t erpisah dari user

dan t erdapat rack-rack khusus unt uk menempat kan perangkat

j aringannya.

• Ruang server yang dibuat harus memperhat ikan masalah ruang akses

publik, dan ruang loading dock.

• Membuat at uran t ent ang akses kont rol ke ruang server, akses masuk

dengan menggunakan id ot ent ikasi (misalnya barcode at au sidikj ari) agar

(7)

• Memperhat ikan f asilit as penunj ang keamanan sepert i alat pemadam

kebakaran, pendet eksi asap, alat pendet eksi gerakan dan pendet eksi

audio video surviillance dan bahan kimia lainnya yang membahayakan

area ruangan.

• Membuat pendat aan asset ruangan khusus unt uk mendat a t ent ang proses

maint enance perangkat t ersebut

• Membuat at uran t ent ang pembat asan penggunaan audio video t ermasuk

kamera phot o, HP dan perangkat port able lainnya sert a mengat ur

t ent ang makan minum dan merokok di area t ert ent u.

7. Communications and operations management, pada bagian ini kebij akan harus dibuat

dengan memastikan memeriksa dan mengamankan operasi fasilitas-fasilitas pengolahan

informasi.

a. Operational procedures and responsibilities, dengan membuat st andar dokumen

unt uk set iap operasional,

• Dibut uhkan SOP (St andar Operat ing Procedure) unt uk semua kegiat an,

misalnya bagaimana cara mengat ur kerj a shif t pada ruang server, st andar

penanganan service desk, st andar penanganan t eknis dan sebagainya

b. Third-party service management, semakin banyak pihak ket iga yang digunakan,

maka dibut uhkan mekanisme layanan, report dan perekaman secara

berkesinambungan unt uk memant au dan menganalisa

• Buat at uran t ent ang kerj asama ant ara pengembang aplikasi t hird-part y

yang digunakan

• Mengat ur level inst alasi set iap user unt uk mengakses dat a di hardisk

c. Protection against malicious and mobile code, buat at uran t ent ang pencegahan,

pendet eksian dan respon t erhadap code malicious, misalnya

• Pengat uran t ent ang kebij akan inst alasi sof t ware t hird-part y t erut ama

yang didapat dari ekt ernal net work

• At uralah unt uk selalu menggunakan ant i-virus, ant i-spyware dan lakukan

updat e secara regular

• At uralah unt uk proses updat e t ersebut apakah akan dilakukan secara

t erpusat at au di remot e oleh admin

• Lakukan review secara periodic t erhadap sist em yang berj alan, bila perlu

(8)

• Buat perj anj ian yang mengikat dengan produk sof t ware yang dibeli, j ika

nant i dit emukan masalah dapat menghubungi call cent ernya

• Buat at uran t ent ang bagaimana j ika t erj adi t rouble sist em pada saat

inst alasi sof t ware t hird-part y

• Lakukan t raining dan sosialisai t ent an kebij akan dan met ode ini

d. Network security management, Dalam at uran ini akan melindungi semua inf ormasi

pada j aringan dan pada support ing net work inf rast ruct ure.

• Buat at uran t ent ang “ push inf ormat ion” ke level manaj emen unt uk

perf ormance net work

• Buat lah t ampilan unt uk memonit or net work baik dari sisi perangkat at au

akses user, hal ini berguna unt uk membuat report

• Membuat dokument asi gambar-gambar t opology net work

• Mengat ur j angan sampai inf ormasi-inf ormasi sensit ive inf rast ruct ure

net work dari akses public, hal ini unt uk memperkecil kasus social

engineering

• At urlah t ent ang pengumpulan logging t ermasuk akt ivit as keamanan

• Lakukan koordinasi dengan pihak lain (konsult an, CERT, ID-SIRTI, dan

lain-lain)

• Implement asikan layanan net work, sepert i aut hent icat ion, encrypt ion

dan koneksi cont rol

• Buat kerj asama dengan penyelenggara sist em keamanan sepert i

penggunaan digit al cert if icat e, kunci public, sist em OTP dan sebagainya

• Buat cont rol akses ke inf rast rukt ru net work t ermasuk akses wireless,

akses dat a, at au lainnya yang berhubungan dengan inf ormasi dan dat a

• At uran t ent ang prot eksi pert ukaran inf ormasi dari int ercept ion, copying,

modif icat ion, mis-rout ing

• Pada saat dat a disimpan secara physical buat lah at uran yang baku

t ent ang packaging, locked cont ainer, t emper-evident t angging,

penomeran locker, surat pengant ar dan recording hist orinya.

• Buat at uran t ent ang penggunaan elect ronic messaging (email, IM,

audio-video conf erence, dan sebagainya), misalnya t ent ang pembat asan akses,

at t achment f ile, t ransmit f ile, yang berhubungan dengan pengaruh pada

sist em keamanan

• Jika dimungkinkan t et apkan unt uk penggunaan kunci public dengan PGP

(9)

• Jika menggunakan layanan e-commerce, buat lah at uran layanan dengan

pihak lain (aut horit y securit y at au banking) dan perhat ikan penggunaan

aplikasi yang digunakn

e. Monitoring, dalam kat egori ini akt ivit as proses menj adi perhat ian ut ama,

diant aranya ;

