Ringkasan dokumen tersebut adalah:
1. Dokumen tersebut membahas tentang mata kuliah manajemen keamanan sistem informasi, yang mencakup topik-topik seperti manajemen resiko, pengamanan data, hukum siber, dan teknologi pengamanan seperti enkripsi dan firewall.
2. Mahasiswa diharapkan memahami pentingnya pengamanan informasi dan dapat menjelaskan upaya-upaya pengamanan sistem informasi.
3.
3. Standar Kompetensi
Sesudah mengikuti mata kuliah ini, mahasiswa diharapkan :
• Mampu memahami dan dapat menjelaskan tentang
penting pengamanan informasi
• Memahami dan dapat menjelaskan Upaya-upaya dalam
pengamanan sistem informasi
• Mampu memanfaatkan teknologi informasi dalam
pengamanan seperti firewall, anti virus dan lainnya
• Memahami aspek hukum dalam pengamanan sistem
informasi
• Mampu membuat script enkripsi-dekripsi pada halaman
web
• Memahami aspek pengamanan pada server dan
komputer client.
4. Deskripsi Mata Kuliah
Mata kuliah ini mempelajari tentang
manajemen keamanan teknologi
informasi, Pengamanan terhadap Data
(Confidentiality, Integrity dan
Availability ), keamanan dan kerahasiaan
data, sekuriti sebuah proses, evaluasi
sistem keamanan, komunikasi sistem,
topologi keamanan, keamanan
WWW(SSL), pengamanan sistem
informasi, ekploitasi keamanan, enkripsi
dekripsi, kriptografi, firewall, program
perusak(Trojan horse, worm), cyber
law(aspek hukum dunia maya)
6. Materi Ajar
• Pengantar Keamanan Informasi
• Manajemen Resiko , pengamanan dan Kerahasiaan data
• Cyber Law (Aspek hukum dunia maya)
• Evaluasi sistem Keamanan
• Pengamanan Komunikasi Jaringan
• Topologi keamanan
• Keamanan Server (Web, Database)
• Pengamanan sistem informasi
• Eksploitasi kemanan
• Enskripsi
• Kripografi
• Firewall
• Program-program perusak (virus, Trojan, worm)
7. Pengalaman Belajar
Selama mengikuti perkuliahan ini mahasiswa
diwajibkan:
1. Mengikuti kegiatan ceramah, tanya jawab
dan diskusi di kelas.
2. Berpartisipasi aktif dalam mengerjakan
modul
3. Mengerjakan tugas-tugas individual dan
kelompok
8. Evaluasi Hasil Belajar:
Keberhasilan mahasiswa dalam perkuliahan
ini ditentukan oleh prestasi yang
bersangkutan dalam :
1. Kehadiran sebanyak 80% di kelas.
2. Partisipasi Kegiatan Kelas.
3. Tugas-Tugas Harian.
4. Ujian Tengah Semester.
5. Ujian Akhir Semester.
10. Resiko & sistem keamanan
• Resiko: “Sesuatu yang akan terjadi yang
dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap beberapa
kelemahan yang menghasilkan dampak (impact)
yang merugikan perusahaan”
• Sistem keamanan: “Semua tindakan yang
dilakukan maupun aset yang digunakan untuk
menjamin keamanan perusahaan”
11. Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.
• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological
innovation, regulatory changes, brand image
damage etc.
• Operational risk: IT capability, business
operations, security threat, etc.
• …
13. Klasifikasi ancaman dikaitkan
dengan informasi dan data
• Loss of confidentiality of information
▫ Informasi diperlihatkan kepada pihak yang tidak
berhak untuk melihatnya
• Loss of integrity of information
▫ Informasi tidak lengkap, tidak sesuai aslinya, atau
telah dimodifikasi
• Loss of availability of information
▫ Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
▫ Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
15. 1-Identifikasi Aset
• Aset informasi: database, file data, dokumentasi
sistem,manual pengguna, materi training,
prosedur
• Aset perangkat keras: perangkat komputer
(server, storage, workstation dll), perangkat
jaringan (router, switch, hub, modem dll),
perangkat komunikasi (PABX, telepon,
facsimile), termasuk komponen di dalam
perangkat
16. Identifikasi Aset (cont’d)
• Aset perangkat lunak: sistem operasi, perangkat
lunak aplikasi, perangkat lunak bantu
• Aset infrastruktur: power supply, AC, rak
• Aset layanan: layanan komputer dan komunikasi
• FAZ: manusia aset?
