31
Information Security Awareness Dedi Dwianto, C|EH, OSCP, ISO 27001 Certified

Security Awareness

Embed Size (px)

DESCRIPTION

Security Awareness

Citation preview

Page 1: Security Awareness

Information Security

Awareness

Dedi Dwianto, C|EH, OSCP, ISO 27001

Certified

Page 2: Security Awareness

Sasaran

Memperoleh pemahaman atas pengertian Information Security (Keamanan Informasi)

Menginformasikan / mensosialisasi Kebijakan tentang Informasion Security

Membangun Information Security awareness (kesadaran atas pentingnya Information Security) pada setiap karyawan dalam melakukan aktivitas pekerjaan sehari-hari

Page 3: Security Awareness

Agenda

Pengertian Information Security

Penanganan Informasi

Pengamanan Password

Virus dan Spyware

Standar Perangkat Lunak

Keamanan Internet-Browsing

Keamanan Penggunaan E-mail

Keamanan Lingkungan Kerja

Kebijakan Information Security

Page 4: Security Awareness

Kesalahan Konsep yang umum

Kami tidak pernah mengalami insiden

Data saya tidak penting

Kami sudah aman

Page 5: Security Awareness

Isu Keamanan

Berbagi dan penulisan password

Pasword mudah ditebak

Password dikirim dalam bentuk plaintext (contoh: telnet,POP)

Remote Komputer

Tidak kejalasan policy dan prosedur

Page 6: Security Awareness

Ancaman

Menggunakan dan menyalahgunakan resource

Denial of Service (DOS)

Penghapusan Data

Penyebarluasan Data

Kegagalan komponen

Pengrusakan Data

Page 7: Security Awareness

Pengertian Information Security

Information Security adalah :

Pengamanan pada Confidentiality (C), Integrity (I) dan Availability (A) sistem informasi, baik yang berada di media penyimpanan (storage), tahap pemrosesan maupun saat informasi tersebut dikirim (transmit), terhadap akses dan modifikasi ilegal dan juga terhadap gangguan pada ketersediaan layanan (denial of service)

Page 8: Security Awareness
Page 9: Security Awareness

Pengertian Information Security

Mengapa kita memerlukan Information Security ?

Ancaman hacker di Internet dan Intranet

Ketergantungan bisnis pada IT

Internal Control / IT Audit

Page 10: Security Awareness

Penerapan Information Security

Terdapat tiga pendekatan dalam menerapkan Information Security :

Preventive

Penerapan pengendalian untuk mencegah terjadinya pelanggaran keamanan sistem informasi

Detective

Penerapan pengendalian untuk mendeteksi terjadinya pelanggaran keamanan sistem informasi

Page 11: Security Awareness

Penerapan Information Security

Response & Recovery

Penerapan pengendalian untuk menjaga kelangsungan pengoperasian sistem informasi

Page 12: Security Awareness

Proteksi Informasi

Proteksi informasi dalam penggunaan notebook :

Jaga agar notebook berada dalam pengawasan kita.

Jika berpergian usahakan tidak diletakkan di bagasi.

Page 13: Security Awareness

Proteksi Informasi

Proteksi informasi dalam penggunaan notebook :

Jangan menyimpan informasi sensitif di dalam notebook.

Gunakan security lock

Backup data secara periodik

Page 14: Security Awareness
Page 15: Security Awareness

Pengamanan Password

Beberapa hal yang perlu diperhatikan dalam pembuatan password :

Jangan menggunakan nama, tanggal lahir, nama perusahaan, idiom, atau kata-kata yang terdapat dalam kamus

Gunakan password dengan 8 karakter atau lebih yang terdiri dari kombinasi angka, huruf besar, huruf kecil dan simbol

Page 16: Security Awareness

Pengamanan Password

Beberapa hal yang perlu diperhatikan dalam pembuatan password :

Hindari prosedur yang meminta anda menyimpan password untuk kepentingan login berikutnya

Ingat baik-baik password tersebut, dan jangan dituliskan (seperti di dekat komputer atau di handphone)

Page 17: Security Awareness
Page 18: Security Awareness

Virus dan Spyware

Waspada terhadap operasi yang di luar normal

Jika terinfeksi virus, hentikan pekerjaan/operasi dan cari bantuan

Jangan buka email dengan attachment yang mencurigakan

Pastikan agar definisi antivirus terupdate dengan baik

Page 19: Security Awareness
Page 20: Security Awareness

Standar Perangkat Lunak

Beberapa standar perangkat lunak pada PC/notebook saat ini antara lain adalah :

Microsoft Windows Operating System

Microsoft Office

Symantec Antivirus

Acrobat Reader

Page 21: Security Awareness

Keamanan Penggunaan

InternetApa itu Phishing ?

Phishing adalah jenis serangan yang menggunakan e-mail atau web site palsu yang

didisain untuk mengelabui orang lain dalam rangka memperoleh data-data penting seperti nomor kartu kredit, usernames dan password

dengan cara ilegal.

Page 22: Security Awareness
Page 23: Security Awareness

Keamanan di Lingkungan Kerja

Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :

Hindari penyebaran informasi penting/sensitif. Jangan meninggalkan dokumen sembarangan di meja kerja.

Gunakan metoda pemusnahan dokumen yang benar. Misal: menggunakan paper shredder

Jangan biarkan dokumen tertinggal di mesin fotocopy atau fax

Kunci layar komputer dengan menggunakan password jika ingin meninggalkan komputer

Page 24: Security Awareness

Keamanan di Lingkungan Kerja

Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :

Jangan menyimpan informasi penting di dalam USB flash disk

Jangan meminjamkan USB flash disk sembarangan

Jaga agar pintu masuk kantor senantiasa tertutup

Jangan biasakan meminjamkan ID Card

Page 25: Security Awareness

Keamanan di Lingkungan Kerja

Beberapa hal yang perlu dilakukan dalam lingkungan kerja: :

Gunakan Enkripsi untuk data-data sensitif

GNUPG

Truecrypt

Page 26: Security Awareness

Social Engineering

Pengertian :

Akuisisi informasi sensitif atau privilege akses informasi yang dilakukan oleh outsider, dengan menggunakan kepercayaan yang tidak semestinya yang dapat dibangun dengan insider

Page 27: Security Awareness

Social Engineering

Social Engineering memanfaatkan kelemahan sifat dasar manusia:

Keinginan untuk menolong orang lain

Kecenderungan untuk mempercayai orang lain

Kekhawatiran akan memperoleh kesulitan/masalah

Page 28: Security Awareness

Social Engineering

Tingkatkan kewaspadaan:

Tanyakan nama dan identitas

Tanyakan mengapa memerlukan informasi

Tanyakan siapa yang mengautorisasi permintaan informasi

Page 29: Security Awareness

Kebijakan Information Security

Information Security Policy

Bank Mega Information Security Policy

Third party access policy

Security Training and Awareness Policy

Desktop Management Policy

Password Policy

....

Page 30: Security Awareness

Kebijakan Information Security

Information Security Procedure

Information Classification & Handling Procedure

User Account Management Procedure

End User Computing Procedure

Information Security Incident Response Procedure

Router hardening Procedure

....

Page 31: Security Awareness

Renungan Akhir

Jika Bukan Kita,Lalu Siapa ?

Jika Bukan Sekarang Lalu Kapan ?