MANAGEMENT INFOSEC

Management
Information Systems
Raymond McLeod Jr. and George P.
Schell
Information Security presented by :
Dr. Musdalifah Azis, SE., M.Si
© 2007 by Prentice Hall

Management Information Systems, 10/e
Raymond McLeod and George Schell

1

Learning Objectives
►
►

►
►

►
►
►

Memahami kebutuhan organisasi untuk keamanan
informasi dan kontrol.
Tahu bahwa keamanan informasi berkaitan dengan
mengamankan semua sumber daya informasi, bukan
hanya perangkat keras dan data.
Tahu tiga tujuan utama dari keamanan informasi.
Tahu bahwa manajemen keamanan informasi terdiri dari
dua bidang: manajemen keamanan informasi (ISM) dan
business continuity management (BCM).
Melihat hubungan logis antara ancaman, risiko dan kontrol.
Tahu apa ancaman keamanan utama.
Tahu apa risiko keamanan utama.



2

Learning Objectives (Cont’d)
Mengenali masalah keamanan e-commerce dan
bagaimana perusahaan kartu kredit berurusan dengan
mereka.
► Menjadi akrab dengan cara formal untuk terlibat dalam
manajemen risiko.
► Tahu proses untuk melaksanakan kebijakan keamanan
informasi.
► Menjadi akrab dengan kontrol keamanan yang lebih
populer.
► Menjadi akrab dengan tindakan-tindakan pemerintah dan
industri yang mempengaruhi keamanan informasi.
► Tahu bagaimana untuk memperoleh sertifikasi profesional
dalam keamanan dan kontrol.
► Mengetahui jenis rencana yang termasuk dalam
perencanaan Kontinegnsi. and George Schell
Raymond McLeod
►

3

Organizational Needs for Security
and Control
► Pengalaman industri terinspirasi untuk:

 tempat perangkat keamanan yang bertujuan untuk
menghilangkan atau mengurangi kesempatan terhadap
kerusakan atau kehancuran.
 Memberikan kemampuan organisasi untuk terus
beroperasi setelah terjadi gangguan.
► Patriot Act and the Office of Homeland Security

 1st issue is security vs. individual rights.
 2nd issue is security vs. availability (i.e., HIPPA).



4

Information Security
► System

security Berfokus pada perlindungan
perangkat keras, data, perangkat lunak, fasilitas
komputer, dan personel.
► Information security Menggambarkan
perlindungan terhadap kedua komputer dan
peralatan non-computer, fasilitas, data, dan
informasi dari penyalahgunaan oleh pihak-pihak
yang tidak sah.
 Termasuk Mesin Fotokopi, Faks, semua jenis media,
dokumen


5

Objectives of Information Security

Keamanan informasi ini dimaksudkan untuk mencapai tiga
tujuan utama:
 Confidentiality: melindungi data perusahaan dan
informasi dari pengungkapan terhadap orang-orang yang
tidak sah.
 Availability: memastikan bahwa data perusahaan dan
informasi hanya tersedia untuk orang-orang yang
berwenang dalam menggunakan data dan informasi
tersebut.
 Integrity: Sistem informasi harus menyediakan
representasi akurat dari fisik sistem yang mereka
representasikan.
► sistem informasi organisasi harus melindungi data dan
informasi dari penyalahgunaan, memastikan ketersediaan
untuk pengguna resmi, menampilkan keyakinan dalam
akurasinya.
►


6

Management of Information Security
► Information

security management (ISM )
adalah aktivitas dalam menjaga keamanan
sumber-sumber informasi.
► Business continuity management (BCM )
adalah aktivitas dalam menjaga perusahaan dan
fungsi-fungsi sumber daya informasi setelah
terjadinya bencana.
► Corporate information systems security
officer (CISSO ) bertanggung jawab kepada
sistem keamanan informasi suatu perusahaan.
► Corporate information assurance officer
(CIAO ) Laporan kepada CEO dan mengelola
sebuah jaminan informasi unit.


7

Information Security Management

►
►

►

►

Berkaitan dengan perumusan kebijakan keamanan informasi
perusahaan
Risk management Adalah pendekatan manajemen risiko
yang berbasiskan keamanan dari sumber daya informasi
pada resiko perusahaan (ancaman yang dikenakan) yang
dihadapinya.
Information security benchmark adalah sebuah
rekomendasi tingkat keamanan bahwa dalam keadaan
normal harus dapat menawarkan perlindungan yang wajar
terhadap gangguan tidak resmi yang direkomendasikan.
 Benchmark adalah tingkat kinerja yang direkomendasikan.
 Didefinisikan oleh pemerintah dan Asosiasi industri apa
yang berwenang percaya sebagai komponen dari program
keamanan informasi yang baik.
Benchmark compliance is Ketika sebuah perusahaan
mematuhi patokan keamanan informasi dan standar yang
disarankan oleh otoritas industri.



