CONTENT

// COVER STORY
// GOVERNANCE
POSISI STRATEGIS KEAMANAN INFORMASI

// INSIGHT

MUHAMMAD GUNTUR Menjawab Tantangan Keamanan Informasi Bank Mandiri

039

SOCIAL MEDIA SECURITY

029

Posisi CISO bisa saja berbeda sesuai dengan kebutuhan perusahaan. Namun yang perlu ditekankan adalah kewenangannya untuk memastikan strategi keamanan informasi haruslah besar.

062
Muhammad Guntur, pemegang fungsi CISO di Bank Mandiri akan berbicara mengenai tantangan keamanan informasi di Bank Mandiri yang sekarang sedang terjadi.

Social media telah mengubah cara berkomunikasi sehari-hari individu. Begitu mudahnya akses dan kebutuhan individu dalam berbagi membuat risiko kebocoran informasi yang tidak bisa dihindari oleh perusahaan.

STRATEGY
// INSIGHT
024

TECHNOLOGY
// KNOWLEDGE
080

// INFOSEC NEWS
007

// THE ZERO DAY

014

TIGA MATA RANTAI KEAMANAN INFORMASI

// GOVERNANCE
054

SEBERAPA AMAN ANDA MENERAPKAN SSL PADA WEB?

// MOBILE
089

// INFOSEC NEWS

CISO DARI KACAMATA REGULASI

// EVENT

// CONCEPT
022

BYOD
// FORENSIC
095

016

SIAPKAH KITA ?

// THE SOCIAL ENGINEER

100

// RECOMMENDED
101

// CAREER
104

COMPUTER FORENSIC

elamat datang di CISO Magazine! Dengan antusiasme yang tinggi, baik dari kami maupun dari komunitas profesional dan praktisi keamanan informasi Indonesia, CISO Magazine hadir memberikan informasi yang dibutuhkan oleh para profesional dalam menjalankan kariernya sebagai praktisi keamanan informasi.

Menggunakan format digital magazine, kami melakukan eksplorasi dalam menyampaikan informasi dan bercerita dengan gaya yang benar-benar baru. Mengajak pembaca berinteraksi dengan pengalaman yang menyenangkan. Di edisi perdana ini CISO Magazine berbicara mengenai Muhammad Guntur, IT SAP (IT Strategy, Architecture, and Planning) Bank Mandiri. Selama 5 tahun menjabat posisi yang memiliki fungsi CISO, ia membagikan pengalamannya dalam menjawab tantangan keamanan informasi di Bank Mandiri. Tantangan posisi strategis keamanan informasi dalam organisasi juga menjadi kerancuan. Bahkan belum ada sebuah organisasi di Indonesia yang memiliki CISO yang benar-benar melapor langsung ke CEO. Apakah hal itu normal? Apakah wajib untuk memiliki CISO dalam suatu struktur? Rubrik Governance akan menyajikan kepada anda mengenai posisi CISO

FROM THE EDITOR

YASSER HADIPUTRA
EDITOR IN CHIEF @yasserhadiputra

dan kebutuhannya, serta posisi tersebut dalam kacamata regulasi. Penerapan BYOD dalam organisasi di Indonesia menjadi hal yang tidak bisa dihindari. Produktivitas pekerja perlu didukung dengan strategi TI yang lebih terbuka memunculkan problematika baru bagi seorang CISO. Strategi tepat diperlukan untuk menanganinya. Namun strategi untuk mengatasi jika terjadinya insiden keamanan TI juga tetap harus dipertimbangkan, karena insiden tidak dapat didugaduga kedatangannya. Untuk itu pemahaman dasar mengenai Computer Forensic perlu diketahui oleh seorang CISO. Dengan hadirnya CISO Magazine, kami mengharapkan dapat meningkatkan awareness profesional Indonesia pada umumnya. Serta menginformasikan tren dan best practice keamanan informasi terkini, selain itu juga memperkuat komunitas industri yang masih berumur jagung ini.

EDITORIAL
EDITOR IN CHIEF Yasser Hadiputra EDITORIAL STAFF Anita Rosalina CREATIVE Mochammad Iqbal Chasan Bayu APP DEVELOPER Andini Sri Kartika ADVERTISING adv@ciso.co.id INFORMATION info@ciso.co.id PT. BUMI NAWA COMMUNICATIONS Graha Sartika Lt. 3 Jl. Dewi Sartika No. 357 Cawang - Jakarta Timur T : +62-21-46432255

Find us on:

So, be informed!

