SlideShare a Scribd company logo

Pengenalan Keamanan Sistem IT

Mark Thalib
Mark Thalib
Technology
1 of 4
Pengenalan Keamanan Sistem IT 26 Mar 2012 1. Pendahuluan Jika kita berjalan-jalan ke toko buku komputer dan ke situs internet telah banyak orang yang berbagi tentang tips-tips bagaimana cara hacking atau craking suatu website, bagaimana caranya mendapatkan password admin website tertentu atau bagaimana cara mendapatkan password dari ID seseorang di jejaring sosial, dan lain sebagainya. tetapi sangat jarang orang yang ingin berbagi bagaimana cara untuk mengamankan data-data om yang ada dalam sistem baik itu aplikasi website, jaringan dan lain sebagainya dari gangguan l.c penyusup (attacker). ai Sebelum kita ingin mengamankan sistem kita dari gangguan penyusup (attacker), gm terlebih dahulu kita harus tahu apa yang harus kita amankan dan kenapa? Jawabannya al @ adalah aset, dan kenapa? Karena jika kehilangan aset, kita bisa kehilangan seluruh bisnis riz yang dimiliki. ar k. Ketika kita menjadi bagian dari tim keamanan sistem IT, banyak orang yang m berimajinasi bahwa kita seperti petugas keamanan yang duduk di pos yang sesekali & berpatroli dengan membawa pentungan, atau senapan, dan senter, yang harus berjaga 24 l.c om jam, yang baru bertindak melakukan perbaikan keamanan setelah terjadi insiden. Jika anda ai merupakan bagian dari tim keamanan sistem IT dan anda juga memiliki pola pikir seperti gm diatas, sebaiknya anda segera merubah pola berpikir anda. @ Sebagai seorang petugas keamanan sistem IT kita harus bisa berpikir dalam dua tik sudut pandang secara bersamaan, salah satu bagian dari otak kita berfikir sebagai petugas ca n keamanan dan bagian yang lain berpikir sebagai pencuri, kenapa harus demikian? Jika kita in d ri. sudah mengetahui bagaimana pola berpikir dari seorang pencuri dalam hal ini apa yang diinginkan pencuri dari sistem kita, dan strategi apa yang dilakukan untuk mendapatkan itu? Maka kita sebagai petugas keamanan akan lebih mudah melakukan pencegahannya. 2. Pengertian Aset Aset adalah sesuatu yang memiliki nilai untuk organisasi (source : ISO/IEC 27001:2005,3.1). Menentukan aset organisasi yang harus kita lindungi dari berbagai ancaman yang menyebabkan kerugian bisnis bisa dilakukan dengan dua tahap :  Menentukan aset berdasarkan kemungkinan ancaman yang disebabkan adanya kerentanan pada aset tersebut :  Tentukan group aset  Tentukan spesifik asset
 Tentukan hal hal penting yang tergantung pada aset tersebut dan memiliki nilai bisnis tinggi  Tentukan ancaman yang mungkin terjadi terhadap aset tersebut  Kemudian ancaman tersebut terjadi karena ada kerentanan apa?  Apa saja dampak yang diakibatkan oleh ancaman yang terjadi karena adanya kerentanan tersebut  Penilaian resiko aset terhadap ancaman yang disebabkan oleh adanya kerentanan :  Kemudian lakukan penilaian aset (risk value) karena adanya ancaman berdasarkan confidentiality, integrity, dan availability. Selanjutnya kita juga harus menilai bisnis loss yang disebabkan karena l.c  om tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Tentukan nilai impact level nya dengan rumus = aset value dibandingkan al @  gm ai ancaman tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High dengan nilai bisnis loss. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, k. Tentukan nilai likelihood (kemungkinan terjadi) nya. Biasanya nilai dibagi ar  riz High m menjadi 3, yaitu : Low, Medium, High & Tentukan nilai risk score dengan rumus = impact level dibandingkan dengan l.c om  likelihood. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Jika hasil risk score adalah medium atau high, maka kita harus membuat ai  @ gm kontrol dari tiap kerentanan sehingga resiko yang ada dapat dikurangi. ca n tik 3. Mindset (pola pikir) seorang petugas keamanan sistem IT Seorang penyusup (attacker) biasanya menghabiskan banyak waktu mereka untuk in d ri. memperoleh informasi dari target. Karena bagi mereka, exploit adalah hal yang bisa dilakukan dalam waktu singkat jika mereka telah mengetahui banyak informasi kerentanan yang dimiliki oleh target dan aset yang dianggap bernilai bisnis tinggi oleh organisasi. Semakin banyak informasi kerentanan yang dimiliki, maka semakin banyak kemungkinan attacker mengambil aset yang bernilai bisnis tinggi tersebut. Informasi seperti apakah yang diharapkan oleh para penyusup (attacker) itu?
l.c om Informasi yang diharapkan attacker minimal seperti yang digambarkan dibawah ini : ai Bagaimana mendapatkan informasi seperti gambar diatas? Informasi tersebut dapat gm diperoleh dari wawancara atau scanning IP Address. Ketika melakukan wawancara atau al @ scanning IP Address kita bisa mendapatkan kerentanan dan bisa menentukan ancaman apa riz yang kemungkinan dapat membahayakan bisnis, meskipun terkadang kerentanan dan ar k. ancaman tersebut baru bisa didapatkan setelah kita melakukan analisa lebih mendalam. m Setelah kita melakukan semua tahapan – tahapan dalam menentukan kerentanan & dan ancaman pada aset, dan telah melakukan penilaian resiko terhadap aset, kemudian kita l.c om harus mempresentasikan hasil analisa ke manajemen, sebaiknya sertakan juga proof of ai concept (POC) dari analisa yang telah kita buat. Contoh, ketika kita menyampaikan bahwa gm pada cookies di web aplikasi kita terdapat kerentanan yang bisa digunakan oleh penyusup @ (attacker) masuk sampai kedalam database kita, dan mampu melakukan perubahan tik terhadap data yang tersimpan didalamnya, maka sebaiknya sertakan juga proof of concept ca n dari yang kita sampaikan itu. Ketika menyampaikan proof of concept tersebut tidak ri. disarankan bagi kita untuk mendemokan secara live bagaimana kita mendapatkan sistem itu. in d kerentanan tersebut, atau bahkan kita tidak boleh mendemokan bagaimana cara masuk ke Sebagai seorang tim keamanan sistem IT, kita tidak hanya dituntut untuk mendapatkan kerentanan, ancaman, penilaian resiko pada aset yang disertai dengan proof of concept saja, tetapi kita juga dituntut untuk memberikan solusi atau rencana perbaikan sehingga resiko yang ada menjadi bisa diterima oleh manajemen. Solusi atau rencana perbaikan tersebut bisa dibagi menjadi dua, yaitu rencana jangka pendek dan rencana jangka panjang. Rencana jangka pendek dapat diterapkan ketika hal tersebut dapat mengatasi kerentanan yang paling penting (yang memiliki nilai resiko medium dan high) dan dapat dilakukan sesegera mungkin. Sedangkan rencana jangka panjang dapat diterapkan
ketika membawa manfaat jangka panjang dan organisasi tidak dapat melakukan dalam waktu 6-12 bulan ke depan sehingga membutuhkan investasi waktu dan dana yang besar. Penulis: Indri (indri.cantik@gmail.com) - Mark (mark.rizal@gmail.com) in d ri. ca n tik @ gm ai l.c om & m ar k. riz al @ gm ai l.c om -

