SlideShare a Scribd company logo

Snati2011 Penelitian cloud computing - nanang

Download as PPTX, PDF
Nanang Sasongko
Nanang Sasongko
1 of 24
PENGUJIAN TERHADAP SISTEM KEAMANAN TRANSAKSI BERBASIS SOFTWARE AS SERVICE (SaaS) MENGGUNAKAN FRAMEWORK NIST SP800-53A (STUDI KASUS PADA PT. X, DI BANDUNG) Nanang Sasongko 1
Agenda  Latar Belakang & Profil PT X  Sekilas SaaS & Cloud System  Identifikasi Masalah  Tujuan & Batasan  Objek Penelitian  Standard NIST ( SP800-53A)  Metodologi Pengamanan & Pengujian berbasis NIST  Proses Pengujian berbasis NIST SP800-53A  Simpulan Nanang Sasongko
Pendahuluan  Berdasarkan informasi yang diperoleh dari SDA ASIA dalam kurun waktu lima tahun ke depan, pasar analisa bisnis software-as-a service (SaaS), dikenal pula dengan istilah cloud system akan tumbuh tiga kali lipat hingga 2013. Menurut IDC, pasar SaaS di Asia Pasifik tahun ini meningkat cukup signifikan.  PT X sebagai penyedia jasa yang berbasis pada software as a service. Nanang Sasongko
Nanang Sasongko
Profil Perusahaan  PT. X mengembangkan bisnisnya sebagai penyedia jasa yang berbasis pada software as a service. Dalam software as a service, seluruh bisnis proses dan data pelanggan ditempatkan di sebuah server data centre milik service provider.  Semua proses dikelola oleh penyedia layanan, pelanggan dapat menggunakan dan membayar jasa sewanya setiap bulan sesuai dengan pemakaian. Sistem software as a service bagi perusahaan dapat menghemat pengeluaran biaya belanja TI. Nanang Sasongko
Segmentasi jaringan dilakukan pada jaringan PT.X. Firewall yang dipasang di PT. X membagi ke dalam 4 segmen, yang terdiri dari segmen-segmen : 1. Internal network, merupakan jaringan internal dari PT.X yang berisi komputer-komputer dari staf PT.X. 2. Eksternal network, merupakan jaringan eksternal dari PT.X yang terhubung dengan jaringan publik atau internet. 3. DMZ (Demilitary Zone), merupakan jaringan yang berisi server-server yang disediakan agar pengguna jaringan publik dapat mengakses layanan yang disediakan oleh PT.X. Salah satu layanan tersebut adalah berupa aplikasi perhotelan dan restoran yang merupakan aplikasi berbasis web dan dapat diakses oleh para pelanggan melalui internet. 4. Server farm, merupakan wilayah jaringan yang berisi server- server internal PT.X, seperti mail server, database server. Server-server ini tidak dapat diakses secara langsung melalui wilayah eksternal. Nanang Sasongko
Cloud Computing  Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12) 12 Nanang Sasongko
Jenis Layanan Cloud Computing  SaaS (Software as a Service) Aplikasi & Infrastruktur disediakan oleh provider.  PaaS (Platform as a service) Aplikasi dibuat oleh client tetapi di deploy ke sebuah cloud system.  IaaS (Infrastructure as a Service) Penyewaan infrastuktur jaringan (storage, server dsb) 13 Nanang Sasongko
Cloud Computing Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12) Nanang Sasongko
Framework NIST SP800-53A  NIST (National Institute Standards Technology) merupakan salah satu lembaga pemerintahan Amerika Serikat yang bekerja sama dengan badan-badan federal lainnya untuk meningkatkan pemahaman terhadap pelaksanaan FISMA (Federal Information Security Management Act) dalam melindungi informasi dan sistem informasi serta menerbitkan standar dan pedoman yang memberikan dasar untuk program keamanan informasi yang kuat. 16 Nanang Sasongko
NIST (National Institute Standards Technology)  NIST mengeluarkan dokumen SP800-53 (Special Publication)untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi federal maupun organisasi lainnya. Rekomendasi SP800-53 dibagi ke dalam  3 kelas kontrol,  18 bagian (family) 17 Nanang Sasongko
3 Kelas Kontrol  Rekomendasi SP800-53 dibagi ke dalam 3 kelompok kontrol :  Operational Control  mekanisme yang diterapkan  Management Control  manajemen SI & resiko  Technical Control  kontrol keamanan yg diterapkan 18 Nanang Sasongko
18 Bagian (family) Technical 1 Access Control 2 Audit and Accountability 3 Identification and Authentication 4 System and Communications Protection Operational 5 Awareness and Training 6 Configuration Management 7 Contingency Planning 8 System and Information Integrity Operational 9 Incident Response 10 Maintenance 11 Media Protection 12 Physical and Environmental Protection 13 Personnel Security Management 14 Security Assessment and Authorization Management 15 Program Management 16 Planning Management 17 Risk Assessment Management 18 System and Services Acquisition Management 19 Nanang Sasongko
NIST ( National Institute of Standards and Technology ) Nanang Sasongko
NIST SP800-53 & SP800-53A Pedoman dalam pengelolaan kontrol keamanan sistem informasi. Pedoman dalam pengujian terhadap pengelolaan kontrol keamanan sistem informasi. Nanang Sasongko
 Dalam penyediaan sistem layanan cloud computing memiliki beberapa problema dasar berkaitan dengan :  Data availability  Security & Privacy  Integrity, Confidentiality 22
 Dalam melakukan pengujian terhadap mekanisme sistem pengamanan yang diterapkan PT.X, penulis menggunakan standard NIST SP800-53A. Prosedur pengujian berdasarkan standard NIST SP800-53A, terdiri dari beberapa tahapan sebagai berikut : Nanang Sasongko
Tahapan ... 1. Persiapan untuk melakukan penilaian mekanisme pengamanan, 2. Membuat perencanaan terhadap kegiatan penilaian keamanan, dalam tahapan ini :  Jenis penilaian kontrol keamanan  Menentukan kontrol keamanan / perangkat kontrol tambahan yang harus dimasukkan dalam penilaian berdasarkan security plan dan tujuan / lingkup penilaian.  Memilih, menyesuaikan dan mengembangkan prosedur penilaian yang digunakan selama penilaian. Nanang Sasongko
Lanjutan...  Melakukan penilaian terhadap sistem pengamanan,  Puas (Satisfied (S)), yang mengindikasikan bahwa tujuan kontrol keamanan telah dipenuhi.  Selain puas (Other than satisfied (O)), menunjukkan bahwa kontrol keamanan memiliki potensi anomali dalam operasional organisasi atau pelaksanaan kontrol perlu ditangani oleh organisasi.  Mendokumentasikan hasil penilaian dalam bentuk laporan penilaian.  Melakukan analisa terhadap hasil laporan penilaian sistem pengamanan, berdasarkan indikator dari selain puas other than satisfied) dan puas (satisfied), Nanang Sasongko
Proses penilaian dilakukan melalui tahapan- tahapan berikut : 1. Mengkategorisasi Sistem Informasi, 2. Menentukan baseline kontrol keamanan, 3. Penerapan kontrol keamanan terhadap sistem informasi 4. Melakukan penilaian kontrol keamanan dengan menggunakan prosedur penilaian yang tepat Nanang Sasongko
Potensi Impact Potensi Deskripsi Dampak Hilangnya kerahasiaan, integritas, atau ketersediaan menyebabkan dampak buruk yang Low membatasi kegiatan operasional & aset organisasi atau individu. Hilangnya kerahasiaan, integritas, atau Moderate ketersediaan memiliki efek samping yang serius pada kegiatan operasional & aset organisasi atau individu. Hilangnya kerahasiaan, integritas, atau ketersediaan dapat memiliki dampak buruk High yang parah atau bencana pada kegiatan operasional & aset organisasi atau individu. Nanang Sasongko
Hasil Pengujian  Pada objek penelitian kelas operational controls, jumlah perolehan satisfy lebih banyak dari other satisfy,ini artinya opertion control sudah baik.  Pada management controls, jumlah perolehan satisfy lebih sedikit dari other satisfy,ini artinya opertion control sudah belum baik.  Dan pada technical controls jumlah perolehan satisfy hampir sama banyak dari other satisfy,ini artinya opertion control tidak terlalu baik. Nanang Sasongko
Simpulan 1. Pengujian kontrol keamanan yang menggunakan framework NIST SP800-53A sangat mengutamakan pemeriksaan terhadap ketersediaan dokumentasi. 2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT. PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol keamanan yang perlu ditingkatkan. 3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST SP800-53A terhadap aspek teknikal dan operasional sistem informasi hotel sudah memperoleh status satisfied tetapi masih terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan. Pengujian terhadap aspek manajemen sistem informasi hotel memperoleh status other than satisfied, sehingga masih banyak hal yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya. Nanang Sasongko
NANANG SASONGKO Kepala Pusat Studi Ekonomi Dosen Jurusan Akuntansi Fakultas Ekonomi Universitas Jenderal Achmad Yani (UNJANI) BANDUNG Mobile : 081 320 310 160 E-Mail : nanangs@bdg.centrin.net.id Nanang Sasongko

