(1) Dokumen tersebut membahas implementasi sistem manajemen keamanan informasi berstandar ISO/IEC 27001:2005 untuk melindungi aset penting perusahaan. (2) Dibahas pula langkah-langkah identifikasi kebutuhan keamanan informasi, penilaian risiko, dan desain sistem manajemen keamanan informasi. (3) ISO/IEC 27001 dapat diimplementasikan untuk mengelola risiko keamanan informasi di berbagai organisasi dan industri.
TUGAS SIM, ACHMAT NURFAUZI, YANANTO MIHADI PUTRA S.E., M.Si., CMA, IMPLEMENTA...
20120930 studikasus isms
1. Studi Kasus
INFORMATION SECURITY MANAGEMENT SYSTEM
(ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005
presented by Melwin Syafrizal
STMIK AMIKOM YOGYAKARTA
2012
2. 1. Latar Belakang
Banyak instansi/institusi memiliki kumpulan
data dan informasi penting yang harus dikelola
dengan benar, dijaga kerahasiannya,
integritasnya dan ketersediaannya, agar data
atau informasi hanya dapat diakses oleh yang
berwenang, tidak diubah oleh siapapun yang
tidak berhak. Informasi harus akurat, dan
tersedia saat dibutuhkan.
1
3. 2. Rumusan Masalah
Adakah suatu sistem pengelolaan keamanan
informasi yang terstandar, yang dapat
diimplementasikan dengan baik, sehingga dapat
melindungi aset penting perusahaan, sekaligus
dapat mengarahkan kinerja karyawan,
meningkatkan kepercayaan publik, karena
perusahaan dapat menjamin kerahasiaan,
integritas, dan ketersedian informasi ?
4. 3. Batasan Masalah
Topik pembahasan dibatasi pada “bagaimana
implementasi ISMS sesuai standar ISO/IEC
27001:2005” dengan membuat perhitungan
terhadap resiko keamanan (security risk
assessment).
5. KERAHASIAAN Landasan Teori
(Confidentiality)
Keamanan
informasi terdiri
C
dari perlindungan
terhadap aspek-
aspek berikut:
Informasi
I A
INTEGRITAS KETERSEDIAAN
(Integrity) (Availability)
7. Mengapa diperlukan keamanan informasi?
Keamanan informasi memproteksi informasi dari
ancaman yang luas untuk memastikan
kelanjutan usaha, memperkecil rugi perusahaan
dan memaksimalkan laba atas investasi dan
kesempatan usaha.
Manajemen sistem informasi memungkinkan
data untuk terdistribusi secara elektronis,
sehingga diperlukan sistem untuk memastikan
data telah terkirim dan diterima oleh yang benar.
8. UK business network attack unauthorised
outsider in the last year
Hasil survey ISBS tahun 2008
menunjukkan bahwa terdapat
banyak jaringan bisnis di
Inggris (UK) telah
mendapatkan serangan dari
luar (31% perusahaan besar
mendapat ancaman percobaan
pembobolan jaringan, 11%
perusahaan kecil menengah,
13% telah terjadi penyusupan
dalam jaringan perusahaan
besar dan 4% pada
perusahaan kecil).
9. Dasar Manajemen Keamanan Informasi
Informasi Sebagai Aset
Informasi merupakan salah satu aset penting bagi
sebuah perusahaan atau organisasi, (memiliki nilai
tertentu bagi perusahaan atau organisasi).
Kerahasiaan dan integritas informasi dapat
menjamin kelangsungan bisnis perusahaan atau
organisasi.
Perlindungan terhadap informasi dengan
meminimalisir kerusakan karena kebocoran sistem
keamanan informasi, mempercepat kembalinya
investasi dan memperluas peluang usaha.
10. Jenis informasi yang perlu dilindungi
Electronic files Communications
Software files Conversations
Data files • Telephone
conversations
Paper documents • Cell phone
Printed materials conversations
Hand written notes • Face to face
conversations
Photographs Messages
Recordings • Email messages
Video recordings • Fax messages
Audio recordings • Video messages
• Instant messages
• Physical messages
11. Perlukah keamanan informasi bagi
perusahaan?
Bagaimana perusahaan/organisasi
mempersiapkan diri dan mengimplementasikan
sistem manajemen keamanan informasi yang
sesuai dengan kondisi perusahaan/organisasi,
sesuai kebutuhan dan kemampuan serta ber-
standar nasional/internasional.
12. Bagaimana memulai perlindungan
keamanan informasi?
Implementasi Best Practice
Nasional atau Internasional ?
Cakupan ISMS
Bagaimana menganalisis kebutuhan
keamanan informasi?