Recommended

Investigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheInvestigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheMark Thalib
 
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Mark Thalib
 
Application Security Maturity Model
Application Security Maturity ModelApplication Security Maturity Model
Application Security Maturity ModelSecurity Innovation
 
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...InnoTech
 
SABSA Implementation(Part IV)_ver1-0
SABSA Implementation(Part IV)_ver1-0SABSA Implementation(Part IV)_ver1-0
SABSA Implementation(Part IV)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part II)_ver1-0
SABSA Implementation(Part II)_ver1-0SABSA Implementation(Part II)_ver1-0
SABSA Implementation(Part II)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part III)_ver1-0
SABSA Implementation(Part III)_ver1-0SABSA Implementation(Part III)_ver1-0
SABSA Implementation(Part III)_ver1-0Maganathin Veeraragaloo
 

Recommended

Investigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheInvestigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheMark Thalib
 
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)
Bagaimana Belajar Menjadi Seorang Penetration Tester (PenTest)Mark Thalib
 
Application Security Maturity Model
Application Security Maturity ModelApplication Security Maturity Model
Application Security Maturity ModelSecurity Innovation
 
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...
Building Bridges: Security Metrics to Narrow the Chasm Between Perception and...InnoTech
 
SABSA Implementation(Part IV)_ver1-0
SABSA Implementation(Part IV)_ver1-0SABSA Implementation(Part IV)_ver1-0
SABSA Implementation(Part IV)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part II)_ver1-0
SABSA Implementation(Part II)_ver1-0SABSA Implementation(Part II)_ver1-0
SABSA Implementation(Part II)_ver1-0Maganathin Veeraragaloo
 
