Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

Transkripsi

1 Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005 presented by Melwin Syafrizal STMIK AMIKOM YOGYAKARTA 2012

2 1. Latar Belakang Banyak instansi/institusi memiliki kumpulan data dan informasi penting yang harus dikelola dengan benar, dijaga kerahasiannya, integritasnya dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan tersedia saat dibutuhkan. 1

3 2. Rumusan Masalah Adakah suatu sistem pengelolaan keamanan informasi yang terstandar, yang dapat diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan, sekaligus dapat mengarahkan kinerja karyawan, meningkatkan kepercayaan publik, karena perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi?

4 3. Batasan Masalah Topik pembahasan dibatasi pada bagaimana implementasi ISMS sesuai standar ISO/IEC 27001:2005 dengan membuat perhitungan terhadap resiko keamanan (security risk assessment).

5 KERAHASIAAN (Confidentiality) C Landasan Teori Keamanan informasi terdiri dari perlindungan terhadap aspekaspek berikut: Informasi INTEGRITAS (Integrity) I A KETERSEDIAAN (Availability)

6 ANCAMAN KEAMANAN ICT Teknis Ekonomi Politik Keamanan Negara

7 Mengapa diperlukan keamanan informasi? Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh yang benar.

8 UK business network attack unauthorised outsider in the last year Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar (31% perusahaan besar mendapat ancaman percobaan pembobolan jaringan, 11% perusahaan kecil menengah, 13% telah terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada perusahaan kecil).

9 Dasar Manajemen Keamanan Informasi Informasi Sebagai Aset Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi, (memiliki nilai tertentu bagi perusahaan atau organisasi). Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan atau organisasi. Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.

10 Jenis informasi yang perlu dilindungi Electronic files Software files Data files Paper documents Printed materials Hand written notes Photographs Recordings Video recordings Audio recordings Communications Conversations Telephone conversations Cell phone conversations Face to face conversations Messages messages Fax messages Video messages Instant messages Physical messages

11 Perlukah keamanan informasi bagi perusahaan? Bagaimana perusahaan/organisasi mempersiapkan diri dan mengimplementasikan sistem manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi, sesuai kebutuhan dan kemampuan serta berstandar nasional/internasional.

12 Bagaimana memulai perlindungan keamanan informasi? Implementasi Best Practice Nasional atau Internasional? Cakupan ISMS Bagaimana menganalisis kebutuhan keamanan informasi? ISO IEC 27001:2005 GAP Analysis Tool Risk Assesment Tools Risk Management

13 Best Practice Best Practices IT & Security International Standard: 1. BS7799 milik Inggris 2. ISO/IEC : ISO/IEC : BSI IT baseline protection manual 5. COBIT 6. GASSP (Generally Accepted System Security Principles) 7. ISF Standard of good practice 8. ITIL SNI 27001:2009 (Standar Indonesia)

14 Model of an ISMS

15 Identifikasi yang diperlukan 1. Mengidentifikasi kebutuhan bisnis di masa depan 2. Mengidentifikasi resiko jika mengalami kegagalan menerapkan sistem keamanan 3. Mengidentifikasi jenis-jenis informasi yang perlu dilindungi, 4. Inventarisasi kekayaan (bangunan, hardware, software, sdm, intelektual, sistem, disain, dll) yang perlu dilindungi.

16 Identifikasi Lanjut 5. Mengidentifikasi kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola. 6. Melakukan penilaian terhadap upaya perlindungan aset (sdm, bangunan, peralatan, teknologi, sistem, informasi, HaKI, dll) 7. Melakukan pengamatan untuk mempelajari kondisi jaringan komputer 8. Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem jaringan komputer yang digunakan.

17 Identifikasi Lebih Lanjut 9. Melakukan pentration testing sebagai tindak lanjut apabila ditemukan vulnerability. 10. Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang dikelola. 11. Melakukan perancangan/perbaikan security policy yang digunakan, 12. Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu dibuat security policy yang disesuaikan dengan kondisi di lingkungan Perusahaan/Instansi.

