Keamanan Informasi

Share This :

Kriptografi adalah suatu ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga. Menurut Bruce Scheiner dalam bukunya "Applied Cryptography", kriptografi adalah ilmu pengetahuan dan seni menjaga message-message agar tetap aman (secure).

Dalam kriptografi terdapat dua konsep utama yakni enkripsi dan dekripsi. Enkripsi adalah proses dimana informasi/data yang hendak dikirim diubah menjadi bentuk yang hampir tidak dikenali sebagai informasi awalnya dengan menggunakan algoritma tertentu. Dekripsi adalah kebalikan dari enkripsi yaitu mengubah kembali bentuk tersamar tersebut menjadi informasi awal.

proses_enkripsi_dekripsi

Berikut adalah istilah-istilah yang digunakan dalam bidang kriptografi :

  • Plaintext adalah pesan yang hendak dikirimkan (berisi data asli).
  • Ciphertext adalah pesan ter-enkrip (tersandi) yang merupakan hasil enkripsi.
  • Enkripsi adalah proses pengubahan plaintext menjadi ciphertext.
  • Dekripsi adalah kebalikan dari enkripsi yakni mengubah ciphertext menjadi plaintext, sehingga berupa data awal/asli.
  • Kunci adalah suatu bilangan yang dirahasiakan yang digunakan dalam proses enkripsi dan dekripsi. Peranan kunci sangatlah penting dalam proses enkripsi dan dekripsi (disamping pula algoritma yang digunakan) sehingga kerahasiaannya sangatlah penting, apabila kerahasiaannya terbongkar, maka isi dari pesan dapat diketahui.

JENIS ALGORITMA KRIPTOGRAFI

Algoritma kriptografi berdasarkan jenis kunci yang digunakan dapat dibedakan menjadi dua jenis yaitu :
1. Algoritma Simetris (symmetric algorithm)
Algoritma simetris  adalah suatu algoritma dimana kunci enkripsi yang digunakan sama dengan kunci dekripsi sehingga algoritma ini disebut juga sebagai single-key algorithm. Sebelum melakukan pengiriman pesan, pengirim dan penerima harus memilih suatu suatu kunci tertentu yang sama untuk dipakai bersama, dan kunci ini haruslah rahasia bagi pihak yang tidak berkepentingan sehingga algoritma ini disebut juga algoritma kunci rahasia (secret-key algorithm).

kriptografi_simetrisKelebihan :

  • Kecepatan operasi lebih tinggi bila dibandingkan dengan algoritma asimetrik.
  • Karena kecepatannya yang cukup tinggi, maka dapat digunakan pada sistem real-time

Kelemahan :

  • Untuk tiap pengiriman pesan dengan pengguna yang berbeda dibutuhkan kunci yang berbeda juga, sehingga akan terjadi kesulitan dalam manajemen kunci tersebut.
  • Permasalahan dalam pengiriman kunci itu sendiri yang disebut “key distribution problem”

2. Algoritma Asimetris (asymmetric algorithm)
Algoritma asimetris  adalah suatu algoritma dimana kunci enkripsi yang digunakan tidak sama dengan kunci dekripsi. Pada algoritma ini menggunakan dua kunci yakni kunci publik (public key) dan kunci privat (private key). Kunci publik disebarkan secara umum sedangkan kunci privat disimpan secara rahasia oleh si pengguna. Walau kunci publik telah diketahui namun akan sangat sukar mengetahui kunci privat yang digunakan. Pada umumnya kunci publik (public key) digunakan sebagai kunci enkripsi sementara kunci privat (private key) digunakan sebagai kunci dekripsi.

kriptografi_asimetrisKelebihan :

  • Masalah keamanan pada distribusi kunci dapat lebih baik
  • Masalah manajemen kunci yang lebih baik karena jumlah kunci yang lebih sedikit

Kelemahan :

  • Kecepatan yang lebih rendah bila dibandingkan dengan algoritma simetris
  • Untuk   tingkat   keamanan   sama,   kunci   yang   digunakan   lebih   panjang dibandingkan dengan algoritma simetris.