CONTRIBUTOR
JEFFRY KUSNADI
Jeffry Kusnadi adalah seorang manajer dalam Risk & Controls Solutions (RCS) Group di Pricewaterhouse Coopers Indonesia. Ia memimpin timnya dalam kegiatan konsultasi keamanan dan infrastruktur teknologi informasi. Berpengalaman selama lebih dari sepuluh tahun dalam ranah teknologi informasi dan keamanannya. Sebelum di Pricewaterhouse Coopers, ia merupakan Kepala divisi teknologi informasi di PT Bank Bumi Arta, Tbk. penelusuran bukti digital. Beberapa kasus yang pernah ditangani penulis antara lain pencurian properti intelektual, pencemaran nama baik, penyebaran konten pornografi, penggelapan, penipuan, kejahatan cyber , dan beberapa kasus lainnya. Penulis yang telah mengantongi sertifikati profesi internasional dibidang digital forensik ini juga aktif diundang sebagai pembicara di berbagai pelatihan dan seminar utamanya dalam menyampaikan awareness digital forensik dan keamanan informasi. dan manufaktur di Indonesia untuk melakukan penetration test dan security assessment terhadap sistem kritikal mereka. Merupakan finalis kompetisi hacking dunia Global Cyberlympics . Sehari-harinya beliau lebih banyak melakukan penelitian di Swiss German University dan mempublikasikan hasil penelitiannya terutama yang befokus pada malware , data mining , cloud security , dan digital forensic . Beliau juga aktif dalam berbagai komunitas seperti Honeynet Indonesia Chapter, Academy CSIRT, OWASP Indonesia Chapter dan Cloud Security Alliance.

TOTO WIDJONARTO
Toto Widjonarto, CCNA, CCNP, CCIE, GCFW, CEH CHFI, Lead Auditor Berpengalaman selama 12 tahun lebih di Industri TI dan keamanan informasi perbankan. Kini ia menjabat sebagai IT Security Auditor di PT Bank Rakyat Indonesia.

AHMAD ZAMZAMI
Penulis adalah pakar digital forensik yang telah banyak terlibat dengan aparat kepolisian, penyidik, lembaga advokasi dan instansi pemerintahan dalam kaitanya dengan pengungkapan serta

EKO PRASETIYO

CHARLES LIM
Charles Lim, MSc., ECSA, ECSP, ECIH, CEH, CEI adalah seorang pendidik, peneliti, penulis, konsultan IT dan IT security, dan juga pelatih professional di bidang keamanan IT.

Berminat Menjadi Kontributor di CISO Magazine? email ke: red@ciso.co.id

Eko Prasetiyo adalah seorang peneliti keamanan teknologi informasi yang fokus dalam penetration test dan digital forensic. Tidak hanya riset, ia juga banyak membantu organisasi-organisasi di industri perbankan, migas,

Kamis, 4 April 2013

INFOSEC NEWS

Open Redirect Vulnerability Berbahaya pada Facebook

pen Redirect Vulnerability merupakan celah keamanan sistem aplikasi yang tidak melakukan verifikasi saat proses redirect URL melalui aplikasi tersebut. Vulnerability ini dimaanfaatkan pada aktivitas phishing agar pengguna mengunjungi situs yang berbahaya. Cara kerjanya dengan memberikan korban suatu link URL yang menggunakan metode redirect, sehingga diawal link terlihat sesuai dengan asalnya. Padahal metode redirect

terlihat di belakang link tersebut, namun sering sekali tidak diperhatikan. Celah yang sederhana dan sering terlihat bukan? Namun apa yang terjadi pada Facebook tidak sesederhana itu. Celah pada layanan Facebook telah dimodifikasi menjadi lebih canggih. Hacker yang mengerti cara mengakali celah tersebut dapat memberikan dampak yang buruk. Jika hacker mengetahui UserID korban maka dengan memberikan

