Uploaded by sojod33681

01-Pengantar pada Keamanan Informasi

advertisement
Pengantar pada
Keamanan Informasi
Antonius Cahya Prihandoko
Sejarah Keamanan Informasi
 Keamanan Komputer berawal setelah mainframe pertama dibangun
(World War II, code breaking)
 Kontrol fisik untuk membatasi akses terhadap lokasi-lokasi militer yang
sensitive kepada personel yang berwenang
 Belum sempurna dalam bertahan melawan pencurian fisik, spionase dan
sabotase
 1960 – Advanced Research Project Agency (ARPA) mulai menguji
kelayakan komunikasi jaringan yang berlebihan. Larry Robert membangun
ARPANET dari awal ini.
 1970 – 1980, Masalah fundamental pada keamanan ARPANET
teridentifikasi: tidak ada prosedur yang aman untuk melakukan koneksi
dengan ARPANET dan tidak ada identifikasi dan otorisasi user pada system.
 Akhir 1970 – Mikroprosesor memperluas kemampuan komputasi dan
ancaman keamanan. Skop keamanan computer berkembang dari
keamanan fisik hingga mencakup keamanan data, pembatasan akses
acak yang tidak terotorisasi terhadap data, serta melibatkan personel dari
berbagai level organisasi.
Sejarah keamanan informasi (2)
 Fokus awal dari penelitian keamanan computer adalah sebuah system
yang bernama Multiplexed Information and Computing Service (MULTICS)
 MULTICS merupakan system operasi pertama yang diciptakan dengan
keamanan sebagai tujuan utamanya
 MULTICS merupakan sebuah mainframe, time-sharing OS yang dibangun
pada pertengahan 1960 oleh General Electric (GE), Bell Labs, dan
Massachusetts Institute of Technology (MIT)
 Beberapa pemain kunci MULTICS menciptakan UNIX, yang tujuan
utamanya untuk text processing.
 1990 – Jaringan computer menjadi lebih umum; demikian juga kebutuhan
akan jaringan interkoneksi (Internet)
 Pada awal pengembangan Internet, keamanan diperlakukan sebagai
prioritas rendah
 2000 – sekarang, Internet membawa jutaan jaringan computer ke dalam
komunikasi satu sama lain yang banyak diantaranya tidak aman
 Pertumbuhan ancaman serangan siber telah meningkatkan kebutuhan
untuk keamanan yang lebih baik.
Keamanan
 Kemanan adalah sebuah kualitas untuk bebas dari bahaya
 Sebuah organisasi yang sukses harus memiliki berbagai lapisan keamanan
berikut: keamanan fisik, personil, operasi, komunikasi, jaringan, dan
informasi.
 Keamanan fisik melindungi item, obyek, atau area dari akses tak terotorisasi
dan salah penggunaan
 Keamanan personil ditujukan pada perlindungan individu atau grup yang
berwenang untuk menjalankan sebuah organisasi
 Keamanan operasi melindungi detail dari sebuah operasi khusus atau
rangkaian kegiatan
 Keamanan komunikasi mencakup perlindungan terhadap media,
teknologi, dan isi komunikasi pada sebuah organisasi
 Keamanan jaringan melindungi komponen, koneksi, dan isi jaringan
 Keamanan Informasi melindungi confidentiality, integrity dan availability
dari asset informasi baik dalam penyimpanan, pemrosesan, atau transmisi.
Keamanan Informasi
 Untuk melindngi informasi dan system terkait maka diperlukan adanya
kebijakan, kesadaran, pelatihan, pendidikan, dan teknologi.
