Tag Archives: Information Security

Share This :

Kriptografi adalah suatu ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga. Menurut Bruce Scheiner dalam bukunya "Applied Cryptography", kriptografi adalah ilmu pengetahuan dan seni menjaga message-message agar tetap aman (secure).

Dalam kriptografi terdapat dua konsep utama yakni enkripsi dan dekripsi. Enkripsi adalah proses dimana informasi/data yang hendak dikirim diubah menjadi bentuk yang hampir tidak dikenali sebagai informasi awalnya dengan menggunakan algoritma tertentu. Dekripsi adalah kebalikan dari enkripsi yaitu mengubah kembali bentuk tersamar tersebut menjadi informasi awal.

proses_enkripsi_dekripsi

Berikut adalah istilah-istilah yang digunakan dalam bidang kriptografi :

  • Plaintext adalah pesan yang hendak dikirimkan (berisi data asli).
  • Ciphertext adalah pesan ter-enkrip (tersandi) yang merupakan hasil enkripsi.
  • Enkripsi adalah proses pengubahan plaintext menjadi ciphertext.
  • Dekripsi adalah kebalikan dari enkripsi yakni mengubah ciphertext menjadi plaintext, sehingga berupa data awal/asli.
  • Kunci adalah suatu bilangan yang dirahasiakan yang digunakan dalam proses enkripsi dan dekripsi. Peranan kunci sangatlah penting dalam proses enkripsi dan dekripsi (disamping pula algoritma yang digunakan) sehingga kerahasiaannya sangatlah penting, apabila kerahasiaannya terbongkar, maka isi dari pesan dapat diketahui.

JENIS ALGORITMA KRIPTOGRAFI

Algoritma kriptografi berdasarkan jenis kunci yang digunakan dapat dibedakan menjadi dua jenis yaitu :
1. Algoritma Simetris (symmetric algorithm)
Algoritma simetris  adalah suatu algoritma dimana kunci enkripsi yang digunakan sama dengan kunci dekripsi sehingga algoritma ini disebut juga sebagai single-key algorithm. Sebelum melakukan pengiriman pesan, pengirim dan penerima harus memilih suatu suatu kunci tertentu yang sama untuk dipakai bersama, dan kunci ini haruslah rahasia bagi pihak yang tidak berkepentingan sehingga algoritma ini disebut juga algoritma kunci rahasia (secret-key algorithm).

kriptografi_simetrisKelebihan :

  • Kecepatan operasi lebih tinggi bila dibandingkan dengan algoritma asimetrik.
  • Karena kecepatannya yang cukup tinggi, maka dapat digunakan pada sistem real-time

Kelemahan :

  • Untuk tiap pengiriman pesan dengan pengguna yang berbeda dibutuhkan kunci yang berbeda juga, sehingga akan terjadi kesulitan dalam manajemen kunci tersebut.
  • Permasalahan dalam pengiriman kunci itu sendiri yang disebut “key distribution problem”

2. Algoritma Asimetris (asymmetric algorithm)
Algoritma asimetris  adalah suatu algoritma dimana kunci enkripsi yang digunakan tidak sama dengan kunci dekripsi. Pada algoritma ini menggunakan dua kunci yakni kunci publik (public key) dan kunci privat (private key). Kunci publik disebarkan secara umum sedangkan kunci privat disimpan secara rahasia oleh si pengguna. Walau kunci publik telah diketahui namun akan sangat sukar mengetahui kunci privat yang digunakan. Pada umumnya kunci publik (public key) digunakan sebagai kunci enkripsi sementara kunci privat (private key) digunakan sebagai kunci dekripsi.

kriptografi_asimetrisKelebihan :

  • Masalah keamanan pada distribusi kunci dapat lebih baik
  • Masalah manajemen kunci yang lebih baik karena jumlah kunci yang lebih sedikit

Kelemahan :

  • Kecepatan yang lebih rendah bila dibandingkan dengan algoritma simetris
  • Untuk   tingkat   keamanan   sama,   kunci   yang   digunakan   lebih   panjang dibandingkan dengan algoritma simetris.