18 Hal-hal yang perlu dipersiapkan Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen Keamanan Informasi Mempersiapkan mental karyawan untuk menghadapi perubahan budaya kerja, bila jadi implementasi Best Practice Standar Sistem Manajemen Keamanan Informasi Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi Standar Sistem Manajemen Keamanan Informasi Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll

19 Kesulitan-kesulitan Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam proses penerapan pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan. Kesulitan lain untuk penerapan ISO/IEC 27001:2005 pimpinan perusahaan/organisasi tidak memahami pentingnya mengelola keamanan informasi, tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan.

20 11 control clause Security policy. Organization of information security. Asset management. Human resources security. Physical and environmental security. Communications and operations management. Access control. Information system acquisition, development, and maintenance. Information security incident management. Business continuity management. Compliance.

21 Cakupan ISMS Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan. Information Security sering menjadi tantangan besar bagi para praktisi information security untuk dapat dijual ke manajemen dan para decision maker.

22 HASIL PENILAIAN Contoh Hasil identifikasi kondisi jaringan Awalnya, jaringan komputer di instansi dibangun tanpa perencanaan yang matang. Organisasi belum mempersiapkan diri untuk mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat, Perencanaan pengembangan menyedot energi sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih program atau resource mana yang akan dikembangkan terlebih dulu. Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer.

23

24 Topologi Network yang direncanakan

25 Kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola. Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan maupun informasi yang dimiliki, security policy yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau network engineer. Banyak aturan belum tertulis dan ditetapkan oleh pimpinan namun di implementasikan oleh administrator, hanya berdasarkan keinginan pribadi.

26 Assesment Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu melayani dan mengamankan infrastruktur jaringan yang sudah besar, Fasilitas komputer tidak dipelihara dengan baik, tidak ada sosialisasi pemanfaatan jaringan komputer yang ada, penggunaan jaringan belum efektif. Staf teknis biasanya bekerja berdasarkan komplain dari staf/karyawan atau permintaan pimpinan, Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi. Tidak ada job description tertulis, biasanya masingmasing staf bekerja berdasarkan kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasingmasing bagian.

27 Vulnerability di sistem jaringan komputer

28 Hasil pengamatan topologi jaringan Hasil pengamatan topologi jaringan dan capture / monitoring jaringan dari access point dibeberapa titik, mengindikasikan masih buruknya topologi jaringan Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal. Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer gateway maupun server, memiliki IP Publik yang terhubung langsung dengan jaringan internet Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung langsung ke internet, masih sangat minim (konfigurasi minimal).

29 Hal yang harus disadari dari ISMS Information Security adalah sebuah proses bukan produk, sebuah proses yang bertujuan untuk mengidentifikasi dan meminimalkan resiko sampai ke tingkat yang dapat diterima, proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu industri. ISMS merupakan sebuah kerangka kerja dalam business plan perusahaan, bukan sekedar program IT Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan organisasi, seperti: perbankan, pemerintahan, manufaktur, dan lain-lain.

30 Langkah-langkah untuk mendesain ISMS Langkah pertama adalah memilih kerangka kerja yang sesuai dengan industri/perusahaan yang akan di aplikasikan (diimplementasikan). Langkah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak dipahami) pada saat ISMS sudah dijalankan. Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses implementasi policy dan prosedur ISMS dapat dijalankan dengan baik dan benar oleh seluruh jajaran pimpinan dan karyawan. Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul environment dimana ISMS akan dibangun, baik dari sisi organisasi atau teknologi yang ada disana.

31 1. Risk assessment 2. Top down approach 3. Functional roles 4. Write the policy 5. Write the standards Enam langkah persiapan dalam membangun ISMS 6. Write guidelines and procedures

32

33 Kesimpulan ISO/IEC dapat diimplementasikan sebagai Information Security Management System (ISMS). ISO/IEC 27001:2005 mencakup semua jenis organisasi/ perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan.

34 Beberapa saran umum bagi instansi Saran berfikir positip dan melakukan analisa yang lebih dalam untuk melihat manfaat yang dapat diperoleh dari implementasi ISMS, bila belum berkenan mengimplementasikan ISMS secara menyeluruh, dapat mencoba implementasi beberapa kontrol yang sesuai untuk diterapkan, mulai mendokumentasikan rencana kerja dan rencana pengembangan bisnis (menulis apa yang akan dikerjakan dan mengerjakan apa yang dituliskan), membuat laporan hasil pekerjaan yang telah dilakukan dan mengevaluasi segala hal yang telah dikerjakan

35