Teori Keamanan Informasi
Agenda
• Keamanan Informasi
• Aturan Keamanan
• Daur Hidup Keamanan
Latar belakang
• Perkembangan Teknologi Informasi = 3C
Computer + Communication + Content
• Information-based society
– Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi
– Informasi menjadi komoditi yang sangat penting.
Informasi
• Ragam wujud informasi:
– Tertulis atau tercetak di atas kertas
– Tersimpan secara elektronik
– Dikirimkan secara elektronik maupun kurir
– Ditampilkan dalam bentuk film
– Disampaikan secara lisan
‘Dunia’ kita tidak aman
• Tiap minggu ada laporan ttg kejadian break-ins,
attack tools baru, vulnerabilities baru
Keamanan & manajemen
• Seringkali sulit untuk membujuk manajemen
perusahaan untuk melakukan investasi di
bidang keamanan.
• Th 1997 majalah Information Week melakukan
survey terhadap 1271 system atau network
manager di Amerika Serikat.
– Hanya 22% yang menganggap keamanan sistem
informasi sebagai komponen sangat penting
(“extremely important”).
– Mereka lebih mementingkan “reducing cost” dan
“improving competitiveness” meskipun perbaikan
sistem informasi setelah dirusak justru dapat menelan
biaya yang lebih banyak.
Keamanan & manajemen (cont’d)
• Sistem keamanan harus direncanakan &
dianggarkan
• Tujuan manajemen keamanan informasi
adalah untuk menjamin kelangsungan
bisnis, mengurangi kerugian bisnis, dan
memaksimalkan ROI dan peluang dengan
mencegah dan mengurangi pengaruh dari
serangan terhadap keamanan
Keamanan sistem = intangible?
• It’s tangible!
• Contoh:
– Hitung kerugian apabila sistem informasi anda tidak
bekerja selama 1 jam, 1 hari, 1 minggu, dan 1 bulan.
(jika server Amazon.com tidak dapat diakses selama
beberapa hari; kerugian ≈ N juta dolar.)
– Hitung kerugian apabila ada data yang hilang. Berapa
biaya yang dibutuhkan untuk rekonstruksi data.
– Bila sebuah bank terkenal dengan rentannya
pengamanan data, sering terjadi security incidents.
Bagaimana citra perusahaan?
Data
• CSI/FBI Computer Crime and Security Survey th
2001 (538 responden):
– 64% mendeteksi adanya “unauthorized use of
computer systems” pada 12 bulan terakhir
• 40% mendeteksi “system penetration,” meskipun 95%
memasang firewall dan 61% memiliki IDS
• 26% mendeteksi “theft of proprietary info,”
• 18% mendeteksi “sabotage”
– Kerugian yang dilaporkan oleh 196 responden senilai
$ 378 juta
• $ 151 juta dari “theft of proprietary info”
• $ 19 juta dari “system penetration”
Fakta kerugian sebenarnya?
• Tidak diketahui : ada yang sulit dihitung
• Fenomena gunung es
• Banyak organisasi yang mengalami
security breach tidak ingin diketahui
negative publicity
Tujuan organisasi dan regulasi
Computer misuse
• kategori:
1. ‘pencurian’ sumber daya komputasi
2. gangguan terhadap layanan komputasi
3. penyebarluasan informasi secara tidak sah
4. pengubahan informasi secara tidak sah
• pelaku:
– authorized user
lebih sukar ditangani
– not authorized user
Information-oriented misuse:
beberapa hal yang perlu diwaspadai
• Kesalahan manusia (human error)
• Penyalahgunaan otoritas
• Probing secara langsung
• Probing dengan malicious software
• Penetrasi secara langsung
• Subversi terhadap mekanisme keamanan
Resiko
• the probability that a specific threat will
successfully exploit a vulnerability causing
a loss
Yang berkontribusi terhadap resiko:
• Asset
• Vulnerability
• Threat
Asset
• Hardware
• Software
• Dokumentasi
• Data
• Komunikasi
• Lingkungan
• Manusia
• dll.
Vulnerability
• Kelemahan dari perangkat keras, perangkat
lunak, atau prosedur yang menyediakan
kesempatan bagi penyerang untuk melakukan
tindakan yang bisa menimbulkan kerugian.
• Contoh: software bugs, hardware bugs, radiasi
(dari layar, transmisi), tapping, crosstalk,
unauthorized users, hardcopy, keteledoran
(oversight), storage media, social engineering,
dll.
Threat
• Potensi bahaya (ancaman) yang bisa
terjadi pada informasi maupun sistem.