8

Figure 9.1 Information Security
Management (ISM) Strategies



9

►

►

►

Threats

Information security threat adalah orang, organisasi,
mekanisme atau peristiwa yang memiliki potensi untuk
menimbulkan kerugian pada informasi sumber daya
perusahaan.
Internal and external threats
 Internal termasuk karyawanperusahaan, pekerja sementara,
konsultan, kontraktor, dan bahkan mitra bisnis.
 Setinggi 81% kejahatan komputer telah dilakukan oleh
karyawan.
 Ancaman internal hadir berpotensi kerusakan lebih serius
karena kedekatan yang lebih intim terhadap pengetahuan
sistem.
Accidental and deliberate acts


10

Figure 9.2 Unauthorized Acts
Threaten System Security Objectives



11

Types of Threats

►

►

►
►

►
►

Malicious software (malware ) Terdiri dari segmen
lengkap program atau kode yang dapat menyerang sistem
dan melakukan fungsi tidak dimaksudkan oleh sistem
pemilik (yaitu, menghapus file, menghentikan sistem, dll).
Virus adalah program komputer yang dapat mereplikasi
dirinya sendiri tanpa observable kepada pengguna dan
menanamkan diri dalam program lain dan boot sektor.
Worm tidak bisa mereplikasi dirinya dalam sistem, tetapi
hal ini dapat mengirimkan salinan melalui e-mail.
Trojan horse didistribusikan oleh pengguna sebagai
sebuah utilitas dan ketika utilitas digunakan, itu
menghasilkan perubahan yang tidak diinginkan dalam
fungsi sistem; dapat meniru atau menduplikasi itu sendiri.
Adware menghasilkan pesan-pesan iklan yang
mengganggu.
Spyware mengumpulkan data dari pengguna mesin.



12

Risks
► Information

security risk adalah potensi hasil
tidak diinginkan dari pelanggaran informasi
keamanan oleh sebuah ancaman keamanan
informasi.
 all risks represent unauthorized acts.

► Unauthorized disclosure and threats
► Unauthorized use
► Unauthorized destruction and denial of service
► Unauthorized modifications


13

E-commerce Considerations
► Disposable credit card

(AMEX) – an action
aimed at 60 to 70% of consumers who fear
credit card fraud arising from Internet use.
► Visa’s 10 required security practices for its
retailers plus 3 general practices for achieving
information security in all retailers’ activities.
► Cardholder Information Security Program
(CISP) augmented these required practices.


14

Risk Management
►

Mendefinisikan risiko terdiri dari empat langkah-langkah awal.





►

Mengidentifikasi aset bisnis harus dilindungi dari resiko.
Mengenali resiko.
Menentukan tingkat dampak risiko terwujud pada perusahaan.
Menganalisis kerentanan perusahaan.

Dampak keparahan dapat diklasifikasikan sebagai :

 Dampak parah menempatkan perusahaan keluar dari bisnis atau batas
kemampuannya fungsi yang parah.
 Berdampak signifikan yang dapat menyebabkan kerusakan berarti dan
biaya, tapi perusahaan tersebut akan bertahan.
 Dampak kecil yang menghancurkan dapat menyebabkan operasi seharihari yang khas .



15

Table 9.1 Tingkat dampak dan
kerentanan menentukan kontrol



16

Risk Analysis Report
► Temuan dari analisis risiko harus terdokumentasi

dalam sebuah laporan yang berisi informasi rinci
seperti berikut untuk setiap risiko :
Deskripsi risiko.
Sumber risiko.
Tingkat keparahan dari risiko yang mengontrol yang
sedang diterapkan untuk risiko.
 Pemilik dari risiko yang direkomendasikan tindakan
untuk mengatasi risiko.
 Merekomendasikan waktunya untuk mengatasi risiko.
 Apa yang dilakukan untuk mengurangi risiko.






17

Information Security Policy
►Lima tahap pelaksanaan:
 Tahap 1: proyek inisiasi.
 Tahap 2: kebijakan pembangunan.
 Tahap 3: konsultasi dan persetujuan.
 Tahap 4: kesadaran dan pendidikan.
 Tahap 5: kebijakan diseminasi.


