01 KEAMANAN SISTEM INFORMASI berupa : catatan, lisan, elektronik, pos, dan audio visual. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya

KEAMANAN SISTEM KEAMANAN SISTEM INFORMASIINFORMASI

Prepared By : Afen Pranae-mail : [email protected]

http://afenprana.wordpress.com

01

Pengantar Keamanan Sistem Informasi

mailto:[email protected]

2

Pedoman PerkuliahanJam Masuk sesuai jam perkuliahan.- Toleransi terlambat < = 20 menit sesuai dengan peraturanJumlah Pertemuan Max : 14 x tatap muka

Ketidakhadiran dibawah 75 % dari jumlah pertemuanmahasiswa tidak dapat ikut UAS dan dianggap gagal untukmata kuliah ybs. (sesuai dengan surat No. 051/ST.45/02/AK/2009)

UTS rencana :UAS rencana :Nilai Akhir = - UTS 30% - UAS 40%- Tugas2, partisipasi aktif, quis : 30%quis : sebelum UTS dan sebelum UAS

Sifat Ujian : UTS Tutup Buku, UAS Buka Buku

Prepared By : Prepared By : AfenAfen PranaPrana

3

Pedoman TugasTugas Mahasiswa/I terbagi atas : tugas mandiri dantugas kelompok.Tugas Kelompok, anggotanya max. 4 orangTugas-tugas dapat di kirimkan melalui e-mail : [email protected]. Tugas Mandiri (subjek : harikuliah_nim_nama.

cth : rabupagi_062110000_carlos tadjoedin) 2. Tugas Kelompok (subjek : harikuliah_nimketua_tk?

cth : rabupagi_062110000_carlos_tk1Tugas diserahkan pada tanggal yang ditentukan, terlambat 1 hari discount 10 point.Lebih lanjut di kelas.


mailto:[email protected]

4

Dieter Gollmann, 2000, Computer Security, John Wiley & Sons, EnglandJennifer Sebery & Josef Pieprzyk, 1989, Cryptography : An Introduction to Computer Security, Prentice Hall Linda volonino and stephen robinson, 2004, “Principel and practice of information security”, Prentice hall.Whitman & Mattord, 2004, Management of Information Security, Thomson Course Technology.http://csrc.nist.gov

NIST SP 800-12, An Introduction to Computer Security: The NIST HandbookNIST SP 800-100, An Introduction to Computer Security: The NIST HandbookNIST SP 800-14,30,34,50, dsb

http://iso17799world.com/auth.htmISO 17799 and BS7799

Pustaka Utama


http://csrc.nist.gov/

http://iso17799world.com/auth.htm

5Prepared By : Prepared By : AfenAfen PranaPrana

6

Definisi

Informasi (Information)Informasi : data yang telah diklasifikasikan atau diolah atau diinterpretasikan untuk digunakan dalam proses pengambilan keputusan. (Tata Sutabri, 2004, 18)Informasi : data yang telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya dan bermanfaat dalam pengambilan keputusan saat ini atau saat mendatang. (Abdul Kadir, 2003, 31)Informasi : suatu data yang disampaikan baik secara langsung maupun tidak langsung, tepat pada waktu, sasaran dan sesuai kebutuhannya oleh si penerima. Informasi adalah data yang telah diolah menjadi suatu bentuk yang berarti bagi si penerima dan bermanfaat dalam pengambilan keputusan saat ini dan saat mendatang. (Jogiyanto, HM, 2000, 10)


7

Informasi : salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkandiketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakanharus terjamin dalam batas yang dapat diterima.


8

Definisi

Sistem (Systems)Sistem : sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai tujuan (Raymond McLeod, 2004, 9). Suatu sistem adalah suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan, berkumpul bersama-sama untuk melakukan suatu kegiatan atau menyelesaikan sasaran tertentu (Jogiyanto H.M., 2001, 1).Kumpulan elemen2 yang saling terkait dan bekerja sama untuk memproses masukan /input yg ditujukan kepada sistem tersebut dan mengolah masukan tersebut sampai menghasilkan keluaran/output yang diinginkan (Kristanto, A, 2003,2)