Recommended

Keamanan Komputer [Pengantar Keamanan Komputer]
Keamanan Komputer [Pengantar Keamanan Komputer]Keamanan Komputer [Pengantar Keamanan Komputer]
Keamanan Komputer [Pengantar Keamanan Komputer]Institut Teknologi Sepuluh Nopember Surabaya
 
Pertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiPertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiYolan Meiliana
 
Sister02
Sister02Sister02
Sister02Abbanae Dandim
 
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F
 
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Institut Teknologi Sepuluh Nopember Surabaya
 
Paper Tata kelola dan Audit Keamanan
Paper Tata kelola dan Audit KeamananPaper Tata kelola dan Audit Keamanan
Paper Tata kelola dan Audit KeamananGabbywidayat1
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Tugas Paper Audit Keamanan
Tugas Paper Audit KeamananTugas Paper Audit Keamanan
Tugas Paper Audit KeamananGabbywidayat1
 

Recommended

Keamanan Komputer [Pengantar Keamanan Komputer]
Keamanan Komputer [Pengantar Keamanan Komputer]Keamanan Komputer [Pengantar Keamanan Komputer]
Keamanan Komputer [Pengantar Keamanan Komputer]Institut Teknologi Sepuluh Nopember Surabaya
 
Pertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiPertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiYolan Meiliana
 
Sister02
Sister02Sister02
Sister02Abbanae Dandim
 
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...
Kriteria Evaluasi Keamanan Perangkat - Common criteria for dummies, Sistem Pe...Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F
 
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...
Perancangan SMKI Berdasarkan SNI ISO/IEC 27001:2013 dan SNI ISO/IEC 27005:201...Institut Teknologi Sepuluh Nopember Surabaya
 
Paper Tata kelola dan Audit Keamanan
Paper Tata kelola dan Audit KeamananPaper Tata kelola dan Audit Keamanan
Paper Tata kelola dan Audit KeamananGabbywidayat1
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Tugas Paper Audit Keamanan
Tugas Paper Audit KeamananTugas Paper Audit Keamanan
Tugas Paper Audit KeamananGabbywidayat1
 
Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)Fathoni Mahardika II
 
Rekayasa sistem
Rekayasa sistemRekayasa sistem
Rekayasa sistemarfianti
 
Pert 2 rekayasa sistem
Pert 2 rekayasa sistemPert 2 rekayasa sistem
Pert 2 rekayasa sistemMalazan GaleriPOS
 
Sistem Penunjang Keputusan [Pengantar]
Sistem Penunjang Keputusan [Pengantar]Sistem Penunjang Keputusan [Pengantar]
Sistem Penunjang Keputusan [Pengantar]Institut Teknologi Sepuluh Nopember Surabaya
 
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017direktoratkaminfo
 
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...sigit widiatmoko
 
Sosialisasi Aplikasi Indeks KAMI-Intan Rahayu
Sosialisasi Aplikasi Indeks KAMI-Intan RahayuSosialisasi Aplikasi Indeks KAMI-Intan Rahayu
Sosialisasi Aplikasi Indeks KAMI-Intan RahayuDirectorate of Information Security | Ditjen Aptika
 
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptxINVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptxTamaOlan1
 
