MK. Pengelolaan installasi komputer 8 & 9 - pengelolaan keamanan sistem komputer - username & password

1

1

Bambang S,S.Kom, MM, M.KomM.K PI K

Per temuan 8 & 9 : Pengel olaan Keaman an Si stemKomputer - Usern ame & Passwor d

1. Intro

Definisi PengelolaanInstalasi Komputer

Tujuan PengelolaanInstallasi Komputer

Tahapan

Apa Saja yang dikelola

2. COBIT 4.1

3. Pengelolaan Organisasi IT

4.Pengelolaan Perangkat Keras

5. Pengelolaan Perangkat Lunak

6. Pengelolaan Jaringan

7. Pengelolaan File (Backup & Restore)

8. Pengelolaan KeamananSistem

9. Pengelolaan Username & password

10.Pengelolaan lingkungan

11. PengelolaanProsedur &

Dokumentasi

12-. Presentasi Kelompok

2



3

Tujuan Umum :

Agar Mahasiwa dapat mengetahui mengenai PengelolaanKeamanan Sistem Komputer, Username & Password berdasarkan Standard Tata Kelola IT (IT Governance) denganmenggunakan standard COBIT



Proses Pen gel ol aan Keaman an Si stemKo mput er :

Planing Organizing Actuating Controlling

Control/ monitoring secara berkesinambungan

•Risk & Management identification•IT Continuity Plan

•---------------------------•Doc. Risk & Management Identification•Doc. IT Continuity

Plan

• PIC Determining•Standard Operating Procedure (SOP)/ WI

(work instruction)•Security Policy•Manage third Party•---------------------------•Doc. SOP/ WI

•Doc. Security Policy•Doc. Job Description/ job assignment

•Communication of IT (security awarenes training)•Security Management

• Incident Handling (IT Continuity Plan)•---------------------------•Doc. Security Socialization ((security awarenes training)

•Doc. Security Management•Doc. Incident Handling (IT Continuity Plan)

•Monitoring & Evaluate Security•Testing security

(security assesment)/ regularly• --------------------------•Doc. Monitoring & evaluate Security

•Doc. Testing security•Log file

3



5

De fi nisi Keaman an Si stemKo mput er

Istilah bagaimana komputer dapat terjaga atau terproteksi dari berbagaiancaman serangan dari luar seperti merusak, pencurian data dansebagainya.

Mengapa Keamanan Komputer dibutuhkan :a. “information-based society”, menyebabkan nilai informasi menjadi

sangat penting dan menuntut kemampuan untuk mengakses danmenyediakan informasi secara cepat dan akurat menjadi sangatesensial bagi sebuah organisasi,

b. Infrastruktur Jaringan komputer, seperti LAN dan Internet,memungkinkan untuk menyediakan informasi secara cepat,sekaligus membuka potensi adanya lubang keamanan (securityhole)



Menurut David Icove , berdasarkan lubang keamanan, keamanandapat diklasifikasikan menjadi empat, yaitu:1. Keamanan yang bersifat f isik (physical security): termasuk

akses orang ke gedung, peralatan, dan media yang digunakan. Contoh :

Wiretapping atau hal-hal yang ber-hubungan denganakses ke kabel atau komputer yang digunakan juga dapatdimasukkan ke dalam kelas ini.

Denial of service, dilakukan misalnya dengan mematikanperalatan atau membanjiri saluran komunikasi denganpesan-pesan (yang dapat berisi apa saja karena yang diuta-makan adalah banyaknya jumlah pesan).

Syn Flood Attack, dimana sistem (host) yang dituju dibanjirioleh permintaan sehingga dia menjadi ter-lalu sibuk danbahkan dapat berakibat macetnya sistem (hang).

6

4



2. Keamanan yang berhubungan dengan orang(personel), Contoh : Identif ikasi user (username dan passw ord) Prof il resiko dari orang yang mempunyai akses (pemakai

dan pengelola).

3. Keamanan dari data dan media serta teknik komunikasi(communications).Contoh :

○ Komunikasi email dgn menggunakan encryption

4. Keamanan dalam operas i: Adanya prosedur yang digunakanuntuk mengatur dan mengelola sistem keamanan, dan jugater-masuk prosedur setelah serangan (post attack recovery).

7



Wire Tapping

8

5



9

Denial of Service Attack



3 Aspek Keamanan Komputer (umum)

10

Confident iality

Integrity Availability

C

I A

berhubungan dengan data yang diberikanke pihak lain untuk keperluan tertentu danhanya diperbolehkan untuk keperluantertentu tersebut.

Contoh : Gaji, Pin ATM, Passwordberhubungan dengan data yang boleh dibuah tanpa seijin pemilikinformasi (berhubungan dengankeutuhan data)

Contoh : email / tdk boleh dirubah, data

berhubungan denganketersediaan informasi (pada saatdibutuhkan)

Contoh : email, transaksi ATM

6



I. Lapisan Keamanan

11



A. Berkaitan dengan akses f isik ke mesin :

i. Akses masuk ke ruangan komputer

ii. penguncian komputer secara hardware

iii . keamanan BIOS

iv. keamanan Bootloader

B. back-up data :

i. pemilihan piranti back-up

ii. penjadwalan back-up

C. mendeteksi gangguan f isik :

D. log f ile : Log pendek atau tidak lengkap, Log y ang berisikan waktuy ang aneh, Log dengan permisi atau kepemilikan y ang tidak tepat, Catatan pelay anan reboot atau restart, Log y ang hilang, masukansu atau login dari tempat y ang janggal

E. mengontrol akses sumber day a.

12

1• Lapisan Fisik

7



Berkaitan dengan user dan hak-hakny a :

A. Beri mereka f asilitas minimal yang diperlukan.

B. Hati-hati terhadap saat /dari mana mereka login, atau tempat seharusny a mereka login.

C. Past ikan dan hapus rekening/ account mereka ketika mereka tidak lagi membutuhkan akses.

13

2• Keamanan Lokal

3• Keamanan File & System

Berkaitan dengan akses kedalam f ile & Sistem :A. Directory home user tidak boleh mengakses perintah mengubah

sy stem seperti partis i, perubahan dev ice dan lain-lain.B. Lakukan sett ing limit system file.C. Atur akses dan permiss ion f ile : read, writa, execute bagi user

maupun group.D. Selalu cek program-program y ang tidak dikenal



Berkaitan dengan pengamanan dengan password & enkrips i

A. Hati-hati terhadap bruto f orce attack dengan membuat password y ang baik.

B. Selalu mengenkrips i f ile y ang dipertukarkan.

C. Lakukan pengamanan pada lev el tampilan, seperti screen saver.

14

4• Keamanan Password & enkripsi

5 • Keamanan Kernel

Berkaita dengan aspek kemanan kernel :A. selalu update kernel sy stem operasi.B. Ikuti rev iew bugs dan kekurang-kekurangan pada system operasi.

8



15

6• Keamanan Jaringan

•

Berkaitan dengan pengamanan sistem keamanan jaringan komputer

A. Waspadai paket sniffer yang sering menyadap port Ethernet.B. Lakukan prosedur untuk mengecek integritas dataC. Verifikasi informasi DNSD. Lindungi network file systemE. Gunakan firewall untuk barrier antara jaringan privat dengan jaringan

eksternal



Pl an ning – Keaman an Si stemKo mput er - Username & Password :

Dibuatkan dokumen identifikasi Resiko & Pengelolaannya, tujuannyaadalah untuk mengidentifikasi segala resiko – kemananan yang bisa sajaterjadi sehingga mengakibatkan pelayanan komputer menjadi terganggu

Tentukan Kriteria apa saja yang akan dilakukan pengamanan terhadapkeamanan sistem komputer :

a. Nama Aplikasi/ Informasi (yang akan diamankan)b. Bagian yang bertanggung jawabc. Identifikasi Resiko (berhubungan dengan aspek :CIA

(Confidentiality, Integrity, Availability)d. Identifikasi Ancamane. Buat kriteria terhadap Dampak , Tingkatan resikof. Buat kontrol yang ada

9



Pl an ning – Keaman an Si stemKo mput er - Username & Password :

Dibuatkan dokumen perencanaan keberlanjutan IT (IT Continuty Plan) , tujuannya adalah jika terjadi gangguan terhadap sistemkomputer (IT) yang berdampak kepada bisnis, bisa ditanggulangi tanpa menggangu jalannyabisnis (istilah lain proses BCP/ DRP = Business Continuty Plan & Disaster Recovery Plan)

Detail proses BCP / DRP



Pl an ning – Keaman an Si stemKo mput er - Username & Passwo rd:

Contoh : dokumen Identifikasi Resiko Keamanan sistem Komputer

10



O rgani zi ng – Keaman an Si stemKo mput er - Username & Password :

Dibuatkan job description terkait dengan pengamanan terhadap suatusistem

Dibuatkan SOP/ WI mengenai keamanan sistem komputer

Dibuatkan kebijakan mengenai sistem keamanan komputer (Security Policy termasuk username & password), tujuannya adalah agar ada aturanyang jelas dalam pelaksanaan keamanan sistem sehingga keamanan sistemkomputer bisa terjaga dengan baik

Detail proses BCP / DRP



O rgani zi ng – Keaman an Si stemKo mput er - Username & Password:

Contoh : Documen kebijakan Password

11



Act uating– Keaman an Si stemKo mput er - Username & Password :

Lakukan pelaksanaan pengamanan sistem secara berkala (sesuai denganperencanaan diawal)

Pastikan bahwa proses pengamanan sistem komputer sudah berjalansesuai harapan

Lakukan penggunaan username & password secara berkala Adanya doc pelaksanaan pengamanan sistem komputer (termasukusername & password)

Contoh : tanda terima sosialisasi IT Awarenes



Act uating– Keaman an Si stemKo mput er - Username & Password :

Contoh : Penggunaan password yg salah (ditulis) Contoh : Password yang banyak digunakan

12



C ontrol ling– Keaman an Si stemKo mput er - Username & Password:

Lakukan Monitoring & Evaluasi keamanan sistem komuter – username & password secara berkala (sesuai dengan perencanaan diawal) Lakukan testing terhadap keamanan sistem komputer yang sudahdirencanakan (dengan cara : penetration test) Adanya doc monitoring & evaluasi pengelolaan keamanan sistemkomputer

Contoh : tanda terima sosialisasi IT Awarenes




Scopre area keamanan sistem komputer yang akan dilakukan testing

13




Contoh Testing sistem Keamanan Komputer

Contoh : Dokumentasi Penetration Test



26

14



27

Terima Kasi h,Terima Kasi h,Wassal am,Wassal am,

Than ks,Than ks,Mat ur N uwun ,Mat ur N uwun ,

TseTse--se,se,Ari gat oAri gat o

Technology

MK. Pengelolaan installasi komputer 8 & 9 - pengelolaan keamanan sistem komputer - username & password