Tujuan belajar setelah mempelajari bab ini diharapkan : 1. memahami kebutuhan organisasi akan keamanan dan pengendalian 2. memahami bahwa keamanan informasi berkaitan dengan keamanan semua sumber daya informasi,bukan hanya peranti keras dan data 3. memahami tiga tujuan utama keamanan informasi 4. Memahami bahwa manajemen keamanan informasi terdiri dari 2 area : manajemen keamanan informasi dan manajemen keberlangsungan bisnis 5. melihat hubungan yang logis antara ancaman,risiko,dan pengendalian 6. memahami apa saja ancaman keamanan yang utama 7. memahami apa saja risiko keamanan yang utama 8. memahami berbagai kekhawatiran keamanan ecommerce dan bagaimana perusahaan-perusahaan kartu kredit mengatasinya 9. mengetahui proses implementasi kebijakan keamanan informasi 10. mengenali cara-cara pengendalian keamanan yang populer 11. mengetahui tindakan-tindakan pemerintah dan kalangan industri yang memengaruhi keamanan informasi 12. mengetahui cara mendapatkan sertifikasi profesional dalam keamanan dan pengendalian 13. mengetahui jenis-jenis rencana yang termasuk dalam perencanaan kontinjensi PENDAHULUAN semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga kemananan dari para kriminal komputer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi-organisasi ini mengimplementasikan pengendalian keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka,baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam maupun luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah saat perang vietnam ketika sejumlah instalasi komputer dirusak oleh para pemrotes Pemerintah federal amerika serikat sekarang menerapkan pencegahan dan pengendalian yang serupa,melalui otoritas patriot act ( undang-undang patriot ) dan office of homeland security ( dinas keamanan dalam negeri ). Pendekatanpendekatan yang dimulai oleh kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan , dua isu penting harus diatasi. isu yang pertama adalah keamanan versus hak-hak individu. Tantangannya adalah bagaimana mengimplementasikan kemananan yang cukup serta alat-alat pengendalian yang tidak melanggar hak individu yang dijamin oleh konstitusi. Isu yang kedua adalah keamanan versus ketersediaan. Isu ini amat menonjol pada bidang pelayanan medis,di mana kekhawatiran akan privasi catatan medis individu menjadi pusat perhatian. Keamanan catatan medis saat ini sedang diperluas sehingga melibatkan mikrochip yang ditanamkan pada pasien,selain data medis yang disimpan di komputer. KEAMANAN INFORMASI saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka,perhatian nyaris terfokus secara ekslusif pada perlindungan peranti keras dan data Maka istilah keamanan sistem ( system security ) pun digunakan. Istilah keamanan informasi ( information security ) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan non komputer,fasilitas,data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Tujuan keamanan informasi keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu : 1. kerahasiaan. Perusahaan berusaha melindungi data dan informasinya dari pengungkapan kepada orangorang yang tidak berwenang 2. ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Manajemen keamanan informasi aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi. Sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis. CIO adalah orang yang untuk memikul tanggung jawab atas keamanan informasi,namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Jabatan direktur keamanan sistem informasi perusahaan (corporate information system security officer-CISSO) digunakan untuk individu di dalam organisasi,biasanya anggota dari unit sistem informasi,yang bertanggung jawab atas keamanan informasi perusahaan tersebut. pada bentuknya yang paling dasar,manajemen keamanan informasi terdiri atas 4 tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan;mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut;menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut. Istilah manajemen risiko dibuat untuk menggambarkan pendekatan inidimana tingkat keamanan sumber daya informasi Figur 9.1 strategi Mengidentifikasi kan ancaman keamanan informasi Mendefinisikan risiko Menentukan kebijakan keamanan informasi Mengimplement asikan pengendalian ANCAMAN ancaman keamanan informasi adalah orang,organisasi,mekanisme,atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi,adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja. Ancaman internal dan eksternal ancaman internal mencakup bukan hanya karyawan perusahaan,tetapi juga pekerja temporer,konsultan,kontraktor,dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal,dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut. Tindakan kecelakaan dan disengaja tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakn kecelakaan,yang disebabkan oleh orangorang di dalam ataupun di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja,sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan. JENIS ANCAMAN semua orang pernah mendengar mengenai virus komputer. Sebenarnya virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak berbahaya(malicious software). Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahayaselain virus,terdapat pula worm,trojan,adware, dan spyware.virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Tidak seperti virus , worm(cacing) tidak dapat mereplikasi dirinya sendiri di dalam sistem,tapi dapat menyebarkan salinannya melalui e-mail. Trojan horse ( kuda troya ) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri si pengguna menyebarkannya sebagai suatu perangkat. hardware memunculkan pesan-pesan iklan yang mengganggu,dan spyware mengumpulkan data dari mesin pengguna. Program anti spyware sering kali menyerang cookies,yaitu file teks kecil yang di letakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program anti spyware menciptakan kekhawatiran di kalangan beberapa pemasar.solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang di simpan perusahaan untuk pelanggannya,tapi hanya menghapus cookies pihak ketiga yang di letakkan oleh perusahaan lain. risiko keamanan informasi (information security risk ) didefinisikan sebagai potensi output yang tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang terotorisasi. Risiko-risiko seperti ini dibagi menjadi 4 jenis;pengungkapan informasi yang tidak terotorisasi dan pencurian,penggunaan yang tidak terotorisasi,penghancuran yang tidak terotorisasi dan penolakan layanan,serta modifikasi yang tidak terotorisasi. Pengungkapan Informasi Yang Tidak Terotorisasi dan Pencurian Suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses., hasilnya adalah hilangnya informasi atau uang. Contoh : mata-mata industri dapat memperoleh informasi mengenai kompetisi yang beharga, dan kriminal komputer dapat menyeludupkan dana perusahaan. Penggunaan yang tidak terotorisasi Penggunaan ini terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer yang disebut “Hacker” yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Misalnya Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi. Modifikasi yang tidak terotorisasi • Perubahan dapat dilakukan pada data,informasi,dan peranti lunak perusahaan.beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan salah, salah satunya adalah perubahan nilai pada catatan akademis seorang siswa. PERSOALAN E-COMMERCE • E-commerce: (perdagangan ektronik)memperkenalkan suatu permasalahan keamanan baru. Dan menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel ecommerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Praktik Keamanan yang Diwajibkan oleh Visa • Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan ini. Untuk diikuti oleh paritelnya. Diantaranya yaitu : • a .memasang dan memelihara firewall • b. memperbarui keamanan • c. melakukan enkripsi pada data yang disimpan • d. melakukan ekripsi pada data yang dikirimkan • e. menggunakan dan memperbaiki peranti lunak antivirus • F. membatasi akses data kepada orang-orang yang ingin tahu • g. memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data • h. memantau akses data dengan ID unik • I. Tidak menggunakan kata sandi default yang disediakan oleh vendor Manajemen Risiko • Diidentifikasikan sebagai salah satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Terdiri atas 4 langkah. • 1. identifikasi aset bisnis yang harus dilindungi dari risiko • 2. menyadari risikonya • 3. menentukan tingkatan dampak pada perusahaan jika risiko benar terjadi • 4. menganalisis kelemahan perusahaan tersebut • Tingkat keparahan dari dampak parah ini diklasifikasikan untuk membuat perusahaan bankrut atau sangat membatasi kemampuan perusahaan tersebut. • Dampak signifikan menyebabkan kerusakan dengan biaya yang signifikan tetapi perusahaan tersebut akan selamat. • Dampak minor,kerusakan yang mirip dengan terjadi dalam operasional sehari-hari. Tingkat Dampak dan Kelemahan Menentukan Pengendalian Dampak parah Dampak signifikan Dampak minor Kelemahan tingkat tinggi Melaksanakan analisis kelemahan.harus meningkatkan pengendalian Melaksanakan analisis kelemahan.harus meningkatkan pengendalian. Analisis kelemahan tidak dibutuhkan Kelemahan tingkat menegah Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian Melaksananakan analisis kelemahan, sebaiknya meningkatkan pengendalian Analisis kelemahan tidak dibutuhkan Kelemahan tingkat rendah Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat. Melaksanakan analisis kelemahan, menjaga pengendalian tetap ketat. Analisis kelemahan tidak dibutuhkan. Kebijakan Keamanan Informasi • Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap.figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan. • Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite akan mencangkup manajer dari wilayah dimana kebijakan akan diterapkan • Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak yang berminat & berpengaruh oleh proyek. • Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk memberitaukan temuannya. Serta untuk mendapatkan pandangan mengenai persyaratan kebijakan • Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi dilaksanakan dalam unit organisasi • Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan. Tim proyek Fase 1 Inislasi proyek Fase 2 Penyusunan kebijakan Fase 3 konsultasi dan persetujuan Fase 4 Kesadaran dan pendidikan Fase 5 Penyebarluasan kebijakan Penetapan Komite pengawas proyek keamanan konsultasi konsultasi Pihak yang berminat dan terpengaruh manajemen Pelatihan kesadaran & edukasi kebijakan Kebijakan keamanan Unit organisasi Unit organisasi • Figur 9.3 {penyusunan kebijakan keamanan} pengendalian Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori yaitu : • Teknis • Formal • Dan Informal • PENGENDALIAN TEKHNIS(tehnical control) pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus penyusunan sistem. Sistem Deteksi Gangguan • Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail. firewall Berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah untuk untuk masing-masing komputer. Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi. Pengendalian Kriptografis • Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses matematika. • Popularitas kriptografi semakin meningkat karena ecommerce dan produk ditunjukan untuk meningkatkan keamanan e-commerence PENGENDALIAN FORMAL • mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan. Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya, mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang. Pengendalian Informal • Mencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut. Meletakan manajemen keberlangsungan bisnis pada tempatnya manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer dimana kita dapat melihat perkembangan besar. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasi ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarkan sistem pemulihan bencana yang mencangkup sistem manajemen basis data, intruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Sekian Presentasi Bab 9 Terimakasih dan Wasalamualaikum.WR.WB