01 pendahuluan iso 27001
TRANSCRIPT
-
7/26/2019 01 Pendahuluan ISO 27001
1/26
Sistem Manajemen Keamanan InformasiPendahuluan
Direktorat Keamanan Informasi - KOMINFOFasilitator:1. Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP
2. Haryatno, PMP, ISMS Auditor
Malang, 17 18 April 2012
-
7/26/2019 01 Pendahuluan ISO 27001
2/26
KOMINFO - APRISMA2
Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP
Biod ata Singkat
PENDIDIKAN & KUALIFIKASI PROFESIONALBachelor of Engineering with Honours dalam bidang Aerospace Engineering (Space
Systems), dari De- partment of Aerospace Engineering, University of Bristol, United Kingdom
1990.
Doctor of Philosophy di bidang Aerospace Engineering (Advance Flight Control Systems), dari
Depart- ment of Aerospace Engineering, University of Bristol, United Kingdom 1995.
Information Security Management System Auditor (Provisional Level), Certificate #1188200,
International Register of Certificated Auditors, United Kingdom, 2005.
Certified Information System Auditor (CISA) #0542141, Information System Audit and Control
Associa- tion, USA, 2005.
Project Management Professional (PMP) #280749, Project Management Institute, USA, 2005.
Certified Information Security Manager (CISM) #0606073, Information System Audit and
Control Associa- tion, USA, 2006.
Chartered Engineer, United Kingdom Engineering Council, 2006. Chartered IT Professional
(CITP), British Computer Society, 2006.
-
7/26/2019 01 Pendahuluan ISO 27001
3/26
KOMINFO - APRISMA3
Haryatno, PMP, ISMS AuditorBiodata Singkat
Pendidikan dan Sertifikasi Profesional: FMIPA UGM, 2007
ISO 9000 Lead Auditor, 2000
Project Management Professional (PMP), PMI USA, 2001
ISO 27001 Lead Auditor, 2006
Pengalaman Konsultan: Konsultan Utama PT. Xynexis International,
Lebih dari 15 tahun sebagai konsultan dan trainer di berbagai industri di bidang Quality danManajemen Teknologi Informasi
Konsutan ISO 27001:
Telkomsel, Indosat, Astra Honda Motor, Telkom Flexi, Telkom, Pama Persada, PLN KantorPusat, Lintasarta, Bank Bukopin, Bank Indonesia, Bank BRI, e-Proc Pemkot Surabaya, dll
ISO 9001:2000
PT. Trifa Abadi, Bellua Asia Pacific, Chroma, dll
IT Project Management:
Bank Mandiri, Pusintek Depkeu, Bank Mandiri, Dirjen Pajak, Tugu Pratama, MerpatiNusantara, Sucofindo, LKBN Antara, dll
Trainer: Project Management, IT Governance
Information Security Management System (ISMS), ISO 27001
Quality Management (ISO 9001)
-
7/26/2019 01 Pendahuluan ISO 27001
4/26
KOMINFO - APRISMA 4
Pernahkah Laptop / PC hilang dilokasi kerja Anda?
Atau hilang di mobil?
HATI-HATI....... !
Sadarkah Anda bahwa file Anda
dapat diambil orang tanpa Andatahu?
-
7/26/2019 01 Pendahuluan ISO 27001
5/26KOMINFO - APRISMA5
Kasus Penyalahgunaan Data F1 2007
StepneyGate
Data Teknis Ferrari di mobil McLaren?
Hukuman untuk McLaren:Kehilangan gelar konstruktor
Denda $100 juta
FLASHBACK:
-
7/26/2019 01 Pendahuluan ISO 27001
6/26KOMINFO - APRISMA6
Pelajaran dari StepneyGate
Mengapa Pencurian DataTerjadi? Kekecewaan Senior Engineer
......I'm not currently happy with the situation within the team - I
really want to move forward with my career and that's something
that's not happening right now........