SABSA Implementation(Part III)_ver1-0
SABSA Implementation(Part III)_ver1-0SABSA Implementation(Part III)_ver1-0
SABSA Implementation(Part III)_ver1-0Maganathin Veeraragaloo
 
SABSA - Business Attributes Profiling
SABSA - Business Attributes ProfilingSABSA - Business Attributes Profiling
SABSA - Business Attributes ProfilingSABSAcourses
 
SABSA Implementation(Part VI)_ver1-0
SABSA Implementation(Part VI)_ver1-0SABSA Implementation(Part VI)_ver1-0
SABSA Implementation(Part VI)_ver1-0Maganathin Veeraragaloo
 
From Business Architecture to Security Architecture
From Business Architecture to Security ArchitectureFrom Business Architecture to Security Architecture
From Business Architecture to Security ArchitecturePriyanka Aash
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Priyanka Aash
 
SABSA Implementation(Part I)_ver1-0
SABSA Implementation(Part I)_ver1-0SABSA Implementation(Part I)_ver1-0
SABSA Implementation(Part I)_ver1-0Maganathin Veeraragaloo
 
Enterprise Architecture and Information Security
Enterprise Architecture and Information SecurityEnterprise Architecture and Information Security
Enterprise Architecture and Information SecurityJohn Macasio
 
Security Maturity Models.
Security Maturity Models.Security Maturity Models.
Security Maturity Models.Priyanka Aash
 
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy Allen Baranov
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
TOGAF 9 - Security Architecture Ver1 0
TOGAF 9 - Security Architecture Ver1 0TOGAF 9 - Security Architecture Ver1 0
TOGAF 9 - Security Architecture Ver1 0Maganathin Veeraragaloo
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworksJohn Arnold
 
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...Tetradian Consulting
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitectureKris Kimmerle
 
Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxslametarrokhim1
 
Tugas sim 10
Tugas sim 10Tugas sim 10
Tugas sim 10AliRasyid2
 
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...suryo pranoto
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiHarisno Al-anshori
 
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...Dihan Archika
 
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...fahrunrz
 
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...Arif Faturahman
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaAhmad Hassan Saeful Bahri
 

More Related Content

Viewers also liked

SABSA - Business Attributes Profiling
SABSA - Business Attributes ProfilingSABSA - Business Attributes Profiling
SABSA - Business Attributes ProfilingSABSAcourses
 
From Business Architecture to Security Architecture
From Business Architecture to Security ArchitectureFrom Business Architecture to Security Architecture
From Business Architecture to Security ArchitecturePriyanka Aash
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Priyanka Aash
 
Enterprise Architecture and Information Security
Enterprise Architecture and Information SecurityEnterprise Architecture and Information Security
Enterprise Architecture and Information SecurityJohn Macasio
 
Security Maturity Models.
Security Maturity Models.Security Maturity Models.
Security Maturity Models.Priyanka Aash
 
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy Allen Baranov
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworksJohn Arnold
 
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...Tetradian Consulting
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitectureKris Kimmerle
 

Viewers also liked (14)

SABSA - Business Attributes Profiling
SABSA - Business Attributes ProfilingSABSA - Business Attributes Profiling
SABSA - Business Attributes Profiling
 
SABSA Implementation(Part VI)_ver1-0
SABSA Implementation(Part VI)_ver1-0SABSA Implementation(Part VI)_ver1-0
SABSA Implementation(Part VI)_ver1-0
 
From Business Architecture to Security Architecture
From Business Architecture to Security ArchitectureFrom Business Architecture to Security Architecture
From Business Architecture to Security Architecture
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Practical Enterprise Security Architecture
Practical Enterprise Security Architecture
 
SABSA Implementation(Part I)_ver1-0
SABSA Implementation(Part I)_ver1-0SABSA Implementation(Part I)_ver1-0
SABSA Implementation(Part I)_ver1-0
 
Enterprise Architecture and Information Security
Enterprise Architecture and Information SecurityEnterprise Architecture and Information Security
Enterprise Architecture and Information Security
 
Security Maturity Models.
Security Maturity Models.Security Maturity Models.
Security Maturity Models.
 