• Buat t eam NMC (Net work Monit oring Cent er) unt uk memant au t raf f ic,

akt ivit as di j aringan dan inf rast rukt ur yang memant au secara t

erus-menurs 24 j am

• Team NMC dibawah t anggung j awab depart emen t eknis, NMC sangat

berperan dalam menget ahui akt ivit as secara dini baik anomaly, serangan

at au f ailure dari sist em yang berj alan

• Buat sist em t icket ing unt uk pengant rian gangguan di helpdesk, hal ini

unt uk meningkat kan layanan

• Buat sist em monit oring secara menyeluruh unt uk mengat ahui semua

proses dan akt ivit as yang t erj adi di j aringan, dengan prot ocol SNMP dan

beberapa aplikasi st andar dapat memberikan inf ormasi yang det ail

• Lakukan monit oring secara keseluruhan (rout er, swit ching, server, last

miles, resources hardware dan devices lainnya)

• Bila perlu int egrasikan monit oring ke sist em lainnya misalnya sms, email,

dan aplikasi mobile lainnya

• Buat at uran unt uk memprot eksi Logging akses dan proses, lakukan

recording unt uk set iap log dari administ rat or sampai dengan operat or,

Fault logging, hal ini j uga unt uk mendukung dari j ob desk ID-SIRTI.

Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara

ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak

t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.

Check Log admi nst r asi secara priodik dengan melakukan checking semua

akt ivit as sist em comput er baik dari sisi akses ke user, j alannya daemon

sist em, dan akses user ke sist em.

• Lakukan review log dengan mencocokan policy pada mesin f irewall at au

IDS

• Lakukan clock synchronizat ion t erut ama j ika mempunyai banyak server di

(10)

8. Access control, bagian ini hendaknya membuat at uran t ent ang akses ke inf ormasi, f asilit as

proses inf ormasi dan business process.

• Membuat at uran t ent ang akses ke sist em inf ormasi

• Membuat baku t ent ang f ormat perset uj uan, penolakan dan administ rasi

• User Regist rasi, perlu dibuat unt uk mengimplement asikan prosedur

regist rasi, grat ing dan revoking access ke semya sist em dan layanan

inf ormasi

• Buat account dengan unik unt uk semua ID user

• Buat at uran t ent ang pemberit ahuan admin kepada user t ent ang

permasalahan pada sist em account

• Buat st andart unt uk “ t erm and condit ion” dan conf ident ialit y agreement

• Buat st andar dokument asi unt uk menyimpan semua inf ormasi user agar

mudah di rest orasi

Account, apakah sebuah account dapat digunakan bersama, disaat

account nya dit olak apa yang harus dilakukan oleh user. Account yang

expired sepert i keluarnya pegawai / resign yang dahulu mendapat kan hak

akses ke server sepert i account mail, account web at au quot a di server

unt uk menyimpan dat anya harus segera dihapus set elah pegawai t ersebut

resmi resign dari perusahaan.

Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara

ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak

t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.

• Gant i password secara berkala (admin & user) dan dokument asikan,

Password yang baik selain t erdiri dari karakt er dan angka j uga

panj angnya, ada baiknya password digant i secara berkala misalnya 1

bulan sekali dan di dokument asikan

New account s, membat asi user baru dengan quot a, memory dan akses

besert a hak yang dimilikinya

• Bat asi ruang lingkup user dengan menerapkan quot a, j am akses, hak

akses inst alasi di PC at au server dan sebagainya

Root Secur i t y, sist em administ rasi dengan menggunakan remot e sist em

harus melalui j aringan yang aman, misalnya VPN, SSL, at au SSH. Dibuat

at uran dimana set iap user yang akan login ke server dengan account root

at au super user harus login dengan user biasa dulu baru pindah ke user

(11)

• Buat at uran t ent ang net work rout ing cont rol, past ikan algort ima yang

digunakan benar dan link ke rout ing dapat dipercaya, perhat ikan hop

rout ing, lat ency dan prot ocol yang digunaka

9. Information systems acquisition, development and maintenance, pada bagian ini akan

membicarakan t ent ang at uran bagian dari sist em inf ormasi, dan proses bisnis yang

merupakan bagian dari kegiat an sist em yang berlangsung.

a. Security Requirement of information system & application, menyangkut t ent ang

sist em inf ormasi secara keseluruhan

• Membuat at uran t ent ang legalit as t ent ang asset inf ormasi pada

perubahan at au implement asi sist em yang baru.

• Membuat at uran t ent ang dat a input pada aplikasi unt uk memast ikan

kebenaran dat a t ersebut

• Membuat at uran t ent ang pemeriksaan ulang dan manual unt uk

memverif ikasi dan cross checking

• Hal ini sebagian dari penanggulangan inj ect ion pada serangan yang akan

dilakukan pada sist em yang dibangun dengan memanf aat kan celah yang

ada.

• Membuat def inisi unt uk t anggung-j awab dan proses unt uk merespon pada

saat t erj adi at au mendet eksi errors.

• Memperhat ikan t ent ang out put dat a dengan memvalidasi unt uk

memast ikan dat a yang diproses dan disimpan adalah benar

• Gunakan met ode enkripsi kript ographi t ert ent u unt uk menj amin

keamanan, int egrasi dan ot ent ikasi inf ormasi dengan menggunakan

aplikasi yang mendukungnya

b. Security Systems, menj amin sist em f ile yang ada,

• Membuat prosedur implement asi unt uk mengont rol inst alasi sof t ware

• Minimalkan t erj adinya konf lik / inkompat ibel ant ara perangkat lunak

dengan sist em operasi dan perangkat keras

• Melakukan t raining unt uk mensosiali sasikan sist em yang t elah dibuat

Figur

Memperbarui...

Referensi

Memperbarui...