Upload
tito-sulistyo
View
626
Download
65
Embed Size (px)
DESCRIPTION
Pendahuluan ISO
Citation preview
Bimbingan Teknis Sistem Manajemen Keamanan Informasi Pendahuluan
Fasilitator: Haryatno, PMP, ISMS Auditor
Medan, 7 – 8 November 2012
1
KOMINFO 2
Haryatno, PMP, ISMS Auditor Biodata Singkat
q Pendidikan dan Kualifikasi Profesional: – FMIPA UGM, 2007 – ISO 27001 Lead Auditor, 2006 – Project Management Professional (PMP), 2001 – ISO 9000 Lead Auditor, 2000
q Pengalaman Konsultan: – Konsultan Utama PT. Xynexis International, – Lebih dari 15 tahun sebagai konsultan dan trainer di berbagai industri di bidang Quality Manajemen dan
Tata Kelola Teknologi Informasi – Konsutan ISO 27001:
ü Telkomsel, Indosat, Astra Honda Motor, Telkom Flexi, Telkom, Pama Persada, PLN Kantor Pusat,Dirjen Pajak, Lintasarta, Bank Bukopin, Bank Indonesia, Bank BRI, e-Proc Pemkot Surabaya, Bentoel, dll
– IT Project Management: ü Bank Mandiri, Pusintek Depkeu, Bank Mandiri, Dirjen Pajak, Tugu Pratama, Merpati Nusantara,
Sucofindo, LKBN Antara, dll
q Trainer: – Project Management, IT Governance – Information Security Management System (ISMS), ISO 27001 – Quality Management (ISO 9001)
KOMINFO 3
KOMINFO
Wamenlu: Tidak Penting Lagi Bahas Laptop Hilang
Anwar Khumaini - detikNews
Selasa, 22/02/2011 08:28 WIB
Bogor Wakil Menteri Luar Negeri Triyono Wibowo menganggap permasalahan hilangnya laptop delegasi Indonesia di Korea Selatan sudah selesai lantaran data yang hilang bukanlah data rahasia. Sehingga, pembahasan kasus ini sudah tidak penting lagi.
"Itu sudah tidak penting, karena yang hilang bukan data militer, hanya presentasi," kata Triyono di Istana Bogor, Senin (22/2/2011) pagi.
Triyono menganggap, gencarnya media di Korea Selatan yang memberitakan kasus hilangnya laptop delegasi Indonesia cuma spekulasi saja. "Itu spekulasi saja," ujarnya.
Dia menjelaskan, Duta Besar RI di Korea juga sudah menanyakan kepada Kementerian Luar Negeri Korea Selatan. Hasilnya tidak ada kebocoran data pertahanan Indonesia. "Dubes kita sudah tanya ke Kemlu, kita tidak merasa ada yang bocor," imbuhnya.
Kepada Dubes RI, Menteri Luar Negeri Korea Selatan membantah informasi hilangnya laptop delegasi RI ini dari mereka. "Kementerian luar Negeri Korea prihatin dengan hilangnya laptop tersebut, Kemenlu Korea Selatan membantah informasi tersebut dari dia," ungkap Triyono.
4
KOMINFO 5
KOMINFO 6
Berapa banyak kejadian Laptop / PC yang hilang di sekitar Anda ?
Atau dicuri dari mobil?
HATI-HATI....... !
Sadarkah Anda bahwa file Anda dapat diambil orang tanpa Anda
tahu?
KOMINFO 7
���Kasus Penyalahgunaan Data F1 2007
StepneyGate
Data Teknis Ferrari di mobil McLaren?
Hukuman untuk McLaren: ‣ Kehilangan gelar konstruktor
‣ Denda $100 juta
FLASHBACK:
KOMINFO
ATM lagi…
8
KOMINFO
KNOWLEDGE IS POWER
• Pergeseran paradigma .........
• Kekuatan tidak lagi ditentukan secara finansial, kekuasaan atau sumber daya alam, tetapi........
Informasi merupakan aset (paling) penting saat ini
Informasi Menguasai dunia
9
KOMINFO
Karakteristik dan Keberlangsungan Bisnis
Roda bisnis makin cepat...
Perubahan terus terjadi di tengah perjalanan
Tetap memimpin dengan Kecepatan melakukan
perubahan
Berani berinovasi dan mengambil keputusan
10
KOMINFO
Apa itu Informasi?
Informasi dapat: • Diciptakan • Disimpan • Diproses • Dipancarkan • Digunakan • Dibuang/Dihancurkan/Dirusak
• INFORMATION is knowledge or data that has value to the organisation. (ISO 27000:2009)
Sikl
us P
enga
man
an
Info
rmas
i 11
KOMINFO
Jensi/Bentuk Informasi
Kertas Hard disk, Disket, Flashdisk
CD-ROM Tape
(Desain) Gambar Film
Percakapan (Conversation) …
12
KOMINFO 13
Sumber: PWC, Information Security Breach Survey, 2010
Apa insiden keamanan informasi terburuk yang dihadapi responden?
Apa faktor utama berinvestasi dalam kegiatan keamanan informasi?
Survey 2010: Jenis Insiden Keamanan Informasi dan Alasan Investasi
KOMINFO
Apa itu Keamanan Informasi?
Information Security: “Preservation of confidentiality, integrity and availability of information.” (ISO 27000:2009)
14
KOMINFO
Komponen Keamanan Informasi
Availability (Ketersediaan): Menjamin pihak yang berwenang dapat mengakses
informasi saat diperlukan
Confidentiality (Kerahasiaan): Menjamin agar informasi hanya dapat diakses oleh
pihak yang berwenang
Integrity (Keutuhan): Mengamankan ketepatan dan kelengkapan informasi
dan metode pemrosesannya
Realibility
Sifat konsisten dari keadaan atau hasil yang
diinginkan.