 Segitiga CIA (confidentiality, integrity, availability) telah dipertimbangkan
sebagai standar industry untuk keamanan computer
Komponen keamana informasi
Karakteristik Penting Informasi
 Availability memungkinkan user terotorisasi untuk mengakses informasi
tanpa ganggunan atau halangan sesuai dengan yang diperlukan
 Accuracy; bebas dari kesalahan atau error dan bernilai sesuai harapan
pengguna
 Authenticity; asli dan bukan sebuah reproduksi
 Confidentiality; terlindung dari penyingkapan kepada individu atau sisten
yang tidak terotorisasi
 Integrity; utuh, lengkap dan tidak terkorupsi
 Utility; memiliki nilai untuk beberapa tujuan
 Possesion; kualitas kepemilikan atau kontrol
Model Keamanan: McCumber Cube
Komponen Sistem Informasi
 Sebuah Sistem Informasi adalah keseluruhan komponen yang diperlukan
untuk menggunakan informasi sebagai sebuah sumber daya dalam
perusahaan
Keseimbangan Keamanan Informasi
dan Akses
 Tidak mungkin untuk mendapatkan keamanan yang sempurna; ini merupakan sebuah
proses, bukan absolut
 Kemanan harus mempertimbangkan keseimbangan Antara perlindungan dan availability
 Untuk keseimbangan, level keamanan harus memungkinkan akses yang proporsional,
juga perlindungan terhadap ancaman
Pendekatan Implementasi Keamanan Informasi
 Bottom-Up – keamanan dimulai dari usaha grassroots ketika administrator
system berusaha untuk meningkatkan keamanan system mereka
 Top-Down – Diinisiasi oleh managemen yang menerbitkan kebijakan, prosedur
dan proses, menetapkan tujuan dan mengharapkan luaran dari proyek
 Pendekatan top-down paling sukses menlibatkan strategi pengembangan
formal yang disebut System Development Life Cycle (SDLC)
SDLC
 SDLC adalah metodologi untuk mendesain dan mengimplementasikan
system informasi dalam sebuah organisasi
SDLC Waterfall Methodology
Fase 1: Investigasi
Investigasi masalah apa yang akan dipecahkan
oleh system yang akan dibangun?
Menspesifikasi tujuan, kendala, dan ruang
lingkup
Melaksanakan analisis cost-benefit awal
Melakukan analisis kelayakan secara ekonomis,
teknis, dan karakteristik proses.
Fase 2: Analysis
Mengassess organisasi, system sekarang, dan
kelayakannya untuk mendukung system yang
diajukan
Menetapkan apa yang harus dikerjakan oleh
system baru dan bagaimana system ini akan
berinteraksi dengan system yang sudah ada
Mendokumentasi temuan dan mengupdate
analisis kelayakan
Fase 3: Logical Design
Faktor utama adalah kebutuhan bisnis 
menseleksi aplikasi yang mampu menyediakan
layanan yang diperlukan
Mengidentifikasi dukungan dan struktur data
yang mampu menyediakan input yang
diperlukan
Menetapkan teknologi untuk
mengimplementasikan solusi fisik
Melaksanakan analisis kelayakan
Fase 4: Physical Design
Menseleksi teknologi untuk mendukung
alternative yang diidentifikasi dan dievaluasi
pada fase logical design
Mengevaluasi komponen-komponen pada
pembuatan keputusan
Melaksanakan analisis kelayakan; seluruh solusi
dipresentasikan pada perwakilan pengguna
untuk persetujuan
Fase 5: Implementation
Membuat software yang diperlukan
Mengurutkan dan menguji komponenkomponen
Melatih pengguna dan
mendokumentasikannya
Menyiapkan analisis kelayakan: system
dipresentasikan pada user untuk review kinerja
dan uji penerimaan
Fase 6: Maintainance and Change
Fase yang paling mahal dan panjang
Memuat tugas-tugas yang diperlukan untuk
mendukung dan memodifikasi system pada sisa
life cycle-nya
Life cycle berlanjut sampai proses berawal lagi
dengan fase investigasi
Jika system yang sekarang tidak lagi bisa
mendukung misi organisasi, sebuah proyek baru
diimplementasikan
Security System Development Life
Cycle (SecSDLC)
Fase yang sama yang digunakan pada SDLC
tradisional dapat diadaptasi untuk mendukung
implementasi sebuah proyek keamanan
informasi
Mengidentifikasi ancaman dan membangun
control untuk mengkonternya
SecSDLC lebih merupakan sebuah program
yang koheren daripada sebuah rangkaian
acak, yang tampak seperti aksi-aksi yang tak
berkaitan
Fase 1 SecSDLC: Invetigasi
Mengidentifikasi proses, outcome, tujuan dan
kendala dari proyek
Berawal dengan Enterprise Information Security
Policy (EISP), yang menguraikan implementasi
program keamanan dalam organisasi;
tanggung jawab masing-masing pihak diatur,
permasalahan dianalisis, ruang lingkup dan
tujuan proyek dan kendala yang tidak terkover
policy program, didefinisikan
Melaksanakan analisis kelayakan organisasi
Fase 2 SecSDLC: Analysis
Mempelajari dokumen-dokumen dari fase
investigasi
Menganalisa policy dan program keamanan
yang ada, beserta ancaman dan kontrol yang
didokumentasikan
Melibatkan analisis terhadap masalah hukum
yang dapat mempengaruhi desain solusi
keamanan
Tugas manajemen resiko dimulai
Fase 3 SecSDLC: Logical Design
 Membuat dan mengembangkan blueprint untuk
keamanan informasi
 Merencanakan respon terhadap insiden
 Continuity planning: bagaimana bisnis dilanjutkan jika
terjadi kehilangan?
