Manajemen Keamanan Informasi

advertisement
Manajemen Keamanan Informasi
Kuliah ke-12
Kebijakan Keamanan Informasi
(Security Policy)
Oleh : EBTA SETIAWAN
www.fti.mercubuana-yogya.ac.id
Security Policy & Mechanism
Policy (kebijakan)

Sekumpulan aturan/pernyataan detail tentang apa yang
diijinkan dan apa yang tidak diijinkan terhadap suatu
sistem.
◦
◦
◦
◦
◦

User Policy
System Policy
Network Policy
Hukum
Kepercayaan (Trust)
Pernyataan yang tidak masuk “dijinkan” dan “tidak
diijinkan” bisa mengarah pada  AMBIGU
◦ Contoh: Kalau hanya melihat tanpa melakukan pengcopian
apakah diijinkan?
Secure System

Security Policy secara tidak langsung mendefinisikan
seperti apa sebuah sistem dikatakan “a secure system”
◦ it is meaningless to claim an entity is "secure" without
knowing what "secure" means.
 Artinya = Kita tidak bisa mengamankan sesuatu yg tidak kita
pahami sepenuhnya.

Secure system = a system that starts in an authorized
state and cannot enter an unauthorized state.
◦ Problem = What is secure under one policy may not be secure
under a different policy
Tujuan dari Security

Dengan adanya Security Policy maka Security
Mechanism diharapkan mampu:
◦ Pencegahan (Prevention)
◦ Deteksi (Detection)
◦ Pemulihan (Recovery)
 Stop the attack and fixing the damage
 Identification and fixing of the vulnerabilities (Immune the
system)
Mengapa Policy?
Policy merupakan pondasi dasar terhadap
efektifnya program keamanan informasi
 Keberhasilan perlindungan sumber informasi
akan sangat tergantung dengan policy yang
dihasilkan dan sikap pihak manajemen terhadap
masalah pengamanan informasi sistem
 Kebijakan dibuat untuk mengurangi resiko,
sejalan dengan hukum dan aturan yang berlaku
dan jaminan berlangsungnya operasi, integritas
dan keamanan informasi.

Mengapa Policy? – cont
Program Informasi keamanan yang
berkualitas diawali dan diakhiri dengan
policy
 Policies merupakan sarana yang murah
untuk mengontrol, tetapi biasanya paling
sulit untuk di implementasikan

Basic Rules





Jangan jangan pernah bertentangan dengan
Hukum
Policy harus dapat memperkuat dihadapan
pengadilan ketika terjadi masalah/pertentangan
Policy harus selalu di dukung dan diatur dengan
benar
Harus memberikan kontribusi terhadap
berhasilnya organisasi
Harus menyertakan end user dari sistem
informasi ketika membuat policy.
Bull Eye’s Model
Membuktikan mekanisme untuk memberikan
prioritas perubahan yang kompleks
 Permasalahan ditemukan dengan memindah dari
umum ke spesifik
 Berfokus terhadap solusi sistem daripada
permasalahan pribadi

1. Policies : Layer pertahanan
pertama (terluar)
2. Networks : Tempat dimana
ancaman dari jaringan publik,
pertama kali bertemu dg
infrastruktur jaringan
3. Systems: Computer dan
sistem yang digunakan dalam
proses kontrol dan usaha
4. Applications: semua sistem
aplikasi : Office, email, dll
Policy, Standards & Practices



Policy : Sekumpulan peraturan yang mengarah pada
diijinkan dan tidak diijinkan suatu proses dalam
sebuah organisasi
Standard: Pernyataan lebih detail terhadap apa yang
harus dilakukan untuk
mengikuti/menuruti/menyesuaikan terhadap policy
Practices, Procedures & Guidelines : menjelaskan
bagaimana seharusnya pegawai/karyawan mengikuti
policy
Effective Policies

Agar policy dapat efektif, maka harus :
◦
◦
◦
◦


Disebarkan dengan benar
Dibaca
Dipahami
Disetujui
Policies perlu di modifikasi dan dipelihara secara teratur
Dalam rangka untuk menghasilkan policy informasi
keamanan yang lengkap, manajemen harus
mendefinisikan 3 jenis policy:
◦ Enterprise program policy, Policy masalah spesifik, policy spesifik
masalah sistem
Diskusi
Buatlah contoh security policy untuk
sebuah perusahaan, dalam bidang berikut :
 Masalah Virus & Anti-virus
 Masalah Email
 Masalah Password
Jelaskan contoh practice (praktik) detail
untuk end user.
Referensi



IT Security Cookbook (Ch. 6-7) http://www.boran.com/security/
Information Security Policy
http://people.eecs.ku.edu/~saiedian/Teaching/Sp08/711/Lec/StuChapter4.ppt
Security Policy & Standard http://web2.utc.edu/~LiYang/cpsc4610/Security%20Policy%20and%20Standards.ppt
Download