Share This :

Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi) merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Jadi jika mengacu pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses “Plan - Do - Check - Act (PDCA)” maka untuk mengimplementasikannya diperlukan dukungan manajemen. Berikut tahapan dalam model PDCA :

isms_pdcaPLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

  1. Ruang lingkup ISMS,
    Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
  2. Pendekatan Metodologi berbasis Risiko
    Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :

        Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
        Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
        Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.
  3. Penentuan Kebijakan ISMS
    Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
  4. SOA (Statement of Applicability)
    Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:

  1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
  2. Pengawasan implementasi dari ISMS.
  3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
  4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

  1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
  2. Pengukuran efektifitas dari suatu control yang diterapakan.
  3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain :

  1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
  2. Memastikan kegagalan tidak terulang kembali.
  3. Knowledge transfer dari hasil peningkatan.

Share This :

Akses jaringan internet di lingkungan kerja, serta kebebasan dalam menggunakan perangkat seperti MP3, USB, flashdisk, CD dan lainnya di kantor menjadikan kejadian pencurian data rentan terjadi. Oleh karena itu, perusahaan perlu mengambil sejumlah langkah untuk mengamankan data di lingkungan kerja.

Data merupakan sesuatu yang sangat vital bagi bisnis. Jika data sensitif sampai jatuh ke tangan yang salah dan kemudian disalahgunakan, dampaknya bisa sangat buruk, seperti pelanggan atau nasabah diambil alih, rahasia perusahaan diketahui, sehingga dapat mempengaruhi daya saing bisnis dalam industri.

risk-analysisBerikut ini adalah tahap-tahap yang dapat Anda lakukan dalam mengelola risiko keamanan data di lingkungan kerja.

Pengukuran Risiko
Pertama, lakukan risk assessment, yakni pengukuran risiko. Lakukan analisa mengenai risiko-risiko data apa saja yang mungkin dicuri, peran karyawan mana saja yang terekspos terhadap risiko, juga analisa bagaimana kebijakan teknologi di lingkungan kerja.

Pada umumnya, data-data yang rentan untuk dicuri antara lain adalah:
• informasi rahasia
• rahasia dagang
• informasi hubungan dengan pelanggan, supplier, dan partner bisnis lainnya
• informasi hubungan dengan prospek pelanggan
• informasi mengenai tenaga kerja, dan skill-nya

Analisa dan Langkah Mengelola Risiko
Selanjutnya, analisa karyawan mana saja yang berpotensi untuk menghadirkan risiko tersebut. Biasanya adalah karyawan yang bisa langsung mengakses data dan informasi tersebut di atas, yang pada umumnya tidak tersedia secara bebas di perusahaan. Untuk mencegah risiko yang datangnya dari karyawan, maka dalam klausul kontrak dapat dimasukkan mengenai batasan-batasan bagi karyawan dalam mengakses dan memperlakukan data dan informasi tersebut.

Misalnya, karyawan tidak diperkenankan untuk membawa data dan informasi keluar dari kantor, kemudian seluruh hasil pekerjaan yang dilakukan oleh karyawan adalah milik kantor dan tidak boleh dibawa ketika karyawan sudah tidak bekerja disana lagi, tidak boleh dibagi dengan orang lain, dan sebagainya. Anda juga harus membuat konsekuensi yang jelas mengenai pelanggaran peraturan ini.

Lalu bagaimana dengan kebijakan mengenai penggunaan hardware dan software yang selama ini dikeluarkan oleh kantor? Apakah kontrolnya sudah efektif? Hardware dan software merupakan perangkat yang menyimpan data-data Anda, sehingga perlu diterapkan kebijakan dan kontrol yang ketat. Berikut ini adalah langkah-langkah yang dapat Anda ambil dalam mengelola risiko keamanan data.