link yang tidak diverifikasi terhadap redirect tujuan access token korban dapat diambil alih. Contohnya, http://www.situsvulnerable. com?UserID55555redirect=www.situs berbahaya .com. Proses akses link tersebut akan memberikan access token pada URL yang bisa ditangkap.
Nir Goldshlager, seorang peneliti keamanan white hat ternama asal Israel, menemukan Open Redirect Vulnerability pada Facebook melalui sistem OAuth untuk otentikasi aplikasi pihak ketiga. Ia secara bertanggung jawab melaporkan celah keamanan tersebut pada Skype, Dropbox, dan Facebook. Kini perusahaan tersebut telah mengonfirmasikan bahwa celah Open Redirect Vulnerability pada sistem mereka telah dimitigasi. Hingga berita ini ditulis, Goldshlager menempati peringkat teratas pada Facebooks thank you lists yang sudah dipegang olehnya selama dua tahun. Pada 2011 ia berada peringkat kedua.

Goldshlager yang baru memulai perusahaan konsultan keamanan TI bernama Breaksec, bertugas mencari bugs pada sistem aplikasi sebelum ditemukan oleh hacker. Goldshlager juga menemukan bahwa metrics.skype.com dan dropbox.com gagal dalam melakukan verifikasi redirect. Untuk melakukan proof-of-concept, pelaku harus mengetahui terlebih dahulu siapa pengguna Facebook yang juga menggunakan aplikasi Skype atau Dropbox. Kemudian pelaku melanjutkan pencarian User ID Facebook pengguna dengan memanfaatkan Graph API. Apabila pelaku memasukkan URL metrics.skype.com yang benar dengan User ID di dalamnya, kemudian menambahkan redirect pada situs yang diinginkan untuk menangkap access token, proses redirect akan memberikan access token pengguna yang pelaku peroleh melalui situs yang telah dikendalikan. AR

Senin, 1 April 2013

INFOSEC NEWS

IDC: Pasar Keamanan Cyber Meningkat $870 Juta di 2017

UMBAI (thehindubusinessline.com) Pasar solusi keamanan cyber diprediksi akan meningkat hingga $870 juta pada 2017. Prediksi tersebut bersumber dari perusahaan riset International Data Corporation (IDC).

Kejahatan cyber menggunakan ribuan jaringan komputer atau yang dikenal dengan botnet untuk memadati traffic sebuah website dengan membanjiri akses ke jaringan tersebut

sehingga menyebabkannya lumpuh. Seperti serangan yang jamak diketahui, yakni DDoS. Berdasarkan IDC serangan meningkat secara tajam baik secara frekuensi, volume, dan orientasi, kini serangan tidak hanya menysar perusahaan finansial pada skala besar, melainkan juga menyasar perusahaanperusahaan kecil.

As attacks surged in prevalence and sophistication, organisations were often

caught unaware. Embedded capabilities were quickly overwhelmed and outages were readily apparent on the Web, tutur Vice President (Security Products and Services research) IDC, Christian Christiansen.
Serangan telah mendorong permintaan solusi keamanan cyber yang proaktif. Christiansen menambahkan pernyataannya, the worldwide market for DDoS prevention solutions will grow by a compound annual growth rate (CAGR) of 18.2 per cent from 2012 through 2017 and reach $870 million. Perkembangan layanan cloud dan jaringan mobile tentu akan dijadikan bulan-bulanan serangan DDoS. Sementara itu firewall, intrusion protection, dan device lain hanya dapat dimanfaatkan untuk mitigasi serangan yang terbilang rendah, besarnya volume serangan diisukan sulit dibedakan dari traffic, apakah legal atau ilegal.

Symantex sebagai penyedia layanan keamanan mengatakan, pada akhir 1990-an, jaringan zombie dimanfaatkan untuk memukul website sehingga tidak dapat digunakan pelanggannya. Serangan memanfaatkan botnet pada 2007 telah membuat internet di Estonia tidak dapat digunakan, sementara Georgia harus menelan hal serupa pada 2008. Sementara itu, India yang diprediksi Schmidt akan jauh lebih besar dari China dalam penggunaan internet, dilaporkan pada Symantec Internet Security Threat Report XVII juga merasakan dampak serangan jaringan zombie. Berdasarkan laporan tersebut, 25% bot mempengaruhi komputer di India yang berlokasi di tier-II cities. Menurut Symantex, dengan peningkatan serangan dewasa ini, jaminan solusi keamanan cyber tidak hanya dibutuhkan organisasi, tetapi juga dibutuhkan oleh pengguna pribadi. AR

