Monthly Archives: July 2012

Share This :

Kementerian Komunikasi dan Informatika (Kominfo) melontarkan wacana pembentukan tim penanganan insiden keamanan informasi. Proses penggodokan tim ini sendiri melibatkan Academic CSIRT, Id-CERT, Id-SIRTII, Banking CERT, Telko-CERT serta Direktorat Keamanan Informasi sebagai penyelenggara.

Beberapa isu terkait keamanan informasi dilontarkan dalam pertemuan tersebut. Seperti terkait defacement, DDOS, theft, malware dan segudang istilah penyerangan keamanan informasi.

Acara dibuka oleh Aswin Sasongko, Dirjen Aplikasi dan Telematika yang melontarkan beberapa kejadian insiden keamanan informasi di dunia penerbangan, serangan ke web pemerintahan, serta bagaimana pemerintah mengatasi berbagai serangan tersebut.

Para panelis mengemukakan berbagai pengalamannya di dalam mengelola CSIRT. Seperti Id-SIRTII disampaikan oleh ketua barunya Rudy Lumanto yang memberikan ilustrasi melindungi informasi layaknya melindungi sebuah benteng dan aset yang ada di dalamnya.

Panelis berikutnya Academic CSIRT yang diwakili oleh sang ketua IGN Mantra. Ia mengemukakan bahwa memberikan kesadaran informasi tidak bisa secepat kilat, pendidikan merupakan cikal bakal bagi anak-anak untuk belajar berbagai hal termasuk mengamankan informasi. Seyogyanya, mendidik dalam mengamankan informasi itu harus dilakukan sejak dini.

Academic CSIRT merupakan wadah bagi perguruan tinggi yang sedang menerapkan keamanan informasi dan menjadi contact point bila terjadi insiden keamanan informasi.

Panelis terakhir adalah Telko-CERT yang diwakili oleh Yusril Sini. Ia mengemukakan tentang grand scenario cyber security, ada beberapa domain yang saling terkait untuk melindungi keamanan informasi seperti mengamankan operation & maintenance, new services & application, optimize existing, dan lainnya.

Kesimpulan dari pertemuan itu adalah informasi memang milik bersama tetapi informasi tersebut harus dijaga keamanannya. Ada berbagai cara untuk melumpuhkan dan mengambil informasi kritis tersebut dan banyak pula cara untuk melindunginya.

"Yang paling penting dari semuanya adalah nasionalisme, siapa lagi yang melindungi informasi negara kita bila tidak kita sendiri sebagai warga negara republik Indonesia," pungkas IGN Mantra.

Sumber: Ardhi Suryadhi - detikinet - 24/02/2012 [Kominfo Godok Tim Penanganan Insiden Keamanan Informasi]

2 Comments

Share This :

Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance/GCG). Pemerintah telah menetapkan peraturan terkait dengan Tata Kelola TIK yaitu melalui Peraturan Menteri Komunikasi Dan Informatika Nomor: 41/PER/MEN.KOMINFO/11/2007 Tentang PANDUAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI NASIONAL.

Namun di dalam Permen tersebut tidak mencakup keamanan infromasi secara mendalam. Sedangkan dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Untuk itu Republik Indonesia  melalui  Kementrian Komunikasi dan Informatika RI telah membuat suatu panduan untuk penerapan tata kelola keamanan informasi,  panduan itu dikeluarkan oleh Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika RI dan diberi nama Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik

Hal ini menunjukkan bahwa negara peduli terhadap keaman informasi sehingga memberikan panduan kepada penyelenggara pelayanan publik. Tujuan dari panduan ini adalah agar instansi/lembaga penyelenggara pelayanan publik:

  • Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten dengan pendekatan berbasis risiko.
  • Mampu melakukan penilaian mandiri (self-assesment) secara objektif dengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)
  • Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan informasi
  • Memahami roadmap penerapan tata kelola keamanan informasi

Panduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaran pelayanan publik yang meliputi: Instansi pemerintah pusat dan daerah, BUMN, BUMD dan penyelenggara pelayanan publik lainnya. Dalam panduan tersebut terdapat lima area evaluasi yang merupakan kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. 5 (lima) area tersebut adalah:

  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi

Buku panduan tersebut dapat dilihat di Repositori Digital Kominfo

1 Comment

Share This :

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari  gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan.

Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi milik perusahaan  Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.

Berdasarkan penjelasan tersebut, ‘kemananan teknologi informasi’ merupakan bagian dari keseluruhan aspek ‘keamanan informasi’. Karena teknologi informasi merupakan salah satu alat atau tool penting yang digunakan untuk mengamankan akses serta penggunaan dari data dan informasi perusahaan. Dari pemahaman ini pula, kita akan mengetahui bahwa teknologi informasi bukanlah satu-satunya aspek yang memungkinkan terwujudnya konsep keamanan informasi di perusahaan.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

  • Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
  • Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi
  • Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
  • Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
  • Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model, adalah sebagai berikut:

  1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
  2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
  3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak. Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Share This :

ISO 27001 memiliki 11 Domain, 39 Control Objectives 133 Security Controls. Controls tersebut disebutkan didalam dokumen ISO 27001 Annex A Controls. Pada tulisan sebelumnya telah dijelaskan mengenai ISO 27001. Dan juga telah disebutkan domain yang digunakan dalam ISO 27001. Pada tulisan ini akan membahas mengenai kontrol-kontrol ISO 27001 sebagaimana yang di sebutkan dalam Annex A Controls.

Annex A berisi control sebagai berikut (Biasanya disebut dengan ISO 27001 Annex A Domains):

  • A.5 Security policy
  • A.6 Organization of information security
  • A.7 Asset management
  • A.8 Human resources security
  • A.9 Physical and environmental security
  • A.10 Communications and operations management
  • A.11 Access control
  • A.12 Information systems acquisition, development and maintenance
  • A.13 Information security incident management
  • A.14 Business continuity management
  • A.15 Compliance
ISO 27001 Annex A Controls

1. Security Policy
Tujuan utama dari control ini adalah memastikan adanya arahan manajerial serta dukungan eksekutif perusahaan terhadap semua usaha yang terkait dengan pembangunan serta pengimplementasian konsep-konsep keamanan informasi. Di samping itu, kebijakan keamanan ini juga digunakan sebagai jaminan bahwa semua usaha tersebut telah sesuai dengan kebutuhan- kebutuhan bisnis.

2. Organization of Information Security
Control ini bertujuan utama antara lain untuk:
_ Memastikan pengelolaan serta integrasi konsep keamanan informasi dalam organisasi, baik dalam bentuk keberadaan fungsi keamanan dalam organisasi maupun integrasi dengan proses bisnis dan tanggung jawab sumber daya manusia.
_ Memastikan terjaminnya keamanan informasi pada situasi serta kondisi dimana pihak eksternal terlibat dalam satu atau lebih proses bisnis perusahaan.

3. Asset Management
Control ini memastikan bahwa perusahaan sudah mengidentifikasi semua asset informasinya, siapa yang memiliki atau bertanggung jawab terhadap aset tersebut dan bagaimana proses serta prosedur yang sesuai dalam kegiatan pengelolaan dan penggunaan informasi tersebut. Di samping itu, juga perlu dipastikan adanya control yang mampu mengklasifikasikan jenis-jenis data dan informasi serta bagaimana pengelolaannya untuk setiap klasifikasi.

4. Human Resources Security
Control berkaitan erat dengan pengelolaan sumber daya manusia di dalam sebuah perusahaan. Manusia adalah ancaman terbesar dari keamanan informasi dan staf atau karyawan yang bekerja di dalam sebuah perusahaan adalah ancaman yang lebih besar bagi keamanan informasi di dalam perusahaan tersebut. Seperti kejadian di atas terkait dengan penyalahgunaan e-mail. Prosedur serta proses harus dimiliki perusahaan terkait dengan proses penerimaan karyawan, seperti interview dan screening; tanggung jawab karyawan selama dan ketika akan resign dari perusahaan tempatnya bekerja.