18

Figure 9.3 Development of Security
Policy



19

Controls
► Kontrol adalah mekanisme yang dilaksanakan

dengan baik dalam melindungi perusahaan
dari risiko atau untuk meminimalisasi dampak
resiko di perusahaan yang memang terjadi.
► Kontrol teknis adalah mereka yang dibangun
dalam sistem oleh sistem pengembang
selama sistem pengembangan siklus hidup.
 Termasuk sebuah audit internal pada
proyek tim.
 Berdasarkan teknologi perangkat keras dan
lunak.


20

Technical Controls
► Kontrol akses adalah dasar untuk

keamanan terhadap ancaman oleh
unauthorized orang.
► Access control three-step process includes:




User identification.
User authentication.
User authorization.

► User

profiles -descriptions of authorized
users; used in identification and
authorization.



21

Figure 9.4 Access Control Functions



22

Technical Controls (Cont’d)

► Deteksi gangguan sistem (IDS) mengenali upaya

untuk melanggar keamanan sebelum ini memiliki
kesempatan untuk menimbulkan kerusakan.
► Software proteksi virus yang efektif terhadap virus
yang dbawa oleh e-mail.
 Mengidentifikasi pesan pembawa virus dan
memperingatkan pengguna.

► Dalam

ancaman alat prediksi mengklasifikasikan
ancaman internal dalam kategori seperti:





Ancaman yang mungkin disengaja.
Potensi ancaman yang tidak disengaja.
Mencurigakan.
Tidak berbahaya.



23

Firewalls
Firewall bertindak sebagai filter dan penghalang yang membatasi aliran
data ke dan dari perusahaan dan Internet. Tiga jenis firewall adalah:
 Penyaringan paket router dilengkapi dengan tabel data alamat IP
yang mencerminkan kebijakan penyaringan yang diposisikan antara
Internet dan jaringan internal, dapat berfungsi sebagai firewall.
► Router adalah sebuah perangkat jaringan yang mengarahkan
arus lalu lintas jaringan.
► Alamat IP adalah satu set empat nomor (masing-masing dari 0
hingga 255) yang secara unik mengidentifikasi setiap komputer
yang terhubung ke Internet.
► Sirkuit-tingkat firewall diinstal antara Internet dan jaringan perusahaan,
tetapi lebih dekat ke media komunikasi (sirkuit) dari router.
 Memungkinkan untuk sebuah jumlah tinggi dari otentikasi dan
penyaringan yang akan dilakukan.
► Application-level firewall terletak antara router dan komputer melakukan
aplikasi.
 Memungkinkan untuk kekuatan penuh dari pemeriksaan keamanan
tambahan yang akan dilakukan.
►



24

Figure 9.5 Location of Firewalls in
the Network



25

Cryptographic and Physical Controls
►
►
►

►

►
►

Kriptografi adalah penggunaan pengkodean dengan menggunakan
proses matematis.
Data dan informasi dapat disamarkan (dienkripksikan) dalam
penyimpanan dan atau ditransmisikan melalui jaringan.
If an unauthorized person memperoleh akses, the encryption
membuat data dan informasi tidak dapat dibaca dan melindungi
dari unauthorized use itu sendiri.
Special protocols such as SET (Secure Electronic Transactions)
melakukan pemeriksaan keamanan menggunakan tanda tangan
digital yang dikembangkan untuk digunakan dalam e-commerce.
Ekspor teknologi enkripsi dilarang pada Kuba, Iran, Irak, Libya,
Korea Utara, Sudan, dan Suriah.
Kontrol fisik dari gangguan yang tidak sah seperti kunci pintu,
cetakan palm, cetakan suara, kamera pengintai, dan penjaga
keamanan.
 Menemukan pusat komputer di daerah terpencil yang kurang
rentan terhadap bencana alam seperti gempa bumi, banjir, dan
badai.



26

Formal Controls
► Kontrol formal mencakup pembentukan kode etik,

dokumentasi prosedur yang diharapkan dan
praktek-praktek, pemantauan, dan mencegah
perilaku yang bervariasi dari pedoman-pedoman.
 Manajemen menunjukkan cukup waktu untuk
merancang sistem kontrol mereka.
 Terdokumentasi dalam menulis.
 Diperkirakan akan berlaku untuk jangka panjang.

► Manajemen puncak harus berpartisipasi aktif

dalam pendirian dan penegakan sistem kontrol
tersebut.



27

Informal Controls

► Pendidikan.