Uas si libre
Uas si libreUas si libre
Uas si libreSri Widodo
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Apriani Suci
 
Tugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi KelayakanTugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi KelayakanRaden Kusuma
 
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internalSi-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internalDanielwatloly18
 
Proposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko KeamananProposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko KeamananPutriAprilliandini
 
Aplikasi komputer akuntansi
Aplikasi komputer akuntansiAplikasi komputer akuntansi
Aplikasi komputer akuntansiArief Diaz
 
Studi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 TrenggalekStudi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 Trenggalekalek fatman
 
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptxNita235646
 
Bab 9 keamanan informasi
Bab 9 keamanan informasiBab 9 keamanan informasi
Bab 9 keamanan informasiFadlichi
 
Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxslametarrokhim1
 
Feasibility study
Feasibility studyFeasibility study
Feasibility studyDhafaHikmawan
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 direktoratkaminfo
 
Didiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa IndonesiaDidiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa IndonesiaDidiet Kusumadihardja
 

More Related Content

What's hot

Rekayasa sistem
Rekayasa sistemRekayasa sistem
Rekayasa sistemarfianti
 
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017direktoratkaminfo
 
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...sigit widiatmoko
 

What's hot (6)

Keamanan si (ugm)
Keamanan si (ugm)Keamanan si (ugm)
Keamanan si (ugm)
 
Rekayasa sistem
Rekayasa sistemRekayasa sistem
Rekayasa sistem
 
Pert 2 rekayasa sistem
Pert 2 rekayasa sistemPert 2 rekayasa sistem
Pert 2 rekayasa sistem
 
Sistem Penunjang Keputusan [Pengantar]
Sistem Penunjang Keputusan [Pengantar]Sistem Penunjang Keputusan [Pengantar]
Sistem Penunjang Keputusan [Pengantar]
 
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
Materi IV Sosialisasi Permen SMPI Yogya 24 Mei 2017
 
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
Si pi, sigit widiatmoko, hapzi ali , implementasi sistem informasi dan pengen...
 

Similar to Snati2011 Penelitian cloud computing - nanang

INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptxINVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptxTamaOlan1
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Apriani Suci
 
Tugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi KelayakanTugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi KelayakanRaden Kusuma
 
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internalSi-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internalDanielwatloly18
 
Proposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko KeamananProposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko KeamananPutriAprilliandini
 
Aplikasi komputer akuntansi
Aplikasi komputer akuntansiAplikasi komputer akuntansi
Aplikasi komputer akuntansiArief Diaz
 
Studi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 TrenggalekStudi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 Trenggalekalek fatman
 
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptxNita235646
 
Bab 9 keamanan informasi
Bab 9 keamanan informasiBab 9 keamanan informasi
Bab 9 keamanan informasiFadlichi
 
Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxslametarrokhim1
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 direktoratkaminfo
 
Didiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa IndonesiaDidiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa IndonesiaDidiet Kusumadihardja
 
5-171004062344.pdf
5-171004062344.pdf5-171004062344.pdf
5-171004062344.pdfabysugara3
 
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017direktoratkaminfo
 

Similar to Snati2011 Penelitian cloud computing - nanang (20)

Sosialisasi Aplikasi Indeks KAMI-Intan Rahayu
Sosialisasi Aplikasi Indeks KAMI-Intan RahayuSosialisasi Aplikasi Indeks KAMI-Intan Rahayu
Sosialisasi Aplikasi Indeks KAMI-Intan Rahayu
 
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptxINVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
INVESTASI KEAMANAN SISTEM INFORMASI PADA VIRTUAL PRIVATE CLOUD - SIDANG.pptx
 
Uas si libre
Uas si libreUas si libre
Uas si libre
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
 
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.
 
Tugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi KelayakanTugas 6 - MPPL - Studi Kelayakan
Tugas 6 - MPPL - Studi Kelayakan
 
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internalSi-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
Si-pi, Daniel Watloly, Hapzi Ali, komsep dasar pengendalian internal
 
Proposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko KeamananProposal KAK Sistem Informasi Posko Keamanan
Proposal KAK Sistem Informasi Posko Keamanan
 
Aplikasi komputer akuntansi
Aplikasi komputer akuntansiAplikasi komputer akuntansi
Aplikasi komputer akuntansi
 
Studi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 TrenggalekStudi kelayakan SIAP pada SMAN 1 Trenggalek
Studi kelayakan SIAP pada SMAN 1 Trenggalek
 
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
1689837948687_Materi_6_Pengendalian_SIA_Berbasis_Komputer.pptx
 
Bab 9 keamanan informasi
Bab 9 keamanan informasiBab 9 keamanan informasi
Bab 9 keamanan informasi
 
Building Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptxBuilding Cybersecurity Lifecycle.pptx
Building Cybersecurity Lifecycle.pptx
 
Feasibility study
Feasibility studyFeasibility study
Feasibility study
 
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017 Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
 
Didiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa IndonesiaDidiet Cyber Security Consultant Portfolio - Bahasa Indonesia
Didiet Cyber Security Consultant Portfolio - Bahasa Indonesia
 
5-171004062344.pdf
5-171004062344.pdf5-171004062344.pdf
5-171004062344.pdf
 
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017
Materi V Sosialisasi Permen SMPI Serpong 4 Oktober 2017
 
