IS Security & Risk Management Organized By : Rini Astuti 5/8/2019 10:34 AM 1 OUTLINE I. II. III. IV. V. Introduction Generally Accepted System Security Principles Common IT Security Practices Risk Management Common IT Security Practices (continuation) 5/8/2019 10:34 AM 2 I. Introduction 1. 2. 3. Principles Practices Relationship of Principles and Practices 5/8/2019 10:34 AM 3 II. Generally Accepted System Security Principles 1of 2 1. 2. 3. 4. Computer Security Supports the Mission of Organization. Computer Security is an Integral Element of Sound Management. Computer Security should be CostEffective. System Owners have Security Responsibility Outside their own Organization. 5/8/2019 10:34 AM 4 II. Generally Accepted System Security Principles 2 of 2 5. 6. 7. 8. Computer Security Responsibilities and Accountability should be made Explicit. Computer Security requires a Comprehensive and Integrated Approach. Computer Security should be Periodically Reassessed. Computer Security is constrained by Societal Factors. 5/8/2019 10:34 AM 5 III. Common IT Security Practices 1. Policy 2. Program Management. 3. Program Policy Issue-Specific Policy System-Specific Policy All Policies Central Security Program System-Level Program Risk Management. 5/8/2019 10:34 AM Risk Assessment Risk Mitigation Evaluation and Assessment 6 IV. Risk Management 1. Risk Assessment 2. Risk Mitigation 3. 9 Steps Methodology Approach for Control Implementation Control Categories Cost Benefit Analysis Residual Risk Evaluation and Assessment 5/8/2019 10:34 AM Good Security Practice Keys for Success 7 V. Common IT Security Practices (continuation) 1 of 3 4. Life Cycle Planning 5. Security Plan Initiation Phase Development/Acquisition Phase Implementation Phase Operation/Maintenance Phase Disposal Phase Personnel/User Issues. 5/8/2019 10:34 AM Staffing User Administration 8 V. Common IT Security Practices (continuation) 2 of 3 6. Preparing for Contingencies and Disasters. 7. Computer Security Incident Handling 8. 9. 10. Business Plan Identify Resources Develop Scenarios Develop Strategies Test and Revise Plan Uses of a Capability Characteristics Awareness and Training. Security Consideration in Computer Support and Operations. Physical and Environmental Security 5/8/2019 10:34 AM 9 V. Common IT Security Practices (continuation) 3 of 3 11. Identification and Authentication 12. Logical Access Control 13. Access Criteria Access Control Mechanism Audit Trails 14. Identification Authentication Passwords Advanced Authentication Contents of Audit Trail Records Audit Trail Security Audit Trail Reviews Keystroke Monitoring Cryptography 5/8/2019 10:34 AM 10 References 1. National Institute of Standards and Technology. Generally Accepted Principles and Practices for Securing Information Technology Systems. Special Publication 800-14. September 1996. 2. National Institute of Standards and Technology. Risk Management Guide for Information Technology Systems. Special Publication 800-30. July 2002. 3. IT Security HandBook-The International Bank for Reconstruction and Development,2003 4. Dr Jacqueline Jeynes PhD MBA, Risk Management: 10 Principles, 2002 5. Information Security and Risk Management (ISC)ISACA 5/8/2019 10:34 AM 11 I. Introduction Sharing information electronically Common understanding Securing information technology (IT) resources The content of this lecture provides : 5/8/2019 10:34 AM A baseline to establish and review the IT security programs. A foundation that can be referenced when conducting multiorganizational business as well as internal business. The basic security requirements most IT systems should contain. 