Keamanan Aset Informasi

18 June 2010 at 16:32 (Certified Information Systems Auditor (CISA))

Memahami Ancaman

Definisi keamanan:

  • Vulnerability
  • Risk
  • Threat
  • Exposure
  • Countermeasure
  • Subject
  • Object

Serangan keamanan dari luar:

Serangan dari Luar

Serangan keamanan dari dalam:

Serangan dari Dalam

Serangan terstruktur

Karakteristik serangan terstruktur:

  1. Mean
  2. Determination
  3. Knowledge
  4. Funds
  5. Time

Serangan Terstruktur

Serangan tidak struktur

Serangan Tidak Struktur

Trend Keamanan Modern

Trend Keamanan Modern

Keamanan Fundamental

Keamanan Fundamental

Kerahasiaan

Kerahasiaan

Integritas

Integritas

Ketersediaan

Ketersidiaan

Ancaman dan kejahatan komputer

  1. Pencurian
  2. Penipuan
  3. Sabotase
  4. Pemerasan
  5. Pengintaian Industri
  6. Pengungkapan yang tidak sah
  7. Kehilangan kredibilitas
  8. Kehilangan kepemilikan informasi
  9. Konsekuensi Hukum

Identifikasi Pelaku Kejahatan

  1. Hackers
  2. Crackers
  3. Script Kiddies
  4. Penghianatan Karyawan
  5. Ethical Hacker Gone Bad
  6. Third Parties
  7. Ignorance

Metode Penyerangan

  1. Penyerangan secara pasif: Analisis jaringan, Host Traffic Analysis, Eavesdropping
  2. Penyerangan secara aktif: Social Engineering, Phishing, Dumpster Diving, Virus, Worm, Logic Bomb, Trapdoor, Brute Force Attack, DoS, IP Fragmentation Attack, Crash-restart, Maintenance Account, Remote Access Attack, Source Routing, Salami Technique, Packet Replay, Message Modification, Email Spamming and Spoofing.

Menggunakan Perlindungan Administrasi

Manajemen keamanan informasi

  • Chief Security Officer
  • Chief Privacy Officer
  • Keamanan Sistem Informasi manager

Kontrol Akses

Kontrol Akses

IT Security Governance

  • Publik: Informasi untuk konsumsi publik
  • Sensitif: ada tipe data tertentu kebutuhan yang harus diungkapkan kepada pihak tertentu tetapi tidak untuk semua orang
  • Private, hanya untuk internal: klasifikasi data hanya untuk penggunaan internal biasa diterapkan untuk prosedur operasi dan kerjacatatan
  • Rahasia: ini adalah kategori tertinggi keamanan umum klasifikasi di luar pemerintah

Peran otoritas atas Data

  • Data Owner: Eksekutif atau manajer yang bertanggung jawab untuk isi data
  • Data User: orang yang mendapat manfaat dari data terkomputerisasi
  • Data Custodian: Bertanggung jawab untuk melaksanakan penyimpanan dataperlindungan dan memastikan ketersediaan data.

Peran Otoritas atas Data

Menggunakan Perlindungan Admin

  • Data Retention: prosedur untuk menyimpan data, berapa lama untuk menyimpan data dan melepas data.
  • Document Access path: Semua jalur akses dokumen dikenal seperti peta fisik.
  • Personnel Management: Setiap individu harus menjalani proses pelatihan kesadaran keamanan.
  • Physical Access: Daerah sensitif, layanan port, konsol komputer.

Melaksanakan Perlindungan Fisik

Teknik untuk Meningkatkan Perlindungan fisik

  • Televisi sirkuit tertutup
  • Penjaga
  • Kunci Khusus: Kunci elektronik , sandi kunci, biometrics
  • Pengendalian Lingkungan: Tombol darurat untuk mematikan power ,  UPS, Generator, Dual Power Lead, Power Transfer System
  • Pendeteksi asap, panas dan kebakaran
  • Percikan Api (Wet Pipe Sys, Dry Pipe Sys, Dry
    Chemical Sys)
  • Penyimpanan yang aman
  • Penyimpanan Off-site
  • Media Transportasi
  • Pelepasan Prosedur  (Overwriting, Degaussing)

Menggunakan Perlindungan Teknis

Teknis Perlindungan = Perlindungan Logis

Klasifikasi Kontrol Teknis : Discretionary Access Control

Menggunakan Perlindungan Teknis

Kewajiban Akses Kontrol

Kewajiban Kontrol Akses

Role-Based Access Control

Role-Based Access Control

Aturan Hak Minimal

Aturan Hak Minimal

Metode Otentifikasi

3 Type Otentifikasi:

  1. Type 1: Sesuatu yang diketahui seseorang
  2. Type 2: Sesuatu yang telah dimiliki seseorang
  3. Type 3: Karakteristik Fisik

2 Faktor Otentifikasi:

  1. Kartu ATM + PIN
  2. Kartu Kredit + Signature
  3. User Name + Password

3 Faktor Otentifikasi:

  1. Password + Token + Scan Sidik Jari
  2. Pin + Kartu + Scan Mata

Biometrik:

  1. Scan Sidik Jari
  2. Scan Telapak Tangan
  3. Scan Mata
  4. Scan Selaput Pelangi (di bola mata)
  5. Scan Wajah

Pelindungan Akses Jaringan:

– Single Sign On

Single Sign On

– Network Firewall: packet filter, apps proxy server filter, stateful inspection, adaptive
response, kernel process
– Wireless Access
– Remote Dial-Up Access
– Intrusion Detection System: Host Based and Network Based
– IDS Methods Detecting: Statistical, Signature, Neural

Intrusion Detection Systems

NIDS and HIDS

Honeypots and Honeynets

Enkripsi

– Private Key System/ Symmetric Key: Kunci Tunggal adalah berbagi antara pengirim dan penerima

Private Key System

– Public Key/Asymmetric Key: pasangan kunciterdiri dari kunci rahasia yang dilindungi oleh pemilik, kunci publik yang kedua adalah bebas didistribusikan.

Public Key

– Digital Signatures

Digital Signatures

Public Key Infrastructure (PKI)

  • Certify Authority (CA)
  • Registration Authority (RA)
  • Certificate Revocation List (CLR)
  • Certification Practice Statement (CPS)

Public Key Infrastructure (PKI)

Save to PDF

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: