Slide 01 Pengantar Keamanan Sistem Informasi.pdf
Document Details
Uploaded by ThrillingMossAgate9641
Universitas Brawijaya
Full Transcript
Pengantar Keamanan Sistem Informasi Mata Kuliah Keamanan dan Privasi Data Pekan ke-1 CPMK/Sub-CPMK Mampu menjelaskan konsep data security 2 Konsep-konsep Keamanan informasi & keamanan sistem informasi Confidentiality, Integrity, Avai...
Pengantar Keamanan Sistem Informasi Mata Kuliah Keamanan dan Privasi Data Pekan ke-1 CPMK/Sub-CPMK Mampu menjelaskan konsep data security 2 Konsep-konsep Keamanan informasi & keamanan sistem informasi Confidentiality, Integrity, Availability (CIA) Tujuh domain infrastruktur Teknologi Informasi (TI) Bagian dari infrastruktur TI dengan keamanan paling rawan Kerangka kerja kebijakan keamanan (security policy) TI 3 Contoh “Data Breach” Terkini https://x.com/FalconFeedsio/status/1813964537378558019 4 Contoh “Data Breach” Terkini https://tekno.kompas.com/image/2024/06/25/08450017/pusat-data- nasional-diserang-ransomware-hacker-minta-tebusan-rp-131-miliar 5 Contoh “Data Breach” Terkini https://twitter.com/TwitterSupport/status/1613259221427953686 6 Contoh “Data Breach” Terkini https://www.forbes.com/sites/daveywinder/2023/01/19/ thousands-of-paypal-accounts-hacked-is-yours-one-of-them/ 7 Contoh “Data Breach” Terkini https://twitter.com/riotgames/status/1617900234734198787 8 Contoh “Data Breach” Terkini https://www.reddit.com/r/reddit/comments/10y427y/ we_had_a_security_incident_heres_what_we_know/ 9 Contoh Lain “Data Breach”? 10 11 Risiko, Ancaman, Kerentanan Risiko Kemungkinan terjadinya sesuatu yang buruk pada suatu aset Ancaman Tindakan apa pun yang dapat menimbulkan kerusakan pada aset Kerentanan Kelemahan yang memungkinkan sebuah ancaman dapat terealisasikan atau berdampak pada suatu aset 12 Definisi Keamanan Informasi/ Keamanan Sistem Informasi “The protection of information and its critical elements, including the systems and hardware that use, store, and transmit the information.” (The Committee on National Security Systems (CNSS), 1994) “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide integrity, confidentiality, and availability.” (National Institute of Standards and Technology (NIST), 2003) 13 Prinsip-prinsip Keamanan Informasi 14 Confidentiality (Kerahasiaan) Kriptografi Praktik penyembunyian data dan menjauhkannya dari siapa pun yang tak berhak Enkripsi Proses transformasi data dari bentuk cleartext/plaintext menjadi ciphertext Ciphertext Data berbentuk “acak” sebagai hasil enkripsi pada cleartext/plaintext 15 Integrity (Integritas/Keaslian) Informasi harus terjaga tetap valid, tidak rusak/corrupt, dan akurat. 16 Availability (Ketersediaan) Uptime Jumlah waktu suatu layanan “up” dalam satu tahun Downtime Jumlah waktu suatu layanan “down” dalam satu tahun Availability 𝑈𝑝𝑡𝑖𝑚𝑒 𝑨𝒗𝒂𝒊𝒍𝒂𝒃𝒊𝒍𝒊𝒕𝒚 = × 100% 𝑈𝑝𝑡𝑖𝑚𝑒 + 𝐷𝑜𝑤𝑛𝑡𝑖𝑚𝑒 17 Tujuh Domain Infrastruktur TI 18 User Domain: Ancaman yang Umum Kurangnya kesadaran pengguna mengenai keamanan Pengguna apatis terhadap kebijakan keamanan Pengguna melanggar kebijakan keamanan Pengguna teledor dalam mengunduh konten dari internet Pegawai yang tidak puas dapat melakukan sabotase/serangan internal Pemerasan/iming-iming pada pegawai 19 Workstation Domain: Ancaman yang Umum Akses tanpa hak pada workstation/sistem/aplikasi/data Adanya kerentanan pada aplikasi/sistem operasi desktop/laptop Malware 20 LAN Domain: Ancaman yang Umum Akses tanpa hak pada fisik LAN Pengguna “nakal” pada WLAN Penyadapan komunikasi pada WLAN 21 LAN-to-WAN Domain: Ancaman yang Umum Aktivitas probing/scanning tanpa hak Kerentanan pada sistem operasi perangkat jaringan/firewall/router 22 WAN Domain: Ancaman yang Umum Data yang bersifat terbuka/public Banyak lalu lintas data yang berbentuk cleartext Serangan DoS dan DDoS Aplikasi berbasis TCP/IP yang tidak aman 23 Remote Access Domain: Ancaman yang Umum Serangan brute force pada user ID dan password Remote access tak berizin pada sistem/aplikasi/data 24 System/App Domain: Ancaman yang Umum Downtime pada server akibat maintenance Kehilangan data backup akibat penggunaan ulang media backup 25 Domain Manakah Titik yang Terlemah? User! 26 Strategi Pengurangan Risiko Kerentanan User Seleksi pegawai secara hati-hati Evaluasi pegawai secara rutin Lakukan rotasi berkala terhadap pegawai yang mendapat akses pada sistem/aplikasi/data sensitif Lakukan audit keamanan Etika di Internet Perilaku di dunia siber sering kali kurang bertanggung jawab dibandingkan di alam “nyata” 27 Kerangka Kerja Kebijakan Keamanan TI Policy Pernyataan pendek tertulis; mendefinisikan tindakan yang berlaku pada seluruh organisasi Standard Definisi detail tertulis tentang bagaimana perangkat (lunak/keras) akan digunakan Procedures Instruksi-instruksi tertulis mengenai bagaimana menggunakan Policy dan Standard Guidelines Serangkaian tindakan yang disarankan dalam penggunaan Policy, Standar, atau Procedure 28 Standar Klasifikasi Level Kerahasiaan Data Private Data pribadi seseorang, berkaitan dengan privasi Confidential Informasi/data yang dimiliki oleh suatu organisasi Internal-use only Informasi/data yang dibagikan secara internal oleh suatu organisasi Public domain Informasi/data yang dipublikasikan untuk umum oleh suatu organisasi 29 Ringkasan Konsep-konsep keamanan sistem informasi C.I.A. Tujuh domain pada infrastruktur TI Kerangka kerja kebijakan keamanan TI Standar klasifikasi level kerahasiaan data 30