5. Physical and Environmental Security
Control ini terdiri dari aspek-aspek berikut:
_ Pengamanan area tempat kerja perusahaan yang diwujudkan, misalnya dengan adanya tool seperti biometrics security berupa sidik jari maupun name tag karyawan. Ini juga termasuk pada bagaimana seharusnya akses ke dalam data center akan dilakukan.
_ Penempatan serta akses terhadap alat kerja perusahaan, seperti telepon, printer, PC, dan lain sebagainya, sedemikian rupa sehingga hanya bisa digunakan oleh karyawan perusahaan saja.

6. Communications and Operations Management
Control ini bertujuan utama untuk mengurangi risiko kegagalan serta konsekuensi finansial maupun teknis dengan memastikan bahwa semua tool pengolahan data dan informasi perusahaan (printer, PC, dan sebagainya) telah digunakan sebagaimana mestinya dan berdasarkan kaidah-kaidah keamanan informasi.

7. Access Control
Control ini mengatur serta mengelola bagaimana seharusnya akses terhadap data dan informasi perusahaan dilakukan oleh staf/karyawan maupun pihak-pihak eksternal perusahaan. Beberapa bentuk dari control ini di antaranya adalah penerapan mekanisme otorisasi sistem seperti kebijakan penggunaan password untuk mengakses sistem jaringan perusahaan untuk penggunaan aplikasi, e-mail, dan sebagainya.

8. Information System Acquisition, Development, and Maintenance
Control ini bertujuan untuk mencegah modifikasi serta penyalahgunaan informasi yang terdapat di dalam operating system (PC yang digunakan oleh user) maupun dalam aplikasi.

9. Information Security Incident Management
Control ini terdiri dari beberapa aspek berikut:
_ Adanya proses pelaporan yang sesuai jika terjadi peristiwa seperti bocornya data dan informasi rahasia perusahaan ke tangan pihak-pihak yang tidak berwenang.
_ Adanya proses maupun prosedur yang dapat memastikan bahwa sebuah kejadian keamanan (security incident) tidak terjadi lagi di kemudian hari dengan mengetahui apa penyebabnya serta proses pencarian solusi permanen yang memadai.

10. Business Continuity Management
Control ini memastikan bahwa perusahaan memiliki kemampuan untuk bereaksi secara cepat terhadap kemungkinan terjadinya gangguan pada berjalannya proses bisnis yang kritikal dari kegagalan sistem aplikasi, bencana alam, dan lain sebagainya.

11. Compliance
Control ini memastikan bahwa semua peraturan pemerintah atau negara yang berlaku di tempat domisili perusahaan telah dipatuhi dan bahwa semua kebijakan keamanan informasi telah mengacu pada peraturan-peraturan tersebut. Contohnya mudah ditemui di industri perbankan, misalnya dengan kebijakan anti-money laundering atau pencucian uang, dimana perbankan harus mewajibkan semua nasabahnya membuat pernyataan terkait dari mana mereka memperoleh dana tersebut

5 Comments

Share This :

ISO 27001 adalah suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI) sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan sejak tahun 1995 mengenai pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS (Information Security Management Systems) dan merupakan standard yang banyak dipakai untuk melakukan tata kelola keamanan informasi pada sebuah organisasi. ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.

Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti:

  • Perusakan / terorisme
  • Kebakaran
  • Kesalahan penggunaan
  • Pencurian
  • Serangan yang diakibatkan oleh virus

ISO 27001 disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu perantara berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatancatatan, gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas.

Serial ISO 27000

International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Kerangka ISO/IEC 27000-series dapat dilihat di infosec management standard. Adapun beberapa standar di seri ISO ini adalah sebagai berikut:

  • ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
  • ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan
  • ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi.
  • ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
  • ISO 27006: dokumen panduan untuk sertifikasi system manajemen keamanan informasi perusahaan.
  • ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
  • ISO 27799: panduan ISO 27001 untuk industri kesehatan.

ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2005 merupakan dokumen standar system manajemen keamanan informasi atau Information Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum ada 11 aspek atau yang biasa disebut sebagai control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi.

Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan.
Adapun ke-11 control tersebut adalah sebagai berikut:

  • Security policy.
  • Organization of information security.
  • Asset management.
  • Human resources security.
  • Physical and environmental security.
  • Communications and operations management.
  • Access control.
  • Information system acquisition, development, and maintenance.
  • Information security incident management.
  • Business continuity management.
  • Compliance.