Mata Kuliah Keamanan Sistem Informasi by mercy2beans116

VIEWS: 553 PAGES: 44

									Mata Kuliah : Keamanan Sistem Informasi

                 02
Perencanaan dan Managemen Keamanan
               Sistem
             STMIK-Mikroskil

          Prepared By : Afen Prana




                                          1
           Ketika menyelesaikan bab ini,
                    Anda bisa:

Mengenali pentingnya teknologi informasi & memahami
siapa yang bertanggung jawab untuk melindungi suatu
            aset organization’s informasi

Mengetahui & memahami definisi & karakteristik kunci
              keamanan informasi

Mengetahui & memahami definisi & karakteristik kunci
           kepemimpinan & manajemen

Mengenali karakteristik yang membedakan manajemen
    keamanan informasi dari manajemen umum
                                                   2
   Pada kenyataannya, tetapi sering tidak
         disebutkan, berbagai hal:

  Teknologi informasi adalah hal yang kritis
       untuk bisnis dan masyarakat
              ...& selalu begitu
  ( apa yang terjadi jika IT tidak tersedia?)

 Keamanan Komputer mengembangkan ke
      dalam keamanan informasi

Keamanan Informasi adalah tanggung jawab
dari tiap anggota dari suatu organisasi, tetapi
  para manajer memainkan suatu peran yg
                   genting
                                                  3
Review definisi dari security :
- Menurut Harold F. Tipton ?
- Menurut Wikipedia “Security” yaitu :
 “Security is being free from danger”
- Wikipedia “Security (computers)” yaitu :
 “usaha untuk menciptakan suatu platform secure,
didisain sedemikian sehingga agent (user atau program)
hanya dapat melaksanakan tindakan yang telah
diijinkan.”
      - Menurut Whitman dan mattord : “kualiti atau
status menjadi secure – menjadi bebas dari bahaya”
“The quality or state of being secure - to be free
from danger”

Keamanan dicapai menggunakan beberapa strategi yg
dilakukan secara serentak.
                                                         4
Area Spesialisasi keamanan :

-   Physical security
-   Personal security
-   Operations security
-   Communications security
-   Network security
-   Information security (InfoSec)
-   Computer security

Informaton Security meliputi :
-   Physical security
-   Personal security
-   Operations security
-   Communications security
-    Network security
-    Information security (InfoSec)
-    Computer security                5
Keamanan Informasi melibatkan 3 komunitas :


          1. Keamanan Informasi
      Para manajer & Para profesional

           2. Teknologi informasi
      Para manajer & Para profesional

           3. Bisnis non-teknis
      Para manajer & Para profesional
                                              6
     Minat komunitas/Masyarakat :

         InfoSec community :
melindungi asset informasi dari ancaman

             IT community:
 mendukung objektifitas bisnis dengan
penyediaan teknologi informasi yg sesuai

          Business community :
mengartikulasikan & kebijakan komunikasi
    & mengalokasikan sumber daya
                                           7
           Infosec meliputi :
manajemen keamanan informasi, keamanan
       komputer, keamanan data,
         & keamanan jaringan.

Kebijakan adalah pusat bagi semua usaha
                infosec.



                                          8
Komponen dari InfoSec




                        9
             Segi tiga C.I.A terdiri dari:

               Kerahasiaan/Confidentiality

                    Integritas/Integrity

                 Ketersediaan/Availability


( Dari waktu ke waktu daftar karakteristik telah diperluas )
  C.I.A = standar industri untuk keamanan komputer yg
           didasari dari karakteristik informasi.

                                                           10
                           CIA +

Kerahasiaan/Confidentiality             Privasi/Privacy

    Integritas/Integrity           Identifikasi/Identification

 Ketersediaan/Availability     otentifikasi/Authentication

                                    Otorisasi/Authorization

                              Akuntanbilitas/Accountability




                                                              11
                    Kerahasiaan informasi :
-   - memastikan bahwa hanya mereka yang mempunyai perlakuan
khusus cukup boleh mengakses informasi tertentu.
-- Keterjaminan bahwa informasi yang berada pada sistem komputer

hanya dapat diakses oleh pihak-pihak yang diotorisasi

    Untuk melindungi kerahasiaan informasi, sejumlah ukuran mungkin
                         digunakan, mencakup:

                         - Penggolongan Informasi
                        -- storage dokumen secure

               -- Aplikasi dari kebijakan keamanan umum

            -Edukasi dari petugas informasi & pemakai akhir

                                -- kriptograpi




                                                                12
                           Integritas adalah :
-   - mutu atau status menjadi utuh, lengkap, &
                                            tidak dirusak.
--  Keterjaminan bahwa sumber daya sistem komputer hanya dapat
dimodifikasi pihak-pihak yang diotorisasi.
-    Integritas Data (integrity Data) , yaitu akurasi dari data yang
penyesuaiannya terhadap pengertian yang diharapkan, khususnya setelah
data dipindahkan atau diproses. Dalam sistem database, pemeliharaan
integritas data dapat termasuk pengesahan isi field individu, pemeriksaan
nilai field satu terhadap yang lain, pengesahan data dalam satu file atau
tabel yang dibandingkan terhadap file atau tabel lain, dan pemeriksaan
bahwa sebuah database berhasil dan secara teliti diperbarui untuk setiap
transaksi.

                  Integritas informasi terancam ketika diarahkan
                       ke korupsi, kerusakan, pembinasaan,
                    atau lain gangguan tentang status asli nya .

                              Korupsi dapat terjadi
                             selagi informasi sedang
                  yang di-compile, disimpan, atau ditransmisikan.
                                                                        13
               Ketersediaan adalah :
- membuat informasi dapat diakses kepada akses user
 tanpa gangguan campur tangan atau penghalang dalam
format yang diperlukan.
- Keterjaminan bahwa sumber daya sistem komputer tersedia
bagi pihak-pihak yang diotorisasi saat diperlukan.


 Seorang pemakai dalam definisi ini mungkin juga seseorang
               atau sistem komputer lain.

                    Ketersediaan berarti
     ketersediaan untuk memberi otorisasi para pemakai.



                                                             14
                 PRIVASI

            Informasi digunakan
                   hanya
    untuk tujuan mengenal pemilik data.

             Ini tidak difokuskan
     pada kebebasan dari pengamatan,
              tetapi lebih dari itu
        informasi itu akan digunakan
dalam cara-cara yang dikenal kepada pemilik.
                                               15
     Sistim informasi menguasai
        karakteristik identifikasi
   ketika identifikasi tersebut dapat
untuk mengenali para pemakai individu

     Identifikasi Dan otentifikasi
     penting untuk menetapkan
     tingkat akses atau otorisasi

                                        16
           Otentifikasi terjadi
ketika suatu kendali menyediakan bukti
  bahwa seorang pemakai menguasai
    identitasnya atau dia mengakui.




                                         17
      Setelah identitas seorang pemakai
            dibuktikan keasliannya,
         suatu proses disebut otorisasi
     menyediakan jaminan bahwa pemakai
   (apakah seseorang atau suatu komputer)
telah dibuat secara rinci & dengan tegas diberi
       hak dengan otoritas yang sesuai
 untuk mengakses, update, atau menghapus
      muatan dari suatu asset informasi.

                                                  18
        Akuntanbilitas Karakteristik
                     ada
           ketika suatu kendali
           menyediakan jaminan
     bahwa tiap-tiap aktivitas dikerjakan
              dapat ditujukan
untuk menamai orang atau mengotomatiskan
                   proses.

                                        19
          To review ... CIA +

Confidentiality            Privacy

   Integrity             Identification

 Availability           Authentication

                         Authorization

                        Accountability

                                          20
21
  Pikirkan ttg komputer rumah Anda!




 Bagaimana anda menjamin secure?

     Bagaimana anda menjamin
kerahasiaan, integritas,& ketersediaan?


                                          22
Model Keamanan NSTISSC




                         23
 Dua pendekatan terkenal pada manajemen:

       Traditional management theory
 menggunakan prinsip perencanaan/planning,
      pengaturan/organizing, susunan
kepegawaian/staffing, pengarahan/directing, &
     pengendalian/controlling (POSDC).

         Popular management theory
  menggunakan prinsip manajemen ke dalam
perencanaan/planning, pengaturan/organizing,
 leading, & pengendalian/controlling (POLC).24
25
    Perencanaan adalah proses yang
berkembang, menciptakan, & implementasi
               strategi
  untuk pemenuhan pada sasaran hasil.

      Tiga tingkatan perencanaan:

              1. strategic
               2. tactical
             3. operational
                                          26
            Secara umum,
          perencanaan mulai
     dengan perencanaan strategis
     untuk keseluruhan organisasi.

  Untuk melakukan ini dengan sukses,
suatu organisasi harus secara menyeluruh
             mendefinisikan
       tujuannya & sasaran hasil.
                                           27
             Organisasi :
        struktur sumber daya
          untuk mendukung
      pemenuhan sasaran hasil.

Tugas mengorganisasikan memerlukan :

      Apa yang akan dilaksanakan
          apa yang di pesan
              Oleh siapa
       Metoda yang bagaimana
                Kapan
                                       28
         Kepemimpinan mendorong
               implementasi
 tentang perencanaan dan mengorganisir
                  fungsi,
           termasuk pengawasan
perilaku karyawan, hasil, kehadiran, & sikap.

    Kepemimpinan biasanya menunjuk
           arah dan motivasi
     tentang sumber daya manusia.