Selalu gunakan password untuk mengakses database, dokumen dan file yang mengandung data dan informasi yang sensitif. Ini perlu untuk membatasi supaya hanya orang-orang tertentu saja yang dapat mengakses data dan informasi tersebut.

Amankan jaringan Anda dengan firewall dan antivirus, untuk mencegah pihak luar atau hacker menyusup ke dalam jaringan kantor Anda; mengirimkan trojan, virus atau spyware; dan mencuri data dan informasi yang sensitif.

Terapkan kebijakan penggunaan hardware yang ketat, seperti melarang perangkat eksternal seperti flash disk, MP3 player, hard disk external, CD, dan sejenisnya yang dapat digunakan untuk menyimpan data. Jangan ada CD/DVD writer, kecuali beberapa PC yang digunakan khusus untuk itu dan dikelola administrator. .

Anda juga dapat mengurangi risiko dalam menyimpan data sensitif dengan cara membuang data-data yang sudah tidak digunakan lagi. Namun Anda harus menyortir dengan ketat, jangan sampai data yang masih diperlukan oleh divisi lain terbuang. Sesuaikan juga dengan regulasi, yang mungkin mensyaratkan Anda untuk menyimpan data-data tertentu.

Kadang, perusahaan juga punya partner outsourcing yang menyimpan data-data, termasuk data sensitif. Jika demikian, maka tugas perusahaan harus menjamin bahwa partner outsourcing dapat menjaga data-data tersebut dengan serius. Mereka juga harus memahami konsekuensi jika data tersebut bocor ke tempat lain.

Data sensitif biasanya dijaga oleh karyawan-karyawan tertentu saja yang berkepentingan. Karena data itu begitu penting, oleh karena itu Anda harus memberikan reward yang pantas juga bagi karyawan tersebut, supaya memastikan bahwa karyawan tersebut menjaga datanya dengan baik. Jika tidak demikian, maka karyawan tersebut bisa saja lengah atau malah tergoda untuk menjual data ke pihak lain.

Terakhir, masalah mengamankan data ini, karena sifatnya strategis, maka harus dibangun awareness kepada seluruh karyawan di organisasi. Perusahaan harus menekankan pentingnya menjaga data sesuai dengan kebijakan dan prosedur yang sudah berlaku, serta konsekuensinya jika terjadi pelanggaran.

1 Comment

Share This :

One Time Pad adalah salah satu contoh metode kriptografi dengan algoritma jenis simetri. Ditemukan pada tahun 1917 oleh Major Yoseph Mouborgne dan Gilbert Vernam pada perang dunia ke dua. Metode ini telah diklaim sebagai satu-satunya algoritma kriptografi sempurna yang tidak dapat dipecahkan. Suatu algoritma dikatakan aman, apabila tidak ada cara untuk menemukan plaintext-nya Sampai saat ini, hanya algoritma One Time Pad (OTP) yang dinyatakan tidak dapat dipecahkan meskipun diberikan sumber daya yang tidak terbatas. Algoritma One Time Pad adalah salah satu jenis algorima simetri (konvensional).

OTP

Jumlah kunci sama panjangnya dengan jumlah plaintext. Jika anda ingin agar ciphertext sulit untuk di pecahkan maka pemakaian kunci seharusnya :

* Jangan gunakan kunci yang berulang
* Pilihkan kunci yang random

Rumus melakukan One Time Pad ini yaitu :

Enkripsi : E(x) = (P(x) + K(x) ) Mod 26

Dekripsi : D(x) = (C(x) – K(x) ) Mod 26

CARA I

Pemakaian One Time Pad digunakan pada sederetan abjad A..Z dengan memberikan nilai urutan abjad yaitu A=0, B=1, C=2, D=3, E=4…..sampai Z.

Contoh Enkripsi Pesan :

Pesan : ZENSHIFU
Kunci : OTIMEPAD
maka perhatikan langkahnya seperti di bawah ini :

Plaintext 25(Z) 4(E) 13(N) 18(S) 7(H) 8(I) 5(F) 20(U)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
-------------------------------------------- +
Hasil mod 26 13 23 21 4 11 23 5 23
Chipertext N X V E L X F X
Jadi Chipertext yang di hasilkan yaitu : NXVELXFX

Dekripsi pesan, perhatikan langkah di bawah ini

Chipertext 13(N) 23(X) 21(V) 4(E) 11(L) 23(X) 5(F) 23(X)
Kunci 14(O) 19(T) 8(I) 12(M) 4(E) 15(P) 0(A) 3(D)
------------------------------------------------ -
Hasil mod 26 25 4 13 18 7 8 5 20
Plaintext Z E N S H I F U
Jadi Plaintext yaitu : ZENSHIFU

OTP_enkrip_v2 OTP_dekrip_v2
Encrypt One Time Pad
Decrypt One Time Pad

Untuk mempermudah pemahaman dan melihat algoritmanya, maka saya menggunakan yang gampang-gampang aja, yaitu dengan memanfaatkan Ms. Excel. File One Time Pad on Excel tersebut bisa di download. Disitu bisa merubah plaintext, chipertext maupun kuncinya. Klik aja linknya :D Dengan algoritma ini, enkripsi dekripsi one time pad bisa diterapkan dalam bahasa pemrograman apapun, baik visual basic, php, delphi maupun java. Karena intinya adalah merubah character ke desimal kemudian melakukan perhitungan dan mod. Lalu hasilnya mengembalikannya lagi dari desimal ke character. Saya pernah membuat program one time pad menggunakan visual basic dengan algoritma yang sama.

CARA II

Cara yang ini lebih simple, karena urutan hurufnya merupakan bilangan desimal yang sesuai dengan standard internasional, yaitu sesuai dengan ASCII Table. Bisa dilihat di http://www.asciitable.com/. Namun prinsipnya sama saja yaitu melakukan penjumlahan kemudian mod 26 untuk encrypt, dan melakukan pengurangan kemudian mod 26 untuk decrypt. Semuanya ada di dalam File One Time Pad on Excel.

Algoritma One Time Pad nya adalah :
1. Merubah huruf-huruf (Character) tersebut menjadi bilangan desimal.
Function yang digunakan : CODE(Character)
2. Melakukan penjumlahan jika Enkripsi, dan melakukan pengurangan jika dekripsi
3. Hasil pengurangan atau penjumlahan di mod 26
Function yang digunakan : MOD(Bilangan;26)
4. Hasilnya dikembalikan lagi menjadi Huruf / Character
Function yang digunakan : CHAR(Bilangan)

Enkripsi One Time Pad

One Time Pad Encrypt

Dekripsi One Time Pad

One Time Pad Decrypt

Share This :

“Kemajuan Teknologi Informasi dan Komunikasi (TIK) berlangsung sedemikian cepat. Secara langsung dan tidak langsung sangat mempengaruhi percepatan pembangunan bangsa. Oleh karena itu, kita semua harus mengantisipasi dan memanfaatkan pesatnya kemajuan TIK demi kemajuan Indonesia,” ungkap Kepala BPPT Marzan A Iskandar saat Workshop Audit Keamanan Teknologi Informasi untuk Kemandirian dan Daya Saing Bangsa & Raker Ikatan Auditor Teknologi Indonesia (IATI) Tahun 2012 di auditorium BPPT (30/5).

Audit TIK, lanjutnya, sangat diperlukan agar terhindar dari kerugian akibat kehilangan data, kesalahan dalam pengambilan keputusan, resiko kebocoran data, penyalahgunaan komputer, kerugian akibat kesalahan proses perhitungan dan pemborosan dalam investasi. “Peran masyarakat, terutama peran para auditor teknologi informasi yang tergabung di dalam IATI sangatlah penting, untuk mengendalikan dan mengaudit perkembangan teknologi informasi agar dapat menciptakan value yang optimal dan menjamin keamanan informasi bagi pengguna teknologi informasi di tanah air,” jelasnya.