9

Definisi

Sistem InformasiKombinasi antara prosedur kerja, informasi, orang dan teknologi informasi yang diorganisasikan untuk mencapai tujuan dalam sebuah organisasi. Kumpulan perangkat keras dan perangkat lunak yang dirancang untuk mentransformasikan data kedalam bentuk informasi yang berguna.Suatu sistem buatan manusia yang secara umum terdiri atas sekumpulan komponen berbasis komputer dan manual yg dibuat menghimpun, menyimpan dan mengelola data serta menyediakan informasi keluaran kepada para pemakai. (Abdul Kadir,2003,11)



11

Definisi

KeamananMenurut Harold F. Tipton : Keamanan biasanya digambarkan sebagai kebebasan dari bahaya atau sebagai kondisi keselamatan. Keamanan Komputer, secara rinci, adalah perlindungan data di dalam suatu sistem melawan terhadap otorisasi tidak sah (dikenal sebagai intruders), modifikasi, atau perusakan dan perlindungan sistem komputer terhadap penggunaan tidak sah, modifikasi, atau penolakanterhadap layanan/denial of service (DoS).Computer security deals with the prevention and detection of unauthorized actions by users of a computer system (Gollmann, 2000)Menurut Whitman dan Mattord : “kualiti atau status menjadi secure – menjadi bebas dari bahaya ”The quality or state of being secure - to be free from danger”


12

Wikipedia, security “security is the degree of protection against danger, loss, and criminals”

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanyapenipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.Wikipedia, Information security : “protecting information and information systems from unauthorized access, use, disclosure, disruption, modification or destruction”

Sumber : http://en.wikipedia.org/wiki/Security

Sumber : http://en.wikipedia.org/wiki/Information_security


13

Pengantar

Konvergensi 3 C (Communications, Computing dan Content) Aktivitas menjadi lebih mudah karena aktivitas dilakukan tanpa batas ruang dan waktu

Sistem Rancangan yang “terbuka”Jaringan komputer, seperti LAN,MAN,WAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Terhubungnya LAN atau komputer ke Internet membuka potensiadanya lubang keamanan (security hole) yang tadinya bisaditutupi dengan mekanisme keamanan secara fisik.

Sikap dan pandangan pemakaiAspek keamanan belum banyak dimengertiMenempatkan keamanan sistem pada prioritas rendah

Ketrampilan (skill) pengamanan kurang


14

Mungkinkah Aman ?

Sangat sulit 100 % aman.Pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalikdengan tingkat keamanan sistem informasiitu sendiri. Semakin tinggi tingkatkeamanan, semakin sulit (tidak nyaman) untuk mengakses informasi atau Semakintidak aman, semakin nyaman (security VS convenience).


15

Keamanan

• Keamanan itu tidak dapat muncul demikian saja. Jadi keamanan harus direncanakan. contoh : Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan seterusnya).


16

Keamanan Contd…

• Keamanan dicapai menggunakan beberapa strategi yg dilakukan secara serentak.

• Apabila menggangu performansi dari sistem, Seringkali keamanan dikurangi atau ditiadakan.

• Contoh Kerugian : Hitung kerugian apabila sistem informasi anda tidak bekerja

selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.


17

Keamanan Contd…

Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.

Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.


18

Beberapa kasus keamanan sistem informasi

Kasus Keamanan● Pihak yang tidak bertanggung-jawab (etika dan tanggung jawab):

– typosite, cybersquatting– memanfaatkan kartu-kredit untuk belanja.– memalsukan email, spam– memalsukan transaksi e-commerce.– membuat virus komputer.– menyerang/memacetkan saluran internet.

- …● Perangkat makin kecil

USBHandphone berkameraPen Camera

● Mulai beranjak dari teknis (teknologi) ke masalah non-teknisManusiaProses, Prosedur

harus dipahami secara menyeluruh (holistik)


19

Masalah non-teknis

Terkait dengan kebijakan keamanan (security policy)Belum ada kebijakanKebijakan tidak diketahui keberadaannyaKebijakan tidak dimengerti (lack of awareness)Kebijakan tidak dipatuhiKebijakan tidak ditegakkan (lack of enforcement)

Penggunaan Komputer?

Komputer dapat digunakan membantu Komputer dapat digunakan membantu menyelesaikan masalah, tetapi menyelesaikan masalah, tetapi manusialahmanusialah yang yang menyelesaikannya.menyelesaikannya.