Bab 9 teori
Bab 9 teoriBab 9 teori
Bab 9 teori
 
Bab 9 teori
Bab 9 teoriBab 9 teori
Bab 9 teori
 

Snati2011 Penelitian cloud computing - nanang

  • 1. PENGUJIAN TERHADAP SISTEM KEAMANAN TRANSAKSI BERBASIS SOFTWARE AS SERVICE (SaaS) MENGGUNAKAN FRAMEWORK NIST SP800-53A (STUDI KASUS PADA PT. X, DI BANDUNG) Nanang Sasongko 1
  • 2. Agenda  Latar Belakang & Profil PT X  Sekilas SaaS & Cloud System  Identifikasi Masalah  Tujuan & Batasan  Objek Penelitian  Standard NIST ( SP800-53A)  Metodologi Pengamanan & Pengujian berbasis NIST  Proses Pengujian berbasis NIST SP800-53A  Simpulan Nanang Sasongko
  • 3. Pendahuluan  Berdasarkan informasi yang diperoleh dari SDA ASIA dalam kurun waktu lima tahun ke depan, pasar analisa bisnis software-as-a service (SaaS), dikenal pula dengan istilah cloud system akan tumbuh tiga kali lipat hingga 2013. Menurut IDC, pasar SaaS di Asia Pasifik tahun ini meningkat cukup signifikan.  PT X sebagai penyedia jasa yang berbasis pada software as a service. Nanang Sasongko
  • 5. Profil Perusahaan  PT. X mengembangkan bisnisnya sebagai penyedia jasa yang berbasis pada software as a service. Dalam software as a service, seluruh bisnis proses dan data pelanggan ditempatkan di sebuah server data centre milik service provider.  Semua proses dikelola oleh penyedia layanan, pelanggan dapat menggunakan dan membayar jasa sewanya setiap bulan sesuai dengan pemakaian. Sistem software as a service bagi perusahaan dapat menghemat pengeluaran biaya belanja TI. Nanang Sasongko
  • 6. Segmentasi jaringan dilakukan pada jaringan PT.X. Firewall yang dipasang di PT. X membagi ke dalam 4 segmen, yang terdiri dari segmen-segmen : 1. Internal network, merupakan jaringan internal dari PT.X yang berisi komputer-komputer dari staf PT.X. 2. Eksternal network, merupakan jaringan eksternal dari PT.X yang terhubung dengan jaringan publik atau internet. 3. DMZ (Demilitary Zone), merupakan jaringan yang berisi server-server yang disediakan agar pengguna jaringan publik dapat mengakses layanan yang disediakan oleh PT.X. Salah satu layanan tersebut adalah berupa aplikasi perhotelan dan restoran yang merupakan aplikasi berbasis web dan dapat diakses oleh para pelanggan melalui internet. 4. Server farm, merupakan wilayah jaringan yang berisi server- server internal PT.X, seperti mail server, database server. Server-server ini tidak dapat diakses secara langsung melalui wilayah eksternal. Nanang Sasongko
  • 7. Cloud Computing  Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12) 12 Nanang Sasongko
  • 8. Jenis Layanan Cloud Computing  SaaS (Software as a Service) Aplikasi & Infrastruktur disediakan oleh provider.  PaaS (Platform as a service) Aplikasi dibuat oleh client tetapi di deploy ke sebuah cloud system.  IaaS (Infrastructure as a Service) Penyewaan infrastuktur jaringan (storage, server dsb) 13 Nanang Sasongko
  • 9. Cloud Computing Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12) Nanang Sasongko
  • 10. Framework NIST SP800-53A  NIST (National Institute Standards Technology) merupakan salah satu lembaga pemerintahan Amerika Serikat yang bekerja sama dengan badan-badan federal lainnya untuk meningkatkan pemahaman terhadap pelaksanaan FISMA (Federal Information Security Management Act) dalam melindungi informasi dan sistem informasi serta menerbitkan standar dan pedoman yang memberikan dasar untuk program keamanan informasi yang kuat. 16 Nanang Sasongko
  • 11. NIST (National Institute Standards Technology)  NIST mengeluarkan dokumen SP800-53 (Special Publication)untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi federal maupun organisasi lainnya. Rekomendasi SP800-53 dibagi ke dalam  3 kelas kontrol,  18 bagian (family) 17 Nanang Sasongko
  • 12. 3 Kelas Kontrol  Rekomendasi SP800-53 dibagi ke dalam 3 kelompok kontrol :  Operational Control  mekanisme yang diterapkan  Management Control  manajemen SI & resiko  Technical Control  kontrol keamanan yg diterapkan 18 Nanang Sasongko
  • 13. 18 Bagian (family) Technical 1 Access Control 2 Audit and Accountability 3 Identification and Authentication 4 System and Communications Protection Operational 5 Awareness and Training 6 Configuration Management 7 Contingency Planning 8 System and Information Integrity Operational 9 Incident Response 10 Maintenance 11 Media Protection 12 Physical and Environmental Protection 13 Personnel Security Management 14 Security Assessment and Authorization Management 15 Program Management 16 Planning Management 17 Risk Assessment Management 18 System and Services Acquisition Management 19 Nanang Sasongko