Share This :

Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi) merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Jadi jika mengacu pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses “Plan - Do - Check - Act (PDCA)” maka untuk mengimplementasikannya diperlukan dukungan manajemen. Berikut tahapan dalam model PDCA :

isms_pdcaPLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

  1. Ruang lingkup ISMS,
    Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
  2. Pendekatan Metodologi berbasis Risiko
    Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :

        Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
        Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
        Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.
  3. Penentuan Kebijakan ISMS
    Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
  4. SOA (Statement of Applicability)
    Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:

  1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
  2. Pengawasan implementasi dari ISMS.
  3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
  4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

  1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
  2. Pengukuran efektifitas dari suatu control yang diterapakan.
  3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain :

  1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
  2. Memastikan kegagalan tidak terulang kembali.
  3. Knowledge transfer dari hasil peningkatan.

Share This :

Akses jaringan internet di lingkungan kerja, serta kebebasan dalam menggunakan perangkat seperti MP3, USB, flashdisk, CD dan lainnya di kantor menjadikan kejadian pencurian data rentan terjadi. Oleh karena itu, perusahaan perlu mengambil sejumlah langkah untuk mengamankan data di lingkungan kerja.

Data merupakan sesuatu yang sangat vital bagi bisnis. Jika data sensitif sampai jatuh ke tangan yang salah dan kemudian disalahgunakan, dampaknya bisa sangat buruk, seperti pelanggan atau nasabah diambil alih, rahasia perusahaan diketahui, sehingga dapat mempengaruhi daya saing bisnis dalam industri.

risk-analysisBerikut ini adalah tahap-tahap yang dapat Anda lakukan dalam mengelola risiko keamanan data di lingkungan kerja.

Pengukuran Risiko
Pertama, lakukan risk assessment, yakni pengukuran risiko. Lakukan analisa mengenai risiko-risiko data apa saja yang mungkin dicuri, peran karyawan mana saja yang terekspos terhadap risiko, juga analisa bagaimana kebijakan teknologi di lingkungan kerja.

Pada umumnya, data-data yang rentan untuk dicuri antara lain adalah:
• informasi rahasia
• rahasia dagang
• informasi hubungan dengan pelanggan, supplier, dan partner bisnis lainnya
• informasi hubungan dengan prospek pelanggan
• informasi mengenai tenaga kerja, dan skill-nya

Analisa dan Langkah Mengelola Risiko
Selanjutnya, analisa karyawan mana saja yang berpotensi untuk menghadirkan risiko tersebut. Biasanya adalah karyawan yang bisa langsung mengakses data dan informasi tersebut di atas, yang pada umumnya tidak tersedia secara bebas di perusahaan. Untuk mencegah risiko yang datangnya dari karyawan, maka dalam klausul kontrak dapat dimasukkan mengenai batasan-batasan bagi karyawan dalam mengakses dan memperlakukan data dan informasi tersebut.

Misalnya, karyawan tidak diperkenankan untuk membawa data dan informasi keluar dari kantor, kemudian seluruh hasil pekerjaan yang dilakukan oleh karyawan adalah milik kantor dan tidak boleh dibawa ketika karyawan sudah tidak bekerja disana lagi, tidak boleh dibagi dengan orang lain, dan sebagainya. Anda juga harus membuat konsekuensi yang jelas mengenai pelanggaran peraturan ini.

Lalu bagaimana dengan kebijakan mengenai penggunaan hardware dan software yang selama ini dikeluarkan oleh kantor? Apakah kontrolnya sudah efektif? Hardware dan software merupakan perangkat yang menyimpan data-data Anda, sehingga perlu diterapkan kebijakan dan kontrol yang ketat. Berikut ini adalah langkah-langkah yang dapat Anda ambil dalam mengelola risiko keamanan data.

Selalu gunakan password untuk mengakses database, dokumen dan file yang mengandung data dan informasi yang sensitif. Ini perlu untuk membatasi supaya hanya orang-orang tertentu saja yang dapat mengakses data dan informasi tersebut.

Amankan jaringan Anda dengan firewall dan antivirus, untuk mencegah pihak luar atau hacker menyusup ke dalam jaringan kantor Anda; mengirimkan trojan, virus atau spyware; dan mencuri data dan informasi yang sensitif.

Terapkan kebijakan penggunaan hardware yang ketat, seperti melarang perangkat eksternal seperti flash disk, MP3 player, hard disk external, CD, dan sejenisnya yang dapat digunakan untuk menyimpan data. Jangan ada CD/DVD writer, kecuali beberapa PC yang digunakan khusus untuk itu dan dikelola administrator. .

Anda juga dapat mengurangi risiko dalam menyimpan data sensitif dengan cara membuang data-data yang sudah tidak digunakan lagi. Namun Anda harus menyortir dengan ketat, jangan sampai data yang masih diperlukan oleh divisi lain terbuang. Sesuaikan juga dengan regulasi, yang mungkin mensyaratkan Anda untuk menyimpan data-data tertentu.