Selanjutnya, Marzan yang juga merupakan Ketua Umum IATI menyampaikan bahwa audit keamanan TIK yang selama ini sudah dilakukan dalam audit e-KTP, e-Pemilu, dan Cyber Security dalam transaksi elektronik. “Selain itu juga audit Sistem Informasi Pertahanan Negara (Sisfohaneg) yang meliputi IT Security Architecture, Cyber Defence dalam konteks C4ISR, mengatasi serangan keamanan  dengan spektrum luas, mulai cyber crime, cyber terrorism, dan cyber warfare,” urainya.

Senada dengan Kepala BPPT, Kallamulah Ramli, Staf Ahli Menteri Bidang Teknologi Kementerian Komunikasi dan Informatika turut menyampaikan bahwa pembangunan TIK dapat mendorong pertumbuhan ekonomi dan secara tidak langsung dapat menciptakan kemandirian dan daya saing bangsa Indonesia.

Kallamulah menerangkan berdasarkan data secara umum di seluruh dunia per Desember 2011 mencapai 2 miliar lebih dimana pengguna internet di Indonesia sekitar 55 juta per Desember 2011 dengan penetrasi sebesar 22,4% dari jumlah populasi penunduk. “Hal demikian menandakan kemajuan TIK khususnya pemanfaatan internet semakin menunjukkan pertumbuhan signifikan,” katanya.

Saat ini, sambungnya Indonesia terdapat 5 miliar perangkat yang mendukung jaringan internet. Pada masa-masa mendatang diprediksi akan mencapai 50 miliar perangkat. “Dengan jumlah yang semakin membesar, kebutuhan rasa aman merupakan kebutuhan utama bagi setiap pengguna yang mencakup keamanan, keselamatan dan kepastian hukum,” ungkapnya.

Sebagai upaya mempertahankan keamanan di dunia cyber, menurutnya terdapat tiga pendekatan yaitu pendekatan hukum, pendekatan security teknologi dan pendekatan sosial budaya. “Ketiga pendekatan tersebut akan memberikan solusi yang komprehensif yang mencakup faktor people, process dan technology,” tambahnya.

Pada kesempatan yang sama, Deputi Bidang Infrastruktur dan Wilayah Kemenkoperekonomian, Lucky Eko Wuryanto mengungkapkan bahwa TIK merupakan teknologi yang mewakili dari suatu kemajuan teknologi yang pesat. Dengan TIK, kita dapat menshare dengan jutaan orang sehingga segala sesuatunya menjadi transparan. “Dengan demikian, sisi lain yang  harus diperhatikan adalah keamanan informasi.  Karena di sisi itulah kita dapat memperoleh suatu manfaat secara langsung maupun tidak langsung dari segi ekonomi”, ucapnya.

Ia juga turut memberikan dorongan dan dukungan positif terkait dengan perkembangan audit keamanan informasi. “Dewasa ini, jika kita ingin masuk dalam lingkup yang berdaya saing tinggi dan menjadi pemain ekonomi global, maka kita tidak bisa hidup dalam dunia yang tidak berhubungan antara satu negara dengan negara lainnya. Intinya, diperlukan Teknologi Informasi dan Komunikasi,” tegasnya.

Workshop tersebut menurut Kepala BPPT diadakan dengan tujuan untuk memaparkan masalah-masalah di tingkat nasional terkait dengan perlunya audit keamanan teknologi informasi serta mendiskusikan solusi-solusi yang ada. Selain itu juga untuk memberikan kesadaran (awareness) akan pentingnya audit keamanan teknologi informasi, terutama bagi anggota IATI (Ikatan Auditor Teknologi Indonesia. “Diharapkan di akhir workshop nanti dapat memberi rekomendasi kepada pihak-pihak terkait baik pemerintah maupun swasta agar menerapkan audit keamanan teknologi informasi secara periodik untuk menciptakan tatakelola teknologi informasi (IT Governance) yang baik dan berkesinambungan,” tutupnya.