20

Kasus2 yg terjadiBeberapa web site Indonesia sudah dijebol dan daftarnya (besertacontoh halaman yang sudah dijebol) dapat dilihat di koleksi <http://www.2600.com> dan alldas.deSeptember 2000. Polisi mendapat banyak laporan dari luar negeri tentang adanya user Indonesia yang mencoba menipu user lain padasitus web yang menyediakan transaksi lelang (auction) seperti eBay.16 April 2001. Polda DIY meringkus seorang carder2 Yogya.Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka berstatus mahasiswa STIE Yogyakarta.Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan oleh BCA untuk memberikan layanan Internet banking. Situs yang dia buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),wwwklikbca.com (tanpa titik antara kata “www”dan “klik”),clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan nama situs layanan Internet banking tersebut.


21

Contd…Akhir 2004. WORM Sasser, menyebabkan kerusakan ribuankomputer di seluruh dunia termasuk Indonesia. Pembuatnya warga negara Jerman bernama Sven Jaschan berusia 19 tahun.Maret 2005. Indonesia dan Malaysia berebut pulau Ambalat. Hacker Indonesia dan Malaysia berlomba-lomba untuk merusak situs-situsnegara lainnya. Beberapa contoh halaman web yang dirusak disimpandi situs http://www.zone-h.org.Awal 2009, virus ‘conficker’. Virus tersebut secara khusus memangmenyasar ke pengguna sistem operasi Windows buatan Microsoft, mulai dari versi Windows XP, Vista, hingga Windows 7 versi Beta. Adahadiah sebesar US$ 250 ribu atau sekitar Rp 3 miliar akan diberikanMicrosoft bagi siapa pun yang berjasa menangkap pelaku pembuatvirus ‘Conficker’.Dst…



23

Contd…


24

Contd…


25

Contd…


26

Koran Tempo, 26 September 2003

Contd…


27

KEJAHATAN DI ATM

Sumber: Surat Pembaca, Kompas, 2003

Contd…

28

Sumber informasi dan organisasi yangberhubungan dengan keamanan sisteminformasiBagian ini memuat link yang berhubungan dengan keamanan informasi. Sayangnya seringkali banyak situs yang tutup, karena satu dan lain hal. Kemudian muncul situs-situs baru. Akibatnya daftar di bawah ini menjadi cepat kadaluwarsa. Mudah-mudahan daftar ini masih tetap dapat menjadi titik mula (starting point dalam mencari informasi.1. 2600http://www.2600.comBerisi informasi tentang bermacam-macam hacking bawah tanah beserta koleksi gambar dari tempat-tempat (web site) yang pernah dihack.2. Anti Onlinehttp://www.antionline.com3. CERT (Center of Emergency Response Team)http://www.cert.orgMerupakan sumber informasi yang cukup akurat dan up to date tentang keamanan Internet. CERT Advisories merupakan pengumuman berkala tentang security hole and cara mengatasinya.4. CIACftp://ciac.llnl.gov/pub/ciac

5. COAST (Computer Operations, Audit, and Security Technology)http://www.cs.purdue.edu/coast/coast.htmlBerisi informasi tentang riset, tools, dan informasi yang berhubungan dengan masalah keamanan.6. Cryptology ePrint Archivehttp://eprint.iacr.org/Berisi koleksi makalah yang berhubungan dengan kriptologi.7. CSI (Computer Security Institute)http://www.gocsi.comHasil survey, materi seminar.8. CVE (Common Vulnerabilities and Exposure)Organisasi yang teridiri atas lebih dari 20 organisasi yang berhubungan dengan security, termasuk di dalamnya perusahaan security dan institusi pendidikan.http://cve.mitre.org9. Electronic Frontier Foundationhttp://www.eff.orgBanyak berisi informasi tentang kebebasan informasi, privacy danmasalah-masalah yang berhubungan dengannya.10. Electronic Privacy Information Centerhttp://www.epic.org11. Dll


http://www.cs.purdue.edu/coast/coast.html

http://www.epic.org/



TERIMA KASIH

Documents

01 KEAMANAN SISTEM INFORMASI berupa : catatan, lisan, elektronik, pos, dan audio visual. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya