Laboratorium Jaringan KomputerDepartemen Teknik Informatika dan KomputerPoliteknik Elektronika Negeri Surabaya

1

Profile :» He took Bachelor Degree in Electrical Engineering at the

Sepuluh Nopember Institute of Technology (ITS) in 1995-2000. In 2000, he joined the EEPIS Informatics Engineering department as a teaching staff. Then he continued his education at the Master of Science in Computer Science in Saga University Japan in 2006-2008 with a scholarship from the Japanese government.

» Research topics : network security and wireless sensor networks.

» Since 2013 - until now , he works with ID-SRTII / CC to build the IDS platform called Mata Garuda

» Ministry of Administrative and Bureaucratic Reform Task Force for SPBE

» Awards :– JICA fellowship on SPEET Project 2002-2003– Monbukagakusho scholarship, 2005-2008– Merit Winner of APICTA 2014 (network security category)– Asia Pacific Information Security Center Security Training Course

2015,KISA fellowship– Network Security Researcher JICA 2016 fellowship

2

Topik

1. Dasar Keamanan Informasi

2. UNSUR KEAMANAN INFORMASI DALAM SPBE : ISU TERKINI Tentang PERPRES 95 /2018

3. Kebutuhan SDM

3

4

in.for.ma.si1.n penerangan2.n pemberitahuan; kabar atau berita tentang sesuatu3.n Ling keseluruhan makna yang menunjang amanat yang terlihat dalam bagian-bagian amanat itu

…menurut KBBI

informasi » informasi elektronik•Huk data elektronik yang telah diolah sedemikan rupa dan ditampilkan melalui

media elektronik

aman » keamanan » keamanan data•Komp perlindungan data terhadap kerusakan atau pengguna yang tidak sah

da.ta1.n keterangan yang benar dan nyata: pengumpulan -- untuk memperoleh

keterangan tentang kehidupan petani2.n keterangan atau bahan nyata yang dapat dijadikan dasar

kajian (analisis atau kesimpulan)3.n Komp informasi dalam bentuk yang dapat diproses oleh komputer,

seperti representasi digital dari teks, angka, gambar grafis, atau suara

Prinsip keamanan Informasi

• Confidentiality :

– Data hanya boleh diaksesoleh pihak yang berhak saja

• Integrity :

– data tidak boleh dirubah dariaslinya oleh orang yang tidakberhak, sehingga konsistensi, akurasi, dan validitas data tersebut masih terjaga

• Availibity :

– data yang tersimpan dan diproses di dalam sumberdaya yang ada siap diakseskapanpunoleh user/application/sistemyang membutuhkannya

5

Prinsip keamanan Data

6

Harus adanya kepastian klasifikasi informasi• Klasifikasi data : Sangat Rahasia, Rahasia, Terbatas(Internal use only) , Publik• Enkripsi yang diterapkan pada level media penyimpanan dan transmisi data.

Harus adanya kepastianperlindungan data :• menerapkan strong encrypti

on pada media penyimpanandan transmisi data.

• menerapkan strong authentication dan validation

Harus adanya kepastian bahwadata dapat diakses kapanpundan dimanapun :• disaster recovery plan• redundant hardware• data backup

Prinsip Keamanan Data

• Non-repudiation– Aspek non-repudiation atau nir-sangkal digunakan untuk membuat

– para pelaku tidak dapat menyangkal telah melakukan transaksielektronik. Contoh penggunaannya adalah dalam sistem lelangelektronik.

– Implementasi : message authentication code (denganmenggunakan fungsi hash) dan pencatatan (logging).

• Authentication– Proses Authentication digunakan untuk membuktikan klaim bahwa

seseorang itu adalah benar-benar yang diklaim.

– Implementasi : password

• Authorization : – hak akses akan diberikan kepada pengguna sesuai dengan roles

yang dimilikinya. Perlu diingatkan kembali bahwa aspekauthorization ini membutuhkan authorization

– Implementasi : user roles

7

Prinsip Pertahanan Berlapis Untuk Melindungi DATA

8

KEBIJAKAN (POLICY) ADALAH AWAL DARI

PERLINDUNGAN DATA

PERUBAHAN PARADIGMA :Tanggung jawab

“KEAMANAN DATA”tidak hanya

Administrator Sistematau Jaringan saja

Perubahan Paradigma “WHO IS THE KEY PERSON BEHIND THE DATA ?”• Pandangan tradisional

– Domain dari Administrator Sistem dan Jaringan

– Kebutuhan membeli Firewall, Antivirus, IDS untuk masing-masing layanan ataubagian

– Menerapkan Kontrol terhadap keamananan informasi bukanlah suatu kewajiban

9

• Pandangan Modern— Domain Pemilik Bisnis— Tugas mulai dari perencanaan, mencari DAMPAK DAN

PENANGGULANGANNYA dalam setiap tahap implementasi yang telahdirencanakan

— Bisnis dan Keamanan tidak dapat dipisahkan— Tim Keamanan Terdiri dari Manajemen Puncak, Manajer TI dan Manajer

Keamanan Informasi— Merencanakan (PLAN), Melakukan(DO), Memeriksa (CHECK) dan Menindak

(ACT) Model— Integrasi Sistem Kualitas Seperti ISO, CMMI dll dengan Model Keamanan

Informasi

BERUBAH MENJADI

Produk hukum yang membahas tentang keamanan informasidan tantangannya

1. Kebijakan Keamanan Informasi1) UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (ITE)

2) UU No.19/2016 tentang Perubahan atas UU No 11/2018

3) UU No. 14/2008 tentang Keterbukaan Informasi Publik (KIP)

4) Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP)

5) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

6) Peraturan Presiden Nomor 53 Tahun 2017 tentang BADAN SIBER DAN SANDI NEGARA

7) Peraturan Presiden Nomor 133 Tahun 2017 tentang Perubahan atas Perpres Nomor53/2017 tentang BADAN SIBER DAN SANDI NEGARA

8) Permenkominfo Nomor 5 /2014 tentang Sistem Manajemen Pengamanan Informasi

9) Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan BerbasisElektronik

10) Perpres 96 Tahun 2014 tentang Rencana Pita lebar Indonesia 2014-2019 pada Lampiran tentang pengaturan pusat data nasional. Pusat Data Nasional adalah pusat data bersama yang digunakan oleh instansi pusat maupun pemerintah daerah

11) Peraturan MenKominfo Nomor 4 Tahun 2016 tentang Sistem Manajemen KeamananInformasi. Sistem elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara dikategorikan sebagai sistem elektronik strategis.

10

INDEKS KEAMANAN INFORMASI :

ISU TERKINI Tentang PERPRES 95 /2018

11

12

Sumber : paparan Assdep 2 Kemenpan RB

Perpres nomor 95/2018 tentang SPBE

13

Sumber : paparan Assdep 2 Kemenpan RB

14

*Sumber : paparan Assdep 2 Kemenpan RB pada Sosialisasi Perpres 95/2018 di Propinsi Jawa Timur

15

*Sumber : paparan Assdep 2 Kemenpan RB pada Sosialisasi Perpres95/2018 di Propinsi Jawa Timur

Tim Koordinasi SPBE Nasional

16

Sumber : paparan Assdep 2 Kemenpan RB

17

Sumber : paparan Assdep 2 Kemenpan RB

KOORDINASI SPBE antar K/L/D

18

MODEL GENERIK TIM Koordinator SPBE Daerah

19

Sumber : paparan Assdep 2 Kemenpan RB

KETERKAITAN TATA KELOLA TIK DENGAN KEAMANAN SPBE SEBAGAI SALAH SATU UNSUR DALAM SPBE

20

Unsur-unsur SPBE

a. Rencana Induk SPBE Nasional;

b. Arsitektur SPBE;

c. Peta Rencana SPBE;

d. rencana dan anggaran SPBE;

e. Proses Bisnis;

f. data dan informasi;

g. Infrastruktur SPBE;

h. Aplikasi SPBE;

i. Keamanan SPBE; dan

j. Layanan SPBE.

21

Unsur-unsur SPBE

a. Rencana Induk SPBE Nasional;

b. Arsitektur SPBE;

c. Peta Rencana SPBE;

d. Rencana dan anggaran SPBE;

e. Proses Bisnis;

f. Data dan informasi;

g. Infrastruktur SPBE;

h. Aplikasi SPBE;

i. Keamanan SPBE; dan

j. Layanan SPBE.

22

23

24

25

26

27

28

29

30

*Sumber : paparan Assdep 2 Kemenpan RB pada Sosialisasi Perpres95/2018 di Propinsi Jawa Timur

Keamanan SPBE dalam Perpres 95/2018

KEBIJAKAN NASIONAL

Apa yang perlu dipersiapkan ?

31

Siklus Keamanan

32

KERANGKA Keamanan

SPBE

33

Dimulai dari

• Identifikasi Asset TIK beserta resikonya

• Membangun Kepedulian terhadap asset TIK dan

strategi untuk melindunginya

• Buat kebijakan keamanan berdasarkan asset dan

resiko

• Buat penjabaran kebijakan dalam bentuk pedoman /

juknis

34

Contoh

35

Contoh lebih besar

• Strategi

– Melaksanakan penanganan insiden siber dengan tata kelola

yang baku

• Kebijakan

– Setiap perangkat daerah yang menyediakan layanan TIK

seperti layanan publik yang menggunakan Internet harus

mencatat setiap kejadian intrusi dengan memasang system

deteksi intrusi

• Pedoman

– Kerangka kerja dan teknis penanganan

36

Draft Model National Incident KeamananInfrastrukturNasional

National Level (N)

Organizational Level (O)

National Asset Management as request(A)

Kebutuhan SDM

38

Kebutuhan SDM

• System dan Network Administrator

• ISO 27000 series

• Network Forensic

• Kriptografi -> sertifikat digital, PGP

39

40

Terima Kasih Atas Perhatiannya