Pengantar pada Keamanan Informasi Antonius Cahya Prihandoko Sejarah Keamanan Informasi Keamanan Komputer berawal setelah mainframe pertama dibangun (World War II, code breaking) Kontrol fisik untuk membatasi akses terhadap lokasi-lokasi militer yang sensitive kepada personel yang berwenang Belum sempurna dalam bertahan melawan pencurian fisik, spionase dan sabotase 1960 – Advanced Research Project Agency (ARPA) mulai menguji kelayakan komunikasi jaringan yang berlebihan. Larry Robert membangun ARPANET dari awal ini. 1970 – 1980, Masalah fundamental pada keamanan ARPANET teridentifikasi: tidak ada prosedur yang aman untuk melakukan koneksi dengan ARPANET dan tidak ada identifikasi dan otorisasi user pada system. Akhir 1970 – Mikroprosesor memperluas kemampuan komputasi dan ancaman keamanan. Skop keamanan computer berkembang dari keamanan fisik hingga mencakup keamanan data, pembatasan akses acak yang tidak terotorisasi terhadap data, serta melibatkan personel dari berbagai level organisasi. Sejarah keamanan informasi (2) Fokus awal dari penelitian keamanan computer adalah sebuah system yang bernama Multiplexed Information and Computing Service (MULTICS) MULTICS merupakan system operasi pertama yang diciptakan dengan keamanan sebagai tujuan utamanya MULTICS merupakan sebuah mainframe, time-sharing OS yang dibangun pada pertengahan 1960 oleh General Electric (GE), Bell Labs, dan Massachusetts Institute of Technology (MIT) Beberapa pemain kunci MULTICS menciptakan UNIX, yang tujuan utamanya untuk text processing. 1990 – Jaringan computer menjadi lebih umum; demikian juga kebutuhan akan jaringan interkoneksi (Internet) Pada awal pengembangan Internet, keamanan diperlakukan sebagai prioritas rendah 2000 – sekarang, Internet membawa jutaan jaringan computer ke dalam komunikasi satu sama lain yang banyak diantaranya tidak aman Pertumbuhan ancaman serangan siber telah meningkatkan kebutuhan untuk keamanan yang lebih baik. Keamanan Kemanan adalah sebuah kualitas untuk bebas dari bahaya Sebuah organisasi yang sukses harus memiliki berbagai lapisan keamanan berikut: keamanan fisik, personil, operasi, komunikasi, jaringan, dan informasi. Keamanan fisik melindungi item, obyek, atau area dari akses tak terotorisasi dan salah penggunaan Keamanan personil ditujukan pada perlindungan individu atau grup yang berwenang untuk menjalankan sebuah organisasi Keamanan operasi melindungi detail dari sebuah operasi khusus atau rangkaian kegiatan Keamanan komunikasi mencakup perlindungan terhadap media, teknologi, dan isi komunikasi pada sebuah organisasi Keamanan jaringan melindungi komponen, koneksi, dan isi jaringan Keamanan Informasi melindungi confidentiality, integrity dan availability dari asset informasi baik dalam penyimpanan, pemrosesan, atau transmisi. Keamanan Informasi Untuk melindngi informasi dan system terkait maka diperlukan adanya kebijakan, kesadaran, pelatihan, pendidikan, dan teknologi. Segitiga CIA (confidentiality, integrity, availability) telah dipertimbangkan sebagai standar industry untuk keamanan computer Komponen keamana informasi Karakteristik Penting Informasi Availability memungkinkan user terotorisasi untuk mengakses informasi tanpa ganggunan atau halangan sesuai dengan yang diperlukan Accuracy; bebas dari kesalahan atau error dan bernilai sesuai harapan pengguna Authenticity; asli dan bukan sebuah reproduksi Confidentiality; terlindung dari penyingkapan kepada individu atau sisten yang tidak terotorisasi Integrity; utuh, lengkap dan tidak terkorupsi Utility; memiliki nilai untuk beberapa tujuan Possesion; kualitas kepemilikan atau kontrol Model Keamanan: McCumber Cube Komponen Sistem Informasi Sebuah Sistem Informasi adalah keseluruhan komponen yang diperlukan untuk menggunakan informasi sebagai sebuah sumber daya dalam perusahaan Keseimbangan Keamanan Informasi