Sumber : KYRAS/humas - BPPT 31/05/2012 [Audit Keamanan Teknologi Informasi Untuk Kemandirian Dan Daya Saing Bangsa]

Share This :

Indonesia perlu meningkatkan keamanan transaksi elektronik sesuai standar internasional. Hal ini dilakukan agar dapat dipercaya dalam transaksi elektronik secara global.

"Zaman telah berubah, dari sistem transaksi tradisional ke transaksi elektronik. Namun sistem ini membutuhkan jaminan keamanan yang tinggi," kata Ketua Umum Ikatan Auditor Teknologi Indonesia (IATI) Marzan A Iskandar pada acara lokakarya bertema "Audit Keamanan Teknologi Informasi untuk Kemandirian dan Daya Saing Bangsa" di Jakarta, Rabu (30/5).

Dia lantas memberi contoh perusahaan penyedia layanan transaksi elektronik Amazon yang tidak bersedia melayani transaksi dari Indonesia. Pihak Amazon menganggap Indonesia tidak memiliki jaminan keamanan yang baik dalam transaksi elektronik.

Faktor keamanan informasi merupakan aspek yang sangat penting. Ini mengingat kinerja tata kelola teknologi informasi dan komunikasi (TIK) akan terganggu jika mengalami masalah keamanan. Terutama yang terkait dengan kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability).

Oleh karena itu, menurut Marzan yang juga Kepala Badan Pengkajian dan Penerapan Teknologi (BPPT) ini, audit TIK penting untuk menjamin keamanan suatu sistem. Misalnya kemungkinan penyalahgunaan pusat data center e-KTP di Kementerian Dalam Negeri atau sistem pemilihan secara elektronik (e-voting).

Dia menjelaskan, Indonesia sudah memiliki Undang-Undang (UU) Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE). UU ini mengharuskan diterapkannya tata kelola keamanan informasi secara andal dan aman serta bertanggung jawab. Selain itu ada pula standar Sistem Manajemen Keamanan Informasi (SMKI), yaitu SNI ISO/IEC 27001:2009. Ini yang menjadi pedoman dari pelaksanaan audit TIK.

Audit TIK, lanjut Marzan, diperlukan untuk menghindari kerugian akibat kehilangan data, kebocoran data, dan penyalahgunaan data. Selain itu juga untuk menghindari kesalahan proses perhitungan, kesalahan pengambilan keputusan serta pemborosan investasi perangkat keras dan lunak.

Sementara itu, Staf Ahli Menteri Komunikasi dan Informatika Bidang Teknologi, Kalamullah Ramli mengatakan, pemerintah sudah menyelesaikan rancangan Peraturan Pemerintah (RPP) tentang Penyelenggraan Sistem dan Transaksi Elektronik. Dengan ketentuan ini diharapkan bisa menciptakan rasa aman di kalangan masyarakat. Ruang lingkup RPP ini meliputi penyelenggaraan sertifikasi elektronik, penyelenggaraan agen elektronik, dan penyelenggaraan transaksi elektronik. Di samping itu penyelenggaraan sistem elektronik, tandatangan elektronik hingga lembaga sertifikasi keandalan serta nama domain.

Pemanfaatan internet kini makin menunjukkan pertumbuhan yang signifikan. Di dunia pada Desember 2011, ada 2,2 miliar lebih pengguna internet dan di Indonesia sendiri sudah ada 55 juta pengguna internet dengan penetrasi 22,4 persen dari jumlah penduduk. Saat ini di Indonesia terdapat 5 miliar perangkat yang didukung jaringan internet dan diprediksi di masa mendatang bisa mencapai 50 miliar perangkat.