15
KOMINFO
Tantangan Pengamanan Informasi
Security vs. Usability
Sistem yang aman lebih sulit digunakan. Password kompleks dan kuat juga lebih sulit diingat.
User lebih menyukai password yang sederhana
Attacker hanya perlu menemukan satu kelemahan, Defender perlu mengamankan seluruh titik akses.
Attacker tidak mempunyai kendala waktu (fleksibel),
Defender bekerja dengan batasan/kendala waktu dan biaya.
Attacker vs. Defender
Apakah keamanan informasi perlu…?
Management sering memandang keamanan informasi tidak menambah nilai bisnis.
Mengidentifikasi dan menutup kelemahan sebelum layanan disediakan bagi publik perlu waktu relatif lama & tambahan biaya.
16
KOMINFO 17
Menjamin kelangsungan proses dan fungsi pekerjaan
Keamanan informasi berhubungan dengan seluruh metode dan alat kontrol yang ditujukan untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi.
Tujuan Utama Keamanan Informasi
BUSINESS INTERRUPTION
Mengatasi gangguan operasi proses / pekerjaan dengan lebih cepat
KOMINFO
Perubahan Cara Pandang terhadap Keamanan Informasi
• Fokus pada Hardware & Software: ๏ Keamanan Informasi menjadi tanggungjawab personil TI (System/Database
Administrator) ๏ Mengandalkan keamanan teknis (Antivirus, Firewall)
• Fokus pada informasi: ๏ Pemilik informasi adalah setiap Unit Kerja sesuai tupoksi (business owner) ๏ Setiap jenis pekerjaan memiliki informasi yang harus dipelihara, disimpan dan
diamankan ๏ Penggunaan TI mengandung RISIKO yang harus dikendalikan dan diatasi
dengan tepat ๏ Keamanan Informasi harus menjadi tanggungjawab bersama setiap Unit Kerja
dan Unit Pengelola TI ๏ Manajemen keamanan informasi merupakan bagian dari Tata Kelola TI à Tata
Kelola Perusahaan
18
KOMINFO
Pentingnya Keamanan Informasi
• Adakah tugas atau pekerjaan yang tidak mengandalkan Teknologi Informasi? Jika ada, berapa persen?
• Sistem Informasi tidak lagi terpisah dari organisasi. Sistem Informasi menghubungkan pengguna, pemasok, mitra dan pihak lainnya.
• Kecanggihan metode penyusupan (intrusi) ke dalam jaringan komputer berkembang cepat: ๏ User pemula mungkin bisa menerobos sistem jaringan TI Anda dengan
software yang banyak beredar di internet
• Pengendalian keamanan harus dilakukan dalam setiap proses dan terhadap setiap orang yang melakukan akses informasi, baik personil internal maupun eksternal
19
KOMINFO 20
Kapan Keamanan Informasi Diterapkan?
• Jika terdapat informasi berklasifikasi rahasia, penting, atau berharga
• Jika kebocoran, kerusakan dan ketidaktersediaannya menimbulkan RISIKO yang berdampak besar bagi organisasi
Pengamanan informasi diawali dengan Klasifikasi Informasi dan Kajian Risiko terhadap gangguan
kerahasiaan, keutuhan, dan ketersediaan informasi.
KOMINFO
Keamanan .vs. Kenyamanan
21
KOMINFO 22
Hirarki Framework Tata Kelola TI - Konsep/Model -
KEBIJAKAN TATA KELOLA TI
PENGELOLAAN PROYEK TI PENGELOLAAN OPERASIONAL LAYANAN TI
(ISO 20000)STANDAR SOFTWARE
QUALITY (CMMI) Pengelolaan
Kelangsungan Layanan TI
SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)ISO 27001
RENCANA STRATEGIS TI (IT Blue Print/Master Plan)
MONITORING DAN EVALUASI (COBIT)
RENCANA STRATEGIS ORGANISASI
GOOD CORPORATE GOVERNANCE Tata Kelola Pemerintahan yang baik
KOMINFO 23
Undang-Undang & Regulasi .vs. Tata Kelola TI
• COBIT – Control Objective for Information and related Technology
• ISO 27001 – Information Security Management System
• ISO 20000 – Information Technology Service Management
• PMBOK – Project Management Body of Knowledge
• CMMI – Capability Maturity Model Integration (Software Quality)
Undang-Undang & Regulasi: • UU No. 14/2008 tentang “Keterbukaan Informasi Publik” • UU No. 19/2002 tentang “Hak Cipta” • UU No.11/2008 tentang “Informasi dan Transaksi Elektronik”
• Permen Kominfo No.28/Per/M.Kominfo/9/2006 tentang “Penggunaan nama Domain go.id”
• Peraturan Bank Indonesia No. 09/15/PBI/2007 – “Manajemen Risiko Penggunaan TI bagi Bank Umum”
• Permen Kominfo No.41/PER/Men.Kominfo/11/2007 tentang “Panduan Umum Tata Kelola TIk Nasional”
• Draft UU No. ??? tentang “Rahasia Negara”
KOMINFO
Pentingkah Keamanan Informasi bagi Anda?
Seberapa banyak (masif) informasi yang Anda butuhkan dan / atau Anda Kelola?
Seberapa besar RISIKO yang menyertai Informasi dan Sistem Teknologinya bagi
organisasi Anda?
24