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
TOGAF 9 - Security Architecture Ver1 0
TOGAF 9 - Security Architecture Ver1 0TOGAF 9 - Security Architecture Ver1 0
TOGAF 9 - Security Architecture Ver1 0
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworks
 
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
Unpacking TOGAF's 'Phase B': Business Transformation, Business Architecture a...
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 

Similar to Pengenalan Keamanan Sistem IT

Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxslametarrokhim1
 
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...suryo pranoto
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiHarisno Al-anshori
 
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...Dihan Archika
 
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...fahrunrz
 
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...Arif Faturahman
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)gilangbewok
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)gilangbewok
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)gilangbewok
 
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
 

Similar to Pengenalan Keamanan Sistem IT (20)

Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptx
 
Tugas sim 10
Tugas sim 10Tugas sim 10
Tugas sim 10
 
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
Sim, suryo pranoto, prof. dr. hapzi ali, mm, cma, sistem informasi manajemen ...
 
Sistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasiSistem informasi manajemen keamanan informasi
Sistem informasi manajemen keamanan informasi
 
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
Sim, dihan archika, hapzi ali, keamanan informasi, universitas mercu buana, 2...
 
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
(10) sim, fahrun rizaldi, prof. hapzi ali, keamanan sistem informasi, univers...
 
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
SIM, ARIF FATHURRAHMAN NOVIANTO, PROF. HAPZI ALI, KEAMANAN SISTEM INFORMASI, ...
 
Membuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringaMembuat desain sistem keamanan jaringa
Membuat desain sistem keamanan jaringa
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9
Bab 9 Bab 9
Bab 9
 
Bab 9 (22 slide)
Bab 9 (22 slide)Bab 9 (22 slide)
Bab 9 (22 slide)
 
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...
 