Dari Mana Ferrari Tahu?
Laporan Petugas Fotocopy......Mike Coughlan is alleged by Ferrari to be in possession of 780
pages of Ferrari documentation, and that his wife is alleged to have
taken them to a photocopying shop. Ferrari were unaware that their
technical information had been stolen until they received a tip from
an employee in the photocopying shop. The staff member saw that
the documents were confidential and belonged to Ferrari and, after
copying them, decided to contact the teams headquarters in
Italy.....
-
7/26/2019 01 Pendahuluan ISO 27001
7/26KOMINFO - APRISMA
KNOWLEDGE IS POWER
Pergeseran paradigma .........
Kekuatan tidak lagi ditentukan secara finansial, kekuasaan atausumber daya alam, tetapi........
Informasi merupakan aset (paling) penting saat ini
Informasi Menguasai dunia
7
-
7/26/2019 01 Pendahuluan ISO 27001
8/26KOMINFO - APRISMA
Apa itu Informasi?
Informasi dapat: Diciptakan Disimpan Diproses Dipancarkan Digunakan Dibuang/Dihancurkan/Dirusak
INFORMATIONis knowledge or data that has value to the organisation.
(ISO 27000:2009)
SiklusPengamana
n
Informasi
8
-
7/26/2019 01 Pendahuluan ISO 27001
9/26KOMINFO - APRISMA
Jensi/Bentuk Informasi
Kertas
Hard disk, Disket, FlashdiskCD-ROM
Tape
(Desain) Gambar
FilmPercakapan (Conversation)
9
-
7/26/2019 01 Pendahuluan ISO 27001
10/26
KOMINFO - APRISMA
Jenis-Jenis InsidenKeamanan Informasi
Incident type 2004 2005 2006 2007 2008
Denial of service 39% 32% 25% 25% 21%
Laptop theft 49% 48% 47% 50% 42%
Telecom fraud 10% 10% 8% 5% 5%
Unauthorized access 37% 32% 32% 25% 29%
Virus 78% 74% 65% 52% 50%
Financial fraud 8% 7% 9% 12% 12%
Insider abuse 59% 48% 42% 59% 44%
System penetration 17% 14% 15% 13% 13%
Sabotage 5% 2% 3% 4% 2%
Theft/loss of proprietary info 10% 9% 9% 8% 9%
Abuse of wireless network 15% 16% 14% 17% 14%
Web site defacement 7% 5% 6% 10% 6%
Misuse of Web application 10% 5% 6% 9% 11%
Theft/loss of customer data - - - 17% 17%
Source: Computer Software Institute (CSI) Survey, 2008
10
-
7/26/2019 01 Pendahuluan ISO 27001
11/26
KOMINFO - APRISMA1
1
Sumb er: PWC, Information Security Breach Survey, 2010
Apa insiden keamanan informasi terburuk yangdihadapi responden?
Apa faktor utama berinvestasi dalam kegiatankeamanan informasi?
Survey 2010: Jenis Insiden KeamananInformasi dan Alasan Investasi
-
7/26/2019 01 Pendahuluan ISO 27001
12/26
KOMINFO - APRISMA
Apa itu Keamanan Informasi?
Information Security: Preservation of confidentiality,integrityand availabilityof information.(ISO 27000:2009)
-
7/26/2019 01 Pendahuluan ISO 27001
13/26
KOMINFO - APRISMA
Komponen Keamanan Informasi
Availability:Menjamin pihak yang berwenang dapat mengakses
informasi saat diperlukan
Confidentiality:Menjamin agar informasi hanya dapat diakses oleh
pihak yang berwenang
Integrity:Mengamankan ketepatan dan kelengkapan informasidan metode pemrosesannya
RealibilitySifat konsisten dari
keadaan atau hasil yangdiinginkan.
13
-
7/26/2019 01 Pendahuluan ISO 27001
14/26
KOMINFO - APRISMA
Tantangan Pengamanan Informasi
Security vs. Usability
Sistem yang aman lebih sulit digunakan.
Password kompleks dan kuat juga lebih sulit diingat.
User lebih menyukai password yang sederhana
Attacker hanya perlu menemukan satu kelemahan,Defender perlu mengamankan seluruh titik akses.
Attacker tidak mempunyai kendala waktu (fleksibel),
Defender bekerja dengan batasan/kendala waktu dan biaya.
Attacker vs. Defender
Apakahkeamananinformasiperlu?
Management sering memandang keamanan informasi tidak menambah
nilai bisnis.
Mengidentifikasi dan menutup kelemahan sebelum layanan di rilis perlu
waktu relatif lama & tambahan biaya.
-
7/26/2019 01 Pendahuluan ISO 27001
15/26
KOMINFO - APRISMA1
5
Menjamin kelangsunganbisnis/usaha
Keamanan informasi berhubungan dengan
seluruh ko ntro l yang di tu jukan un tuk
mel indungi kerahasiaan, keutuhandan
ketersediaan informasi.
Tujuan Utama Keamanan Informasi
BUSINESS INTERRUPTIONMengatasi gangguanoperasi bisnis dengan lebihcepat
-
7/26/2019 01 Pendahuluan ISO 27001
16/26
-
7/26/2019 01 Pendahuluan ISO 27001
17/26
KOMINFO - APRISMA
Pentingnya Keamanan Informasi
Bisnis sudah sangat bergantung pada penyediaan danpengiriman informasi Sistem Informasi tidak lagi terpisah dari organisasi. Sistem
Informasi menghubungkan pemasok, pelanggan, mitra dan
pihak lainnya. Kecanggihan serangan / intrusi dari luar berkembang cepat: User pemula mungkin bisa menerobos sistem TI Anda
dengan software bantu yang tersedia
Jangan lagi mengandalkan Ketidaktahuan & Keluguansebagai kontrol.
17
-
7/26/2019 01 Pendahuluan ISO 27001
18/26
KOMINFO - APRISMA
Keuntungan
Mendorong pengamanan sistem informasi daninfrastruktur TI secara praktis, komprehensif dan denganbiaya efektif.
Membangun kerjasama yang saling percaya terhadapmitra yang terhubung secara jaringan
Meningkatkan jaminan kualitas informasi Membuktikan diterapkannya standar keamanan informasi
yang tepat
Menambah kemampuan untuk mengelola danmeningkatkan daya tahan TI terhadap suatu bencana
18
K K I f i
-
7/26/2019 01 Pendahuluan ISO 27001
19/26
KOMINFO - APRISMA19
Kapan Keamanan InformasiDiterapkan?
Jika terdapat informasi berklasifikasi rahasia,penting, atau berharga Jika kebocoran, kerusakan dan
ketidaktersediaannya menimbulkan RISIKO yangberdampak besar bagi organisasi
Pengamanan informasi diawali dengan Klasifikasi
Informasi dan Kajian Risikoterhadap gangguankerahasiaan, keutuhan, dan ketersediaan informasi.