Kadang, perusahaan juga punya partner outsourcing yang menyimpan data-data, termasuk data sensitif. Jika demikian, maka tugas perusahaan harus menjamin bahwa partner outsourcing dapat menjaga data-data tersebut dengan serius. Mereka juga harus memahami konsekuensi jika data tersebut bocor ke tempat lain.

Data sensitif biasanya dijaga oleh karyawan-karyawan tertentu saja yang berkepentingan. Karena data itu begitu penting, oleh karena itu Anda harus memberikan reward yang pantas juga bagi karyawan tersebut, supaya memastikan bahwa karyawan tersebut menjaga datanya dengan baik. Jika tidak demikian, maka karyawan tersebut bisa saja lengah atau malah tergoda untuk menjual data ke pihak lain.

Terakhir, masalah mengamankan data ini, karena sifatnya strategis, maka harus dibangun awareness kepada seluruh karyawan di organisasi. Perusahaan harus menekankan pentingnya menjaga data sesuai dengan kebijakan dan prosedur yang sudah berlaku, serta konsekuensinya jika terjadi pelanggaran.

1 Comment

Share This :

One Time Pad adalah salah satu contoh metode kriptografi dengan algoritma jenis simetri. Ditemukan pada tahun 1917 oleh Major Yoseph Mouborgne dan Gilbert Vernam pada perang dunia ke dua. Metode ini telah diklaim sebagai satu-satunya algoritma kriptografi sempurna yang tidak dapat dipecahkan. Suatu algoritma dikatakan aman, apabila tidak ada cara untuk menemukan plaintext-nya Sampai saat ini, hanya algoritma One Time Pad (OTP) yang dinyatakan tidak dapat dipecahkan meskipun diberikan sumber daya yang tidak terbatas. Algoritma One Time Pad adalah salah satu jenis algorima simetri (konvensional).

OTP

Jumlah kunci sama panjangnya dengan jumlah plaintext. Jika anda ingin agar ciphertext sulit untuk di pecahkan maka pemakaian kunci seharusnya :

* Jangan gunakan kunci yang berulang
* Pilihkan kunci yang random

Rumus melakukan One Time Pad ini yaitu :

Enkripsi : E(x) = (P(x) + K(x) ) Mod 26

Dekripsi : D(x) = (C(x) – K(x) ) Mod 26

CARA I

Pemakaian One Time Pad digunakan pada sederetan abjad A..Z dengan memberikan nilai urutan abjad yaitu A=0, B=1, C=2, D=3, E=4…..sampai Z.

Contoh Enkripsi Pesan :

Pesan : ZENSHIFU
Kunci : OTIMEPAD
maka perhatikan langkahnya seperti di bawah ini :

Plaintext 25(Z) 4(E) 13(N) 18(S) 7(H) 8(I) 5(F) 20(U)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
-------------------------------------------- +
Hasil mod 26 13 23 21 4 11 23 5 23
Chipertext N X V E L X F X
Jadi Chipertext yang di hasilkan yaitu : NXVELXFX

Dekripsi pesan, perhatikan langkah di bawah ini

Chipertext 13(N) 23(X) 21(V) 4(E) 11(L) 23(X) 5(F) 23(X)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
------------------------------------------------ -
Hasil mod 26 25 4 13 18 7 8 5 20
Plaintext Z E N S H I F U
Jadi Plaintext yaitu : ZENSHIFU

OTP_enkrip_v2 OTP_dekrip_v2
Encrypt One Time Pad
Decrypt One Time Pad

Untuk mempermudah pemahaman dan melihat algoritmanya, maka saya menggunakan yang gampang-gampang aja, yaitu dengan memanfaatkan Ms. Excel. File One Time Pad on Excel tersebut bisa di download. Disitu bisa merubah plaintext, chipertext maupun kuncinya. Klik aja linknya :D Dengan algoritma ini, enkripsi dekripsi one time pad bisa diterapkan dalam bahasa pemrograman apapun, baik visual basic, php, delphi maupun java. Karena intinya adalah merubah character ke desimal kemudian melakukan perhitungan dan mod. Lalu hasilnya mengembalikannya lagi dari desimal ke character. Saya pernah membuat program one time pad menggunakan visual basic dengan algoritma yang sama.

CARA II

Cara yang ini lebih simple, karena urutan hurufnya merupakan bilangan desimal yang sesuai dengan standard internasional, yaitu sesuai dengan ASCII Table. Bisa dilihat di http://www.asciitable.com/. Namun prinsipnya sama saja yaitu melakukan penjumlahan kemudian mod 26 untuk encrypt, dan melakukan pengurangan kemudian mod 26 untuk decrypt. Semuanya ada di dalam File One Time Pad on Excel.

Algoritma One Time Pad nya adalah :
1. Merubah huruf-huruf (Character) tersebut menjadi bilangan desimal.
Function yang digunakan : CODE(Character)
2. Melakukan penjumlahan jika Enkripsi, dan melakukan pengurangan jika dekripsi
3. Hasil pengurangan atau penjumlahan di mod 26
Function yang digunakan : MOD(Bilangan;26)
4. Hasilnya dikembalikan lagi menjadi Huruf / Character
Function yang digunakan : CHAR(Bilangan)

Enkripsi One Time Pad

One Time Pad Encrypt

Dekripsi One Time Pad

One Time Pad Decrypt

Share This :

Yang dimaksud dalam perencanaan SMKI (Sistem Manajemen Keamanan Informasi) / ISMS (Information Security Management System) dalam ISO 27001 adalah menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. Hal ini dalam ISO 27001 terdapat pada klausul 4.2.1.

PDCA

Menetapkan SMKI ini masih berada di tahap PLAN dalam rangkain PDCA (Plan - Do - Check - Act). Pada proses penetapan SMKI ini perusahaan / Organisasi harus melakukan tahapan-tahapan sebagai berikut:
Tahap 1 : Menentukan ruang lingkup ISMS
Tahap 2 : Menentukan kebijakan (tujuan dan sasaran)
Tahap 3 : Menentukan cara penilaian risiko
Tahap 4 : Identifikasi risiko
Tahap 5 : Analisa dan evaluasi risiko
Tahap 6 : Identifikasi dan evaluasi pilihan penanganan risiko
Tahap 7 : Memilih objektif kontrol dan kontrol

 

TAHAP 1
Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup

TAHAP 2
Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat Tahap 3); dan
5) Telah disetujui oleh manajemen.

TAHAP 3
Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima.
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.

TAHAP 4
Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik-pemilik aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.

TAHAP 5
Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam Tahap 3 point 2.

TAHAP 6
Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat Tahap 3 point 2);
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.

TAHAP 7
Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat Tahap 3 point 2) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.

a. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
b. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
c. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam Tahap 7) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat tahap 5 point 2); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.

Share This :
Kementrian Komunikasi dan Informatika bakal memberlakukan sertifikasi Standar Nasional Indonesia (SNI-27001) bagi unit kerja penyelenggara informasi dan transaksi elektonik (ITE) di tanah air. Sertifikasi ini diterapkan untuk mengurangi terjadinya tindak pidana cyber crime.Kepala Sub Direktorat Kasubdin Tata Kelola Keamanan Informasi, Kemenkominfo, Hasyim Gautama dikonfirmasi JPNN, Jumat (1/3) menjelaskan, pemberlakuan sertifikasi SNI-27001 salah satunya untuk menjamin tingkat keamanan pada unit kerja penyelenggara ITE."SNI 27001 tidak terkait dengan website, tapi terkait proses yang ada dalam unit kerjanya," kata Hasyim.Dia menyebutkan, meski sertifikasi ini baru efektif diterapkan setelah terbitkannya Peraturan Menteri (Permen) Kominfo yang sedang dalam proses penyusunan, kini sudah ada unit kerja yang tingkat keamanannya sudah tersertifikasi SNI-27001.

"Yang sudah tersertifikasi SNI 27001 saat ini yakni, layanan pengadaan secara elektronik (LPSE) Kemkominfo, Biro Kepegawaian Kominfo dan LPSE Pemkot Surabaya," ujar Hasyim.

Ke depan, unit kerja pemerintah dan swasta yang menyelenggarakan sistem ITE ini akan diberikan deadline menerapkan sertifikasi SNI-27001. Yang paling urgent adalah bagi penyelenggara sistem ITE yang melakukan transaksi keuangan. Misalnya toko online hingga perbankan.

Nah, saat pendaftaran unit kerja penyelenggara ITE yang harus dituntaskan tahun ini, Kemkominfo akan mendata siapa pemilik, pengelola, dan seperti apa penggunaan sistem ITE yang dijalankannya. Hal itu juga untuk menyesuaikan dengan poin-poin yang harus terpenuhi dalam SNI-27001.

"Deadlinenya beda. Kalau menyangkut transaksional keuangan, penyesuaian dengan SNI-27001 selama 3 tahun. Misal ada orang buka bisnis online, dalam tiga tahun itu harus memenuhi sertifikasi SNI ini," kata Hasyim.

Di antara poin-poin yang mesti dipenuhi itu seperti sumber daya manusia (SDM) unit kerja, tata kelola, manajemen, hingga aspek keamanannya. Sementara itu untuk penyelenggara ITE yang tidak bersifat transaksional diberi waktu menyesuaikan lima tahun.

Sumber: fat - jpnn - 01/03/2013 [Toko Online dan Perbankan harus Ber-SNI-27001]

Share This :

Yang saya tulis ini bukan tentang jailbreak produk apple lho. Saya tidak menemukan padanan kata yang pas dalam bahasa indonesia untuk kata jailbreak. Saat saya melihat berita ini di CNN (7 Januari 2013), saya agak tertegun dan kagum. Seekor kucing yang telah terlatih, diselundupkan ke dalam penjara di Brazil. Di badan kucing itu terdapat bermacam peralatan yang dapat digunakan untuk kabur dari penjara. Siapa yang menyangka bahwa ada oknum yang memanfaatkan kucing untuk menyelundupkan barang-barang tersebut. Sebuah taktik yang jitu. Kalau dalam bidang keamanan informasi / information security, hal ini bisa dikategorikan dalam keamanan fisik. Saya jadi ingat serial Breakout di National Geographic, yang menayangkan tentang upaya-upaya yang pernah dilakukan oleh tahanan untuk kabur dari penjara.

Petugas penjara Brasil berhasil menangkap kucing belang hitam putih yang digunakan untuk menyelundupkan peralatan bagi tahanan di penjara Brasil. "Ada seorang agen yang melihat kucing itu kemudian pergi mendekatinya karena merasa ada sesuatu yang salah," kata Marcelo Avelino, kepala serikat penjaga penjara.

Agen itu menemukan kantong diikat ke tubuh kucing itu dan diisi dengan gergaji, bagian bor untuk menembus beton dan menggali terowongan, ditambah ponsel lengkap dengan baterai dan charger.

Di penjara Alagoas memang sering terlihat adanya kucing yang dengan mudah keluar masuk dari penjara. Hal ini karena banyak narapidana yang memelihara kucing dan terkadang kerabat yang mengunjungi membawa kucing itu pulang ke rumah.

Menurut informasi dari timeslive bahwa kucing tersebut dilatih untuk mengantarkan barang-barang yang dapat digunakan untuk kabur dari penjara. Namun si kucing akhirnya tertangkap saat menyelinap di sebuah penjara di Brasil dengan barang selundupan terikat di tubuhnya.

Barang yang diselundupkan oleh kucing termasuk peralatan telepon selular, bor dan gergaji Mini.
"Kami sangat terkejut oleh ini taktik baru tahanan" begitu kata petugas di penjara Alagoas Brazil.
Sulit untuk mengetahui siapa nama tahanan yang bertanggung jawab atas insiden ini, karena kucing tidak berbicara. Begitu kata salah seorang petugas penjara, terdengar lucu sih tapi begitulah kenyataannya. :D

pic by : http://www.sgap.al.gov.br/
referensi : edition.cnn.com, www.itv.com

2 Comments

Share This :

Saya tersentak saat membaca berita bahwa ada pembobolan server Bank Mandiri. Bagaimana tidak, sebuah bank besar yang seharusnya sisi keamanannya sangat mature kenapa bisa bobol juga. Apakah Tata Kelola Keamanan Informasi nya tidak terimplementasi dengan baik? Dan ternyata penyebabnya sangat sepele. Walaupun sebabnya ada beberapa namun yang paling menggelitik adalah penggunaan password yang umun, tidak secure, unhardened password, yaitu angka "123456" dan itu digunakan untuk Remote Desktop. What the hell..!!! Memang yang membobol orang dalam. Dan terbukti bahwa penyebab kebobolan paling rawan adalah internal user.

