390 likes | 426 Views
KEAMANAN SISTEM. Metodologi Penelitian. #Agenda. TAHAPAN PENYUSUNAN SUBYEK PENELITIAN TIPE PENELITIAN PENDEKATAN PENELITIAN TEKNIK PENGUMPULAN DATA. TAHAPAN PENYUSUNAN. Menentukan ruang lingkup kebijakan keamanan informasi ( information security policy ) yang akan dibuat.
E N D
KEAMANAN SISTEM Metodologi Penelitian
#Agenda • TAHAPAN PENYUSUNAN • SUBYEK PENELITIAN • TIPE PENELITIAN • PENDEKATAN PENELITIAN • TEKNIK PENGUMPULAN DATA
TAHAPAN PENYUSUNAN • Menentukan ruang lingkup kebijakan keamanan informasi (information security policy) yang akan dibuat. Dokumen rujukan yang dapat dipakai: • ISO 17799 • Kebijakan keamanan informasi dari RUSecure. Keluaran dari tahapan ini adalah ruang lingkup kebijakan keamanan informasi.
2. Menentukan kebijakan keamanan perusahaan (corporate security policy) yang relevan terhadap ruang lingkup kebijakan keamanan informasi. Kebijakan keamanan perusahaan ini dapat diturunkan dari: • Undang-undang; • SLA; • Kebijakan perusahaan; • Kuisioner; • Wawancara;
Tahapan ini dilakukan dengan melakukan generalisasi setiap butir-butir yang relevan dan dituangkan sebagai kebijakan keamanan perusahaan. Keluaran dari tahapan ini adalah kebijakan keamanan perusahaan.
3. Melakukan analisis resiko, yang terdiri dari: • Identifikasi aset informasi apa saja yang masuk dalam ruang lingkup kebijakan keamanan perusahaan dan kebijakan keamanan informasi; • Penentuan kelemahan aset informasi (vulnerability analysis); • Penentuan ancaman terhadap aset informasi (threat analysis); • Penentuan prioritas ancaman, baik secara kuantitatif maupun kualitatif; • Penentuan kondisi ideal terhadap aset informasi atau disebut juga sebagai obyektif kontrol (control objectives).
Tahapan ini dilakukan dengan mengidentifikasi setiap butir-butir dokumen kebijakan keamanan perusahaan. Keluaran dari tahapan ini adalah tabel analisis resiko yang disusun berdasarkan aset informasi dan ancamannya.
4. Melakukan generalisasi dan konsolidasi terhadap obyektif kontrol dari berbagai aset informasi. Keluaran dari tahapan ini adalah tabel obyektif kontrol.
5. Mengidentifikasi kontrol yang diambil dari obyektif kontrol. Butir-butirnya dapat diambil sesuai dengan cakupan yang relevan terhadap ruang lingkup. Keluaran dari tahapan ini adalah dokumen kebijakan keamanan informasi yang setiap butirnya merupakan obyektif kontrol, dilengkapi dengan kontrol.
Contoh Dokumen Password Management Policy Policy No. 0003 Revision: 0 July 2003 Page 1 of 4 1. Purpose To establish the rules for the creation, distribution, safeguarding, termination, and reclamation of the PT X user authentication mechanisms. 2. Scope The scope of this policy includes all personnel who have or are responsible for an account (or any form of access that supports or requires a password) on any system that resides at any PT X facility, has access to the PT X network, or stores any non-public PT X information.
3. Definition 3.1 Information Resources is any and all computer printouts, online display devices, magnetic storage media, and all computer-related activities involving any device capable of receiving email, browsing Web sites, or otherwise capable of receiving, storing, managing, or transmitting electronic data including, but not limited to, servers, personal computers, notebook computers, hand-held computers, personal digital assistants (PDA), distributed processing systems, network attached, telecommunication resources, network environments, telephones, fax machines, printers and service bureaus. Additionally, it is the procedures, equipment, facilities, software, and data that are designed, built, operated, and maintained to create, collect, record, process, store, retrieve, display, and transmit information.
3.2 Managed Service is the name of PT X department that is responsible for computers, networking and data management. 3.3 Internet Service Provider (ISP) is a company that provides access to the Internet. 3.4 Password is string of characters which serves as authentication of a person’s identity, which may be used to grant, or deny, access to private or shared data.
3.5 Strong Passwords is a password that is not easily guessed. It is normally constructed of a sequence of characters, numbers, and special characters, depending on the capabilities of the operating system. Typically the longer the password the stronger it is. It should never be a name, dictionary word in any language, an acronym, a proper name, a number, or be linked to any personal information about you such as a birth date, social security number, and so on.
4. Reference • Computer User Policy.
5. Policy 5.1 General • All passwords, including initial passwords, must be constructed and implemented according to the following PT X rules: • It must be routinely changed; • It must adhere to a minimum length as established by PT X Managed Service; • It must be a combination of alpha and numeric characters; • It must not be anything that can easily tied back to the account owner such as: user name, social security number, nickname, relative’s names, birth date, etc.; • It must not be dictionary words or acronyms; • Password history must be kept to prevent the reuse of a password.
Stored passwords must be encrypted. • User account passwords must not be divulged to anyone. PT X Managed Service and will not ask for user account passwords. • If the security of a password is in doubt, the password must be changed immediately. • Administrators must not circumvent the Password Policy for the sake of ease of use. • Users cannot circumvent password entry with auto logon, application remembering, embedded scripts or hardcoded passwords in client software. Exceptions may be made for specific applications (like automated backup) with the approval of the PT X Managed Service. In order for an exception to be approved there must be a procedure to change the passwords.
