1 / 46

BAB 9

BAB 9. KEAMANAN INFORMASI. Nama anggota ; IIE KURNIASIH (021110044) SITI NUR’ AINI(021110002) YULANDA(021110042).

latoya
Download Presentation

BAB 9

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. BAB 9 KEAMANAN INFORMASI

  2. Namaanggota ; • IIE KURNIASIH (021110044) • SITI NUR’ AINI(021110002) • YULANDA(021110042)

  3. Tujuanbelajarsetelahmempelajaribabinidiharapkan :1. memahamikebutuhanorganisasiakankeamanandanpengendalian2. memahamibahwakeamananinformasiberkaitandengankeamanansemuasumberdayainformasi,bukanhanyaperantikerasdan data3. memahamitigatujuanutamakeamananinformasi

  4. 4. Memahamibahwamanajemenkeamananinformasiterdiridari 2 area : manajemenkeamananinformasidanmanajemenkeberlangsunganbisnis5. melihathubungan yang logisantaraancaman,risiko,danpengendalian6. memahamiapasajaancamankeamanan yang utama7. memahamiapasajarisikokeamanan yang utama8. memahamiberbagaikekhawatirankeamanane-commercedanbagaimanaperusahaan-perusahaankartukreditmengatasinya

  5. 8. Mengenalicara formal melakukanmanajemenrisiko9. mengetahuiprosesimplementasikebijakankeamananinformasi10. mengenalicara-carapengendaliankeamanan yang populer11. mengetahuitindakan-tindakanpemerintahdankalanganindustri yang memengaruhikeamananinformasi12. mengetahuicaramendapatkansertifikasiprofesionaldalamkeamanandanpengendalian13. mengetahuijenis-jenisrencana yang termasukdalamperencanaankontinjensi

  6. PENDAHULUANsemuaorganisasimemilikikebutuhanuntukmenjaga agar sumberdayainformasimerekaaman. Kalanganindustritelah lama menyadarikebutuhanuntukmenjagakemananandariparakriminalkomputer, dansekarangpemerintahtelahmempertinggitingkatkeamanansebagaisalahsatucarauntukmemerangiterorisme. Ketikaorganisasi-organisasiinimengimplementasikanpengendaliankeamanan versus ketersediaansertakeamanan versus hakpribadiharusdiatasi.

  7. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIANdalamduniamasakini, banyakorganisasisemakinsadarakanpentingnyamenjagaseluruhsumberdayamereka,baik yang bersifat virtual maupunfisik, agar amandariancamanbaikdalammaupunluar. Sistemkomputer yang pertamahanyamemilikisedikitperlindungankeamanan, namunhaliniberubahsaatperangvietnamketikasejumlahinstalasikomputerdirusakolehparapemrotes

  8. Pemerintah federal amerikaserikatsekarangmenerapkanpencegahandanpengendalian yang serupa,melaluiotoritaspatriot act ( undang-undang patriot ) danoffice of homeland security ( dinaskeamanandalamnegeri ). Pendekatan-pendekatan yang dimulaiolehkalanganindustridicontohdandiperluas. Ketikapencegahan federal inidiimplementasikan , duaisupentingharusdiatasi. isu yang pertamaadalahkeamanan versus hak-hakindividu. Tantangannyaadalahbagaimanamengimplementasikankemananan yang cukupsertaalat-alatpengendalian yang tidakmelanggarhakindividu yang dijaminolehkonstitusi.

  9. Isu yang keduaadalahkeamanan versus ketersediaan. Isuiniamatmenonjolpadabidangpelayananmedis,dimanakekhawatiranakanprivasicatatanmedisindividumenjadipusatperhatian. Keamanancatatanmedissaatinisedangdiperluassehinggamelibatkanmikrochip yang ditanamkanpadapasien,selain data medis yang disimpandikomputer.

  10. KEAMANAN INFORMASIsaatpemerintahdankalanganindustrimulaimenyadarikebutuhanuntukmengamankansumberdayainformasimereka,perhatiannyaristerfokussecaraekslusifpadaperlindunganperantikerasdan data

  11. Makaistilahkeamanansistem ( system security ) pun digunakan. Istilahkeamananinformasi ( information security ) digunakanuntukmendeskripsikanperlindunganbaikperalatankomputerdan non komputer,fasilitas,data, daninformasidaripenyalahgunaanpihak-pihak yang tidakberwenang.