Pengenalan Keamanan Sistem IT

  • 1. Pengenalan Keamanan Sistem IT 26 Mar 2012 1. Pendahuluan Jika kita berjalan-jalan ke toko buku komputer dan ke situs internet telah banyak orang yang berbagi tentang tips-tips bagaimana cara hacking atau craking suatu website, bagaimana caranya mendapatkan password admin website tertentu atau bagaimana cara mendapatkan password dari ID seseorang di jejaring sosial, dan lain sebagainya. tetapi sangat jarang orang yang ingin berbagi bagaimana cara untuk mengamankan data-data om yang ada dalam sistem baik itu aplikasi website, jaringan dan lain sebagainya dari gangguan l.c penyusup (attacker). ai Sebelum kita ingin mengamankan sistem kita dari gangguan penyusup (attacker), gm terlebih dahulu kita harus tahu apa yang harus kita amankan dan kenapa? Jawabannya al @ adalah aset, dan kenapa? Karena jika kehilangan aset, kita bisa kehilangan seluruh bisnis riz yang dimiliki. ar k. Ketika kita menjadi bagian dari tim keamanan sistem IT, banyak orang yang m berimajinasi bahwa kita seperti petugas keamanan yang duduk di pos yang sesekali & berpatroli dengan membawa pentungan, atau senapan, dan senter, yang harus berjaga 24 l.c om jam, yang baru bertindak melakukan perbaikan keamanan setelah terjadi insiden. Jika anda ai merupakan bagian dari tim keamanan sistem IT dan anda juga memiliki pola pikir seperti gm diatas, sebaiknya anda segera merubah pola berpikir anda. @ Sebagai seorang petugas keamanan sistem IT kita harus bisa berpikir dalam dua tik sudut pandang secara bersamaan, salah satu bagian dari otak kita berfikir sebagai petugas ca n keamanan dan bagian yang lain berpikir sebagai pencuri, kenapa harus demikian? Jika kita in d ri. sudah mengetahui bagaimana pola berpikir dari seorang pencuri dalam hal ini apa yang diinginkan pencuri dari sistem kita, dan strategi apa yang dilakukan untuk mendapatkan itu? Maka kita sebagai petugas keamanan akan lebih mudah melakukan pencegahannya. 2. Pengertian Aset Aset adalah sesuatu yang memiliki nilai untuk organisasi (source : ISO/IEC 27001:2005,3.1). Menentukan aset organisasi yang harus kita lindungi dari berbagai ancaman yang menyebabkan kerugian bisnis bisa dilakukan dengan dua tahap :  Menentukan aset berdasarkan kemungkinan ancaman yang disebabkan adanya kerentanan pada aset tersebut :  Tentukan group aset  Tentukan spesifik asset
  • 2.  Tentukan hal hal penting yang tergantung pada aset tersebut dan memiliki nilai bisnis tinggi  Tentukan ancaman yang mungkin terjadi terhadap aset tersebut  Kemudian ancaman tersebut terjadi karena ada kerentanan apa?  Apa saja dampak yang diakibatkan oleh ancaman yang terjadi karena adanya kerentanan tersebut  Penilaian resiko aset terhadap ancaman yang disebabkan oleh adanya kerentanan :  Kemudian lakukan penilaian aset (risk value) karena adanya ancaman berdasarkan confidentiality, integrity, dan availability. Selanjutnya kita juga harus menilai bisnis loss yang disebabkan karena l.c  om tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Tentukan nilai impact level nya dengan rumus = aset value dibandingkan al @  gm ai ancaman tersebut, biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High dengan nilai bisnis loss. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, k. Tentukan nilai likelihood (kemungkinan terjadi) nya. Biasanya nilai dibagi ar  riz High m menjadi 3, yaitu : Low, Medium, High & Tentukan nilai risk score dengan rumus = impact level dibandingkan dengan l.c om  likelihood. Biasanya nilai dibagi menjadi 3, yaitu : Low, Medium, High Jika hasil risk score adalah medium atau high, maka kita harus membuat ai  @ gm kontrol dari tiap kerentanan sehingga resiko yang ada dapat dikurangi. ca n tik 3. Mindset (pola pikir) seorang petugas keamanan sistem IT Seorang penyusup (attacker) biasanya menghabiskan banyak waktu mereka untuk in d ri. memperoleh informasi dari target. Karena bagi mereka, exploit adalah hal yang bisa dilakukan dalam waktu singkat jika mereka telah mengetahui banyak informasi kerentanan yang dimiliki oleh target dan aset yang dianggap bernilai bisnis tinggi oleh organisasi. Semakin banyak informasi kerentanan yang dimiliki, maka semakin banyak kemungkinan attacker mengambil aset yang bernilai bisnis tinggi tersebut. Informasi seperti apakah yang diharapkan oleh para penyusup (attacker) itu?
  • 3. l.c om Informasi yang diharapkan attacker minimal seperti yang digambarkan dibawah ini : ai Bagaimana mendapatkan informasi seperti gambar diatas? Informasi tersebut dapat gm diperoleh dari wawancara atau scanning IP Address. Ketika melakukan wawancara atau al @ scanning IP Address kita bisa mendapatkan kerentanan dan bisa menentukan ancaman apa riz yang kemungkinan dapat membahayakan bisnis, meskipun terkadang kerentanan dan ar k. ancaman tersebut baru bisa didapatkan setelah kita melakukan analisa lebih mendalam. m Setelah kita melakukan semua tahapan – tahapan dalam menentukan kerentanan & dan ancaman pada aset, dan telah melakukan penilaian resiko terhadap aset, kemudian kita l.c om harus mempresentasikan hasil analisa ke manajemen, sebaiknya sertakan juga proof of ai concept (POC) dari analisa yang telah kita buat. Contoh, ketika kita menyampaikan bahwa gm pada cookies di web aplikasi kita terdapat kerentanan yang bisa digunakan oleh penyusup @ (attacker) masuk sampai kedalam database kita, dan mampu melakukan perubahan tik terhadap data yang tersimpan didalamnya, maka sebaiknya sertakan juga proof of concept ca n dari yang kita sampaikan itu. Ketika menyampaikan proof of concept tersebut tidak ri. disarankan bagi kita untuk mendemokan secara live bagaimana kita mendapatkan sistem itu. in d kerentanan tersebut, atau bahkan kita tidak boleh mendemokan bagaimana cara masuk ke Sebagai seorang tim keamanan sistem IT, kita tidak hanya dituntut untuk mendapatkan kerentanan, ancaman, penilaian resiko pada aset yang disertai dengan proof of concept saja, tetapi kita juga dituntut untuk memberikan solusi atau rencana perbaikan sehingga resiko yang ada menjadi bisa diterima oleh manajemen. Solusi atau rencana perbaikan tersebut bisa dibagi menjadi dua, yaitu rencana jangka pendek dan rencana jangka panjang. Rencana jangka pendek dapat diterapkan ketika hal tersebut dapat mengatasi kerentanan yang paling penting (yang memiliki nilai resiko medium dan high) dan dapat dilakukan sesegera mungkin. Sedangkan rencana jangka panjang dapat diterapkan
  • 4. ketika membawa manfaat jangka panjang dan organisasi tidak dapat melakukan dalam waktu 6-12 bulan ke depan sehingga membutuhkan investasi waktu dan dana yang besar. Penulis: Indri (indri.cantik@gmail.com) - Mark (mark.rizal@gmail.com) in d ri. ca n tik @ gm ai l.c om & m ar k. riz al @ gm ai l.c om -