dan Akses Tidak mungkin untuk mendapatkan keamanan yang sempurna; ini merupakan sebuah proses, bukan absolut Kemanan harus mempertimbangkan keseimbangan Antara perlindungan dan availability Untuk keseimbangan, level keamanan harus memungkinkan akses yang proporsional, juga perlindungan terhadap ancaman Pendekatan Implementasi Keamanan Informasi Bottom-Up – keamanan dimulai dari usaha grassroots ketika administrator system berusaha untuk meningkatkan keamanan system mereka Top-Down – Diinisiasi oleh managemen yang menerbitkan kebijakan, prosedur dan proses, menetapkan tujuan dan mengharapkan luaran dari proyek Pendekatan top-down paling sukses menlibatkan strategi pengembangan formal yang disebut System Development Life Cycle (SDLC) SDLC SDLC adalah metodologi untuk mendesain dan mengimplementasikan system informasi dalam sebuah organisasi SDLC Waterfall Methodology Fase 1: Investigasi Investigasi masalah apa yang akan dipecahkan oleh system yang akan dibangun? Menspesifikasi tujuan, kendala, dan ruang lingkup Melaksanakan analisis cost-benefit awal Melakukan analisis kelayakan secara ekonomis, teknis, dan karakteristik proses. Fase 2: Analysis Mengassess organisasi, system sekarang, dan kelayakannya untuk mendukung system yang diajukan Menetapkan apa yang harus dikerjakan oleh system baru dan bagaimana system ini akan berinteraksi dengan system yang sudah ada Mendokumentasi temuan dan mengupdate analisis kelayakan Fase 3: Logical Design Faktor utama adalah kebutuhan bisnis menseleksi aplikasi yang mampu menyediakan layanan yang diperlukan Mengidentifikasi dukungan dan struktur data yang mampu menyediakan input yang diperlukan Menetapkan teknologi untuk mengimplementasikan solusi fisik Melaksanakan analisis kelayakan Fase 4: Physical Design Menseleksi teknologi untuk mendukung alternative yang diidentifikasi dan dievaluasi pada fase logical design Mengevaluasi komponen-komponen pada pembuatan keputusan Melaksanakan analisis kelayakan; seluruh solusi dipresentasikan pada perwakilan pengguna untuk persetujuan Fase 5: Implementation Membuat software yang diperlukan Mengurutkan dan menguji komponenkomponen Melatih pengguna dan mendokumentasikannya Menyiapkan analisis kelayakan: system dipresentasikan pada user untuk review kinerja dan uji penerimaan Fase 6: Maintainance and Change Fase yang paling mahal dan panjang Memuat tugas-tugas yang diperlukan untuk mendukung dan memodifikasi system pada sisa life cycle-nya Life cycle berlanjut sampai proses berawal lagi dengan fase investigasi Jika system yang sekarang tidak lagi bisa mendukung misi organisasi, sebuah proyek baru diimplementasikan Security System Development Life Cycle (SecSDLC) Fase yang sama yang digunakan pada SDLC tradisional dapat diadaptasi untuk mendukung implementasi sebuah proyek keamanan informasi Mengidentifikasi ancaman dan membangun control untuk mengkonternya SecSDLC lebih merupakan sebuah program yang koheren daripada sebuah rangkaian acak, yang tampak seperti aksi-aksi yang tak berkaitan Fase 1 SecSDLC: Invetigasi Mengidentifikasi proses, outcome, tujuan dan kendala dari proyek Berawal dengan Enterprise Information Security Policy (EISP), yang menguraikan implementasi program keamanan dalam organisasi; tanggung jawab masing-masing pihak diatur, permasalahan dianalisis, ruang lingkup dan tujuan proyek dan kendala yang tidak terkover policy program, didefinisikan Melaksanakan analisis kelayakan organisasi Fase 2 SecSDLC: Analysis Mempelajari dokumen-dokumen dari fase investigasi Menganalisa policy dan program keamanan yang ada, beserta ancaman dan kontrol yang didokumentasikan Melibatkan analisis terhadap masalah hukum yang dapat mempengaruhi desain solusi keamanan Tugas manajemen resiko dimulai Fase 3 SecSDLC: Logical Design Membuat dan mengembangkan blueprint untuk keamanan informasi Merencanakan