  12. Tujuankeamananinformasikeamananinformasiditujukanuntukmencapaitigatujuanutama, yaitu :1. kerahasiaan. Perusahaan berusahamelindungi data daninformasinyadaripengungkapankepadaorang-orang yang tidakberwenang2. ketersediaan.Tujuandariinfrastrukturinformasiperusahaanadalahmenyediakan data daninformasisediabagipihak-pihak yang memilikiwewenanguntukmenggunakannya.

  13. Manajemenkeamananinformasiaktivitasuntukmenjaga agar sumberdayainformasitetapamandisebutmanajemenkeamananinformasi. Sedangkanaktivitasuntukmenjaga agar perusahaandansumberdayainformasinyatetapberfungsisetelahadanyabencanadisebutmanajemenkeberlangsunganbisnis.

  14. CIO adalahorang yang untukmemikultanggungjawabataskeamananinformasi,namunkebanyakanorganisasimulaimenunjukorang-orangtertentu yang dapatmencurahkanperhatianpenuhterhadapaktivitasini. Jabatandirekturkeamanansisteminformasiperusahaan (corporate information system security officer-CISSO)digunakanuntukindividudidalamorganisasi,biasanyaanggotadari unit sisteminformasi,yangbertanggungjawabataskeamananinformasiperusahaantersebut.

  15. MANAJEMEN KEAMANAN INFORMASIpadabentuknya yang paling dasar,manajemenkeamananinformasiterdiriatas 4 tahap: mengidentifikasiancaman yang dapatmenyerangsumberdayainformasiperusahaan;mendefinisikanrisiko yang dapatdisebabkanolehancaman-ancamantersebut;menentukankebijakankeamananinformasi; sertamengimplementasikanpengendalianuntukmengatasirisiko-risikotersebut. Istilahmanajemenrisikodibuatuntukmenggambarkanpendekataninidimanatingkatkeamanansumberdayainformasiperusahaan

  16. Mengidentifikasikanancaman Figur 9.1 strategikeamananinformasi Mendefinisikanrisiko Menentukankebijakankeamananinformasi Mengimplementasikanpengendalian

  17. ANCAMANancamankeamananinformasiadalahorang,organisasi,mekanisme,atauperistiwa yang memilikipotensiuntukmembahayakansumberdayainformasiperusahaan. Ketikakitamembayangkanancamankeamananinformasi,adalahsesuatu yang alamijikakitamembayangkanbeberapakelompokataubeberapaorangdiluarperusahaantersebut yang melakukantindakan yang disengaja.

  18. Ancaman internal daneksternalancaman internal mencakupbukanhanyakaryawanperusahaan,tetapijugapekerjatemporer,konsultan,kontraktor,danbahkanmitrabisnisperusahaantersebut. Ancaman internal diperkirakanmenghasilkankerusakan yang secarapotensilebihseriusjikadibandingkandenganancamaneksternal,dikarenakanpengetahuanancaman internal yang lebihmendalamakansistemtersebut.

  19. Tindakankecelakaandandisengajatidaksemuaancamanmerupakantindakandisengaja yang dilakukandengantujuanmencelakai. Beberapamerupaknkecelakaan,yangdisebabkanolehorang-orangdidalamataupundiluarperusahaan. Samahalnyadimanakeamananinformasiharusditujukanuntukmencegahancaman yang disengaja,sistemkeamananjugaharusmengeliminasiataumengurangikemungkinanterjadinyakerusakan yang disebabkankecelakaan.

  20. JENIS ANCAMANsemuaorangpernahmendengarmengenai virus komputer. Sebenarnya virus hanyalahsalahsatucontohjenisperantilunak yang menyandangnamaperantilunakberbahaya(malicious software). Malicious software, ataumalware terdiriatas program-program lengkapatausegmen-segmenkode yang dapatmenyerangsuatusistemdanmelakukanfungsi-fungsi yang tidakdiharapkanolehpemiliksistem. Fungsi-fungsitersebutdapatmenghapusfileataumenyebabkansistemtersebutberhenti.

  21. Terdapatbeberapajenisperantilunak yang berbahayaselainvirus,terdapat pula worm,trojan,adware,danspyware.virusadalah program komputer yang dapatmereplikasidirinyasendiritanpadapatdiamatiolehsipenggunadanmenempelkansalinandirinyapada program-program danboot sector lain. Tidakseperti virus , worm(cacing) tidakdapatmereplikasidirinyasendirididalamsistem,tapidapatmenyebarkansalinannyamelaluie-mail. Trojan horse ( kudatroya) tidakdapatmereplikasiataupunmendistribusikandirinyasendirisipenggunamenyebarkannyasebagaisuatuperangkat.