12 1.1 Principles The System Security Principles are the intrinsic expectations that must be met to secure IT systems. The Principles address computer security from a very high-level viewpoint. The Principles are encompassing broad areas : Accountability Cost effectiveness Integration The Principles are to be used when : 5/8/2019 10:34 AM Developing computer security programs and policy. Creating new systems, practices or policies. 13 1.2 Practices The common IT security practices that are in general use today. The Practices : o o o o o o Guide organizations on the type of controls, objectives and procedures that comprise an effective IT security program. Show what should be done to enhance an existing computer security program to measure an existing computer security program to aid in the development of a new program Provide a common ground for determining the security of an organization Build confidence when conducting multi-organizational business. Praktik harus ditambah dengan praktik tambahan berdasarkan pada kebutuhan unik masing-masing organisasi. 5/8/2019 10:34 AM 14 1.3 Relationship of Principles and Practices Sifat hubungan antara prinsip-prinsip dan praktik bervariasi: Dalam beberapa kasus, praktik berasal dari satu atau lebih prinsip, Dalam kasus lain praktik dibatasi oleh prinsip. Prinsip-prinsip tersebut memberikan landasan bagi program keamanan komputer yang sehat 5/8/2019 10:34 AM 15 II. Generally Accepted System Security Principles Prinsip-prinsip tersebut secara umum diterima. Prinsip-prinsip tersebut paling umum digunakan pada saat ini untuk mengamankan sumber daya TI. Prinsipnya bukan hal baru bagi profesi keamanan. Ini didasarkan pada asumsi yang diterapkan secara umum ketika mengembangkan atau memelihara sistem TI. Delapan prinsip yang terkandung dalam kuliah ini sebagai acuan para komunitas TI harus mendasarkan program keamanan Tinya Prinsip-prinsip ini dimaksudkan untuk memandu personel TI saat membuat sistem, praktik, atau kebijakan baru. Mereka tidak dirancang untuk menghasilkan jawaban spesifik. Prinsip-prinsip tersebut harus diterapkan secara keseluruhan, praktis dan rasional. 5/8/2019 10:34 AM 16 2.1 Computer Security Supports the Mission of the Organization 1 of 4 Tujuan keamanan komputer adalah untuk melindungi sumber daya berharga organisasi: Informasi Perangkat keras Perangkat lunak Melalui seleksi dan penerapan perlindungan yang tepat, keamanan membantu misi organisasi dengan melindungi: 5/8/2019 10:34 AM Sumber daya fisik Sumber keuangan Reputasi Posisi hukum Para karyawan Aset berwujud dan tidak berwujud lainnya. 17 2.1 Computer Security Supports the Mission of the Organization 2 of 4 Keamanan kadang-kadang dipandang sebagai penghalang misi organisasi dengan: Memaksakan aturan yang dipilih dengan buruk dan merepotkan Memaksakan prosedur yang dipilih dengan buruk dan mengganggu Pada pengguna, manajer, dan sistem. Aturan dan prosedur keamanan yang dipilih dengan baik tidak ada untuk kepentingan mereka sendiri, tetapi: Lindungi aset penting Mendukung misi organisasi secara keseluruhan. Sebagai contoh : 5/8/2019 10:34 AM Keamanan seharusnya meningkatkan kemampuan perusahaan untuk menghasilkan laba. Keamanan seharusnya membantu meningkatkan layanan yang diberikan kepada warga. 18 2.1 Computer Security Supports the Mission of the Organization 3 of 4 How to act on this? Managers need to understand : Their organizational mission How each information system supports that mission. After a system’s role has been defined, the security requirements implicit in that role can be defined. Security can then be explicitly stated in terms of the organization’s mission. 5/8/2019 10:34 AM 19 2.1 Computer Security Supports the Mission of the Organization 4 of 4 The roles and functions of a system may not be restricted to a single organization. In an interorganizational system, each organization benefits from securing the system. For example : 5/8/2019 10:34 AM For electronic commerce to be successful, each participant requires security controls to protect their resources. 20 2.2 Computer Security is an Integral Element of Sound Management 1 of 2 Sistem informasi dan TI sering kali merupakan aset penting yang mendukung misi organisasi. Melindungi mereka bisa sama pentingnya dengan melindungi sumber daya organisasi lainnya: Uang Aset fisik Para karyawan Tidak sepenuhnya menghilangkan kemungkinan bahwa asetaset ini akan dirugikan. Manajer organisasi harus memutuskan tingkat risiko apa yang bisa diterima, dengan mempertimbangkan biaya kontrol keamanan. 5/8/2019 10:34 AM 21 2.2 Computer Security is an Integral Element of Sound Management 2 of 2 Manajemen informasi dan komputer dapat melampaui batasan organisasi. Ketika informasi dan sistem TI organisasi dihubungkan dengan sistem eksternal, tanggung jawab manajemen melampaui organisasi. Ini mengharuskan manajemen: 5/8/2019 10:34 AM Mengetahui tingkat keamanan atau tipe umum apa yang digunakan pada sistem eksternal Mencari jaminan bahwa sistem eksternal menyediakan keamanan yang memadai untuk kebutuhan organisasi mereka. 22 2.3 Computer Security Should be Cost-Effective 1 of 4 Biaya dan manfaat keamanan harus diperiksa dengan cermat baik dari segi moneter maupun non moneter untuk memastikan bahwa biaya pengendalian tidak melebihi manfaat yang diharapkan. Keamanan harus sesuai dan proporsional dengan: Nilai ketergantungan pada sistem TI. Tingkat ketergantungan pada sistem TI. Beratnya potensi bahaya. Kemungkinan bahaya potensial. Tingkat potensi bahaya. Persyaratan untuk keamanan bervariasi, tergantung pada sistem TI tertentu. 5/8/2019 10:34 AM 23 2.3 Computer Security Should be Cost-Effective 2 of 4 Keamanan adalah praktik bisnis yang cerdas. Dengan berinvestasi dalam langkah-langkah keamanan, organisasi dapat mengurangi: Frekuensi kerugian terkait keamanan komputer. Tingkat keparahan kerugian terkait keamanan komputer. Sebagai contoh : 5/8/2019 10:34 AM Suatu organisasi dapat memperkirakan bahwa ia mengalami kerugian yang signifikan per tahun dalam persediaan melalui manipulasi curang dari sistem IT-nya. Langkah-langkah keamanan, seperti sistem kontrol akses yang ditingkatkan, dapat secara signifikan mengurangi kerugian. 24 2.3 Computer Security Should be Cost-Effective 3 of 4 Program keamanan yg tepat dapat: Mengagalkan hacker. Kurangi frekuensi virus. Penghapusan ancaman semacam ini dapat: Kurangi publisitas yang tidak menguntungkan. Tingkatkan moral. Meningkatkan produktivitas. Manfaat keamanan memang memiliki kedua biaya: Biaya langsung Biaya tidak langsung 5/8/2019 10:34 AM 25 2.3 Computer Security Should be Cost-Effective 4 of 4 Biaya langsung : Membeli tindakan keamanan. Menginstal tindakan keamanan. Mengelola tindakan keamanan. Contoh Tindakan keamanan: Perangkat lunak kontrol akses. Sistem pencegah kebakaran. dll. Biaya tidak langsung : Mempengaruhi kinerja sistem. Mempengaruhi moral karyawan. Mempengaruhi persyaratan pelatihan ulang. Dalam beberapa kasus, biaya tambahan ini mungkin melebihi biaya awal kontrol. Solusi untuk masalah keamanan tidak boleh dipilih jika harganya lebih mahal, dalam bentuk moneter atau non moneter, langsung atau tidak langsung, daripada hanya mentolerir masalah. 5/8/2019 10:34 AM 26 2.4 System Owners have Security Responsibility outside their own Organizations Jika suatu sistem memiliki pengguna eksternal, pemiliknya memiliki tanggung jawab untuk berbagi pengetahuan yang sesuai tentang: Adanya langkah-langkah keamanan. Tingkat umum langkah-langkah keamanan. Sehingga pengguna lain dapat yakin bahwa sistem ini cukup aman. Ini menyiratkan bahwa pemilik sistem harus memberi tahu klien atau pengguna mereka tentang sifat keamanan. Selain itu, manajer organisasi harus bertindak secara tepat waktu, terkoordinasi untuk mencegah dan menanggapi pelanggaran keamanan untuk membantu mencegah kerusakan pada orang lain. 5/8/2019 10:34 AM 27 2.5 Computer Security Responsibilities and Accountability should be made Explicit 1 of 2 Tanggung Jawab Keamanan Komputer dan Akuntabilitas harus dibuat Eksplisi Tanggung jawab dan akuntabilitas: Pemilik sistem TI Penyedia sistem TI Pengguna sistem TI Pihak lain Perhatian dengan keamanan sistem TI harus eksplisit. Tanggung jawab berarti: Kewajiban Perilaku yang diharapkan Akuntabilitas umumnya mengacu pada kemampuan untuk membuat orang bertanggung jawab atas tindakan mereka. Eksplisit berarti bahwa orang dan entitas lain (seperti perusahaan atau pemerintah) memiliki tanggung jawab dan akuntabilitas yang terkait dengan sistem TI yang dapat dibagi. 5/8/2019 10:34 AM 28 Next week ... 2.6 Computer Security Requires a Comprehensive and Integrated Approach 5/8/2019 10:34 AM 29 2.5 Computer Security Responsibilities and Accountability should be made Explicit 2 of 2 Pihak lain dapat termasuk tetapi tidak terbatas pada: Manajemen eksekutif Programmer Penyedia perawatan Manajer sistem informasi: manajer perangkat lunak, manajer operasi, dan manajer jaringan Manajer pengembangan perangkat lunak Manajer dibebankan dengan keamanan sistem informasi Auditor sistem informasi internal dan eksternal. Tergantung pada ukuran organisasi, program keamanan komputer mungkin besar atau kecil. Bahkan organisasi kecil dapat menyiapkan dokumen yang menyatakan kebijakan organisasi dan membuat tanggung jawab keamanan komputer secara eksplisit. 5/8/2019 10:34 AM 30 2.6 Computer Security Requires a Comprehensive and Integrated Approach 1 of 3 Keamanan komputer yang efektif membutuhkan pendekatan komprehensif yang mempertimbangkan berbagai bidang: Dalam bidang keamanan komputer Di luar bidang keamanan komputer. Pendekatan komprehensif ini meluas ke seluruh siklus hidup informasi. Untuk bekerja secara efektif, kontrol keamanan sering bergantung pada berfungsinya kontrol lainnya. Banyak saling ketergantungan seperti itu ada. Jika dipilih dengan tepat: 5/8/2019 10:34 AM Kontrol manajerial Kontrol operasional Kontrol teknis Dapat bekerja bersama secara sinergis. 31 2.6 Computer Security Requires a Comprehensive and Integrated Approach 2 of 3 Di sisi lain, tanpa pemahaman yang kuat tentang saling ketergantungan kontrol keamanan, mereka benar-benar dapat merusak satu sama lain. Misalnya: paket deteksi virus. Pada kenyataannya, saling ketergantungan ini biasanya lebih rumit dan sulit untuk dipastikan. 5/8/2019 10:34 AM 32 2.6 Computer Security Requires a Comprehensive and Integrated Approach Efektivitas kontrol keamanan juga tergantung pada faktor-faktor seperti: Manajemen sistem Masalah hukum Jaminan Kualitas Kontrol internal Kontrol manajemen Keamanan komputer perlu bekerja dengan disiplin keamanan tradisional termasuk: Keamanan fisik Keamanan personel 3 of 3 Ada banyak saling ketergantungan penting lainnya yang sering kali unik bagi lingkungan organisasi atau sistem. Manajer harus mengenali bagaimana keamanan komputer berhubungan dengan area lain dari sistem dan manajemen organisasi 5/8/2019 10:34 AM 33