Computing devices must not be left unattended without enabling a password protected screensaver or logging off of the device. • PT X Help Desk password change procedures must include the following: • Authenticate the user to the helpdesk before changing password; • Change to a strong password; • The user must change password at first login. • In the event passwords are found or discovered, the following steps must be taken: • Take control of the passwords and protect them; • Report the discovery to the PT X Help Desk • Transfer the passwords to an authorized person as directed by the PT X Managed Service.
5.2 Guidelines • Passwords must be changed at least every 60 days. • Do not use the same password for PT X accounts as for other non- PT X access (e.g., personal ISP account, option trading, benefits, etc.). Where possible, don't use the same password for various PT X access needs. For example, select one password for the Engineering systems and a separate password for IT systems. Also, select a separate password to be used for an Windows account and a UNIX account. • Do not share PT X passwords with anyone, including administrative assistants or secretaries. All passwords are to be treated as sensitive, Confidential PT X information.
Here is a list of "dont's": • Don't reveal a password over the phone to ANYONE; • Don't reveal a password in an email message; • Don't reveal a password to the boss; • Don't talk about a password in front of others; • Don't hint at the format of a password (e.g., "my family name"); • Don't reveal a password on questionnaires or security forms; • Don't share a password with family members; • Don't reveal a password to co-workers while on vacation.
If someone demands a password, refer them to this document or have them call someone in the Managed Service. • Do not use the "Remember Password" feature of applications (e.g., Microsoft Outlook, Microsoft Internet Exlporer, and MSN Messenger). • Again, do not write passwords down and store them anywhere in your office. Do not store passwords in a file on ANY computer system (including Personal Digital Assistant or similar devices) without encryption.
Change passwords at least once every six months (except systemlevel passwords which must be changed quarterly). The recommended change interval is every four months. • If an account or password is suspected to have been compromised, report the incident to Managed Service and change all passwords. • Password cracking or guessing may be performed on a periodic or random basis by Managed Service or its delegates. If a password is guessed or cracked during one of these scans, the user will be required to change it.
5.3 Strong Password • Contain both upper and lower case characters (e.g., a-z, A-Z). • Have digits and punctuation characters as well as letters e.g., 0-9, !@#$%^&*()_+|~-=\`{}[]:";'<>?,./). • Are at least eight alphanumeric characters long. • Are not a word in any language, slang, dialect, jargon, etc. • Are not based on personal information, names of family, etc. • Passwords should never be written down or stored on-line. Try to create passwords that can be easily remembered. One way to do this is create a password based on a song title, affirmation, or other phrase. For example, the phrase might be: "This May Be • One Way To Remember" and the password could be: "TmB1w2R!" or "Tmb1W>r~" or some other variation.
6. Disciplinary Action • Violation of this policy may result in disciplinary action which may include termination for employees and temporaries; a termination of employment relations in the case of contractors or consultants; dismissal for interns and volunteers; or suspension or expulsion in the case of a student.
Masukan dapat berupa template kebijakan keamanan serta dokumen kebijakan lain yang relevan dengan penyusunan kebijakan keamanan. • Dalam tahap ini, dokumen kebijakan lain yang sudah ada, yang menjadi acuan untuk pembuatan dokumen kebijakan keamanan, dapat dimodifikasi ataupun dijadikan satu dengan dokumen kebijakan keamanan. • Hal ini bertujuan untuk menghindari adanya duplikasi kebijakan, khususnya kebijakan keamanan.
SUBYEK PENELITIAN • Penelitian dilakukan pada perusahaan yang memiliki portofolio bisnis di bidang pendidikan, perbankan dan telekomunikasi • Pengamatan dilakukan terhadap kondisi infrastruktur yang dimiliki perusahaan tersebut untuk menunjang bisnisnya.
TIPE PENELITIAN • Pada dasarnya, pengamatan yang dilakukan dalam dapat digolongkan ke dalam penelitian deskriptif, yaitu dengan mengamati variabel dalam hal ini adalah variabel-variabel yang berhubungan dengan penerapan kebijakan keamanan TI untuk layanan tertentu di perusahaan tertentu • Tujuan dari penelitian deskriptif ini adalah untuk menentukan apakah perusahaan perlu melakukan perubahan, dalam hal ini adalah untuk membuat sistem TI menjadi lebih aman dari sekarang.
PENDEKATAN PENELITIAN • Dalam melakukan penelitan ini, teori-teori keamanan sistem informasi yang telah ada dibandingkan dengan kondisi infrastruktur TI, khususnya yang mendukung layanan tertentu yang dimiliki oleh sebuah perusahaan untuk mengetahui seberapa aman kondisi infrastruktur tersebut. • Data-data dalam penelitian ini diperoleh dari hasil observasi, kuisioner, dan wawancara yang diharapkan mampu untuk dijadikan bahan sebagai nilai yang diolah.
TEKNIK PENGUMPULAN DATA • Pengumpulan data menggunakan data primer yang merupakan data utama yang menjadi bahan untuk diamati, dianalisis, dan dikumpulkan dengan cara melakukan observasi terhadap infrastruktur layanan sebuah perusahaan. • Selain melakukan observasi, pengumpulan data primer juga diperoleh dari hasil pengisian kuisioner dan diskusi dengan staf terkait yang bertanggung jawab terhadap infrastruktur dan operasional layanan diperusahaan tersebut.
Selain data primer, data pendukung digunakan untuk melengkapi data primer serta memperkuat analisis. • Data pendukung ini diperoleh dengan mengumpulkan dokumentasi sebagai berikut: • Undang-undang No. 8 Tahun 1999 tentang Perlindungan Konsumen; • Undang-undang No. 36 Tahun 1999 tentang Telekomunikasi; • Jurnal; • Buku-buku; • Internet.
#Daftar Pustaka • Rekiardi, Penerapan Kebijakan Keamanan TI untuk Layanan Data Center di PT X.