17. Dasar penilaian terhadap aset
• Nilai beli: pembelian awal dan biaya
pengembangan aset
• Nilai wajar pasar
• Nilai buku: nilai pembelian dikurangi
penyusutan
18. Pentingnya nilai aset
• Bisa digunakan untuk menentukan analisis
biaya-keuntungan
• Bisa digunakan untuk keperluan asuransi
• Dapat membantu pengambil keputusan dalam
memilih tindakan penanggulangan terhadap
pelanggaran keamanan
19. Klasifikasi nilai aset
• Rendah: kehilangan fungsi aset tidak
mengganggu proses bisnis untuk sementara
waktu
• Sedang: kehilangan fungsi aset mengganggu
proses bisnis
• Tinggi: kehilangan fungsi aset menghentikan
proses bisnis
22. Perlunya analisis resiko
• Memberi gambaran biaya perlindungan
keamanan
• Mendukung proses pengambilan keputusan yg
berhubungan dengan konfigurasi HW dan
desain sistem SW
• Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW, SW,
infrastruktur, layanan)
23. Perlunya analisis resiko (cont’d)
• Memperkirakan aset mana yang rawan terhadap
ancaman
• Memperkirakan resiko apa yang akan terjadi
terhadap aset
• Menentukan solusi untuk mengatasi resiko
dengan penerapan sejumlah kendali
24. Pendekatan analisis resiko
• Kuantitatif: pendekatan nilai finansial
• Kualitatif: menggunakan tingkatan kualitatif
• Bisa dilakukan secara bersama atau terpisah
pertimbangan waktu dan biaya
25. Analisis resiko kuantitatif
• NILAI FINANSIAL
• Dapat dijabarkan dlm bentuk neraca, laporan
tahunan, analisis pasar dll
• Digunakan untuk mengestimasi dampak,
frekuensi, dan probabilitas
26. Annualized Loss Expectation
ALE = nilai aset x EF x ARO
• ALE: Annualized Loss Expectation (perkiraan
kerugian per tahun)
• EF: Exposure factor (persentase kehilangan
karena ancaman pada aset tertentu)
• ARO: Annualized Rate of Occurrence (perkiraan
frekuensi terjadinya ancaman per tahun)
27. Analisis resiko kualitatif
• Penilaian terhadap aset, ancaman, kemungkinan
dan dampak terjadinya resiko menggunakan
ranking atau tingkatan kualitatif
• Lebih sering digunakan daripada metode
kuantitatif
28. Pendekatan kualitatif lebih sering
digunakan
• Sulitnya melakukan kuantifikasi terhadap nilai
suatu aset (contoh: informasi)
• Sulitnya mendapatkan data statistik yang detail
mengenai kecelakaan komputer
• Buruknya pencatatan insiden komputer dalam
perusahaan (banyak hal [angka] sebenarnya bisa
diambil dari sejarah)
• Kesulitan dan mahalnya melakukan prediksi
masa depan
33. Mitigasi
• Pendekatan yang paling umum dilakukan
• Melibatkan:
▫ Penyusunan kendali untuk mengurangi dampak
resiko
▫ Kemampuan pengawasan untuk menjamin
analisis yang benar terhadap resiko
The most important element of any
risk management effort is managing
risk to an acceptable level
34. IT Security Risks Major Areas
• Asset protection: bagaimana kita menjamin
sumber daya organisasi tetap aman, hanya bisa
diakses oleh yang berhak untuk keperluan yang
benar?
• Service continuity: bagaimana kita
menjamin ketersediaan layanan -tanpa
penurunan kualitas- untuk pegawai, partner,
dan pelanggan?
• Compliance: bagaimana kita membuktikan
bahwa semua requirement dari regulasi telah
terpenuhi?