Kamis, 11 April 2013

INFOSEC NEWS

Membajak Pesawat Menggunakan Android

embajak pesawat menggunakan android, salah satu materi yang disampaikan pada Hack in the Box (#HITB2013AMS), konferensi keamanan yang berlangsung di Amsterdam, Belanda. Aircraft Hacking: Practical Aero Series disampaikan oleh Hugo Teso, seorang konsultan keamanan di AG Jerman. Debut Teso di dunia TI telah mencapai sebelas tahun, ia juga seorang pilot komersial selama dua belas tahun. Kombinasi karier tersebut

membawanya pada pengetahuan mengenai sistem keamanan komputer bagi penerbangan dan protokol komunikasi (communication protocol). Pada materinya mengenai membajak pesawat, Teso mendemonstrasikan kecakapan untuk mengambil kontrol pesawat dengan cara membuat pesawat virtual. Dengan memanfaatkan dua teknologi khusus, untuk menemukan, mengumpulkan informasi, dan mengeksploitasi, melalui merancang

exploit framework SIMON dan aplikasi android PlaneSploit, pesan serangan dapat dikirimkan ke Flight Management System (FMS yang terdiri dari unit komputer dan unit kontrol) pesawat.
Dua teknologi yang dimanfaatkan untuk membajak pesawat, yakni Automatic Dependent Surveillance-Broadcast (ADS-B) dan Aircraft Communications Addressing and Reporting System (ACARS). ADS-B digunakan untuk mengirim informasi mengenai pesawat, meliputi identifikasi, posisi, ketiggian, dan sebagainya melalui sebuah on-board transmitter guna mengontrol air traffic. ADS-B juga memungkinkan pesawat dilengkapi dengan teknologi untuk menerima informasi penerbangan, seperti lalu lintas, cuaca, dan informasi mengenai pesawat lainnya yang melintas di sekitar pesawat. Sementara itu, ACARS digunakan untuk bertukar pesan antara pesawat dan air traffic controllers melalui radio atau satelit, serta memberikan informasi mengenai setiap fase penerbangan selanjutnya secara otomatis.

Baik ADS-B maupun ACARS sangat tidak aman dan rentan terhadap serangan aktif dan pasif. Penyalahgunaan ADS-B untuk menyasar target dan ACARS untuk mengumpulkan informasi melalui onboard computer juga dapat dimanfaatkan untuk mengeksploitasi vulnerability yang ada dengan mengirimkan pesan malicious untuk mempengaruhi perilaku pesawat. Dalam membajak pesawat, Teso membangun framework SIMON yang dengan bebas dimanfaatkan pada lingkup virtual dan tidak dapat digunakan pada kehidupan nyata. Dalam penelitiannnya ia juga menggunakan produk software dan hardware. Metode koneksi dan komunikasinya dalam membajak pesawat virtual sebaik dan persis sama dengan yang dapat dieksekusi pada kehidupan nyata. Hampir mustahil untuk mendeteksi framework ketika disebarkan ke FMS, dan tidak ada kebutuhan untuk menyamarkan seperti rootkit.

Dengan meggunakan SIMON, penyerang dapat mengunggah payload spesifik untuk mengontrol FSM, rencana penerbangan, komando rinci, atau bahkan plug in standar yang dapat dimanfaatkan untuk membangun framework. Teso mendemonstrasikan penjelasannya agar lebih mudah dipahami dengan menggunakan SIMON pada android untuk mengontrol pesawat jarak jauh, serta aplikasi PlaneSploit. PlaneSploit ini menggunakan Flightradar24 untuk mengikuti jejak penerbangan secara langsung. PlaneSploit dapat pula digunakan pada pesawat apapun yang ditemukan.