  22. hardwarememunculkanpesan-pesaniklan yang mengganggu,danspywaremengumpulkan data darimesinpengguna. Program anti spyware sering kali menyerangcookies,yaitu file tekskecil yang diletakkanperusahaandihard drive pelangganuntukmencatatminatbelanjapelangganmereka. Menghapus cookies menggunakan program anti spyware menciptakan

  23. kekhawatirandikalanganbeberapapemasar.solusi yang paling efektif yang memungkinkanadalahmenghalangi antispyware untukmenghapus cookies pihakpertama yang disimpanperusahaanuntukpelanggannya,tapihanyamenghapus cookies pihakketiga yang diletakkanolehperusahaan lain.

  24. RISIKOrisikokeamananinformasi(information security risk ) didefinisikansebagaipotensi output yang tidakdiharapkandaripelanggarankeamananinformasiolehancamankeamananinformasi. Semuarisikomewakilitindakan yang terotorisasi. Risiko-risikosepertiinidibagimenjadi 4 jenis;pengungkapaninformasi yang tidakterotorisasidanpencurian,penggunaan yang tidakterotorisasi,penghancuran yang tidakterotorisasidanpenolakanlayanan,sertamodifikasi yang tidakterotorisasi.

  25. PengungkapanInformasi Yang TidakTerotorisasidanPencurian Suatu basis data danperpustakaanperantilunaktersediabagiorang-orang yang seharusnyatidakberhakmemilikiakses., hasilnyaadalahhilangnyainformasiatauuang. Contoh :mata-mataindustridapatmemperolehinformasimengenaikompetisi yang beharga, dankriminalkomputerdapatmenyeludupkandanaperusahaan.

  26. Penggunaan yang tidakterotorisasi Penggunaaniniterjadiketikaorang-orang yang biasanyatidakberhakmenggunakansumberdayaperusahaanmampumelakukanhaltersebut. Contohkejahatankomputer yang disebut “Hacker” yang memandangkeamananinformasisebagaisuatutantangan yang harusdiatasi. Misalnya Hacker dapatmemasukijaringankomputersebuahperusahaan, mendapatakseskedalamsistemtelepon, danmelakukansambunganteleponjarakjauhtanpaotorisasi.

  27. Modifikasi yang tidakterotorisasi • Perubahandapatdilakukanpadadata,informasi,danperantilunakperusahaan.beberapaperubahandapatberlangsungtanpadisadaridanmenyebabkanparapengguna output sistemtersebutmengambilkeputusansalah, salahsatunyaadalahperubahannilaipadacatatanakademisseorangsiswa.

  28. PERSOALAN E-COMMERCE • E-commerce: (perdaganganektronik)memperkenalkansuatupermasalahankeamananbaru. Dan menurutsebuahsurvei yang dilakukanoleh Gartner Group, pemalsuankartukredit 12 kali lebihseringterjadiuntukparaperitel e-commerce dibandingkandenganparapedagang yang berurusandenganpelangganmerekasecaralangsung.

  29. PraktikKeamanan yang Diwajibkanoleh Visa • Visa mengumumkan 10 praktikterkaitkeamanan yang diharapkanperusahaanini. Untukdiikutiolehparitelnya. Diantaranyayaitu : • a .memasangdanmemelihara firewall • b. memperbaruikeamanan • c. melakukanenkripsipada data yang disimpan • d. melakukanekripsipada data yang dikirimkan • e. menggunakandanmemperbaikiperantilunak antivirus • F. membatasiakses data kepadaorang-orang yang ingintahu

  30. g. memberikan ID unikkepadasetiaporang yang memilikikemudahanmengakses data • h. memantauakses data dengan ID unik • I. Tidakmenggunakankatasandi default yang disediakanoleh vendor

  31. ManajemenRisiko • Diidentifikasikansebagaisalahsatudariduastrategiuntukmencapaikeamananinformasi. Risikodapatdikeloladenganmengendalikanataumenghilangkanrisikoataumengurangidampaknya. Terdiriatas 4 langkah. • 1. identifikasiasetbisnis yang harusdilindungidaririsiko • 2. menyadaririsikonya • 3. menentukantingkatandampakpadaperusahaanjikarisikobenarterjadi • 4. menganalisiskelemahanperusahaantersebut

  32. Tingkat keparahandaridampakparahinidiklasifikasikanuntukmembuatperusahaanbankrutatausangatmembatasikemampuanperusahaantersebut. • Dampaksignifikanmenyebabkankerusakandenganbiaya yang signifikantetapiperusahaantersebutakanselamat. • Dampakminor,kerusakan yang miripdenganterjadidalamoperasionalsehari-hari.

