Senin, 14 Maret 2022

Pertemuan 5 ( Risk management )

   Risk management 


Risk management adalah proses mengidentifikasi dan mengontrol resiko yang dihadapi oleh sebuah organisasi.

Terdapat 3 hal yang penting dalam Manajemen Resiko, yaitu :
  1. Know yourself ==> Memahami teknologi dan system dalam organisasi yang di kelola.
  2. Know the enemy ==> Mengidentifikasi, memeriksa dan memahami threat / ancaman yang mungkin timbul.
  3. Role of communicaties of interest (peran komunitas / pihak terkait) ==> Terdapat 3 komunitas yaitu : Keamanan Informasi, manajemen dan user, dan teknologi user.
Adapun Komponen Risk Management dibagi menjadi 3 tahapan :
  • Risk identification 
  • Risk Assesment (Penilaian Resiko) 
  • Risk Control (Pengontrolan Resiko) 


1. Risk Identification ( Mengidentifikasi Resiko) 
    Adalah proses pemeriksaan situasi dan kondisi aset yang berhubungan dengan keamanan informasi pada sebuah organisasi. Sedangkan Assets adalah sesuatu sumber daya yang dimiliki oleh organisasi. Assets inilah yang akan menjadi target dari berbagai ancaman dan banyak agen dari ancaman.
Risk identification terdapat 2 kegiatan yang dilakukan, yaitu :
  • Organization assets
  • Threats / vulnerability
Step - Step Risk Identification :
  • Rencanakan dan atur prosesnya.
  • Mengidentifikasi, inventaris , dan mengkategorikan aset.
  • Mengklasifikasikan, menghargai dan memprioritaskan aset.
  • Mengidentifikasi dan memprioritaskan ancaman.
  • Tentukan kerentanan (Vulnerability) aset.
People, Procedure, And Data Identification
    Mengidentifikasi aset untuk sumber daya manusia (Human Resource), dokumentasi, dan data informasi yang lebih sulit daripada mengidentifikasi aset perangkat keras dan perangkat lunak. Aset ini harus dicatat menggunakan proses penanganan data yang baik.
Saat memutuskan aset informasi, ada beberapa atribut aset :
  1. Atribut aset untuk People : nama posisi, nomor atau ID, supervisor, tingkat izin keamanan, keterampilan khusus.
  2. Atribut aset untuk Procedures : tujuan yang dimaksudkan, hubungan dengan perangkat lunak, perangkat keras, dan elemen jaringan, lokasi penyimpanan untuk referensi, lokasi penyimpanan untuk pembaruan.
  3. Atribut aset untuk Data : klasifikasi, pemilik, pencipta, dan manajer, ukuran struktur data, struktur data yang digunakan, online atau offline, lokasi, prosedur pencadangan yang digunakan
Hardware, Software, And Network Assets Identification
Kriteria Atribut yang harus dilacak :
  • Tergantung pada kebutuhan organisasi,
  • Upaya manajemen resikonya
  • Preferensi dan kebutuhan komunitas keamanan informasi dan teknologi informasi.
Atribut aset yang harus dipertimbangkan adalah :
  • Name
  • IP Address
  • Media access control (MAC) address
  • Element type - server, dekstop, dll
  • Serial number
Information Asset Classification
    Banyak organisasi memiliki skema klasifikasi data (confidential, internal, public data), klasifikasi harus cukup spesifik untuk memungkinkan penentuan prioritas. Adapun contoh klasifikasinya seperti :
  • Komprehensif, Semua info cocok dalam daftar di suatu tempat.
  • Mutually eksklusif, cocok di satu tempat.
Data Classification And Management
Klasifikasi informasi adalah sebagai berikut :
  1. Confidential : Digunakan untuk informasi perusahaan yang paling sensitif yang harus dikontrol dengan ketat, bahkan di dalam perusahaan.
  2. Internal : Digunakan untuk semua informasi internal yang tidak memenuhi kriteria kategori rahasia. Informasi internal hanya boleh dilihat oleh karyawan perusahaan, kontraktor resmi, dan pihak ketiga lainnya.
  3. Eksternal : Semua informasi yang telah disetujui oleh manajemen untuk dipublikasikan.
Security Clearences
    Security Clearences (Izin Keamanan) adalah struktur keamanan personel di mana setiap pengguna aset informasi diberi tingkat otorisasi yang mengidentifikasi tingkat informasi rahasia yang "didelete" untuk diakses. Sebelum mengakses kumpulan data, karyawan harus memenuhi persyaratan yang perlu diketahui. Tingkat perlindungan ekstra memastikan kerahasiaan informasi terjaga.

Management Of Classified Data
    Manajemen dari klasifikasi data adalah storage (penyimpana), distribution (distribusi), transportatiion, dan descruction (pemusnahan). Informasi yang tidak dirahasiakan atau publik harus ditandai dengan jelas.
    Clean desk policy yaitu kebijakan organisasi yang menetapkan karyawan harus memeriksa area kerja mereka dan memastikan bahwa semua informasi, dokumen, dan bahan rahasia diamankan pada akhir setiap hari kerja.
    Dumpster diving merupakan serangan informasi yang melibatkan pencarian melalui tempat sampah dan daur ulang organisasi target untuk informasi sensitif.

Listing Asset In Order Of Importance
    Weighted factor analysis : menghitung kepentingan relatif dari setiap aset. Setiap aset info diberi skor untuk setiap critical factor (0,1 hingga 2,0)
  • Impact to revenue (pendapatan)
  • Impact to profitability
  • Impact to public
Setiap faktor kritis diberi bobot (1-100), kemudian dikalikan dan ditambahkan.

2. Risk assesment (Penilaian Resiko)
    Adalah suatu metode yang secara sistematis digunakan untuk menentukan dan meminimalisir risiko yang akan terjadi pada sebuah organisasi. Penilaian risiko mengevaluasi risiko relatif untuk setiap kerentanan, memberikan peringkat risiko atau skor untuk setiap aset informasi.

Documenting The Results Of Risk Assessment
    Setelah mendapatkan skor selanjutnya masukkan ke dalam dokumen result dari risk assessment. 
  • Aset : Buat daftar setiap aset yang rentan.
  • Nilai relatif aset : Menampilkan hasil untuk aset dari weighted factor analysis di lembar kerja.
  • Vulnerability : Buat daftar setiap kerentanan yang tidak terkendali. Beberapa aset mungkin dicantumkan lebih dari sekali.

3. Risk Control (Control Resiko)
    Adalah penerapan mekanisme control untuk mengurangi resiko pada data dan system informasi yang dimiliki oleh sebuah organisasi. Risk control dilakukan setelah melakukan risk assessment, Risk control melibatkan tiga langkah dasar :
  • Pemilihan strategi pengendalian,
  • Pembenaran strategi ini kepada manajemen tingkat atas, dan
  • Implementasi, pemantauan (monitoring), dan penilaian berkelanjutan atas pengendalian yang diadopsi.
Adapun strategi risk control sebagai berikut :
- Transference
    Transference risk control strategy adalah strategi pengendalian risiko yang mencoba mengalihkan risiko ke aset lain, proses lain, atau organisasi lain.

- Mitigation
    Mitigation risk control strategy adalah strategi pengendalian risiko yang berupaya mengurangi dampak kerugian yang disebabkan oleh insiden, bencana, atau serangan yang disadari melalui perencanaan dan persiapan kontinjensi yang efektif.
Rencana mitigasi yang paling umum adalah contigency plans :
  1. Incident response (IR) plan : Tindakan yang dapat dan harus dilakukan organisasi saat insiden sedang berlangsung.
  2. Disaster recovery (DR) plan : Rencana DR mencakup semua persiapan untuk proses pemulihan, strategi untuk membatasi kerugian selama bencana, dan langkah-langkah terperinci yang harus diikuti setelahnya.
  3. Business continuty (BC) plan : Rencana BC mencakup langkah-langkah yang diperlukan untuk memastikan kelangsungan organisasi ketika cakupan atau skala bencana melebihi kemampuan rencana DR untuk memulihkan operasi, biasanya melalui relokasi fungsi bisnis penting ke lokasi alternatif.
- Acceptance
    Strategi pengendalian risiko yang menunjukkan organisasi bersedia menerima tingkat risiko saat ini. Akibatnya, organisasi membuat keputusan dengan sadar untuk tidak melakukan apapun untuk melindungi aset informasi dari risiko dan menerima hasil dari hasil apapun eksploitasi, contohnya terjadi bencana alam yang tidak bisa diperkirakan.


