Bab 9 keamanan informasi

4,967 views

Published on

1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
4,967
On SlideShare
0
From Embeds
0
Number of Embeds
32
Actions
Shares
0
Downloads
163
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Bab 9 keamanan informasi

  1. 1. BAB 9 KEAMANAN INFORMASINama : Ade Setiawan (0211-11-109)Nama : Nuke Eka Mayasari (0211-11-112)Dosen : Dr. Wonny Ahmad Ridwan, SE.MM,CPHR. Fakultas Ekonomi Unpak
  2. 2. Tujuan Belajar Memahami kebuhan organisasi akan keamanan dan pengendalian Memaham bahwa keamanan informasi berkaitan dengan keamanan semua sumberdaya informasi Memahami tiga tujuan utama keamanan informasi Melihat hubungan yang logis antara ancaman, resiko dan pengendalian Memahami apa saja ancaman keamanan yang utama
  3. 3. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIA Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
  4. 4. KEAMANAN INFORMASI Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.
  5. 5. TUJUAN KEAMANAN INFORMASI Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.
  6. 6. MANAJEMEN KEAMANAN INFORMASI Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM )
  7. 7. Strategi Manajemen Keamanan Informasi Mengindentifikasi ancaman Tolok ukur Mengidentifikasi resiko Menentukan kebijakan keamanan Menentukan informasi Kebijakan keamanan informasi Menginflemen tasikan Menginpleme pengendalian ntasikan pengendalian A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur
  8. 8. PENGUNGKAPAN INFORMASI YANG TIDAK TEROTORISASI DAN PENCURIAN Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilkiakses, hasinya dalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.
  9. 9. ANCAMAN INFORMASI Ancaman informasi adalah (information security tbreat) adalah orang organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi , adalah sesuatunyang di alami jika kita membayangkan beberapa kelomok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang di sengaja.
  10. 10. PERSOALAN E-COMMERCE E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini,
  11. 11. KARTU KREDIT “SEKALI PAKAI” Pada september 2000, america ekspres mengumumkan sebuak kartu kredit “sekali pakai” tindakan yang ditunjukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengguanaa internet.
  12. 12. PRAKTIK KEAMANAN YANG DIWAJIBKAN OLEH VISA1. Memasang dan memelihara firewall.2. Memperbaharui keamanan.3. Melakukan ekskripsi pada data yang di simpan.4. Melakukan ekskripsi pada data yang di kirimkan.5. Menggunakan dan memperbarui peranti lunak antivirus6. Membatasi akses data kepada orang-orang yang ingin tahu.
  13. 13. MANAJEMEN RISIKO1. Menganalisis kelemahan perusahaan tersebut.2. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.4. Menyadari risikonya.
  14. 14. Fase 1 Tim proyek Inisiasi Penetapan proyek Komite pengawas proyek keamanan Fase 2 Pihak-pihak yang berminat danPenyusunan Konsultasi terpengaruh Kebijakan Fase 3 Konsultasi Manajemen Konsultasi danpersetujuan Fase 4 Pelatihan kesadaran dan Unit Kesadaran edukuasi kebijakan organisasi dan pendidikan Fase 5 Unit Kebijakan keamananPenyebarluasan organisasi dan kebijakan
  15. 15. PENGENDALIAN AKSES1. Identifikasim pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu
  16. 16. FIREWALL Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi. Fungsi Firewallsebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan interner
  17. 17. Lokasi firewall di jaringan Firawall penyaring paket internet router Jaringan komputer internet Firewall Fireewall tingkat tingkat sirkuit aplikasi
  18. 18. PENGENDALIAN KRIPTOGRAFIS Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan
  19. 19. PENGENDALIAN FORMAL Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan,
  20. 20. PENGENDALIAN INFORMAL Pengendalian informal mencangkup program- program pelatihan dan edukasi serta program pembangunan dan manajemen. Pengendalian ini di tujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut
  21. 21. Pengendalian Kriptografisinformasi yang tersimpan dan ditranmisikan dapat dilindungidari pengungkapan yang tidak Terotorisasi dengan kriptografi.Yaitu Penggunaan kode yang menggunakan proses- prosesmatematika. Data dan informasi tersebut dapat dienkripsidalam penyimpanan dan juga ditranmisikan ke dalamjaringan. Jika seseorang yang tidak memiliki Otorisasimemperoleh akses, enkripsi tersebut akan membuat data daninformasi yang dimaksud tidak berarti apa-apa dan mencegahKesalahan penggunaan.