-
7/26/2019 01 Pendahuluan ISO 27001
20/26
KOMINFO - APRISMA
Keamanan .vs. Kenyamanan
20
-
7/26/2019 01 Pendahuluan ISO 27001
21/26
KOMINFO - APRISMA21
Hirarki Framework Tata Kelola TI- Konsep/Model -
KEBIJAKAN TATA KELOLA TI
PENGELOLAAN PROYEK TI PENGELOLAANOPERASIONAL LAYANAN TI
(ISO 20000)
STANDAR SOFTWARE
QUALITY (CMMI)Pengelolaan
Kelangsungan Layanan TI
SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)
ISO 27001
RENCANA STRATEGIS TI
(IT Blue Print/Master Plan)
MONITORING DAN EVALUASI(COBIT)
RENCANA STRATEGIS ORGANISASIGOOD CORPORATE GOVERNANCE
-
7/26/2019 01 Pendahuluan ISO 27001
22/26
KOMINFO - APRISMA22
Tata Kelola TI vs Undang-Undang & Regulasi
COBIT Control Objective for Information and related Technology ISO 27001 Information Security Management System ISO 20000 Information Technology Service Management PMBOK Project Management Body of Knowledge CMMI Capability Maturity Model Integration (Software Quality)
Undang-Undang & Regulasi:UU No. 19/2002 tentang Hak Cipta
UU No.11/2008 tentang Informasi dan Transaksi Elektronik
Permen Kominfo No.28/Per/M.Kominfo/9/2006 tentangPenggunaan nama Domain go.id
Peraturan Bank Indonesia No. 09/15/PBI/2007 Manajemen Risiko
Penggunaan TI bagi Bank Umum
Permen Kominfo No.41/PER/Men.Kominfo/11/2007 tentangPanduan Umum Tata Kelola TIk Nasional
Draft UU No. ??? tentang Rahasia Negara
-
7/26/2019 01 Pendahuluan ISO 27001
23/26
KOMINFO - APRISMA23
ISO 27001:2005 vs Regulasi BankISO 27001:2005
Standar internasional untuk Sistem ManajemenKeamanan Informasi (Information SecurityManagement System - ISMS): Menetapkan persyaratan-persyaratan dan kontrol untuk
melindungi keamanan informasi
Peraturan Bank Indonesia: 09/15/PBI/2007
Regulasi tentang Penerapan Manajemen Risiko dalamPenggunaan Teknologi Informasi (TI) oleh Bank Umum:
Kewajiban penerapan Manajemen Risiko dalam penggunaan TIdengan mengamankan proses, Teknologi & aset yang berharga bagi
Bank Aset yang berharga meliputi: data perangkat lunak, perangkat
keras, jaringan komunikasi data, sarana pendukung dan SDM(Lampiran SE BI: 9/30/DPNP 12 Des 07)
Pentingkah
-
7/26/2019 01 Pendahuluan ISO 27001
24/26
KOMINFO - APRISMA
PentingkahKeamanan Informasi bagi Anda?
Seberapa banyak (masif) informasi yang Andabutuhkan dan / atau Anda Kelola?
Seberapa besar RISIKO yang menyertaiInformasi dan Sistem Teknologinya bagi
organisasi Anda?
24
-
7/26/2019 01 Pendahuluan ISO 27001
25/26
KOMINFO - APRISMA
Kelemahan yang ada dalam Network
Internet
Internal LAN
Internet/DMZ/Servers
Remote Access Servers
Border Router
Internal Router
1. Inadequate Router
Access Control
Mobile/home user
2. Unsecured / Unmonitored Remote
Access
3. Information Leakage Via
Zone Transfer & Services
(SMTP, Telnet)
4. Running Unnecessary
Services (FTP, DNS, SMTP)
5. Weak
or ReusedPasswords
6. User Accts with
Excessive Privileges
7. Mis-configured
Internet Servers
8. Mis-configured
Firewall or Router
9. Un-patched, Outdated Software
with DefaultConfigurations
10. Excessive File & Directory
Access Controls
Workstation
Source: Hacking Exposed McClure, Scambray & Kurtz
25
-
7/26/2019 01 Pendahuluan ISO 27001
26/26
KOMINFO - APRISMA
Hambatan Keamanan Informasi
Membangun sistem yang aman dan kompleks tidakmudah
Faktor Manusia: Keamanan mensyaratkan kesiapanbudaya, bukan sekedar teknologi
Investasi Keamanan tidak segera dapat dipetik hasilnya
Keengganan pimpinan mengeluarkan biaya untukkeamanan ...... SAMPAI ADA KEJADIAN
Sejak kapan Gedung Perkantoran, Bank,Minimarket dilengkapi dengan CCTV?
26