Memilih Strategi pengendalian Risiko
    Pengendalian Risiko melibatkan pemilihan salah satu dari lima strategi pengendalian resiko untuk setiap kerentanan. Beberapa aturan praktis untuk memilih strategi pengendalian resiko :

  1. Ketika ada kerentanan, terapkan kontrol keamanan untuk mengurangi kemungkinan kerentanan  dieksploitasi.
  2. Ketka kerentanan dapat dieksploitasi, terapkan perlindungan berlapis, desain arsitektur, dan kontrol  administratif untuk meminimalkan risiko atau mencegah terjadinya.
  3. Ketika biaya penyerang lebih kecil dari potensi keuntungannya, terapkan perlindungan untuk meningkatkan biaya penyerang.
  4. Ketika biaya penyerang lebih kecil dari potensi keuntungannya, terapkan perlindungan untuk meningkatkan biaya penyerang.
  5. Ketika potensi kerugian cukup besar, terapkan prinsip-prinsip desain, arsitektur, dan perlindungan lain untuk membatasi tingkat serangan. Perlindungan ini mengurangi kerugian.
di Tidak ada komentar:

Senin, 07 Maret 2022

Pertemuan 4 ( PLANNING FOR SECURITY )

  

PLANNING FOR SECURITY




 Sebagaimana telah disebutkan sebelumnya bahwa manajemen keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen, tujuan  manajemen keamanan informasi berbeda dengan manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada keamanan operasi organisasi. Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

    1. Planning

    Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

  1. strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
  2. tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
  3. operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :

  • Incident Response Planning (IRP)

    IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentialityintegrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detectionincident response, dan incident recovery.

  • Disaster Recovery Planning (DRP)

    Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.

  • Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.

    2. Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

  • Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
  • Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
  • System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

    3.  Programs

    Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

    4. Protection

    Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.

    5.  People

  Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.

    6.  Project Manajemen

    Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.

di Tidak ada komentar:

Pertemuan 3 ( Legal, Ethical, dan Professional Issues on Information Security )

  

Legal, Ethical, dan Professional Issues on Information Security

 



TUJUAN PEMBELAJARAN :

  • Menjelaskan fungsi dan hubungan antara hukum, peraturan, dan professional organisasi dalam keamanan informasi
  • Mampu menjelaskan perbedaan antara hukum dan etika
  • Mengidentifikasi undang-undang nasional utama yang mempengaruhi praktik keamanan informasi

Hukum dan Etika dalam Keamanan Informasi

  • Moral Budaya : sikap moral tetap atau kebiasaan kelompok tertentu.
  • Etika : Didefenisikan sebagai perilaku yang diterima secara social dengan mempertimbangkan alam, kriteria, sumber, logika, dan validasi penilian moral (Aturan yang tidka tertulis).
  • Hukum: Aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.
  1. Hukum membawa sansksi dan otoritas pemerintahan, sementara etik tidak.
  2. Sebagai seorang professional bidang keamanan informasi dimasa depan, anda harus memahami ruang lingkup tanggung jawab tentang  legalisasi dan etik dari sebuah organisasi.

Untuk meminimalkan kewajiban dan mengurangi resiko, seorang praktisi keamanan informasi harus : 

  • Memahami lingkungan legalitas terkini
  • Selalu up to date terhdap hukum dan peraturan
  • Mengamati permasalahan baru yang muncul

Tanggung Jawab Organisasi

Ø  due care (perawatan): Langkah-Langkah yang dibutuhkan organisasi untuk memastikan setiap karyawan tahu apa yang dapat diterima dan apa yang tidak.

Ø  Due diligence (uji kelayakan): Langkah wajar yang diambil oleh orang atau organisasi untuk memeneuhi kewajiban yang dibebankan oleh undang-undang atau peraturan.

Ø  Juridiction: hak pengadilan untuk menyelidiki sebuah kasus jika kesalahan dilakukan dalam wilayah teritorinya atau melibatkan warga negaranya.

Ø  Liability:  kewajibam legal dari sebuah entitas yang melampaui hukum pidana atau perdata, termasuk kewajiban legal untuk membuat restitusi untuk mengkompensasi kesalahan yang dilakukan sebuah organisasi atau pekerjanya.

Kebijakan Vs Hukum

Kebijakan:  Pedoman yang menentukan perilaku tertentu dalam organisasi.

Kriteria: Dissemination (disebarkan), Review (dibaca), Comprehension (dipahami), Compliance (disepakati), dan Uniform enforcement (diterapkan secara sama):

Hukum: aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.