  • 14. NIST ( National Institute of Standards and Technology ) Nanang Sasongko
  • 15. NIST SP800-53 & SP800-53A Pedoman dalam pengelolaan kontrol keamanan sistem informasi. Pedoman dalam pengujian terhadap pengelolaan kontrol keamanan sistem informasi. Nanang Sasongko
  • 16.  Dalam penyediaan sistem layanan cloud computing memiliki beberapa problema dasar berkaitan dengan :  Data availability  Security & Privacy  Integrity, Confidentiality 22
  • 17.  Dalam melakukan pengujian terhadap mekanisme sistem pengamanan yang diterapkan PT.X, penulis menggunakan standard NIST SP800-53A. Prosedur pengujian berdasarkan standard NIST SP800-53A, terdiri dari beberapa tahapan sebagai berikut : Nanang Sasongko
  • 18. Tahapan ... 1. Persiapan untuk melakukan penilaian mekanisme pengamanan, 2. Membuat perencanaan terhadap kegiatan penilaian keamanan, dalam tahapan ini :  Jenis penilaian kontrol keamanan  Menentukan kontrol keamanan / perangkat kontrol tambahan yang harus dimasukkan dalam penilaian berdasarkan security plan dan tujuan / lingkup penilaian.  Memilih, menyesuaikan dan mengembangkan prosedur penilaian yang digunakan selama penilaian. Nanang Sasongko
  • 19. Lanjutan...  Melakukan penilaian terhadap sistem pengamanan,  Puas (Satisfied (S)), yang mengindikasikan bahwa tujuan kontrol keamanan telah dipenuhi.  Selain puas (Other than satisfied (O)), menunjukkan bahwa kontrol keamanan memiliki potensi anomali dalam operasional organisasi atau pelaksanaan kontrol perlu ditangani oleh organisasi.  Mendokumentasikan hasil penilaian dalam bentuk laporan penilaian.  Melakukan analisa terhadap hasil laporan penilaian sistem pengamanan, berdasarkan indikator dari selain puas other than satisfied) dan puas (satisfied), Nanang Sasongko
  • 20. Proses penilaian dilakukan melalui tahapan- tahapan berikut : 1. Mengkategorisasi Sistem Informasi, 2. Menentukan baseline kontrol keamanan, 3. Penerapan kontrol keamanan terhadap sistem informasi 4. Melakukan penilaian kontrol keamanan dengan menggunakan prosedur penilaian yang tepat Nanang Sasongko
  • 21. Potensi Impact Potensi Deskripsi Dampak Hilangnya kerahasiaan, integritas, atau ketersediaan menyebabkan dampak buruk yang Low membatasi kegiatan operasional & aset organisasi atau individu. Hilangnya kerahasiaan, integritas, atau Moderate ketersediaan memiliki efek samping yang serius pada kegiatan operasional & aset organisasi atau individu. Hilangnya kerahasiaan, integritas, atau ketersediaan dapat memiliki dampak buruk High yang parah atau bencana pada kegiatan operasional & aset organisasi atau individu. Nanang Sasongko
  • 22. Hasil Pengujian  Pada objek penelitian kelas operational controls, jumlah perolehan satisfy lebih banyak dari other satisfy,ini artinya opertion control sudah baik.  Pada management controls, jumlah perolehan satisfy lebih sedikit dari other satisfy,ini artinya opertion control sudah belum baik.  Dan pada technical controls jumlah perolehan satisfy hampir sama banyak dari other satisfy,ini artinya opertion control tidak terlalu baik. Nanang Sasongko
  • 23. Simpulan 1. Pengujian kontrol keamanan yang menggunakan framework NIST SP800-53A sangat mengutamakan pemeriksaan terhadap ketersediaan dokumentasi. 2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT. PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol keamanan yang perlu ditingkatkan. 3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST SP800-53A terhadap aspek teknikal dan operasional sistem informasi hotel sudah memperoleh status satisfied tetapi masih terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan. Pengujian terhadap aspek manajemen sistem informasi hotel memperoleh status other than satisfied, sehingga masih banyak hal yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya. Nanang Sasongko
  • 24. NANANG SASONGKO Kepala Pusat Studi Ekonomi Dosen Jurusan Akuntansi Fakultas Ekonomi Universitas Jenderal Achmad Yani (UNJANI) BANDUNG Mobile : 081 320 310 160 E-Mail : nanangs@bdg.centrin.net.id Nanang Sasongko

Editor's Notes

  1. Salesforce.comTelkom Siap-online
  2. PT BSS merupakan perusahaan penyedia jasa perangkat lunak, berdiri pada bulan Agustus 2009, berlokasi di Bandung. Salah satu layanan unik dari BSS adalah layanaan SaaS (Software as a Service).Layanan SaaS sistem aplikasi perhotelan dan restoran.
  3. Reservation ManagementReservationAvailability ManagementOccupancy ManagementInternet ReservationProperty ManagementProperty ProfileRates & Deposit ManagementDoor Lock ControlHousekeepingClient Relationship Management Client Profile & Database AdministrationClient Grouping & StatusesStaff Activity & Task ManagementTime & Attendance (finger scan)PayrollClient Communication ManagementMembership ManagerTelephone Call Costing & Control AdministrationBillingReportingShopkeeper Retail Shop & Superette Point of SalesRestaurant & Bar Point of SalesService SchedullingConferencing, Events & Banqueting ManagementActivity Manager (Game Drives, Tours, Flights)Membership ManagementAsset & Maintenance Management RegisterMaintenanceFinancial Management General LedgerCashbookAccount Receivable & Account Payable ManagementTransaction ProcessingInventory Management (Stock, Recipes, F & B)Procurement & PurchasingCashieringCommission Handling Payment ProcessingPayment ActivityReports Manager
  4. Istilahcloudmengacupadailustrasi Internet yang menggambarkanremote environmentdanpenyembunyiankompleksitas.
  5. NIST mengeluarkan dokumen SP800-53 untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi pemerintah maupun organisasi swasta lainnya.
  6. Low  matinya layanan wirelessMod  session lock  salah password 3 kali terkunciHigh  harddisk rusak