Penyebab kebobolan tersebut memang paling sering terjadi, seperti yang banyak disebutkan dalam CISA (Certified Information Systems Auditor) ataupun CISSP (Certified Information Systems Security Professional) yaitu :
1. Employees Dissatisfied
2. Default Password
3. Segregation of Duties
4. Access Control

Yang masih membuat saya penasaran adalah bagaimana digital forensik nya? Kereeen... sepertinya itu ilmu yang mahal. Berikut ini beritanya, dan bisa digunakan untuk pelajaran, case study dan latihan analisa ;)

-- 2 Pegawai Bank Mandiri Didakwa Bobol Rekening Rp 5,9 M --

Jakarta - Dua pegawai Bank Mandiri nekat membobol sistem bank dan mengambil uang Rp 5 miliar. Mereka kini harus duduk di kursi terdakwa Pengadilan Tipikor Jakarta.

Kedua terdakwa adalah Syofrigo, pegawai Bank Mandiri Pusat Regional Network Grup sebagai sign officer management information system dan Mohammad Fajar Junaedi, pegawai Bank Mandiri cabang Bogor Juanda sebagai verifikator.

Dalam dakwaan dijelaskan, Syofrigo bertemu Fajar pada November 2011. Mereka membicarakan cara mencari tambahan penghasilan. Alasan kekecewaan terhadap manajemen juga melatarbelakangi rencana membobol duit bank.

"Terdakwa I juga menceritakan mengenai kekecewaannya dengan perlakuan pihak manajemen di Regional Network Group di kantor pusat. Ternyata terdakwa juga mengalami kekecewaan dengan perlakuan manajemennya," kata jaksa penuntut umum, Immanuel Richendry Hot di Pengadilan Tipikor, Jalan HR Rasuna Said, Jaksel, Rabu (24/10/2012).

Pada bulan Januari 2012, Syofrigo bertemu dengan Fajar dan menceritakan cara mendapatkan tambahan penghasilan dengan cara memanfaatkan kelemahan sistem transaksi di Bank Mandiri.

"Terdakwa I (Syofrigo) memberikan gambaran cara untuk membobol sistem transaksi di Bank Mandiri yaitu masuk ke server dan melakukan posting dengan kode transaksi. Dengan cara itu bisa mengambil uang dari rekening Bank Mandiri," terang Immanuel.

Keduanya membagi tugas. Syofrigo melakukan pemindahbukuan dari rekening Mandiri dan Fajar menentukan target, jumlah uang yang akan diambil dan mencari nomor rekening yang akan dijadikan untuk menampung uang.

Pada 8 Februari 2012, Syofirgo mencoba masuk ke server back up Mandiri cabang Jambi. Syofirgo masuk ke program Remote Dekstop dengan menggunakan komputer di kantor Bank Mandiri pusat. Setelah muncul tampilan login Branch Delivery System, Syofirgo memasukan kode cabang ditambah nomor 50 dengan 60 pada kolom user name dan mengetikkan 123456 pada kolom password untuk pengetikan kode cabang pada kolom user name.

"Ternyata berhasil masuk ke BDS Bank Mandiri cabang Jambi. Terdakwa I kemudian mencari nomor rekening yang akan digunakan untuk menampung pemindahbukuan dana dari Mandiri Jambi dengan melakukan pemantauan rekening," terang jaksa.

Syofirgo menemukan rekening atas nama Joni di Bank Mandiri cabang Probolinggo yang dijadikan penampung uang. "Selanjutnya dengan melawan hukum, terdakwa I (Syofirgo) memindahbukukan dana Rp 5.922.500.000," sebut Immanuel.

Uang di rekening Joni kemudian dipindahbukukan lagi ke rekening Donny Cahyadi Foeng. Terdakwa Fajar langsung membelikan 115 emas batangan atau seberat 11,5 kg dari uang tersebut.

Syofirgo mendapat bagian 52 keping emas atau seberat 5,2 kg, sementara Fajar mendapat 57 keping seberat 5,7 kg. Sisanya tiga keping emas lebih dulu dijual dan 3 lainnya diberikan kepada orang lain.

Dalam dakwaan primer, kedua terdakwa dijerat Pasal 2 ayat 1 UU Pemberantasan Tipikor. Dakwaan subsisder Pasal 3 jo Pasal 18 ayat 1 UU Pemberantasan Tipikor dan subsider kedua, Pasal 3 jo Pasal 10 UU Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang.

Usai persidangan jaksa Immanuel menjelaskan perkara ini disidang di Pengadilan Tipikor karena Bank Mandiri adalah BUMN. "Kerugian Bank Mandiri akibat pembobolan harus diganti menggunakan uang negara," katanya.