Tipe Hukum: Constitutional, Statutory, Civil – Tort, Criminal, Regulatory or Administrative, Common Case, and Precedent, dan Private and Public

Kebijakan dan Hukum

  • Kebijakan: mendeskripsikan perilaku pekerja yang dapat diterima dan tidak dapat diterima dalam suatu lingkungan kerja.
  • Kebijakan yang difungsikan sebagai hukum organisasi harus dibuat secara hati-hati untuk memastikan kebijakan tersebut lengkap, sesuai dan diterapkan secara adil kepada semua orang dilingkungan kerja.
  • Perbedaan antara kebijakan dan hukum: bahwa ketidaktahuan terhadao suatu kebijakan merupakan alasan yang bisa diterima.

Kriteria Kebijakan

  1. Dissemination (disebarkan): Organisasi harus mampu menunjukkan bahwa kebijakan yang relevan telah tersedia untuk ditinjau oleh karyawan. Teknik penyebaran umum termasuk hard copy dan distribusi elektronik.
  2. Review (dibaca): Organisasi harus dapat menunjukkan bahwa dokumen tersebut disebarluaskan dalam bentuk yang dapat dipahami, termasuk versi untuk karyawan yang buta huruf, mengalami gangguan membaca, dan tidak dapat membaca bahasa Inggris. Teknik umum termasuk pencatatan kebijakan dalam bahasa Inggris dan bahasa alternatif.
  3. Comprehension (dipahami): Organisasi harus mampu menunjukkan bahwa karyawan memahami persyaratan dan isi kebijakan. Teknik umum meliputi kuis dan penilaian lainnya.
  4. Compliance (disepakati): Organisasi harus mampu menunjukkan bahwa karyawan setuju untuk mematuhi kebijakan melalui tindakan atau penegasan. Teknik umum termasuk spanduk masuk, yang memerlukan tindakan tertentu (klik mouse atau ketukan tombol) untuk mengakui persetujuan, atau dokumen yang ditandatangani dengan jelas yang menunjukkan bahwa karyawan telah membaca, memahami, dan setuju untuk mematuhi kebijakan tersebut.
  5. Uniform enforcement (diterapkan secara sama): Organisasi harus mampu menunjukkan bahwa kebijakan telah ditegakkan secara seragam, terlepas dari status atau penugasan karyawan

Tipe-Tipe Hukum

Ø  Hukum Perdata: mengatur suatu bangsa atau negara, mengelola konflik dan hubungan entiitas organisasi dan orang.

Ø  Hukum Pidana: menangani pelanggaran berbahaya terhadao komunitas dan ditegakkan secara aktif oleh Negara

Ø  Hukum Privat: mengatur hubungan antara individu atau organisasi, dan mencakup hukum keluarga, hukum komersial, hukum pekerja.

Ø  Hukum Publik: mengatur struktur dan administrasi dari agen pemerintan dan hubungan mereka dengan penduduk, pekerja, dan pemerintahan lain. 

Konvensi tentang Kejahatan Cyber

            European Council Cyber-Crime Convention

  • Membentuk gugus tugas international untuk mengawasi fungsi keamanan Internet berdasarkan gukum teknologi International standar
  • Berupaya meningkatkan efektivitas investigasi international terhadap pelanggaran hukum teknologi
  • Diterima dengan baik oleh para pendukung kekayaan intelektual karena menekankan pada penuntutan pelanggaran hak cipta
  • Kurang adanya ketentuan realistik untuk penegakan hukum.

Kesepakatan pada transaksi kekayaan intelektual

            Agreement on Trade-Related Aspect of Intellectual Property Rights (TRIPS), dibuat oleh World Trade Organization (WTO). Meliputi 5 masalah:

a)      Penerapan prinsip-prinsip dasar system perdagangan dan kesepakatan kekayaan intelektual international

b)      Pemberian perlindungan yang cukup terhadap hak atas kekayaan intelektual

c)       Penegakan hak atas kekayaan intelektual oleh negara-negara pada teritori mereka

d)      Penyelesaian perselisihan atas kekayaan intelektual

e)      Pengaturan transisi saat system baru diperkenalkan.

 Hukum Internasional dan Badan Hukum

Ø  Digital Millenium Copyright ACT (DMCA) :  sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi

Ø  Council of Europe Convention on Cybercrime: Ini menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.