                                                29
    Kendali adalah monitoring kemajuan
            ke arah penyelesaian
         & membuat penyesuaian
untuk mencapai sasaran hasil yang diinginkan.

     Fungsi Pengendalian menentukan
       apa yang harus dimonitor juga
      penggunaan tool kendali spesifik
  untuk mengumpulkan dan mengevaluasi
                informasi.
                                            30
Empat kategori alat kendali :

    Informasi/Information

      Finansial/Financial

   Operasional/Operational

   Tingkah laku/Behavioral

                                31
Kendali Proses




                 32
Bagaimana cara Memecahkan Permasalahan

               Langkah 1:
Mengenali & mendefinisikan masalah tersebut

               Langkah 2:
     kumpulkan fakta dan buat asumsi

              Langkah 3:
  Kembangkan kemungkinan pemecahan

                 Langkah 4:
  Analisa & bandingkan kemungkinan solusi

                 Langkah 5:
   Pilih, terapkan,& evaluasi suatu solusi    33
               Analisis Kelayakan

           Kelayakan ekonomi menilai
biaya-biaya & keuntungan-keuntungan suatu solusi

           Kelayakan teknologi menilai
          suatu kemampuan organisasi
   untuk memperoleh & mengatur suatu solusi

         Kelayakan tingkah laku menilai
      apakah anggota dari suatu organisasi
         akan mendukung suatu solusi

           Kelayakan operasional menilai
jika suatu organisasi dapat mengintegrasikan suatu
                       solusi                        34
     Karakteristik yang diperluas
              atau prinsip
tentang infosec manajemen ( AKA, 6 P)

        Perencanaan/planning

          Kebijakan/policy

     Program-program/programs

         Proteksi/protection

            Orang/people
                                        35

Manajemen Proyek/project management
             1. Perencanaan
   sebagai bagian dari manajemen Infosec
           yaitu suatu perluasan
     tentang model dasar perencanaan

    Tercakup di Infosec Model Perencanaan
yaitu aktivitas yg diperlukan untuk mendukung
       disain, ciptaan, dan implementasi
     tentang strategi keamanan informasi
               ketika mereka ada
     di dalam lingkungan perencanaan IT.
                                                36
     Beberapa tipe InfoSec rencana ada :
        Tanggap peristiwa/Incident response

      Kesinambungan usaha/Business continuity

        Pemulihan bencana/Disaster recovery

                 Kebijakan/Policy

                 Personil/Personnel

      Pemaparan teknologi/Technology rollout

        Management resiko/Risk management

Program keamanan, termasuk pendidikan, pelatihan dan
             kesadaran/Security program,               37

      including education, training, & awareness
                     2. Kebijakan:

               satuan petunjuk organisatoris
                   dari perilaku tertentu
                    di dalam organisasi.

                   Di dalam Infosec, ada
                3 kategori kebijakan umum:

                1. Kebijakan Program umum
            ( Kebijakan Keamanan Perusahaan)

2. Kebijakan keamanan issue-specific ( ISSP = issue-specific
                    security policy )

  3. Kebijakan System-specific ( SSSPS = System-specific
                        policies )                             38
             3. Program-program:

            kesatuan spesifik mengatur
       di dalam daerah keamanan informasi.

                   Satu kesatuan:
Program pelatihan pendidikan keamanan & kesadaran
  ( SETA = security education training & awareness)


        program2 lain yang muncul meliputi
             program keamanan phisik,
         lengkap dengan api, akses phisik,
                gerbang, pengawal
                                                  39
                  4. Proteksi:

           Aktivitas Manajemen resiko,
     mencakup penilaian resiko dan kendali,
 seperti halnya mekanisme proteksi, teknologi, &
                      tools.

           Masing-Masing mekanisme ini
          menghadirkan beberapa aspek
      tentang manajemen ttg kendali spesifik
didalam keseluruhan rencana keamanan informasi.

                                                   40
                   5. Orang :
      Adalah mata rantai yang paling kritis
      didalam program keamanan informasi.

             sangat mendesak untuk
para manajer yang secara terus-menerus mengenali
     tugas yang rumit dari permainan orang.

meliputi personil keamanan informasi dan keamanan
   personil, seperti halnya aspek program SETA.


                                                    41
       6. Manajemen Proyek
              Disiplin yg
    harus disajikan keseluruhannya
          semua unsur-unsur
 tentang program keamanan informasi.

            Ini melibatkan:

     Identifikasi dan Pengendalian
  sumber daya berlaku untuk proyek

            Ukur kemajuan
        & menyesuaikan proses
sebagai kemajuan dibuat ke arah tujuan
                                         42
Thank you!




             43
File Dapat didownload pada alamat :
http://afenprana.wordpress.com



                                 44

								
To top