[Ringkasan] Dokumen tersebut membahas tentang keamanan informasi dan penjaminan informasi. Topik utama yang dibahas antara lain konsep dasar keamanan informasi, klasifikasi informasi, teknologi keamanan informasi, metodologi keamanan informasi seperti ISO 27001, serta etika dan privasi terkait keamanan informasi. Dokumen ini bertujuan meningkatkan pemahaman tentang pentingnya penjaminan dan keamanan informasi dalam organisasi.

1. Keamanan Informasi &
Penjaminan Informasi
Kementerian Komunikasi dan Informatika
bekerja sama dengan
Institut Teknologi Bandung
Institut Teknologi Sepuluh November
Universitas Gajah Mada
Universitas Indonesia
KEMKOMINFO

2. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privasi
2

3. Apakah informasi itu?
KEMKOMINFO
Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah
„aset‟; merupakan sesuatu yang
memiliki nilai dan karenanya harus
dilindungi
Nilai secara intrinsik melibatkan
subyektivitas yang membutuhkan
penilaian dan pengambilan keputusan
3

4. Bentuk informasi
KEMKOMINFO
 Gagasan, pikiran dalam bentuk tulisan, pidato
 Hardcopy (asli, salinan, transparan, fax)
 Softcopy (tersimpan di media tetap atau portabel)
 Pengetahuan perorangan
 Ketrampilan teknis
 Pengetahuan korporasi
 Pertemuan formal dan informal
 Percakapan telepon
 Telekonferensi video
4

5. Penjaminan Informasi
KEMKOMINFO
 Penggunaan operasi2 informasi untuk
melindungi informasi, sistem dan jaringan
informasi, dengan cara memastikan:
ketersediaan, integritas, keaslian, kerahasiaan
dan non-repudiasi, dengan
mempertimbangkan resiko akibat ancaman
dari lokal atau tempat yang jauh melalui
jaringan komunikasi dan Internet.
 Tanpa adanya penjaminan informasi, suatu
organisasi tidak mempunyai kepastian tentang
informasi yang diperlukan untuk pengambilan
keputusan penting, adalah andal, aman, dan
tersedia saat dibutuhkan
5

6. Keamanan Informasi
KEMKOMINFO
Konsep, teknik dan hal-hal yang terkait
dengan kerahasian, ketersediaan,
integritas, keaslian dari informasi
Teknik: enkripsi, digital signature,
intrusion detection, firewall, kontrol akses
dll
Manajemen: strategi, desain, evaluasi,
audit
Standar dan sertifikasi
6

7. Gambar Besar (Big Picture)
KEMKOMINFO
Penjaminan Informasi
Sekuriti Informasi Ketergantungan Informasi
Kerahasiaan, Keutuhan, Keandalan, Ketersediaan,
Ketersedian, Akuntabilitas Pencegahan Kegagalan,
Penghindaran dan Toleransi
Kemampuan untuk pulih dari
kegagalan dan serangan Y. Qian et al., 2008
7

8. Contoh-contoh kasus
KEMKOMINFO
2010 – Wikileaks
2010 – Virus Stuxnet menyerang PLTN di Iran
Ags 2008 – Serangan Internet terhadap Situs web Georgia
Apr 2007 – Serangan Cyber terhadap Estonia
Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)
Mei 2005 – Malaysia-Indonesia
Apr 2001 – Sino-AS
Stuxnet video
8

9. Regulasi
KEMKOMINFO
UU RI no. 11 thn 2008 tentang
Informasi dan Transaksi Elektronik
9

10. Konsep & Prinsip dasar
KEMKOMINFO
CIA dkk
 Confidentiality
 Integrity
 Availability
 Non-repudiation
10

11. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privasi
11

12. Hubungan antara Risiko dan Aset Informasi
KEMKOMINFO
Ancaman Vulnerability
eksploitasi
Manajemen Resiko Aset
mengurangi
Kebutuhan Nilai
sekuriti Aset
12

13. Klasifikasi informasi
KEMKOMINFO
Skema Klasifikasi Informasi Sederhana
Definisi Deskripsi
Public (umum) Informasi yang aman dibuka untuk umum (publik)
Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk
eksternal
Company
confidential (Rahasia
perusahaan)
Kriteria klasifikasi
• Nilai
• Umur
• Waktu berlaku (useful life)
• Keterkaitan dengan pribadi (personal association)
13

14. 4R Keamanan Informasi
KEMKOMINFO
Right
Right People
Information
(pada orang
(informasi
yg tepat)
yg tepat)
Right Time
Right Form
(pada
(format yg
waktu yg
tepat)
tepat)
14

15. Jenis-jenis serangan
KEMKOMINFO
Hacking
Denial of Service (DoS)
Kode berbahaya (malicious code)
Social engineering
15

16. Peningkatan Keamanan
KEMKOMINFO
Pengamanan Administratif
Strategi, kebijakan, dan pedoman
keamanan informasi
 Strategi keamanan informasi
 Kebijakan keamanan informasi
 Pedoman keamanan informasi
 Standar keamanan informasi
 IT Compliance
Proses dan operasi keamanan informasi
 Program pendidikan dan pelatihan keamanan
informasi
 Penguatan promosi melalui berbagai kegiatan
 Pengamanan dukungan
16

17. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privasi
17

18. Pengamanan dengan Teknologi (I)
KEMKOMINFO
 Model Defense-in-Depth (DID)
18

19. Pengamanan dengan Teknologi (II)
KEMKOMINFO
Teknologi Pencegah
 Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext)
menjadi sandi, bentuk yang tidak dapat dipahami
 One-Time Passwords (OTP)
OTP hanya dapat digunakan sekali. Password statis lebih mudah
disalahgunakan oleh password loss, password sniffing, dan brute-
force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
 Firewall (Dinding api)
Firewall mengatur beberapa aliran lalu lintas antara jaringan
komputer dari trust level yang berbeda.
 Alat penganalisis kerentanan
Ada 3 jenis alat penganalisis kerentanan:
 Alat penganalisis kerentanan jaringan
 Alat penganalisis kerentanan server
 Alat penganalisis kerentanan web
19

20. Pengamanan dengan Teknologi (III)
KEMKOMINFO
Teknologi Pendeteksi
 Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir
atau mengeliminasi kode berbahaya
 IDS (Intrusion Detection System)
IDS mengumpulkan dan menganalisis informasi dari
berbagai area dalam sebuah komputer atau jaringan
untuk mengidentifikasi kemungkinan penerobosan
keamanan
 IPS (Intrusion Prevention System)
IPS mengidentifikasi potensi ancaman dan bereaksi
sebelum mereka digunakan untuk menyerang
20

21. Pengamanan dengan Teknologi (IV)
KEMKOMINFO
Teknologi Terintegrasi
 ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan mengoperasikan
solusi keamanan informasi seperti IDS dan IPS mengikuti
kebijakan yang ditetapkan
 ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi seluruh
risiko yang terkait dengan organisasi, termasuk area di
luar keamanan informasi, dan mengatur langkah
mengatasinya secara otomatis
21

22. Peran & Tanggung Jawab
KEMKOMINFO
Peran Deskripsi
Manajer senior Tanggung jawab paling besar untuk sekuriti
Pejabat Sekuriti Tanggung jawab fungsional untuk sekuriti
Informasi
Pemilik Menentukan klasifikasi informasi
Penyimpan Memelihara CIA dari informasi
(Custodian)
Pengguna/operator Menjalankan kebijakan yang telah ditetapkan
Auditor Memeriksa sekuriti
22

23. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privasi
23

24. Metodologi Keamanan Informasi
KEMKOMINFO
Model Proses ISO/IEC 27001 (BS7799)
ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act,
yang digunakan untuk mengatur struktur seluruh proses ISMS
(Information Security Management System).
Model PDCA yang diterapkan ke Proses ISMS
Menetapkan
Pihak-pihak ISMS
Pihak-pihak
yang terlibat yang terlibat
Implementasi
Memelihara dan
dan operasi
memperbaiki ISMS
ISMS
Kebutuhan dan
ekspektasi Sekuriti
Memantau Informasi
sekuriti dan review
informasi termanaj
ISMS
24
Sumber: ISO/IEC JTC 1/SC 27

25. Metodologi Keamanan Informasi
KEMKOMINFO
ISO/IEC 27001 (BS7799)
 Analisis kesenjangan
Proses pengukuran tingkat keamanan informasi saat ini
dan menetapkan arah masa depan keamanan informasi
 Kajian risiko
Terdiri dari dua bagian: kajian nilai aset dan kajian
ancaman dan kerentanan
 Penerapan kontrol
Diperlukan keputusan untuk menerapkan kontrol yang
sesuai untuk masing-masing nilai aset. Risiko perlu dibagi
ke dalam risiko yang dapat diterima dan risiko yang tidak
dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
25

26. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privasi
26

27. Standar Kegiatan Keamanan Informasi
KEMKOMINFO
 ISO [International Standards Organization]
ISO/IEC27001 disusun oleh ISO/IEC dan fokus
kepada keamanan administratif
 CISA [Certified Information Systems Auditor]
CISA fokus pada kegiatan audit dan
pengendalian sistem informasi
 CISSP [Certified Information Systems Security
Professional]
CISSP fokus utamanya pada keamanan teknis
27

28. Aspek-aspek Keamanan Informasi
KEMKOMINFO
Teknologi
• Pelatihan dan Kepeka-tanggapan
• Administrasi sekuriti
• Sekuriti pribadi
• Sekuriti fisik
• Manajemen fisik
Orang
• Auditing dan pemantauan
• Indikasi dan peringatan
• Deteksi dan Tanggapan Kejadian
• Kontingensi dan pemulihan
Operasi
28

29. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privacy
29

30. Sekuriti IT, Etika dan Masyarakat
KEMKOMINFO
Manajemen aktivitas kerja untuk
Teknologi informasi meminimkan dampak buruk
memiliki dampak baik
dan buruk bagi Berupaya untuk memaksimalkan
masyarakat (orang) dampak baik
Tanggung jawab etika dari profesional bisnis
 Mempromosikan penggunaan etika dalam TI
 Menerima tanggung jawab etika dari pekerjaan
 Peran yang cocok sebagai SDM berkualitas
 Mempertimbangkan dimensi etika dalam segala
kegiatan dan pengambilan keputusan

31. Etika Teknologi Informasi
KEMKOMINFO
Tujuan pembelajaran Kepegawaian Privacy
tanggung jawab etika:
 Isu-isu etika terkait
penggunaan
teknologi informasi
dalam bisnis yang Etika
mempengaruhi Sekuriti TI
dalam
kepegawaian, Kesehatan Kriminal
Bisnis
perorangan,
privacy, situasi kerja,
kriminal, kesehatan
dan masalah-
masalah sosial Situasi
Perorangan
kemasyarakatan. Kerja
31

32. Ditinjau dari Teori Pertanggungjawaban Sosial
Korporasi (CSR/Corporate Social Responsibility)
KEMKOMINFO
Teori Kontrak Stakeholder
Stockholder Theory
Sosial Theory
Manajer memiliki
Manajer adalah agen Perusahaan
tanggung jawab
dari stockholders. memiliki
etika untuk
Tanggung jawab etika tanggung jawab
memanaj
mereka adalah etika terhadap
perusahaan agar
meningkatkan seluruh
menguntungkan
keuntungan tanpa komponen
bagi semua
melanggar hukum atau anggota
pemegang
menipu. masyarakat.
saham.

33. Profesional Bertanggung Jawab
KEMKOMINFO
 Bertindak dengan integritas
 Selalu meningkatkan kompetensi diri
 Menetapkan standar yang tinggi untuk
kinerja diri
 Menerima tanggung jawab atas kerjanya
 Memajukan derajat kesehatan, privacy dan
kesejahteraan umum dari publik

34. Kejahatan Komputer (Kejahatan TI)
KEMKOMINFO
 Penggunaan tidak sah, akses tidak sah, modifikasi tidak
sah, atau pengrusakan perangkat keras, perangkat
lunak, data atau sumber daya jaringan
 Rilis yang tidak sah atas informasi
 Salinan yang tidak sah atas perangkat lunak
 Menolak akses pengguna terhadap perangkat kerasnya
sendiri, perangkat lunaknya, datanya atau sumber daya
jaringannya sendiri
 Penggunaan atau berkomplot untuk pemanfaatan
komputer atau sumber daya jaringan untuk memperoleh
informasi atau tangible property

35. KEMKOMINFO
Kejahatan Komputer (II)
 Hacking
 Penggunaan obsesif
atas komputer atau
akses tidak sah dan Pelaku
penggunaan tidak sah
jaringan
 Cyber Theft
 Meliputi entry (masuk)
jaringan tidak sah dan
pengubahan isi basis
data
35

36. Prinsip Etika Teknologi
KEMKOMINFO
 Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus
lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak
ada cara lain yang dapat meraih kebaikan/keuntungan yang
sama dengan mudharat atau resiko lebih kecil.
 Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh
teknologi ini harus memashmi dan menerima resikonya
 Keadilan. Keuntungan dan beban dari teknologi harus
didistribusian secara adil. Siapa yang mengambil keuntungan
seharusnya memikul beban yang pantas juga dan yang kurang
mengambil keuntungan, tidak ketambahan resiko.
 Meminimkan resiko. Walaupun sudah ada tiga poin di atas,
teknologi seharusnya diimplementasikan dengan menghindari
semua resiko yang tidak perlu.

37. Agenda
KEMKOMINFO
 Konsep dan prinsip dasar
 Resiko dan aset informasi
 Klasifikasi informasi
 Teknologi keamanan informasi
 Metodologi keamanan informasi
 Standar Keamanan Informasi
 Etika
 Privacy
37

38. Konsep Privasi (1)
KEMKOMINFO
 Apakah “Informasi Pribadi”?
Secara sempit, Informasi pribadi adalah informasi
yang berkaitan dengan individu yang dapat
diidentifikasi atau orang yang teridentifikasi.
Informasi Pribadi, definisi sempit
Nama Alamat e-mail
Hubungan keluarga Nomor lisensi mobil
Nomor telepon Nomor kartu kredit
Alamat Karakteristik fisik
38

39. Konsep Privasi (2)
KEMKOMINFO
 Apakah “Informasi Pribadi”?
Dalam pengertian lebih luas, mencakup informasi
pribadi seperti informasi kredit, detail transaksi, detail
panggilan telepon, latar belakang akademik, karir,
evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit Detail transaksi
Detail panggilan telepon Latar belakang akademik
Karir Evaluasi
Pendapat Catatan kriminal
39

40. Konsep Privasi (3)
KEMKOMINFO
Informasi Pribadi dan Privasi
 Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak pada
perilaku pihak lain terhadap pribadi yang
bersangkutan dan pada akhirnya berdampak negatif
terhadap kehidupan sosial, harta benda, dan
keselamatan-nya.
 Oleh karena itu, informasi pribadi harus dilindungi dari
akses, pengumpulan, penyimpanan, analisis dan
penggunaan yang salah. Dalam hal ini, informasi
pribadi adalah subyek perlindungan.
40

41. Opt-in Versus Opt-out
KEMKOMINFO
Opt-In (Opsi Masuk) Opt-Out (Opsi Keluar)
Anda harus secara Data tentang Anda
eksplisit menyatakan dapat dikompilasi,
bahwa data tentang kecuali Anda minta
untuk tidak
Anda boleh
dimasukkan
dikompilasi
Default di AS.
Default di Europe