Ø  Payment Card Industry Data Security Standards (PCI DSS) :  Dewan Standar Keamanan Industri Kartu Pembayaran (PCI) menawarkan standar kinerja yang harus dipatuhi oleh organisasi yang berpartisipasi

Ø  Agreement on Trade-Related Aspects of Intellectual Property Rights : dibuat oleh World Trade Organization (WTO). Ini upaya internasional pertama yang signifikan untuk melindungi hak kekayaan intelektual, menguraikan persyaratan untuk pengawasan govermental dan undang-undang yang memberikan tingkat perlindungan minimum untuk kekayaan intelektual.

 Digital Millenium Copyright ACT (DMCA)

Ø  DMCA: sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi

Ø  Hal ini merupakan respon terhadap European Union Directive 95/46/EC, yang menambahkan perlindungan terhadap individu mengenai pemrosesan dan pergerakan bebas dari data personal. 

DMCA mencakup ketentuan sebagai berikut :

  • Melarang pengelakan perlindungan dan Tindakan balasan yang diterapkan oleh pemilik hak cipta untuk mengontrol akses ke konten yang dilindungi
  • Melarang pembuatan perangkat untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi
  • Melarang perdagangan perangkat yang doproduksi untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi
  • Melarang pengubahan informasi yang dilampirkan atau disematkan ke dalam materi berhak cipta
  • Mengecualikan penyedia layanan internet dari bentuk pelanggaran hak cipta tertentu.

Council of Europe Convention on Cybercrime

Ø  Menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.

Ø  Meningkatkan efektivitas investigasi internasional terhadap pelanggaran hukum teknologi 

Payment Card Industry Data Security Standards (PCI DSS)

   Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dirancang untukmeningkatkan keamanan data akun pelanggan. Peraturan tersebut mencakup persyaratan untuk kebijakan, prosedur, dan manajemen keamanan informasi, serta spesifikasi perangkat lunak dan jaringan teknis.

World Trade Organization and the Agreement on Trade-Related Aspects of Intellectual Property Rights

Ø  Perjanjian tentang Aspek-Aspek Terkait Perdagangan dari Hak Kekayaan Intelektual (TRIPS), dibuat olehOrganisasi Perdagangan Dunia (WTO).

Ø  Perjanjian TRIPS WTO mencakup lima masalah:

ü  Bagaimana prinsip-prinsip dasar sistem perdagangan dan perjanjian kekayaan intelektual internasional lainnya harus diterapkan

ü  Bagaimana memberikan perlindungan yang memadai terhadap hak kekayaan intelektual

ü  Bagaimana negara harus menegakkan hak-hak tersebut secara memadai di dalam perbatasan mereka sendiri

ü  Bagaimana menyelesaikan perselisihan tentang kekayaan intelektual antara anggota WTO

ü  Pengaturan transisi khusus selama periode ketika sistem baru diperkenalkan

 Etik dan Keamanan Informasi

Ø  Banyak disiplin ilmu yang diatur secara professional memiliki aturan eksplisit yang mengatur perilaku etis dari anggota mereka.

Ø  Contoh: dokter dan pengacara yang melakukan pelanggaran berat terhadap perilaku profesi mereka dapat dicabut kemampuan hukumnya untuk berpraktik.

Ø  Berbeda dengan bidang medis dan hukum, bidang teknologi informasi dan keamanan informasi tidak memiliki kode etik yang mengikat.

Ø  Sebaliknya, asosiasi profesional seperti ACM dan ISSA, dan lembaga sertifikasi seperti (ISC)2 dan ISACA, bekerja untuk memelihara kode etik untuk keanggotaan mereka masing-masing.

 10 Perintah Etika Komputer dari institute Etika Komputer

1. Tidak boleh menggunakan komputer untuk menyakiti orang lain.

2. Tidak boleh mengganggu pekerjaan komputer orang lain.

3. Tidak boleh mengintip file komputer orang lain.

4. Jangan menggunakan komputer untuk mencuri.

5. Jangan menggunakan komputer untuk bersaksi dusta.

6. Tidak boleh menyalin atau menggunakan perangkat lunak berpemilik yang belum Anda bayar.

7. Tidak boleh menggunakan sumber daya komputer orang lain tanpa izin atau kompensasi yang layak.

8. Tidak boleh mengambil hasil intelektual orang lain.

9. Harusmemikirkan konsekuensi sosial dari program yang Anda tulisatau sistem yang Anda rancang.

10. Harus selalu menggunakan komputer dengan cara yang memastikan pertimbangan dan rasa hormatuntuk sesama manusia.

    Perbedaan Etik Antar Budaya

    Ø  Perbedaan budaya menyebabkan kesulitan untuk menentukan apa yang etis dan yang tidak

    Ø  Kesulitan terjadi saat perilaku etik sebuah bangsa konflik dengan etik dari kelompok bangsa lain.

