Senin, 20 November 2017

Posttest V-Class Analisis Kinerja Sistem

      MANAJEMEN KONTROL KEAMANAN 
      Berikut ini adalah jawaban dari soal v-class POSTTEST mata kuliah Analisis Kinerja Sistem oleh Bu Yulia Chalri.
        Langkah-langkah utama pelaksanaan program keamanan untuk melindungi aset sistem informasi terdiri dari :
Gambar 1. Langkah Utama Program Keamanan

1.       Persiapan Rencana Pekerjaan (Preparation of a Project Plan)
            Perencanaan proyek untuk tinjauan keamanan mengikuti item sebagai berikut:
  • Tujuan review
  • Ruang lingkup review
  • Tugas yang harus dipenuhi
  • Organisasi dari tim proyek
  • Sumber anggaran (pendanaan)
  • Jadwal untuk menyelesaikan tugas
2.      Identifikasi Kekayaan (Identification of Asset)
            Kategori asset:
  • Personel (pengguna akhir, analis, programmer, operator, pegawai, security)
  • Harsware (mainframe, minicomputer, microcomputer, disk, printer, communication lines, concentrator, terminal)
  • Dokumentasi (sistem dan program, basis data, rencana dasar, insuransi, kontrak)
  • Persediaan (alat-alat yang dapat dicairkan, kertas, tape, kaset)
  • Data/informasi (file asli, file transaksi, file arsip)
  • Software aplikasi (debitor, creditor, sales, inventory)
  • Sistem Software (compilers, utilitas, DBMS, sistem operasi, software komunikasi, spreadsheets)

3.      Penilaian Kekayaan (Valuation of Asset)
            Mengukur penilaian kekayaan dengan cara penilaian kekayaan yang hilang (lost), waktu periode untuk perhitungan atas hilangnya kekayaan, dan umur asset.
Gambar 2. Penilaian Kekayaan.
4.      Identifikasi Ancaman-ancaman (Threats Identification)

Gambar 3. Ancaman.

        Sumber ancaman Eksternal: 
  • Kejadian alami (Nature / acts of god)
  • h/w suppliers
  • s/w suppliers
  •  kontaktor
  • suppliers sumber daya lainnya
  • competitor (sabotase, pengintaian, perkara hokum, masalah finansial secara wajar ataupun tidak terhadap competitor)
  • hutang dan hak pemilik
  • perpaduan (pelanggaran, sabotase, gangguan)
  • pemerintahan
  • lingkungan (gangguan, publisitas yang kurang baik)
  • criminal/hackers (pencurian, sabotase, pengintaian, pemerasan) 

        Sumber ancaman Internal:
  • manajemen (kesalahan dalam penyediaan sumber daya, perencanaan dan control yang tidak cukup)
  • pegawai (kesalahan pemakai, pencurian, penipuan, sabotase, pemerasan, penggunaan layanan yang tidak sah)
  • sistem yang tidak stabil (kesalahan hardware, kesalahan software, kesalahan fasilitas)

5.   Penilaian Kemungkinan Ancaman (Threats Likelihood Assessments)
            Sebagai contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan terjadinya kebakaran api dalam satu waktu periode tertentu.
6.      Analisis Expose (Exposures Analysis)
            Tahap analisis expose terdiri dari 4 tugas, yaitu:
  • Identifikasi control ditempat
  • Penilaian keandalan control ditempat
  • Evaluasi kemungkinan bahwa insiden ancaman akan berhasil
  • Menilai kerugian yang dihasilkan dari ancaman

7.      Mengatur Kontrol (Adjust Controls)
       Cukupannya meliputi cara mengelola resiko, termasuk kebijakan, prosedur, pedoman, praktek atau struktur organisasi yang dapat di administrasikan, secara teknis, manajemen, atau sifat hukum. 
8. Persiapan Laporan Keamanan (Prepare of Security Report)
     Insiden keamanan informasi akan dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan diambil. Pelaporan insiden formal dan prosedur tambahan akan dibentuk dan dikomunikasikan kepada semua pengguna. Tanggung jawab dan prosedur akan dibentuk untuk menangani insiden keamanan informasi setelah pelaporan.

Minggu, 19 November 2017

Pretest V-Class Analisis Kinerja Sistem

MANAJEMEN KONTROL KEAMANAN

Berikut ini adalah jawaban dari soal v-class PRETEST mata kuliah Analisis Kinerja Sistem oleh Bu Yulia Chalri.
Untuk mengamankan suatu Sistem Informasi yang perlu dilindungin adalah asset Sistem Informasi yang terbagi menjadi 2 klasifikasi, yaitu:
    1. Aset Fisik, meliputi : 
           a. Personnel 
           b. Hardware (termasuk  media penyimpanan, dan periperalnya) 
           c. Fasilitas 
           d. Dokumentasi dan  
           e. Supplies 
    2. Aset Logika 
           a. Data / Informasi dan 
           b. Sofware (Sistem dan Aplikasi)  

Selain itu, menurut David Icove ada Empat tipe keamanan komputer berdasarkan lubang keamanannya. Antara lain sebagai berikut:
  1. Keamanan yang bersifat fisik ( physical security ) Termasuk akses orang ke gedung, peralatan, atau media yang digunakan. Beberapa contoh kejahatan jenis ini adalah sebagai berikut
    • Berkas-berkas dokumen yang telah dibuang ke tempat sampah yang mungkin memuat informasi password dan username.
    • Pencurian komputer dan laptop
    • Serangan yang disebut dengan DDos Attack / denial of service
    • Pemutusan jalur listrik sehingga tidak berfungsi secara fisik.
    • Pembajakan pesawat pada saat tragedy world trade centre.
    • Keamanan yang berhubungan dengan orang ( personal security ).
  2. Tipe keamanan jenis ini termasuk kepada identifikasi, profile resiko dari pekerja di sebuah perusahaan. Dalam dunia keamanan informasi salah satu factor terlemah adalah dari tipe jenis ini. Hal ini disebabkan manusia bukanlah mesin sehingga kadangkala pekerjaannya tidak terstruktur dan dapat di kelabui. Kejahatan jenis ini sering menggunakan metode yang disebut dengan social engineering .Keamanan dari data dan media serta teknik komunikasi (Communication security).
  3. Tipe keamanan jenis ini banyak menggunakan kelemahan yang ada pada perangkat lunak, baik perangkat lunak aplikasi ataupun perangkat lunak yang diugunakan dalam mengelola sebuah database.
  4. Keamanan dalam operasi ( management security ) Kebijakan atau policy adalah hal terpenting yang harus di perhatikan sebuah perusahaan dalam memelihara asset teknologi dan bisnis mereka apabila ingin aman dari serangan hacker. Kebijakan digunakan untuk mengelola sistem keamanan , prosedur sebelum maupun setelah serangan terjadi, mempelajari manajemen resiko seperti dampak dan akibat dari sebuah serangan.Banyak perusahaan terutama di Indonesia tidak memiliki standard prosedur bagi keamanan sistem informasi. Untuk itu beberapa bagian dari buku ini akan banyak membahas tentang implementasi dari standard pelaksanaan keamanan sistem informasi bagi perusahaan yang diambil dari ISO 27001.