• Bisa disebabkan oleh bencana (disaster),
kesalahan sistem (system failure), atau
kesalahan manusia (human error)
Klasifikasi keamanan
(atas dasar lubang keamanan)
• Keamanan fisik:
– akses orang ke gedung, peralatan, media dll; pencurian; DoS;
aliran listrik; dll
• Keamanan personel:
– identifikasi dan profil resiko; social engineering
• Keamanan aplikasi, data, dan komunikasi (media dan
teknik):
– program-specific vulnerability, bugs, virus, worm, trojan horse,
akses aplikasi dan data, akses ke sumber daya jaringan dll
• Keamanan operasi:
– kebijakan, prosedur pengelolaan sistem keamanan, prosedur
post-attack-recovery, dll.
Aspek/layanan keamanan (1)
• Confidentiality (& Privacy) Menjamin
informasi yang dikirim tidak dapat dibuka dan tidak dapat diketahui orang
yang tidak berhak. Contoh: -saat pengiriman data melewati internet, data
yang dikirim akan dirubah dahulu menjadi sandi-sandi yang haya dapat
dirubah saat data tersebut sampai pada orang yang dituju.
• Integrity Menjamin konsistensi dan menjamin data tersebut
sesuai dengan aslinya. Sehingga upaya orang-orang yang berusaha
merubah data itu akan ketahuan dan percuma.
• Availability Menjamin pengguna yang valid selalu bisa
mengakses informasi dan sumberdaya miliknya sendiri. Untuk memastikan
bahwa orang-orang yang memang berhak tidak ditolak untuk mengakses
informasi yang memang menjadi haknya.
Aspek/layanan keamanan (2)
• Authentication Authentication adalah proses dimana seorang
user (melalui berbagai macam akses fisik berupa komputer, melalui
jaringan, atau melalui remote access) mendapatkan hak akses kepada
suatu entity (dalam hal ini jaringan suatu corporate). Seorang user
melakukan logon kedalam suatu infrastruckture jaringan dan system
mengenali user ID ini dan menerimanya untuk kemudian diberikan akses
terhadap resources jaringan sesuai dengan authorisasi yang dia terima.
• Access control pendekatan keamanan jaringan komputer yang
berusaha menyatukan kerja titik akhir komunikasi teknologi keamanan
(seperti antivirus dan firewall), pengesahan user atau sistem, dan
pelaksanaan keamanan jaringan.
• Non-repudiation identifikasi yang bersifat individual atau devais
yang diakses oleh user yang dikirim melalui jalur komunikasi melalui
sebuah rekaman (system log). Rekaman itu akan digunakan sebagai bukti
aksesibilitas user sehingga user tidak dapat menyangkal.
Confidentiality - Privacy
• Menjaga informasi dari orang yang tidak berhak
mengakses.
• Privacy: data-data yang sifatnya privat
– contoh: e-mail seseorang tidak boleh dibaca oleh
administrator
• Confidentiality: data yang diberikan ke pihak lain
untuk keperluan tertentu dan hanya
diperbolehkan untuk keperluan tertentu tersebut
– misalnya sebagai bagian dari pendaftaran sebuah
servis (kartu kredit, layanan kesehatan dll.)
• Meningkatkan jaminan privacy/confidentiality
teknik-teknik steganografi, kriptografi, dll.
Keamanan negara
• Kemampuan mengamankan data dan
menangkap data merupakan kepentingan
negara
– Privacy vs keamanan negara?
– Spy vs spy?
• Penyadapan; key escrow dll
• Informasi maupun sistem tidak boleh diubah
tanpa seijin pemilik informasi atau sistem
tersebut tetap akurat dan lengkap
• Contoh serangan:
– Data (e-mail) ditangkap (intercepted), diubah
(tampered), diteruskan (forwarded) ke tujuan
– Menambahkan virus/trojan ke program yang
didistribusikan (kasus: TCP Wrapper)
– Man-in-the-middle attack
• Meningkatkan jaminan integrity kriptografi,
hash & digital signature dll
Availability
• Ketika dibutuhkan, pengguna yang berhak
akan selalu dapat mengakses informasi
dan aset yang berkaitan
• Contoh serangan:
– Denial of Service; Distributed DoS
– Mailbomb
Authentication
• Informasi betul-betul asli
– Watermarking & digital signature
• Orang yang mengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud
– What you have (misal: kartu ATM)
– What you know (misal: PIN, password)
– What you are (misal: biometrik)
• Server (mesin) yang kita hubungi adalah betul-betul
server (mesin) yang asli
• Secara umum, peningkatan jaminan authentication
digital certificate
Access control
• Pengaturan akses kepada informasi.
• Berhubungan dengan:
– Klasifikasi data (public, private, confidential,
top secret)
– Klasifikasi dan hak akses user (guest, admin,
top manager, dsb.)
– Mekanisme authentication dan privacy.
Non-repudiation
• Seseorang tidak dapat menyangkal bahwa dia
telah mengirimkan suatu data digital
• Contoh: seseorang yang telah melakukan transaksi dan
mengirimkan data pemesanannya via e-mail, tidak dapat
menyangkal bahwa memang dia yang telah mengirimkan
data pemesanan tersebut
• Sangat penting dalam e-commerce
• Meningkatkan jaminan non-repudiation digital
signature, certificates, dan teknologi kriptografi;
dukungan hukum shg digital signature jelas legal
Contoh Digital Certificate:
CA=VeriSign site=KlikBCA
Contoh (cont’d)
Mengamankan Informasi
(secara umum)
• “Implementing a suitable set of controls”
– Policies
– Practices
– Procedures
– Organizational structures
– Software functions
Agenda
• Keamanan Informasi
• Aturan Keamanan
• Daur Hidup Keamanan
Kebijakan Keamanan
• Mencakup semua aturan yang menjamin
perlindungan terhadap aset dan akses
informasi
• Sesuai dengan visi dan misi organisasi
• Harus ada dukungan dari sisi internal
maupun eksternal organisasi
Aturan yg mendasari kebijakan
keamanan
1. Kebijakan keamanan harus didukung
oleh seluruh komponen organisasi
pengetahuan thd proses bisnis, kanal
komunikasi, jenis data yg dibutuhkan dll
2. Daftar semua aset yang harus dilindungi
3. Harus diimplementasikan ke seluruh
lapisan organisasi (internal & eksternal)
Setelah kebijakan tersusun…
1. Sosialisasi
2. Penerapan secara konsisten
3. Peninjauan secara berkala untuk
mengantisipasi perubahan yang terjadi
dalam organisasi maupun hal-hal
eksternal yang mempengaruhi
operasional bisnis organisasi
Panduan menyusun kebijakan
• International Standard; ISO/IEC 17799
“Information Technology – Code of
Practice for Information Security
Management”
• Contoh standar lain: Information Security
Forum (ISF), “The Standard of Good
Practice for Information Security”
Agenda
• Keamanan Informasi
• Aturan Keamanan
• Daur Hidup Keamanan
Daur hidup keamanan
• Berhubungan dengan peninjauan
kebijakan keamanan
• Memberikan petunjuk yg mencakup
tingkatan atau tahapan proses
pengembangan untuk menjamin
keamanan operasional bisnis
Gambar daur hidup keamanan
1. Assessment
• Proses penilaian terhadap keamanan
sistem
• Aktifitas: audit, pengujian, review secara
periodik dll
• Termasuk di dalamnya adalah manajemen
resiko
2. Design
• Aktifitas perencanaan konfigurasi
keamanan yang sesuai dan efektif untuk
diterapkan pada organisasi
3. Deployment
• Implementasi segala sesuatu yang
berkaitan dengan rancangan keamanan
• Berkaitan dengan kebijakan manajemen
organisasi untuk menerapkan kebijakan
keamanan informasi
4. Management
• Diperlukan untuk menjamin sistem tetap
dapat berfungsi dengan baik
• Berkaitan dengan pengawasan terhadap
mekanisme deteksi masalah
5. Education
• Diberikan kepada komponen internal
organisasi maupun pihak eksternal yang
berkaitan dengan organisasi
• Diperlukan untuk menjamin
keberlangsungan daur hidup keamanan
Closing remarks
Sistem sudah aman?
• Sangat sulit mencapai 100% aman
– Paradigma attacker dan defender:
• Defender berupaya mengamankan semua aspek
• Attacker bisa fokus ke satu titik lemah
• Contoh: tempest zone vulnerability
• Ada timbal balik antara keamanan vs.
kenyamanan (security vs convenience)
– Semakin aman, semakin tidak nyaman
• “complexity is the worst enemy of security” [Bruce
Schneier, “Secrets & Lies: Digital Security in a Networked World,”]
• Keamanan tertinggi dari sebuah sistem berada
bagian yang paling lemah.
Pengamanan Menyeluruh
(holistic approach)
“Security is a process,
not a product”
http://www.claybennett.com/pages/domestic_security.html
Tidak ada komentar:
Posting Komentar