Your SlideShare is downloading. ×
Pengenalan Keamanan Sistem IT
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Pengenalan Keamanan Sistem IT

337
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
337
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Pengenalan Keamanan Sistem IT 26 Mar 2012 1. Pendahuluan Jika kita berjalan-jalan ke toko buku komputer dan ke situs internet telah banyak orang yang berbagi tentang tips-tips bagaimana cara hacking atau craking suatu website, bagaimana caranya mendapatkan password admin website tertentu atau bagaimana cara mendapatkan password dari ID seseorang di jejaring sosial, dan lain sebagainya. tetapi sangat jarang orang yang ingin berbagi bagaimana cara untuk mengamankan data-data om yang ada dalam sistem baik itu aplikasi website, jaringan dan lain sebagainya dari gangguan l.c penyusup (attacker). ai Sebelum kita ingin mengamankan sistem kita dari gangguan penyusup (attacker), gm terlebih dahulu kita harus tahu apa yang harus kita amankan dan kenapa? Jawabannya al @ adalah aset, dan kenapa? Karena jika kehilangan aset, kita bisa kehilangan seluruh bisnis riz yang dimiliki. ar k. Ketika kita menjadi bagian dari tim keamanan sistem IT, banyak orang yang m berimajinasi bahwa kita seperti petugas keamanan yang duduk di pos yang sesekali & berpatroli dengan membawa pentungan, atau senapan, dan senter, yang harus berjaga 24 l.c om jam, yang baru bertindak melakukan perbaikan keamanan setelah terjadi insiden. Jika anda ai merupakan bagian dari tim keamanan sistem IT dan anda juga memiliki pola pikir seperti gm diatas, sebaiknya anda segera merubah pola berpikir anda. @ Sebagai seorang petugas keamanan sistem IT kita harus bisa berpikir dalam dua tik sudut pandang secara bersamaan, salah satu bagian dari otak kita berfikir sebagai petugas ca n keamanan dan bagian yang lain berpikir sebagai pencuri, kenapa harus demikian? Jika kita in d ri. sudah mengetahui bagaimana pola berpikir dari seorang pencuri dalam hal ini apa yang diinginkan pencuri dari sistem kita, dan strategi apa yang dilakukan untuk mendapatkan itu? Maka kita sebagai petugas keamanan akan lebih mudah melakukan pencegahannya. 2. Pengertian Aset Aset adalah sesuatu yang memiliki nilai untuk organisasi (source : ISO/IEC 27001:2005,3.1). Menentukan aset organisasi yang harus kita lindungi dari berbagai ancaman yang menyebabkan kerugian bisnis bisa dilakukan dengan dua tahap :  Menentukan aset berdasarkan kemungkinan ancaman yang disebabkan adanya kerentanan pada aset tersebut :  Tentukan group aset  Tentukan spesifik asset
  • 2.  Tentukan hal hal penting yang tergantung pada aset tersebut dan memiliki nilai bisnis tinggi  Tentukan ancaman yang mungkin terjadi terhadap aset tersebut  Kemudian ancaman tersebut terjadi karena ada kerentanan apa?  Apa saja dampak yang diakibatkan oleh ancaman yang terjadi karena adanya kerentanan tersebut  Penilaian resiko aset terhadap ancaman yang disebabkan oleh adanya kerentanan :  Kemudian lakukan penilaian aset (risk value) karena adanya ancaman berdasarkan confidentiality, integrity, dan availability. Selanjutnya kita juga harus menilai bisnis loss yang disebabkan karena l.c  om tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Tentukan nilai impact level nya dengan rumus = aset value dibandingkan al @  gm ai ancaman tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High dengan nilai bisnis loss. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, k. Tentukan nilai likelihood (kemungkinan terjadi) nya. Biasanya nilai dibagi ar  riz High m menjadi 3, yaitu : Low, Medium, High & Tentukan nilai risk score dengan rumus = impact level dibandingkan dengan l.c om  likelihood. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Jika hasil risk score adalah medium atau high, maka kita harus membuat ai  @ gm kontrol dari tiap kerentanan sehingga resiko yang ada dapat dikurangi. ca n tik 3. Mindset (pola pikir) seorang petugas keamanan sistem IT Seorang penyusup (attacker) biasanya menghabiskan banyak waktu mereka untuk in d ri. memperoleh informasi dari target. Karena bagi mereka, exploit adalah hal yang bisa dilakukan dalam waktu singkat jika mereka telah mengetahui banyak informasi kerentanan yang dimiliki oleh target dan aset yang dianggap bernilai bisnis tinggi oleh organisasi. Semakin banyak informasi kerentanan yang dimiliki, maka semakin banyak kemungkinan attacker mengambil aset yang bernilai bisnis tinggi tersebut. Informasi seperti apakah yang diharapkan oleh para penyusup (attacker) itu?
  • 3. l.c om Informasi yang diharapkan attacker minimal seperti yang digambarkan dibawah ini : ai Bagaimana mendapatkan informasi seperti gambar diatas? Informasi tersebut dapat gm diperoleh dari wawancara atau scanning IP Address. Ketika melakukan wawancara atau al @ scanning IP Address kita bisa mendapatkan kerentanan dan bisa menentukan ancaman apa riz yang kemungkinan dapat membahayakan bisnis, meskipun terkadang kerentanan dan ar k. ancaman tersebut baru bisa didapatkan setelah kita melakukan analisa lebih mendalam. m Setelah kita melakukan semua tahapan – tahapan dalam menentukan kerentanan & dan ancaman pada aset, dan telah melakukan penilaian resiko terhadap aset, kemudian kita l.c om harus mempresentasikan hasil analisa ke manajemen, sebaiknya sertakan juga proof of ai concept (POC) dari analisa yang telah kita buat. Contoh, ketika kita menyampaikan bahwa gm pada cookies di web aplikasi kita terdapat kerentanan yang bisa digunakan oleh penyusup @ (attacker) masuk sampai kedalam database kita, dan mampu melakukan perubahan tik terhadap data yang tersimpan didalamnya, maka sebaiknya sertakan juga proof of concept ca n dari yang kita sampaikan itu. Ketika menyampaikan proof of concept tersebut tidak ri. disarankan bagi kita untuk mendemokan secara live bagaimana kita mendapatkan sistem itu. in d kerentanan tersebut, atau bahkan kita tidak boleh mendemokan bagaimana cara masuk ke Sebagai seorang tim keamanan sistem IT, kita tidak hanya dituntut untuk mendapatkan kerentanan, ancaman, penilaian resiko pada aset yang disertai dengan proof of concept saja, tetapi kita juga dituntut untuk memberikan solusi atau rencana perbaikan sehingga resiko yang ada menjadi bisa diterima oleh manajemen. Solusi atau rencana perbaikan tersebut bisa dibagi menjadi dua, yaitu rencana jangka pendek dan rencana jangka panjang. Rencana jangka pendek dapat diterapkan ketika hal tersebut dapat mengatasi kerentanan yang paling penting (yang memiliki nilai resiko medium dan high) dan dapat dilakukan sesegera mungkin. Sedangkan rencana jangka panjang dapat diterapkan
  • 4. ketika membawa manfaat jangka panjang dan organisasi tidak dapat melakukan dalam waktu 6-12 bulan ke depan sehingga membutuhkan investasi waktu dan dana yang besar. Penulis: Indri (indri.cantik@gmail.com) - Mark (mark.rizal@gmail.com) in d ri. ca n tik @ gm ai l.c om & m ar k. riz al @ gm ai l.c om -