respon terhadap insiden Continuity planning: bagaimana bisnis dilanjutkan jika terjadi kehilangan? Incident Response: Langkah apa yang diambil jika suatu serangan terjadi? Disaster recovery: Apa yang harus dilakukan untuk memulihkan informasi dan system penting secara cepat setelah terjadi bencana? Analisa kelayakan untuk menentukan apakah proyek dilanjutkan atau dihentikan? Fase 4 SecSDLC: Physical Design Mengevaluasi teknologi keamanan yang diperlukan, membangun alternative, dan memilih design final Studi kelayakan menetapkan kesiapan organisasi untuk proyek Fase 5 SecSDLC: Implementation Mendapatkan, menguji, mengimplementasi, dan menguji kembali solusi keamanan Mengevaluasi masalah personil; mengadakan program pendidikan dan latihan khusus Keseluruhan paket yang diuji dipresentasikan kepada management untuk persetujuan akhir Fase 6 SecSDLC: Maintenance and Change Fase yang mungkin paling penting, mengingat lingkungan ancaman yang selalu berubah Seringkali, memperbaiki kerusakan dan menyimpan ulang informasi merupakan duel constant dengan musuh yang tak terlihat Profil keamanan informasi sebuah organisasi membutuhkan adaptasi konstan sebab ancaman baru muncul dan ancaman lama hilang Profesional Keamanan dan Organisasi Berbagai macam professional diperlukan untuk mendukung program keamanan informasi yang beragam Manajemen senior merupakan komponen kunci Chief Information Officer (CIO), bertangungjawab sebagai penasehat executive senior untuk perencanaan strategis Chief Information Security Officer (CISO), bertanggungjawab untuk mengassess, mengatur dan mengimplementasikan keamanan informasi dalam organisasi, dan memberikan laporan pada CIO Tim Proyek Keamanan Informasi Champion, senior eksekutif yang mempromosikan proyek dan memastikan dukungan, baik secara finansial dan administrative, pada level tertinggi organisasi Team Leader, manajer proyek yang memahami manajemen proyek, manajemen personil, dan persyaratan teknis keamanan informasi Security policy developer, staf yang memahami budaya organisasi, kebijakan terkini, dan persyaratan pengembangan dan implementasi policy Risk management specialist, staf yang memahami teknik assessmenresiko finansial, nlai asset organisasi, dan metode keamanan yang digunakan Security professional, spesialis yang berdedikasi, terlatih dan terdidik pada semua aspek keamanan informasi System administrator, bertanggungjawab mengadministrasikan system End user, semua pihak dimana system berpengaruh langsung Data Responsibilities Data owner (pemilik data), bertanggungjawab untuk keamanan dan penggunaan sejumlah informasi Data custodian (pemelihara data), bertanggungjawab untuk penyimpanan, pemeliharaan, dan perlindungan informasi Data user (pengguna data), pengguna akhir yang bekerja dengan informasi untuk melaksanakan tugas harian mereka untuk mendukung misi organisasi. Keamanan Informasi: Seni atau Ilmu? Keamanan sebagai Seni Tidak ada aturan yang keras dan cepat atau banyak solusi lengkap yang diterima secara universal Tidak ada petunjuk untuk mengimplementasikan keamanan melalui keseluruhan sistem Keamanan sebagai Ilmu Berkaitan dengan teknologi yang didesain untuk beroperasi pada kinerja level tinggi Kondisi spesifik yang secara virtual menyebabkan semua aksi yang terjadi pada system kompter Hampir setiap kesalahan, lubang keamanan, dan malfungsi system merupakan hasil dari interaksi antara spesifik hardware dan software Jika pengembang memiliki waktu yang cukup, mereka dapat memecahkan dan mengeliminasi kesalahan tersebut Keamanan sebagai Ilmu Sosial Ilmu sosial menguji perilaku individu berinteraksi dengan system Kamanan berawal dan berakhir dengan orang yang berinteraksi dengan system Administrator keamanan dapat mengurangi resiko yang disebabkan oleh pengguna, dan membuat profil keamanan yang lebih diterima dan didukung Terima kasih