  33. Tingkat DampakdanKelemahanMenentukanPengendalian

  34. KebijakanKeamananInformasi • Mengabaikanapakahperusahaanmengikutistrategimanajemenrisikokepatuhantolakukurmaupuntidak. Suatukebijakan yang menerapkankebijakankeamanannyadenganpendekatan yang bertahap.figur 9.3 mengilustrasikan 5 faseimplementasikebijakankeamanan. • Fase 1.inisiasiproyek : tim yang menyusunkebijakankeamanan yang din bentukdansuatukomiteakanmencangkupmanajerdariwilayahdimanakebijakanakanditerapkan

  35. Fase 2.penyusunankebijakan: timproyekberkonsultasidengansemuapihak yang berminat & berpengaruholehproyek.

  36. Fase 3.Konsultasi & persetujuan : berkonsultasidenganmanjemenuntukmemberitaukantemuannya. Serta untukmendapatkanpandanganmengenaipersyaratankebijakan • Fase 4.kesadarandanedukasi: program pelatihankesadarandanedukasidilaksanakandalam unit organisasi • Fase 5.penyebarluasankebijakan: disebarluaskanolehseluruh unit organisasidimanakebijakandapatditerapkan.

  37. Tim proyek Fase 1 Inislasiproyek Penetapan Komitepengawasproyekkeamanan • Figur 9.3 {penyusunankebijakankeamanan} Fase 2 Penyusunankebijakan Pihak yang berminatdanterpengaruh konsultasi Fase 3 konsultasidanpersetujuan manajemen konsultasi Pelatihankesadaran & edukasikebijakan Fase 4 Kesadarandanpendidikan Unit organisasi Fase 5 Penyebarluasankebijakan Kebijakankeamanan Unit organisasi

  38. pengendalian Pengendalian(control) mekanisme yang diterapkanbaikuntukmelindungiperusahaandaririsikoataumeminimalkandampakrisikopadaperusahaanjikarisikotersebutterjadi.pengendaliandibagimenjaditigakategoriyaitu : • Teknis • Formal • Dan Informal

  39. PENGENDALIAN TEKHNIS(tehnical control) pengendalian yang menjadisatudidalamsistemdandibuatolehpenyusunsistemselamamasasikluspenyusunansistem.

  40. SistemDeteksiGangguan • Logikadasardarisistemdeteksigangguanadalahmengenaliupayapelanggarankeamanansebelummemilikikesempatanuntukmelakukanperusakan. Salahsatucontoh yang baikadalah “perantilunakproteksi virus” yang terbuktiefektifelewan virus yang terkirimmelalui e-mail.

  41. firewall Berfungsisebagaipenyaringdanpenghalang yang membatasialiran data keperusahaantersebutdan internet. Dibuatnyasuatupengamanterpisahuntukuntukmasing-masingkomputer. Tigajenis firewall adalahpenyaringpaket, tingkatsirkuit, dantingkataplikasi.

  42. PengendalianKriptografis • Data daninformasi yang tersimpandanditranmisikandapatdilindungidaripengungkapan yang tidakterotorisasidengankriptografiyaitupenggunaankode yang menggunakanprosesmatematika. • Popularitaskriptografisemakinmeningkatkarena e-commerce danprodukditunjukanuntukmeningkatkankeamanan e-commerence

  43. PENGENDALIAN FORMAL • mencangkuppenentuancaraberperilaku, dokumentasiprosedur, danpraktik yang diharapkan. Pengendalianinibersifat formal, karenamanjemenmenghabiskanbayakwaktuuntukmenyusunnya, mendokumentasikandalambentuktulisandandiharapkanuntukberlakudalamjangkapanjang.

  44. Pengendalian Informal • Mencangkup program-program pelatihandanedukasiserta program pembangunanmanajemen. Pengendalianiniberkaitanuntukmenjaga agar parakaryawanperusahaanmemahamisertamendukung program keamanantersebut.

  45. Meletakanmanajemenkeberlangsunganbisnispadatempatnya manajemenkeberlangsunganbisnismerupakansalahsatubidangpenggunaankomputerdimanakitadapatmelihatperkembanganbesar. Tersedia pula rencanadalampaketsehinggaperusahaandapatmengadaptasikedalamkebutuhankhususnya. Sistemkomputer TAMP memasarkansistempemulihanbencana yang mencangkupsistemmanajemen basis data, intruksi, danperangkat yang dapatdigunakanuntukmempersiapkanrencanapemulihan.

  46. SekianPresentasiBab 9 Terimakasihdan Wasalamualaikum.WR.WB

More Related