  22. 22. PENGENDALIAN FISIKPeringatan pertama terhadap gangguan yang tidak terotorisasiadalah mengunci pintu ruangan komputer. Perkembanganseterusnya menghasilkan kunci-kunci yang lebih canggihyang dibuka dengan cetakan telapak tangan dan cetakan suara,serta kamera pengintai dan alat penjaga keamanan.Perusahaan dapat melaksanakan pengendaliian fisik hinggaPada tahap tertinggi dengan cara menempatkan pusatkomputernya ditempat terpencil yang jauh darikota dan jauhdari wilayah yang sensitif terhadap bencana alam sepertigempa bumi, banjir, dan badai.
  23. 23. MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYAPengendalian teknis dikenal sebagai yangterbaik untuk keamanan.perusahaan biasanyamemilih dari daftar ini dan menetapkankombinasi yang dianggap menawarkanpengamanan yang paling realistis.
  24. 24. PENGENDALIAN FORMALPengendalian formal mencangkup penentuancara berperilaku, dokumentasi prosedur danpratik yang diharapkan, dan pengawasan sertapencegahan perilaku yang berbeda dari panduanyang berlaku. Pengendalian ini bersifat formalkarena manajemen menghabiskan banyak waktuuntuk menyusunnya mendokumentasikannyadalam bentuk tulisan, dan diharapkan untukberlaku dalam jangka panjang.
  25. 25. PENGENDALIAN INFORMALPengendalian informal mencangkupprogram- program pelatihan dan edukasi sertaprogram pembangunan manajemen.Pengendalian ini ditunjukan untuk menjagaagar para karyawan perusahaan pemahamiserta mendukung program keamanantersebut.
  26. 26. MENCAPAI TINGKAT PENGENDALIAN YANG TEPATKe tiga jenis pengendalian teknis, formal,daninformal mengharuskan biaya. KarenaBukanlah merupakan praktik bisnis yang baikuntuk menghabiskan lebih banyak uang padapengendalian dibandingkan biaya yangdiharapkan dari resiko yang akan terjadi,maka pengendalian harus ditetapkan padatingkatan yang sesuai.
  27. 27. Dengan demikian, keputusan untukmengendalikan pada akhirnya di buatberdasarkan biaya versus keuntungan, tapidalam beberapa industri terdapat pulapertimbangan-pertimbangan lain
  28. 28. DUKUNGAN PEMERINTAH DAN INDUSTRIBeberapa organisasi pemerintahan daninternasional telah menentukan standar-standar yang ditunjukan untuk menjadipanduan bagi organisasi yang inginmendapatkan keamanan informasi. Beberapastandar ini berbentuk tolok ukur, yang telahdiidentifikasikan sebelumnya sebagaipenyedia strategi
  29. 29. alternatif untuk manajemen resiko. Beberapapihak penentu standar menggunakan istilahbaseline(dasar) dan Bukannya benchmark(tolok ukur).Organisasi tidak diwajibkanmengikuti standar ini. Namun, standar iniditunjukan untuk memberikan bantuankepada perusahaan dalam menentukantingkat target keamanan.
  30. 30. Berikut ini adalah beberapa contohnya: BS7799 milik inggris BSI IT Baseline Protection Manual Cobit GASSP ISF Standard Of Good Practice
  31. 31. PERATURAN PEMERINTAHPemerintah baik di amerika serikat maupuninggris telah menentukan standar danmenetapkan peraturan yang ditujukan untukmenanggapi masalah pentinggnya keamananinformasi yang makin meningkat,terutamasetelah peristiwa 9/11 dan semakinmemperluasnya internet serta peluangterjadinya kejahatan komputer.
  32. 32. Beberapa diantaranya adalah: Standar keamanan komputer pemerintah amerika serikat Undang- undang antiterorisme, kejahatan, dan keamanan inggris (ATCSA)
  33. 33. STANDAR INDUSTRIThe center for internet security(CIS) adalahorganisasi nirlaba yang didedikasikan untukmembantu para pengguna komputer gunamembuat sistem mereka lebih aman. Bantuandiberikan melalui dua produk yaitu:CIS Benchmarks dan CIS Scoring Tools.
  34. 34. SERTIFIKASI PROFESIONALMulai tahun 1969-an, profesi IT mulaimenawarkan prorgam sertifikasi. Tiga contohberikut mengilustrasikan cakupan dariprogram- program ini. Asosiasi Audit Sistem dan Pengendalian Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional Institut SANS
  35. 35. MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYAPerusahaan harus merancang kebijakanmanajemen keamanan informasi sebelummenempatkan pengendalian. Kebijakan inidapat dibuat berdasarkanidentifikasi ancamanatau resiko ataupun berdasarkan panduanyang diberikan oleh pemerintah dan asosiasiindustri.
  36. 36. MANAJEMEN KEBERLANGSUNGAN BISNISAktivitas yang ditujukan untuk menentukanoperasional setelah terjadi gangguan sisteminformasi disebut dengan manajemenkeberlangsungan Bisnis ( business continuitymanagement-BCM). Pada tahun-tahun awalpenggunaan komputer, aktifitas ini disebutperencanaan besar (disaster planning),
  37. 37. namun istilah yang lebih positif, perencanaankontinjensi(contingency plan), menjadipopuler. Elemen penting dalam perencanaankontinjensi adalah rencana kontinjensi(contingency plan), yang merupakandokumen tertulis formal yang menyebutkansecara detail tindakan-tindakan yang harusdilakukan jika terjadi gangguan,atau ancamangangguan pada operasi komputasi perusahaan
  38. 38. TERIMA KASIHTERIMA KASIH

×