Konsep Dasar Keamanan Informasi SIF61ebook.repo.mercubuana-yogya.ac.id/FTI/materi_doc... · 4...

transcript

P2Konsep Dasar Keamanan Informasi

Program Studi Sistem Informasi

Fakultas Teknologi Informasi

Universitas Mercu Buana Yogyakarta

A. Sidiq P.

Pembahasan

• Definisi Keamanan Informasi

• Ruang Lingkup

• Bidang Cakupan

• Prinsip Utama

– C.I.A Triad

– Parkerian Hexad

• Element Access Control

• Risk Management Model

• Countermeasures

SQ - http://sidiq.mercubuana-yogya.ac.id - dnd_07june07@live.com

Kemanan Informasi ???

Definisi Keamanan Informasi

• Melindungi informasi dan Sistem Informasi dari akses, penggunaan, modifikasi, perekaman, perusakan, hambatan/penolakan dari pihak yang tidak berhak

wikipedia.org

• Melindungi informasi untuk mendapatkan 3 prinsip dasarConfidentiality, Integrity dan Availability (C.I.A)

http://www.infosec.gov.hk

• Keamanan biasanya digambarkan sebagai kebebasan daribahaya atau sebagai kondisi keselamatan

Harold F. Tipton

Ruang Lingkup

• Sistem Informasi = mencakup 3 aspek utama: hardware,

software, communications

• Semua komponen tersebut bekerjasama untuk

mengelola dan menghasilkan Informasi

• Nilai informasi menentukan tingkat sekuriti yang perlu

disediakan

• Melindungi informasi, berarti melindungi semua aspek

sistem informasi

Bidang Cakupan

• Physical Security

• Access Control

• Data Security

• Application Security

• Network & Communication Security

• Risk Management

• Policy, Standard & Organization

• Etc

Prinsip Utama

Prinsip

C.I.A Triad

Parkerian Hexad

C.I.A Triad

• C.I.A. Triad = prinsip utama keamanan informasi

Confidentiality

• Bagaimana menyembunyikan informasi atau sumberdaya (memastikan agar informasi hanya dilihat orang yang berhak) ?

• Tujuan: mencegah akses yg tidak terotorisasi (unauthorized) terhadap informasi/sumberdaya.

• Contoh– Menggunakan “Strong Password”

– Menghapus data-data penting ( Shredding/Wipe)

– Enkripsi data

– Unix file permissions, access control lists

Integrity

• Apakah data/informasi bisa dipercaya atau tidak (utuh & lengkap tanpa perubahan/modifikasi) ?

• Yang dimaksud dgn integritas:– Integritas isi informasi

– Integritas sumber informasi

– Contoh: Kasus www.kilkbca.com

• Mekanisme integritas:– Pencegahan (prevention)

– Deteksi (detection)

Availability

• Apakah data/informasi yang dibutuhkan bisa diakses/digunakan atau tidak ?

• Good idiom:

– an unavailable system is at least as bad as no system at all

• Tradeoff dengan prinsip yg lain:

– Sejauh mana kita bisa menjamin avalability data dengan confidentiality dan integrity yang terjamin.

Parkerian Hexad

• Pengembangan dari C.I.A Triad

• Diajukan by Donn B. Parker tahun 2002

– confidentiality

– possession

– integrity

– authenticity

– availability

– utility

Element of Access Control

• Identification (Identifikasi)

– Siapakah kamu?

• Ex. Username, Email, Signature

• Authentication (Autentikasi)

– Bagaimana saya tahu itu kamu ?

• Menghubungkan username & password

• Fingerprints, smartcard, encryption key

• Authorization (Otorisasi)

– Apa saja yang bisa dilakukan?

• Ex. read – write – execute permission

Risk Management Model

• Model pengelolaan resiko keamanan,

digunakan untuk menghadapi ancaman (Lawrie Brown, www.cert.org)

• Tiga komponen yang memberikan

kontribusi kepada Risk, yaitu :

– Assets (aset)

– Threats (ancaman)

– Vulnerabilities (kelemahan)

Assets (Aset)

• Hardware

• Software

• Dokumentasi

• Data

• Komunikasi

• Lingkungan

• Manusia

Threat (Ancaman)

• Kemungkinan bahaya yang muncul (biasanyamemanfaatkan kelemahan (vulnerability)) untukmenerobos keamanan, sehingga menimbulkan kerugian, kerusakan atau kesalahan lainnya.

• Ex :

– Pemakai (users)

– Hacker

– Kecelakaan (accidents)

– Cracker

– Cybercrime

– Kejadian alam (banjir, kebakaran, gempa bumi)

– Malware (virus, worm, trojan )

17SQ - http://sidiq.mercubuana-yogya.ac.id - dnd_07june07@live.com

http://digcert.com/docs/symantec/symantec_report_2012.htm

Vulnerabilities (kelemahan)

• Software bugs

• Hardware bugs

• Radiasi (dari layar, transmisi)

• Unauthorized users

• Cetakan, hard copy, print out

• Keteledoran

• Cracker via telepon

• Storage media

Countermeasures

• Cara untuk menanggulangi resiko (risk),

antara lain :

– Usaha mengurangi Threat, misalnya

menggunakan software security

– Usaha mengurangi Vulnerability, misalnya

update sistem operasi

– Mendeteksi kejadian tidak bersahabat

– Kembali (recover) dari kejadian

Referensi

• CIA triad

– http://www.techrepublic.com/blog/security/the-cia-

triad/488

– http://en.wikipedia.org/wiki/CIA_triad#Key_concepts

• The three elements of access control

– http://www.techrepublic.com/blog/security/title/272

• Lainnya

– http://en.wikipedia.org/wiki/Parkerian_hexad

– http://en.wikipedia.org/wiki/Threat_(computer)

• Kelompok = 1 kelompok maksimal 2 orang

• Buatlah makalah singkat mengenai 3 prinsip yang membedakan

antara C.I.A triad dengan Parkerian Hexad!

– Nilai tambah : Jika ada pembahasan metode lain

pengembangan dari 2 prinsip di atas.

• Kirim ke FTI

• Note :

– Sebagai bahan diskusi pertemuan selanjutnya.

Thanks 4 Participating in My Class

C U Next Week

Konsep Dasar Keamanan Informasi SIF61ebook.repo.mercubuana-yogya.ac.id/FTI/materi_doc... · 4...

Documents