Sumber : Indra - Suara Karya 31/5/2012 [TRANSAKSI ELEKTRONIK Indonesia Perlu Tingkatkan Keamanan]

1 Comment

Share This :

Kementerian Pendidikan dan Kebudayaan (Kemdikbud) bersama Institut Teknologi Bandung (ITB) akan meningkatkan keamanan internet di Indonesia. Sebuah program dan tim khusus dibentuk untuk tujuan ini.

Sebagai langkah awal, akan diseleksi 50 orang untuk digembleng agar memiliki keahlian tingkat dunia di bidang keamanan internet. Penanggung jawab program, Yusep Rohmansyah, mengatakan,cyber security merupakan isu serius di banyak negara, baik dalam sektor pemerintahan maupun sektor swasta.

Tak main-main, biaya proyek ini mencapai 5,5 juta dollar AS yang didapat dari hibah Korea International Cooperation Agency (KOICA).

"Kurangnya tenaga profesional membuat Indonesia mengalami banyak kerugian atas serangan cyber. Itulah kenapa program ini dirancang," kata Yusep, di Gedung Kemdikbud, Jakarta, Selasa (17/7/2012) malam.

Dosen ITB ini menjelaskan, proyek ini sudah dimulai bulan ini dan akan selesai pada Juni 2014. Nantinya akan ada tiga modul di dalamnya, yaitu pembangunan pusat cyber security, pendidikan program cyber security, serta R & D program.

Gedung pusat cyber security rencananya akan dibangun di Kampus ITB Jatinangor. Melalui program ini, 25 sarjana akan dilatih untuk mencapai tingkat dunia dalam keterampilan praktis cyber security, seperti teknologi kriptografi dan teknik hacking.

Sementara 25 orang lainnya merupakan staf senior bidang informasi yang akan dilatih sebagai konsultan atau petugas keamanan di lembaga-lembaga pemerintahan dan sektor swasta.

"Seleksi ini terbuka untuk umum. Dosen dan mahasiswa ITB juga akan terlibat dalam beberapa bidang," ujarnya. Untuk mencapai tujuan optimal, kata dia, Kemdikbud juga dilibatkan untuk membantu semua prosedur yang diperlukan. Seperti penyediaan lahan, pengiriman peralatan, dan pekerjaan administrasi lainnya.

Kemdikbud akan banyak terlibat dalam pemantauan, kemajuan, dan keberlanjutan proyek tersebut. "Pelatihan di luar negeri juga akan dilaksanakan, dan Pemerintah Korea akan membantu mengirimkan tenaga ahli untuk membuat rencana induk, desain arsitektur, dan saran teknis," paparnya.

Sumber : Indra Akuntono - Kompas 18/7/2012 [Dicari! 50 Orang untuk Jadi "Polisi" Internet Indonesia]

Share This :

Kementerian Komunikasi dan Informatika (Kominfo) melontarkan wacana pembentukan tim penanganan insiden keamanan informasi. Proses penggodokan tim ini sendiri melibatkan Academic CSIRT, Id-CERT, Id-SIRTII, Banking CERT, Telko-CERT serta Direktorat Keamanan Informasi sebagai penyelenggara.

Beberapa isu terkait keamanan informasi dilontarkan dalam pertemuan tersebut. Seperti terkait defacement, DDOS, theft, malware dan segudang istilah penyerangan keamanan informasi.

Acara dibuka oleh Aswin Sasongko, Dirjen Aplikasi dan Telematika yang melontarkan beberapa kejadian insiden keamanan informasi di dunia penerbangan, serangan ke web pemerintahan, serta bagaimana pemerintah mengatasi berbagai serangan tersebut.

Para panelis mengemukakan berbagai pengalamannya di dalam mengelola CSIRT. Seperti Id-SIRTII disampaikan oleh ketua barunya Rudy Lumanto yang memberikan ilustrasi melindungi informasi layaknya melindungi sebuah benteng dan aset yang ada di dalamnya.