42. Isu-isu Tambahan Privacy
KEMKOMINFO
 Pelanggaran Privacy
 Mengakses email pribadi, percakapan pribadi dan rekaman komputer
pribadi
 Mengumpulkan dan berbagi informasi tentang seseorang dari
kunjungannya ke situs-situs Internet
 Pemantauan Komputer
 Selalu tahu di mana seseorang berada
 Layanan seluler cenderung dekat dengan asosiasi di mana seseorang
berada
 Computer Matching
 Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa
layanan bisnis
 Akses Tidak Sah atas File-file Pribadi
 Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit,
dan informasi-informasi lain untuk membangun profil orang

43. Melindungi Privacy di Internet
KEMKOMINFO
 Menyandi surel
 Mengirim posting surel lewat remailer
anonim
 Meminta ISP untuk tidak menjual nama dan
informasi Anda ke penyedia milis dan
pengguna jasa broadcast lainnya.
(Meminta operator seluler?)
 Tidak membuka data pribadi dan hobi
secara daring (online) atau di situs web

44. Kebebasan Komputer dan Sensor
KEMKOMINFO
 Sisi berlawanan dari debat privacy
 Kebebasan informasi, kebebasan berbicara dan kebebasan
pers
 Tempat-tempat
 Bulletin boards (kaskus, kompasiana, surel pembaca)
 Email boxes
 Online files of Internet and public networks
 “Persenjataan dalam Pertempuran”
 Spamming
 Pengiriman e-mail ke banyak pengguna unsolicited
 Flame mail
 Sending extremely critical, derogatory, and often vulgar email
messages or newsgroup postings to other Internet users or online
services
 Especially prevalent on special-interest newsgroups

45. Cyberlaw
KEMKOMINFO
Hukum diniatkan untuk mengatur aktivitas Irisan antara teknologi
ber-Internet via perangkat komunikasi dan hukum merupakan
bahan perdebatan
Mencakup sejumlah isu  Perlukah regulasi Internet?
hukum dan politik  Kriptografi menyulitkan bila
regulasinya tradisional
Meliputi properti intelektual, privacy,  Komunitas Internet
kebebasan berekspresi dan jurisdiksi menganggap sensor
merupakan penghambat
dan beberapa pihak malah
melakukan by-pass
 UU ITE

46. Ringkasan
KEMKOMINFO
 Informasi adalah salah satu aset yg sangat berharga bagi
suatu organisasi. Ancaman terhadap keamanan informasi
datang berupa pembeberan yang tidak sah, korupsi atau
halangan terhadap layanan.
 Tujuan dari keamanan adalah untuk melindungi aset
yang sangat berharga, khususnya berkaitan dengan
kerahasiaan, integritas dan ketersediaan dari informasi
dan aset yang mengolah, menyimpan dan mengirim
informasi tersebut.
 Regulasi, kebijakan dan petunjuk tentang keamanan
didasarkan pada konsep dan prinsip kemanan.
 Pemahaman terhadap konsep dan prinsip tersebut
memungkinkan seorang staf IA mengambil keputusan
yang benar dan efektif.
46

47. Informasi lebih lanjut
KEMKOMINFO
 www.cert.or.id - Indonesia Computer Emergency
Response Team
 www.wired.com/threatlevel/ - Artikel2 tentang
keamanan informasi
47

48. Diskusi
KEMKOMINFO
 Nilailah tingkat kesadaran keamanan informasi di
antara anggota organisasi Anda.
 Temukan contoh langkah keamanan informasi
dalam domain administratif, fisik, dan teknis di
organisasi Anda atau organisasi lain di negara atau
wilayah Anda.
 Ancaman keamanan informasi apa yang mudah
menyerang organisasi Anda? Mengapa?
 Solusi teknologi keamanan informasi mana yang
tersedia di organisasi Anda?
 Apakah organisasi Anda memiliki kebijakan, strategi
dan pedoman keamanan informasi?
48

49. KEMKOMINFO
Akhir dari Modul 4
Terima kasih

50. Ethical Guidelines of the AITP
KEMKOMINFO

51. Privacy Issues
KEMKOMINFO
 The power of information technology to store and
retrieve information can have a negative effect on
every individual‟s right to privacy
 Personal information is collected with every
visit to a Web site
 Confidential information stored by credit
bureaus, credit card companies, and the government has
been stolen or misused