► Program-program Pelatihan

► Program-program pengembangan manajemen.
► Dimaksudkan untuk memastikan karyawan

perusahaan memahami dan mendukung
program keamanan.
► Praktek bisnis yang baik adalah tidak
menghabiskan lebih banyak kontrol untuk biaya
perkiraan risiko yang ada.
► Menetapkan kontrol pada tingkat yang tepat.


28

Government and Industry Assistance
►

►

►

►

►

United Kingdom's BS7799. The UK standards establish a set of baseline
controls. They were first published by the British Standards Institute in 1995, then
published by the International Standards Organization as ISO 17799 in 2000, and
made available to potential adopters online in 2003.
BSI IT Baseline Protection Manual. The baseline approach is also followed by
the German Bundesamt fur Sicherheit in der Informationstechnik (BSI). The
baselines are intended to provide reasonable security when normal protection
requirements are intended. The baselines can also serve as the basis for higher
degrees of protection when those are desired.
COBIT. COBIT, from the Information Systems Audit and Control Association and
Foundation (ISACAF), focuses on the process that a firm can follow in developing
standards, paying special attention to the writing and maintaining of the
documentation.
GASSP. Generally Accepted System Security Principles (GASSP) is a product of
the U. S. National Research Council. Emphasis is on the rationale for establishing a
security policy.
ISF Standard of Good Practice. The Information Security Forum Standard of
Good Practice takes a baseline approach, devoting considerable attention to the user
behavior that is expected if the program is to be successful. The 2005 edition
addresses such topics as secure instant messaging, Web server security, and virus
protection.


29

Government Legislation
► Both United States and United Kingdom established

standards and passed legislation aimed at addressing
the increasing importance of information security.
► U.S. Government Computer Security Standards.
 Set of security standards organizations should meet.
 Availability of software program that grades users’ systems
and assists them in configuring their systems to meet
standards.
► U.K. Anti-terrorism, Crime and Security Act (ATCSA)

2001.



30

Industry Standards
► Center

for Internet Security (CIS) adalah
sebuah organisasi nirlaba yang didedikasikan
untuk membantu pengguna komputer untuk
membuat sistem mereka lebih aman.
 CIS Benchmarks membantu pengguna dalam
mengamankan sistem informasi mereka dengan
mengimplementasikan kontrol spesifik teknologi.
 CIS Scoring Tools memungkinkan pengguna untuk
menghitung tingkat keamanan mereka,
membandingkannya dengan tolok ukur dan menyiapkan
laporan yang memandu pengguna dan administrator
untuk mengamankan sistem.



31

Professional Certification
► Beginning in the 1960s the IT profession

began offering certification programs:

 Information Systems Audit and Control
Association (ISACA)
 International Information System Security
Certification Consortium (ISC)
 SANS (SysAdmin, Audit, Network, Security)
Institute


32

Business Continuity Management
► Business

continuity management (BCM )
adalah kegiatan-kegiatan yang ditujukan untuk
melanjutkan operasi setelah gangguan sistem
informasi.
► Aktivitas ini disebut sebagai disaster planning ,
then more positive term contingency planning .
► Contingency plan is Penyebab utama di
kontinjensi perencanaan; ini adalah sebuah
dokumen resmi tertulis yang merinci secara detail
tindakan yang akan diambil dalam hal bahwa ada
sebuah gangguan, atau ancaman gangguan, di
setiap bagian dari komputasi operasi perusahaan .


33

Contingency Subplans
►

Emergency plan menentukan langkah-langkah yang
menjamin keselamatan karyawan ketika terjadi bencana.
 Termasuk sistem alarm, prosedur evakuasi, dan sistem firesuppression.

►

►

►

Backup plan adalah pengaturan untuk fasilitas backup
komputasi dalam setiap peristiwa bahwa fasilitas biasa
yang hancur atau rusak di luar penggunaan. Backup dapat
dicapai dengan beberapa kombinasi dari redundansi,
keragaman dan mobilitas.
Vital records adalah dokumen – dokumen kertas
tersebut, microforms, dan magnet dan media penyimpanan
optik yang diperlukan untuk menjalankan bisnis
perusahaan.
Vital records plan menspesifikasikam bagaimana the
vital records dapat diproteksi dan mencakup penggandaan
offsite backup.



34

MANAGEMENT INFOSEC

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to MANAGEMENT INFOSEC

Similar to MANAGEMENT INFOSEC (20)

More from Universitas Mulawarman Samarinda

More from Universitas Mulawarman Samarinda (20)

Recently uploaded

Recently uploaded (11)

MANAGEMENT INFOSEC