Panelis berikutnya Academic CSIRT yang diwakili oleh sang ketua IGN Mantra. Ia mengemukakan bahwa memberikan kesadaran informasi tidak bisa secepat kilat, pendidikan merupakan cikal bakal bagi anak-anak untuk belajar berbagai hal termasuk mengamankan informasi. Seyogyanya, mendidik dalam mengamankan informasi itu harus dilakukan sejak dini.

Academic CSIRT merupakan wadah bagi perguruan tinggi yang sedang menerapkan keamanan informasi dan menjadi contact point bila terjadi insiden keamanan informasi.

Panelis terakhir adalah Telko-CERT yang diwakili oleh Yusril Sini. Ia mengemukakan tentang grand scenario cyber security, ada beberapa domain yang saling terkait untuk melindungi keamanan informasi seperti mengamankan operation & maintenance, new services & application, optimize existing, dan lainnya.

Kesimpulan dari pertemuan itu adalah informasi memang milik bersama tetapi informasi tersebut harus dijaga keamanannya. Ada berbagai cara untuk melumpuhkan dan mengambil informasi kritis tersebut dan banyak pula cara untuk melindunginya.

"Yang paling penting dari semuanya adalah nasionalisme, siapa lagi yang melindungi informasi negara kita bila tidak kita sendiri sebagai warga negara republik Indonesia," pungkas IGN Mantra.

Sumber: Ardhi Suryadhi - detikinet - 24/02/2012 [Kominfo Godok Tim Penanganan Insiden Keamanan Informasi]

2 Comments

Share This :

Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance/GCG). Pemerintah telah menetapkan peraturan terkait dengan Tata Kelola TIK yaitu melalui Peraturan Menteri Komunikasi Dan Informatika Nomor: 41/PER/MEN.KOMINFO/11/2007 Tentang PANDUAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI NASIONAL.

Namun di dalam Permen tersebut tidak mencakup keamanan infromasi secara mendalam. Sedangkan dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Untuk itu Republik Indonesia  melalui  Kementrian Komunikasi dan Informatika RI telah membuat suatu panduan untuk penerapan tata kelola keamanan informasi,  panduan itu dikeluarkan oleh Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika RI dan diberi nama Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik

Hal ini menunjukkan bahwa negara peduli terhadap keaman informasi sehingga memberikan panduan kepada penyelenggara pelayanan publik. Tujuan dari panduan ini adalah agar instansi/lembaga penyelenggara pelayanan publik:

  • Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten dengan pendekatan berbasis risiko.
  • Mampu melakukan penilaian mandiri (self-assesment) secara objektif dengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)
  • Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan informasi
  • Memahami roadmap penerapan tata kelola keamanan informasi

Panduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaran pelayanan publik yang meliputi: Instansi pemerintah pusat dan daerah, BUMN, BUMD dan penyelenggara pelayanan publik lainnya. Dalam panduan tersebut terdapat lima area evaluasi yang merupakan kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. 5 (lima) area tersebut adalah:

  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi

Buku panduan tersebut dapat dilihat di Repositori Digital Kominfo

1 Comment

Share This :

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari  gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan.

Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi milik perusahaan  Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.

Berdasarkan penjelasan tersebut, ‘kemananan teknologi informasi’ merupakan bagian dari keseluruhan aspek ‘keamanan informasi’. Karena teknologi informasi merupakan salah satu alat atau tool penting yang digunakan untuk mengamankan akses serta penggunaan dari data dan informasi perusahaan. Dari pemahaman ini pula, kita akan mengetahui bahwa teknologi informasi bukanlah satu-satunya aspek yang memungkinkan terwujudnya konsep keamanan informasi di perusahaan.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

  • Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
  • Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi
  • Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
  • Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
  • Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model, adalah sebagai berikut:

  1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
  2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
  3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak. Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.