Manajemen Keamanan Informasi Kuliah ke-12 Kebijakan Keamanan Informasi (Security Policy) Oleh : EBTA SETIAWAN www.fti.mercubuana-yogya.ac.id Security Policy & Mechanism Policy (kebijakan) Sekumpulan aturan/pernyataan detail tentang apa yang diijinkan dan apa yang tidak diijinkan terhadap suatu sistem. ◦ ◦ ◦ ◦ ◦ User Policy System Policy Network Policy Hukum Kepercayaan (Trust) Pernyataan yang tidak masuk “dijinkan” dan “tidak diijinkan” bisa mengarah pada AMBIGU ◦ Contoh: Kalau hanya melihat tanpa melakukan pengcopian apakah diijinkan? Secure System Security Policy secara tidak langsung mendefinisikan seperti apa sebuah sistem dikatakan “a secure system” ◦ it is meaningless to claim an entity is "secure" without knowing what "secure" means. Artinya = Kita tidak bisa mengamankan sesuatu yg tidak kita pahami sepenuhnya. Secure system = a system that starts in an authorized state and cannot enter an unauthorized state. ◦ Problem = What is secure under one policy may not be secure under a different policy Tujuan dari Security Dengan adanya Security Policy maka Security Mechanism diharapkan mampu: ◦ Pencegahan (Prevention) ◦ Deteksi (Detection) ◦ Pemulihan (Recovery) Stop the attack and fixing the damage Identification and fixing of the vulnerabilities (Immune the system) Mengapa Policy? Policy merupakan pondasi dasar terhadap efektifnya program keamanan informasi Keberhasilan perlindungan sumber informasi akan sangat tergantung dengan policy yang dihasilkan dan sikap pihak manajemen terhadap masalah pengamanan informasi sistem Kebijakan dibuat untuk mengurangi resiko, sejalan dengan hukum dan aturan yang berlaku dan jaminan berlangsungnya operasi, integritas dan keamanan informasi. Mengapa Policy? – cont Program Informasi keamanan yang berkualitas diawali dan diakhiri dengan policy Policies merupakan sarana yang murah untuk mengontrol, tetapi biasanya paling sulit untuk di implementasikan Basic Rules Jangan jangan pernah bertentangan dengan Hukum Policy harus dapat memperkuat dihadapan pengadilan ketika terjadi masalah/pertentangan Policy harus selalu di dukung dan diatur dengan benar Harus memberikan kontribusi terhadap berhasilnya organisasi Harus menyertakan end user dari sistem informasi ketika membuat policy. Bull Eye’s Model Membuktikan mekanisme untuk memberikan prioritas perubahan yang kompleks Permasalahan ditemukan dengan memindah dari umum ke spesifik Berfokus terhadap solusi sistem daripada permasalahan pribadi 1. Policies : Layer pertahanan pertama (terluar) 2. Networks : Tempat dimana ancaman dari jaringan publik, pertama kali bertemu dg infrastruktur jaringan 3. Systems: Computer dan sistem yang digunakan dalam proses kontrol dan usaha 4. Applications: semua sistem aplikasi : Office, email, dll Policy, Standards & Practices Policy : Sekumpulan peraturan yang mengarah pada diijinkan dan tidak diijinkan suatu proses dalam sebuah organisasi Standard: Pernyataan lebih detail terhadap apa yang harus dilakukan untuk mengikuti/menuruti/menyesuaikan terhadap policy Practices, Procedures & Guidelines : menjelaskan bagaimana seharusnya pegawai/karyawan mengikuti policy Effective Policies Agar policy dapat efektif, maka harus : ◦ ◦ ◦ ◦ Disebarkan dengan benar Dibaca Dipahami Disetujui Policies perlu di modifikasi dan dipelihara secara teratur Dalam rangka untuk menghasilkan policy informasi keamanan yang lengkap, manajemen harus mendefinisikan 3 jenis policy: ◦ Enterprise program policy, Policy masalah spesifik, policy spesifik masalah sistem Diskusi Buatlah contoh security policy untuk sebuah perusahaan, dalam bidang berikut : Masalah Virus & Anti-virus Masalah Email Masalah Password Jelaskan contoh practice (praktik) detail untuk end user. Referensi IT Security Cookbook (Ch. 6-7) http://www.boran.com/security/ Information Security Policy http://people.eecs.ku.edu/~saiedian/Teaching/Sp08/711/Lec/StuChapter4.ppt Security Policy & Standard http://web2.utc.edu/~LiYang/cpsc4610/Security%20Policy%20and%20Standards.ppt