    Ø  Contoh: dalam banyak hal, budaya orang Asia dalam menggunakan teknologi komputer dianggap sebagai pembajakan software oleh bangsa lain

    Etik dan Pedidikan

    Ø  Studi kunci mengungkapkan bahwa pendidikan adalah faktor utamadalam menyamakan persepsi etis dalam populasi kecil.

    Ø  Pendidikan ini sangat penting dalam keamanan informasi, karena banyak karyawan mungkin tidak memiliki pelatihan teknis formal untuk memahami bahwa perilaku mereka tidak etis atau bahkan ilegal.

    Ø  Pelatihan etika dan hukum yang tepat sangat penting untuk menciptakanpengguna sistem yang terinformasi dan dipersiapkan dengan baik.

    Mencegah Perilaku Tidak Etis dan Ilegal

                Ada tiga penyebab umum perilaku tidak tidak etis dan illegal:

    v  Ignorance (Ketidaktahuan): Ketidaktahuan hukum bukanlah alasan. Metode pencegahan pertama adalah pendidikan, yang dilakukan dengan merancang, menerbitkan, dan menyebarluaskan kebijakan organisasi dan undang-undang yang relevan, dan memperoleh persetujuan untuk mematuhi kebijakan dan undang-undang ini dari semua anggota organisasi. Pengingat, pelatihan, dan program kesadaran menyimpan informasi kebijakan di depan karyawan untuk mendukung retensi dan kepatuhan.

    v  Accident (Kecelakaan): Orang yang memiliki otorisasi dan hak istimewa untuk mengelola informasi dalam organisasi kemungkinan besar menyebabkan kerugian atau kerusakan secara tidak sengaja. Perencanaan dan kontrol yang cermat membantu mencegah modifikasi yang tidak disengaja pada sistem dan data

    v  Intent (niat): Niat kriminal atau tidak etis masuk ke pikiran orang yang melakukan tindakan tersebut; seringkali perlu untuk menetapkan niat kriminal untuk berhasil mengadili para pelanggar. Melindungi sistem dari orang-orang yang bermaksud menyebabkan kerugian atau kerusakan paling baik dilakukan melalui kontrol teknis, dan litigasi atau penuntutan yang kuat jika kontrol ini gagal.

     

     
















    di Tidak ada komentar:

    Pertemuan 2 ( KEAMANAN INFORMASI )

     

     KEAMANAN INFORMASI


        Keamanan Informasi adalah sebuah  keamanan yang dapat mencegah atau  mendeteksi dan melindungi data atau informasi dari penipu atau hacker di sebuah system yang berbasis informasi atau data penting dan  mencegah kerusakan pada data.


    KOMPONEN KEAMANAN INFORMASI :

    1. MANUSIA   : who we are? ( Manusia berperan besar atau penting dalam menjaga keamanan sebuah informasi )       
    Seperti : Owners, Employee, Management, Customers/Client, dll.

    2. Process   : What we do ? ( Proses adalah kegiatan yang apa kita lakukan untuk menjaga sebuah data atau informasi ) 
    Seperti : mengacuh pada work practice dan work flow, Helpdesk, Service management, Change request process, dll.

    3. Teknologi : What We use to improve what we do ( teknologi apa apa saja yang dapat meningkatkan keamana data atau informasi)

    Seperti : Remote Access Service, Wireless Connectivity, Data/Voice Network.


    KLASIFIKASI KEAMANAN INFORMASI :

    1. Fisik (PHYSICAL SECURITY): Memfokuskan untuk mengamankan individu atau kerja dari berbagai ancaman.

    Contoh : Wifi Café, data center (tempat penyimpanan server).

    2. Manusia (Personal Security/ People) : Aspek dimana keamanaan informasi berhubungan dengan personalnya.

    Contoh : Password yang lemah

    3. Kebijakan dan Prosedur (Policy dan Procedure) :

    >Policy : Akses ke semua sumber daya jaringan diberikan melalui user ID dan pass yang unik.