*Sumber berita : Ferdinan / detikcom (Rabu, 24/10/2012 20:09 WIB)
*Certified Information Systems Auditor

Share This :

“Kemajuan Teknologi Informasi dan Komunikasi (TIK) berlangsung sedemikian cepat. Secara langsung dan tidak langsung sangat mempengaruhi percepatan pembangunan bangsa. Oleh karena itu, kita semua harus mengantisipasi dan memanfaatkan pesatnya kemajuan TIK demi kemajuan Indonesia,” ungkap Kepala BPPT Marzan A Iskandar saat Workshop Audit Keamanan Teknologi Informasi untuk Kemandirian dan Daya Saing Bangsa & Raker Ikatan Auditor Teknologi Indonesia (IATI) Tahun 2012 di auditorium BPPT (30/5).

Audit TIK, lanjutnya, sangat diperlukan agar terhindar dari kerugian akibat kehilangan data, kesalahan dalam pengambilan keputusan, resiko kebocoran data, penyalahgunaan komputer, kerugian akibat kesalahan proses perhitungan dan pemborosan dalam investasi. “Peran masyarakat, terutama peran para auditor teknologi informasi yang tergabung di dalam IATI sangatlah penting, untuk mengendalikan dan mengaudit perkembangan teknologi informasi agar dapat menciptakan value yang optimal dan menjamin keamanan informasi bagi pengguna teknologi informasi di tanah air,” jelasnya.

Selanjutnya, Marzan yang juga merupakan Ketua Umum IATI menyampaikan bahwa audit keamanan TIK yang selama ini sudah dilakukan dalam audit e-KTP, e-Pemilu, dan Cyber Security dalam transaksi elektronik. “Selain itu juga audit Sistem Informasi Pertahanan Negara (Sisfohaneg) yang meliputi IT Security Architecture, Cyber Defence dalam konteks C4ISR, mengatasi serangan keamanan  dengan spektrum luas, mulai cyber crime, cyber terrorism, dan cyber warfare,” urainya.

Senada dengan Kepala BPPT, Kallamulah Ramli, Staf Ahli Menteri Bidang Teknologi Kementerian Komunikasi dan Informatika turut menyampaikan bahwa pembangunan TIK dapat mendorong pertumbuhan ekonomi dan secara tidak langsung dapat menciptakan kemandirian dan daya saing bangsa Indonesia.

Kallamulah menerangkan berdasarkan data secara umum di seluruh dunia per Desember 2011 mencapai 2 miliar lebih dimana pengguna internet di Indonesia sekitar 55 juta per Desember 2011 dengan penetrasi sebesar 22,4% dari jumlah populasi penunduk. “Hal demikian menandakan kemajuan TIK khususnya pemanfaatan internet semakin menunjukkan pertumbuhan signifikan,” katanya.

Saat ini, sambungnya Indonesia terdapat 5 miliar perangkat yang mendukung jaringan internet. Pada masa-masa mendatang diprediksi akan mencapai 50 miliar perangkat. “Dengan jumlah yang semakin membesar, kebutuhan rasa aman merupakan kebutuhan utama bagi setiap pengguna yang mencakup keamanan, keselamatan dan kepastian hukum,” ungkapnya.

Sebagai upaya mempertahankan keamanan di dunia cyber, menurutnya terdapat tiga pendekatan yaitu pendekatan hukum, pendekatan security teknologi dan pendekatan sosial budaya. “Ketiga pendekatan tersebut akan memberikan solusi yang komprehensif yang mencakup faktor people, process dan technology,” tambahnya.

Pada kesempatan yang sama, Deputi Bidang Infrastruktur dan Wilayah Kemenkoperekonomian, Lucky Eko Wuryanto mengungkapkan bahwa TIK merupakan teknologi yang mewakili dari suatu kemajuan teknologi yang pesat. Dengan TIK, kita dapat menshare dengan jutaan orang sehingga segala sesuatunya menjadi transparan. “Dengan demikian, sisi lain yang  harus diperhatikan adalah keamanan informasi.  Karena di sisi itulah kita dapat memperoleh suatu manfaat secara langsung maupun tidak langsung dari segi ekonomi”, ucapnya.

Ia juga turut memberikan dorongan dan dukungan positif terkait dengan perkembangan audit keamanan informasi. “Dewasa ini, jika kita ingin masuk dalam lingkup yang berdaya saing tinggi dan menjadi pemain ekonomi global, maka kita tidak bisa hidup dalam dunia yang tidak berhubungan antara satu negara dengan negara lainnya. Intinya, diperlukan Teknologi Informasi dan Komunikasi,” tegasnya.

Workshop tersebut menurut Kepala BPPT diadakan dengan tujuan untuk memaparkan masalah-masalah di tingkat nasional terkait dengan perlunya audit keamanan teknologi informasi serta mendiskusikan solusi-solusi yang ada. Selain itu juga untuk memberikan kesadaran (awareness) akan pentingnya audit keamanan teknologi informasi, terutama bagi anggota IATI (Ikatan Auditor Teknologi Indonesia. “Diharapkan di akhir workshop nanti dapat memberi rekomendasi kepada pihak-pihak terkait baik pemerintah maupun swasta agar menerapkan audit keamanan teknologi informasi secara periodik untuk menciptakan tatakelola teknologi informasi (IT Governance) yang baik dan berkesinambungan,” tutupnya.

Sumber : KYRAS/humas - BPPT 31/05/2012 [Audit Keamanan Teknologi Informasi Untuk Kemandirian Dan Daya Saing Bangsa]

Share This :

Indonesia perlu meningkatkan keamanan transaksi elektronik sesuai standar internasional. Hal ini dilakukan agar dapat dipercaya dalam transaksi elektronik secara global.

"Zaman telah berubah, dari sistem transaksi tradisional ke transaksi elektronik. Namun sistem ini membutuhkan jaminan keamanan yang tinggi," kata Ketua Umum Ikatan Auditor Teknologi Indonesia (IATI) Marzan A Iskandar pada acara lokakarya bertema "Audit Keamanan Teknologi Informasi untuk Kemandirian dan Daya Saing Bangsa" di Jakarta, Rabu (30/5).

Dia lantas memberi contoh perusahaan penyedia layanan transaksi elektronik Amazon yang tidak bersedia melayani transaksi dari Indonesia. Pihak Amazon menganggap Indonesia tidak memiliki jaminan keamanan yang baik dalam transaksi elektronik.

Faktor keamanan informasi merupakan aspek yang sangat penting. Ini mengingat kinerja tata kelola teknologi informasi dan komunikasi (TIK) akan terganggu jika mengalami masalah keamanan. Terutama yang terkait dengan kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability).

Oleh karena itu, menurut Marzan yang juga Kepala Badan Pengkajian dan Penerapan Teknologi (BPPT) ini, audit TIK penting untuk menjamin keamanan suatu sistem. Misalnya kemungkinan penyalahgunaan pusat data center e-KTP di Kementerian Dalam Negeri atau sistem pemilihan secara elektronik (e-voting).

Dia menjelaskan, Indonesia sudah memiliki Undang-Undang (UU) Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE). UU ini mengharuskan diterapkannya tata kelola keamanan informasi secara andal dan aman serta bertanggung jawab. Selain itu ada pula standar Sistem Manajemen Keamanan Informasi (SMKI), yaitu SNI ISO/IEC 27001:2009. Ini yang menjadi pedoman dari pelaksanaan audit TIK.

Audit TIK, lanjut Marzan, diperlukan untuk menghindari kerugian akibat kehilangan data, kebocoran data, dan penyalahgunaan data. Selain itu juga untuk menghindari kesalahan proses perhitungan, kesalahan pengambilan keputusan serta pemborosan investasi perangkat keras dan lunak.

Sementara itu, Staf Ahli Menteri Komunikasi dan Informatika Bidang Teknologi, Kalamullah Ramli mengatakan, pemerintah sudah menyelesaikan rancangan Peraturan Pemerintah (RPP) tentang Penyelenggraan Sistem dan Transaksi Elektronik. Dengan ketentuan ini diharapkan bisa menciptakan rasa aman di kalangan masyarakat. Ruang lingkup RPP ini meliputi penyelenggaraan sertifikasi elektronik, penyelenggaraan agen elektronik, dan penyelenggaraan transaksi elektronik. Di samping itu penyelenggaraan sistem elektronik, tandatangan elektronik hingga lembaga sertifikasi keandalan serta nama domain.

Pemanfaatan internet kini makin menunjukkan pertumbuhan yang signifikan. Di dunia pada Desember 2011, ada 2,2 miliar lebih pengguna internet dan di Indonesia sendiri sudah ada 55 juta pengguna internet dengan penetrasi 22,4 persen dari jumlah penduduk. Saat ini di Indonesia terdapat 5 miliar perangkat yang didukung jaringan internet dan diprediksi di masa mendatang bisa mencapai 50 miliar perangkat.

Sumber : Indra - Suara Karya 31/5/2012 [TRANSAKSI ELEKTRONIK Indonesia Perlu Tingkatkan Keamanan]