Konsep Dasar Keamanan Informasi SIF61ebook.repo.mercubuana-yogya.ac.id/FTI/materi_doc... · 4...
Transcript of Konsep Dasar Keamanan Informasi SIF61ebook.repo.mercubuana-yogya.ac.id/FTI/materi_doc... · 4...
P2Konsep Dasar Keamanan Informasi
SIF61
Program Studi Sistem Informasi
Fakultas Teknologi Informasi
Universitas Mercu Buana Yogyakarta
A. Sidiq P.
2
Pembahasan
• Definisi Keamanan Informasi
• Ruang Lingkup
• Bidang Cakupan
• Prinsip Utama
– C.I.A Triad
– Parkerian Hexad
• Element Access Control
• Risk Management Model
• Countermeasures
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
4
Definisi Keamanan Informasi
• Melindungi informasi dan Sistem Informasi dari akses, penggunaan, modifikasi, perekaman, perusakan, hambatan/penolakan dari pihak yang tidak berhak
wikipedia.org
• Melindungi informasi untuk mendapatkan 3 prinsip dasarConfidentiality, Integrity dan Availability (C.I.A)
http://www.infosec.gov.hk
• Keamanan biasanya digambarkan sebagai kebebasan daribahaya atau sebagai kondisi keselamatan
Harold F. Tipton
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
5
Ruang Lingkup
• Sistem Informasi = mencakup 3 aspek utama: hardware,
software, communications
• Semua komponen tersebut bekerjasama untuk
mengelola dan menghasilkan Informasi
• Nilai informasi menentukan tingkat sekuriti yang perlu
disediakan
• Melindungi informasi, berarti melindungi semua aspek
sistem informasi
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
6
Bidang Cakupan
• Physical Security
• Access Control
• Data Security
• Application Security
• Network & Communication Security
• Risk Management
• Policy, Standard & Organization
• Etc
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
7
Prinsip Utama
Prinsip
C.I.A Triad
Parkerian Hexad
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
8
C.I.A Triad
• C.I.A. Triad = prinsip utama keamanan informasi
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
9
Confidentiality
• Bagaimana menyembunyikan informasi atau sumberdaya (memastikan agar informasi hanya dilihat orang yang berhak) ?
• Tujuan: mencegah akses yg tidak terotorisasi (unauthorized) terhadap informasi/sumberdaya.
• Contoh– Menggunakan “Strong Password”
– Menghapus data-data penting ( Shredding/Wipe)
– Enkripsi data
– Unix file permissions, access control lists
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
10
Integrity
• Apakah data/informasi bisa dipercaya atau tidak (utuh & lengkap tanpa perubahan/modifikasi) ?
• Yang dimaksud dgn integritas:– Integritas isi informasi
– Integritas sumber informasi
– Contoh: Kasus www.kilkbca.com
• Mekanisme integritas:– Pencegahan (prevention)
– Deteksi (detection)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
11
Availability
• Apakah data/informasi yang dibutuhkan bisa diakses/digunakan atau tidak ?
• Good idiom:
– an unavailable system is at least as bad as no system at all
• Tradeoff dengan prinsip yg lain:
– Sejauh mana kita bisa menjamin avalability data dengan confidentiality dan integrity yang terjamin.
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
12
Parkerian Hexad
• Pengembangan dari C.I.A Triad
• Diajukan by Donn B. Parker tahun 2002
– confidentiality
– possession
– integrity
– authenticity
– availability
– utility
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
13
Element of Access Control
• Identification (Identifikasi)
– Siapakah kamu?
• Ex. Username, Email, Signature
• Authentication (Autentikasi)
– Bagaimana saya tahu itu kamu ?
• Menghubungkan username & password
• Fingerprints, smartcard, encryption key
• Authorization (Otorisasi)
– Apa saja yang bisa dilakukan?
• Ex. read – write – execute permission
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
14
Risk Management Model
• Model pengelolaan resiko keamanan,
digunakan untuk menghadapi ancaman (Lawrie Brown, www.cert.org)
• Tiga komponen yang memberikan
kontribusi kepada Risk, yaitu :
– Assets (aset)
– Threats (ancaman)
– Vulnerabilities (kelemahan)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
15
Assets (Aset)
• Hardware
• Software
• Dokumentasi
• Data
• Komunikasi
• Lingkungan
• Manusia
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
16
Threat (Ancaman)
• Kemungkinan bahaya yang muncul (biasanyamemanfaatkan kelemahan (vulnerability)) untukmenerobos keamanan, sehingga menimbulkan kerugian, kerusakan atau kesalahan lainnya.
• Ex :
– Pemakai (users)
– Hacker
– Kecelakaan (accidents)
– Cracker
– Cybercrime
– Kejadian alam (banjir, kebakaran, gempa bumi)
– Malware (virus, worm, trojan )
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
17SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
18SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
http://digcert.com/docs/symantec/symantec_report_2012.htm
19
Vulnerabilities (kelemahan)
• Software bugs
• Hardware bugs
• Radiasi (dari layar, transmisi)
• Unauthorized users
• Cetakan, hard copy, print out
• Keteledoran
• Cracker via telepon
• Storage media
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
20
Countermeasures
• Cara untuk menanggulangi resiko (risk),
antara lain :
– Usaha mengurangi Threat, misalnya
menggunakan software security
– Usaha mengurangi Vulnerability, misalnya
update sistem operasi
– Mendeteksi kejadian tidak bersahabat
– Kembali (recover) dari kejadian
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
21
Referensi
• CIA triad
– http://www.techrepublic.com/blog/security/the-cia-
triad/488
– http://en.wikipedia.org/wiki/CIA_triad#Key_concepts
• The three elements of access control
– http://www.techrepublic.com/blog/security/title/272
• Lainnya
– http://en.wikipedia.org/wiki/Parkerian_hexad
– http://en.wikipedia.org/wiki/Threat_(computer)
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
22
Tugas
• Kelompok = 1 kelompok maksimal 2 orang
• Buatlah makalah singkat mengenai 3 prinsip yang membedakan
antara C.I.A triad dengan Parkerian Hexad!
– Nilai tambah : Jika ada pembahasan metode lain
pengembangan dari 2 prinsip di atas.
• Kirim ke FTI
• Note :
– Sebagai bahan diskusi pertemuan selanjutnya.
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
24SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]
25
Thanks 4 Participating in My Class
C U Next Week
SQ - http://sidiq.mercubuana-yogya.ac.id - [email protected]