    >Standards : Password panjangnya 8 karakter (minimal.

    >Guidelines,Procedure, Practice : Password harus mengandung keabsahan dan tidak ditemukan dalam kamus.

    4. Data, Media, Teknik Komunikasi : Kelemahan dalam software yang digunakan untuk mengelolah data.

    Contoh : Seorang kriminal dapat dengan mudah memasang virus/trojan horse untuk mengumpulkan informasi seperti password.


    KEAMANAN INFORMASI :

    1.  Network Security : merupakan keamanan yang focus dalam saluran (media) pembawa informasi
    2.  Computer Security : merupakan keamanan yang focus dalam computer (end system,host) yang termasuk system operasi (operation system),OS)
    3.  Application Security : merupakan keamana yang focus dalam aplikasi system database

     

    KEAMANAN INFORMASI :








    PRINSIP KEAMANAN INFORMASI :

    1. Confidentiality

    2. Integrity

    3. Availibility

    4. Ketiga diatas sering disebut dengan CIA

    5. Tambahan lainnya:

       >Non-repudiation

       >Authentication

       >Access Control

       >Accountability


    A.  Confidentiality (Kerahasian): data bersifat rahasia yang tidak boleh diakses oleh orang yang tidak berhak.

    Seperti : data pelanggan, data pribadi dan data Kesehatan.

    > Cara serangan pada Confidentiality : Penyadapan (Sniffing) ,Mengintip (Shouldering), Cracking, dan Social Enginering

    > Cara melindugi Confidentiality dari serangan : Proteksi ,Memisahkan jaringan/ Aplikasi/ VLAN, Penerapan kriptografi , Firewall, Pemantauan log

     

    B.  Integrity (Integritas) : data (system)  yang tidak dapat berubah oleh pihak yang tidak berhak.

    Seperti : saldo rekening.

    > Cara serangan pada Integrity : Spoofing (Pemalsuan data) , Ramsomware, Man in The Middle (MiTM) attack

    > Cara melindungi Integrity dari serangan : Message Authentication Code (MAC), Hash Function – Blockchain, Digital Signature

     

    C.  Avalibility (Ketersedian) : data/system/Informasi harus tersedia ketika dibutuhkan karena disebabkan semakin tingginya ketergantungan kepada IT dan apabila tidak tersedianya data akan mengakibatkan kegagalan yang bisa berdampak pada finansial.

    Seperti : security yang tidak terikat dengan enkripsi (kriptografi).

    > Cara Serangan pada Avalibility : Menghilangkan layanan Denial Of Service (DOS), Serangan DOS berupa : jaringan, Aplikasi dan infrastruktur pendukung (Listrik) , Menyerang dari berbagai tempat Distributed Denial Of Service (DDOS)

    > Cara Melindungi : Redunsasi dan duplika, Backup dan Restore , Filtaring, BCP

     

    D.      Tambahan lainnya :

    a.  Non-Repudation merupakan aspek yang tidak dapat menyangkal bahwa telah melakukan transaksi.

    > Serangan : Transaksi Palsu, Spoofin, Menghapus Jejak

    > Perlindungan : MAC, Hash Function, Digital Signature, Logging

     

    b. Aunthentication merupakan aspek yang meyakinkan keaslian data.

    Contohnya : Password, Pin, Id Card dan biometric identity.

    Serangan : Identitas palsu, Terminal palsu, Situs Gadungan

     

    c.   Access Control merupakan aspek yang membutuhkan klasifikasi data.

    Komponen Access Control : Authentication, Authorization

    Strategi Access Control : Role Based Access, Discreatonary Acces Control (DAC), Mandatory Access Control (MAC), Attibute Based Access Control

     

    d.   Accountability (Accountabilitas):

    Dapat dipertanggung jawabkan, Melalui mekanisme logging dan audit, Adanya kebijakan dan prosedur (Policy & Procedure)


    di Tidak ada komentar:
    Langganan: Komentar (Atom)

    Pertemuan 14 ( VULNERABILITY ANALISIS )

      A.      Vulnerability Vulnerability adalah suatu kecacatan pada system atau infrastruktur yang memungkinkan terjadi adanya akses yang tanp...

    • Pertemuan 2 ( KEAMANAN INFORMASI )
         KEAMANAN INFORMASI      Keamanan Informasi adalah sebuah  keamanan yang dapat mencegah atau  mendeteksi dan melindungi data atau informas...