ISO IEC 27001:2005 GAP Analysis Tool
Risk Assesment Tools
Risk Management
13. Best Practice
Best Practices IT & Security International Standard:
1. BS7799 milik Inggris
2. ISO/IEC 17799 : 2005
3. ISO/IEC 27001 : 2005
4. BSI IT baseline protection manual
5. COBIT
6. GASSP (Generally Accepted System Security Principles)
7. ISF Standard of good practice
8. ITIL
• SNI 27001:2009 (Standar Indonesia)
15. Identifikasi yang diperlukan
1. Mengidentifikasi kebutuhan bisnis di masa
depan
2. Mengidentifikasi resiko jika mengalami
kegagalan menerapkan sistem keamanan
3. Mengidentifikasi jenis-jenis informasi yang perlu
dilindungi,
4. Inventarisasi kekayaan (bangunan, hardware,
software, sdm, intelektual, sistem, disain, dll)
yang perlu dilindungi.
16. Identifikasi Lanjut …
5. Mengidentifikasi kelayakan dokumen yang
dijadikan standar keamanan, dan kondisi
sumber daya manusia yang mengelola.
6. Melakukan penilaian terhadap upaya
perlindungan aset (sdm, bangunan, peralatan,
teknologi, sistem, informasi, HaKI, dll)
7. Melakukan pengamatan untuk mempelajari
kondisi jaringan komputer
8. Melakukan scanning terhadap kemungkinan
ditemukannya vulnerability di sistem jaringan
komputer yang digunakan.
17. Identifikasi Lebih Lanjut …
9. Melakukan pentration testing sebagai tindak
lanjut apabila ditemukan vulnerability.
10. Mendokumentasi langkah penanganan dan
kesiapan apabila nantinya ditemukan
vulnerability yang baru pada sistem keamanan
jaringan komputer dan informasi yang dikelola.
11. Melakukan perancangan/perbaikan ”security
policy” yang digunakan,
12. Apabila belum ada dokumen yang dijadikan
acuan standar keamanan, maka perlu dibuat
security policy yang disesuaikan dengan kondisi
di lingkungan Perusahaan/Instansi.
18. Hal-hal yang perlu dipersiapkan
Identifikasi kesiapan instansi untuk menerapkan
Best Practice Standar Sistem Manajemen
Keamanan Informasi
Mempersiapkan mental karyawan untuk
menghadapi perubahan budaya kerja, bila jadi
implementasi Best Practice Standar Sistem
Manajemen Keamanan Informasi
Merpersiapkan konsultan dan team leader untuk
membantu/mensukseskan implementasi Standar
Sistem Manajemen Keamanan Informasi
Pendekatan ke pimpinan,untuk mendapatkan
dukungan. seperti : SK tugas, penetapan, dll
19. Kesulitan-kesulitan
Menyamakan persepsi tentang pentingnya keamanan
dan kesadaran untuk terlibat dalam proses penerapan
pemilihan metode pendekatan untuk risk assessment,
melakukan identifikasi resiko,
memperkirakan resiko, dan
memilih kendali yang tepat untuk diterapkan.
Kesulitan lain untuk penerapan ISO/IEC 27001:2005
pimpinan perusahaan/organisasi tidak memahami
pentingnya mengelola keamanan informasi,
tidak memahami keterkaitan antara keamanan
informasi dengan kepercayaan publik terhadap
jaminan layanan yang diberikan.
20. 11 control clause
Security policy.
Organization of information security.
Asset management.
Human resources security.
Physical and environmental security.
Communications and operations management.
Access control.
Information system acquisition, development, and
maintenance.
Information security incident management.
Business continuity management.
Compliance.
21. Cakupan ISMS
Information Security Management System (ISMS)
merupakan sebuah kesatuan sistem yang disusun
berdasarkan pendekatan resiko bisnis, untuk
pengembangan, implementasi, pengoperasian,
pengawasan, pemeliharaan serta peningkatan
keamaan informasi perusahaan.
Information Security sering menjadi tantangan
besar bagi para praktisi information security untuk
dapat “dijual” ke manajemen dan para “decision
maker”.
22. HASIL PENILAIAN
Contoh Hasil identifikasi kondisi jaringan
Awalnya, jaringan komputer di instansi dibangun
tanpa perencanaan yang matang.
Organisasi belum mempersiapkan diri untuk
mengantisipasi ekspansi bisnis yang berkembang
dengan sangat pesat,
Perencanaan pengembangan menyedot energi
sumberdaya perusahaan yang terbatas, dan pada
akhirnya perusahaan akan memilih program atau
resource mana yang akan dikembangkan terlebih
dulu.
Salah satu sumberdaya yang mungkin memperoleh
urutan belakang untuk dikembangkan atau
mendapat perhatian khusus adalah infrastruktur IT
khususnya jaringan komputer.
25. Kelayakan dokumen yang dijadikan
standar keamanan, dan kondisi sumber
daya manusia yang mengelola.
Saat ini instansi belum memiliki dokumen standar untuk
mengelola keamanan jaringan maupun informasi yang
dimiliki,
”security policy” yang coba ditetapkan selama ini hanya
berupa aturan-aturan yang coba ditetapkan berdasarkan
pengetahuan administrator jaringan, atau network
engineer.
Banyak aturan belum tertulis dan ditetapkan oleh
pimpinan namun di implementasikan oleh administrator,
hanya berdasarkan keinginan pribadi.
26. Assesment
Staf teknis pengelola infrastruktur jaringan Departemen
IT 2-3 orang, tidak akan mampu melayani dan
mengamankan infrastruktur jaringan yang sudah besar,
Fasilitas komputer tidak dipelihara dengan baik, tidak ada
sosialisasi pemanfaatan jaringan komputer yang ada,
penggunaan jaringan belum efektif.
Staf teknis biasanya bekerja berdasarkan komplain dari
staf/karyawan atau permintaan pimpinan,
Pekerjaan yang sudah dikerjakan (sesuai rencana),
sering tidak didokumentasi.
Tidak ada job description tertulis, biasanya masing-
masing staf bekerja berdasarkan kebiasaan (rutinitas)
dan memiliki tugas lain selain tugas utama dimasing-
masing bagian.
28. Hasil pengamatan topologi jaringan
Hasil pengamatan topologi jaringan dan capture /
monitoring jaringan dari access point dibeberapa titik,
mengindikasikan masih buruknya topologi jaringan
Tingkat keamanan fisik dan logisnya masih rendah. Hal
ini dapat menimbulkan ancaman yang serius terhadap
layanan, data dan informasi yang terdapat di jaringan
lokal.
Ancaman-ancaman datang dari dalam maupun dari luar,
dikarenakan beberapa komputer gateway maupun
server, memiliki IP Publik yang terhubung langsung
dengan jaringan internet
Menurut administrator jaringan, firewall yang diterapkan
pada node-node yang terhubung langsung ke internet,
masih sangat minim (konfigurasi minimal).
29. Hal yang harus disadari dari ISMS
Information Security adalah sebuah proses bukan
produk, sebuah proses yang bertujuan untuk
mengidentifikasi dan meminimalkan resiko sampai ke
tingkat yang dapat diterima, proses tersebut harus dapat
dikelola. ISMS tidak spesifik mengarah kesalah satu
industri.
ISMS merupakan sebuah kerangka kerja dalam
business plan perusahaan, bukan sekedar program IT
Departemen. ISMS dapat dimodifikasi dan diterapkan di
berbagai industri dan organisasi, seperti: perbankan,
pemerintahan, manufaktur, dan lain-lain.
30. Langkah-langkah untuk mendesain ISMS
Langkah pertama adalah memilih kerangka kerja yang
sesuai dengan industri/perusahaan yang akan di aplikasikan
(diimplementasikan).
Langkah kedua penyamaan terminology supaya tidak ada
area abu-abu (yang tidak dipahami) pada saat ISMS sudah
dijalankan.
Langkah ketiga Authorization dan ownership, sebelum di
implementasikan, maka pimpinan dari organisasi tersebut
harus memberikan komitmen dan dukungan yang kuat agar
proses implementasi policy dan prosedur ISMS dapat
dijalankan dengan baik dan benar oleh seluruh jajaran
pimpinan dan karyawan.
Langkah keempat Environment, untuk mengimplementasikan
ISMS harus mengerti betul environment dimana ISMS akan
dibangun, baik dari sisi organisasi atau teknologi yang ada
disana.
31. Enam langkah persiapan dalam
membangun ISMS
1. Risk assessment
2. Top down approach
3. Functional roles
4. Write the policy
5. Write the standards
6. Write guidelines and procedures
32.
33. Kesimpulan
ISO/IEC 27001 dapat diimplementasikan sebagai
Information Security Management System (ISMS).
ISO/IEC 27001:2005 mencakup semua jenis organisasi/
perusahaan (seperti perusahaan swasta, lembaga
pemerintahan, atau lembaga nirlaba).
ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk
membuat, menerapkan, melaksanakan, memonitor,
menganalisa dan memelihara serta mendokumentasikan
ISMS dalam konteks resiko bisnis organisasi/perusahaan
keseluruhan.
34. Saran
Beberapa saran umum bagi instansi
berfikir positip dan melakukan analisa yang lebih dalam
untuk melihat manfaat yang dapat diperoleh dari
implementasi ISMS,
bila belum berkenan mengimplementasikan ISMS secara
menyeluruh, dapat mencoba implementasi beberapa
kontrol yang sesuai untuk diterapkan,
mulai mendokumentasikan rencana kerja dan rencana
pengembangan bisnis (menulis apa yang akan dikerjakan
dan mengerjakan apa yang dituliskan),
membuat laporan hasil pekerjaan yang telah dilakukan
dan mengevaluasi segala hal yang telah dikerjakan