 Incident Response: Langkah apa yang diambil jika
suatu serangan terjadi?
 Disaster recovery: Apa yang harus dilakukan untuk
memulihkan informasi dan system penting secara
cepat setelah terjadi bencana?
 Analisa kelayakan untuk menentukan apakah proyek
dilanjutkan atau dihentikan?
Fase 4 SecSDLC: Physical Design
Mengevaluasi teknologi keamanan yang
diperlukan, membangun alternative, dan
memilih design final
Studi kelayakan menetapkan kesiapan
organisasi untuk proyek
Fase 5 SecSDLC: Implementation
Mendapatkan, menguji, mengimplementasi,
dan menguji kembali solusi keamanan
Mengevaluasi masalah personil; mengadakan
program pendidikan dan latihan khusus
Keseluruhan paket yang diuji dipresentasikan
kepada management untuk persetujuan akhir
Fase 6 SecSDLC: Maintenance and
Change
Fase yang mungkin paling penting, mengingat
lingkungan ancaman yang selalu berubah
Seringkali, memperbaiki kerusakan dan
menyimpan ulang informasi merupakan duel
constant dengan musuh yang tak terlihat
Profil keamanan informasi sebuah organisasi
membutuhkan adaptasi konstan sebab
ancaman baru muncul dan ancaman lama
hilang
Profesional Keamanan dan Organisasi
 Berbagai macam professional diperlukan untuk
mendukung program keamanan informasi yang
beragam
 Manajemen senior merupakan komponen kunci
 Chief Information Officer (CIO), bertangungjawab
sebagai penasehat executive senior untuk
perencanaan strategis
 Chief Information Security Officer (CISO),
bertanggungjawab untuk mengassess, mengatur dan
mengimplementasikan keamanan informasi dalam
organisasi, dan memberikan laporan pada CIO
Tim Proyek Keamanan Informasi
 Champion, senior eksekutif yang mempromosikan proyek dan memastikan
dukungan, baik secara finansial dan administrative, pada level tertinggi
organisasi
 Team Leader, manajer proyek yang memahami manajemen proyek,
manajemen personil, dan persyaratan teknis keamanan informasi
 Security policy developer, staf yang memahami budaya organisasi,
kebijakan terkini, dan persyaratan pengembangan dan implementasi
policy
 Risk management specialist, staf yang memahami teknik assessmenresiko
finansial, nlai asset organisasi, dan metode keamanan yang digunakan
 Security professional, spesialis yang berdedikasi, terlatih dan terdidik pada
semua aspek keamanan informasi
 System administrator, bertanggungjawab mengadministrasikan system
 End user, semua pihak dimana system berpengaruh langsung
Data Responsibilities
Data owner (pemilik data), bertanggungjawab
untuk keamanan dan penggunaan sejumlah
informasi
Data custodian (pemelihara data),
bertanggungjawab untuk penyimpanan,
pemeliharaan, dan perlindungan informasi
Data user (pengguna data), pengguna akhir
yang bekerja dengan informasi untuk
melaksanakan tugas harian mereka untuk
mendukung misi organisasi.
Keamanan Informasi: Seni atau Ilmu?
Keamanan sebagai Seni
Tidak ada aturan yang keras dan cepat atau
banyak solusi lengkap yang diterima secara
universal
Tidak ada petunjuk untuk
mengimplementasikan keamanan melalui
keseluruhan sistem
Keamanan sebagai Ilmu
 Berkaitan dengan teknologi yang didesain untuk
beroperasi pada kinerja level tinggi
 Kondisi spesifik yang secara virtual menyebabkan
semua aksi yang terjadi pada system kompter
 Hampir setiap kesalahan, lubang keamanan, dan
malfungsi system merupakan hasil dari interaksi antara
spesifik hardware dan software
 Jika pengembang memiliki waktu yang cukup, mereka
dapat memecahkan dan mengeliminasi kesalahan
tersebut
Keamanan sebagai Ilmu Sosial
Ilmu sosial menguji perilaku individu berinteraksi
dengan system
Kamanan berawal dan berakhir dengan orang
yang berinteraksi dengan system
Administrator keamanan dapat mengurangi
resiko yang disebabkan oleh pengguna, dan
membuat profil keamanan yang lebih diterima
dan didukung
Terima kasih
Download