melalui in-application alert atau push message. Payload spesifik dapat diunggah dan secara otomatis FMS akan dikontrol secara jarak jauh oleh penyerang. Eksploitasi lebih lanjut mungkin juga dilakukan karena terdapat sistem koneksi lainnya ke FMS. Teso tidak menjelaskan lebih rinci mengenai perangkat yang ia gunakan untuk mengeksekusi serangan. Ia mengatakan dirinya cukup terkejut dengan reaksi industri terhadap penelitian yang ia temukan industri tidak menyangkal masalah yang Teso temukan melalui penelitiannya. Menurut Teso ada solusi bagi para pilot untuk mendapatkan kontrol pesawat dan mendaratkan dengan aman karena serangan hanya akan bekerja ketika auto-pilot aktif, maka cara terbaik adalah matikan auto-pilot tersebut, kemudian terbangkan pesawat dengan instrumen analog. AR

User interface sendiri dibagi sesuai dengan fungsi masing-masing, yakni, penemuan, pengumpulan informasi, ekploitasi dan pasca eksploitasi. Penyerang dapat mengklik pada pesawat apapun dan menerima identifikasi, seperti lokasi saat diklik dan tujuan akhir.
Pada kasus sistem pesawat dapat dieksploitasi, aplikasi dapat mengingatkan penyerang

THE ZERO DAY

CVE-2013-0640 CVE-2013-064
FireEye Malware Intelligence Lab menemukan vulnerabilities pada PDF Reader 9.5.3, 10.1.5, dan 11.0.1 yang berpotensi menyebabkan crash sekaligus membuka peluang penyerang merebut kontrol pemilik sah. Vulnerabilities CVE-2013-0640 dan CVE-2013-064 dieksploitasi sebagai target serangan guna mengelabuhi pengguna OS berbasis Windows, Linux, serta Apple. Eksploitasi bermula dari dua DLL files pada sistem pengguna. Pertama, umpan ditujukan untuk menampilkan pesan eror yang palsu melalui dokumen PDF. Adobe mulai crash. Selanjutnya saat proses recovery DLL files yang kedua, gempuran malicious code sukses menyusup. Malware digunakan untuk mengirim balik data guna mengontrol domain. Pengguna alih-alih melihat hal tersebut sebagai serangan, hanya melihat sebagai crash belaka, tidak lebih.

CVE-2013-0422
Vulnerability CVE-2013-0422 pada Java 7 (update 10) ditemukan sebagai satu ancaman bagi pengguna komputer dengan sistem operasi berbasis apapun. Instalasi malware, pencurian identitas, penggunaan komputer pribadi sebagai botnet merupakan dampak dari vulnerability pada Java. Tiga perusahaan besar, Facebook, Apple dan Microsoft tumbang sebagai korban karena vulnerability Java yang berhasil dieksploitasi penyerang. Vulnerability tersebut ditemukan pada plug in Java untuk web browser seperti Firefox dan Internet Explorer. Ahli IT security mengatakan, setidaknya perlu dua tahun bagi Java untuk memperbaiki vulnerability-nya. Waktu yang sangat luang untuk membiarkan penyerang menggencarkan aksinya. Menyoal vulnerability Java, Apple memilih untuk menanggalkan Java dari sistem operasi X.

THE ZERO DAY

CVE-2013-0633
Krisis vulnerability CVE-2013-0633 pada Flash player dilaporkan oleh peneliti Kaspersky Lab, Sergey Golovanov dan Alexander Polyakov. Dampak vulnerability tersebut dapat dituai pengguna OS berbasis Windows, Mac OS X, dan Linux serta Android dengan versi awal. Korban serangan diarahkan membuka spear-phishing email dengan Microsoft Word yang mengandung konten malicious Flash (SWF). Eksploitasi pada CVE-20130633 menargetkan versi ActiveX Flash Player pada Windows. Adobe juga menyadari laporan mengenai CVE-2013-0643 dan CVE-2013-0648 yang sedang dieksploitasi guna melakukan serangan, mengelabuhi pengguna untuk mengunjungi situs web dengan content Flash yang berbahaya. Eksploitasi pada CVE2013-0643 dan CVE-2013-0648 menyasar pengguna yang menggunakan Firefox.

CVE-2013-1889
Vulnerability pada web browser Internet Explorer ditemukan oleh Paul Baccas, peneliti SophosLabs. Zero-day vulnerability pada Internet Explorer versi 6, 7, 8 membuat penyerang merebut kontrol sistem operasi Windows. Hal tersebut bermula dari kunjungan pengguna pada situs yang telah diinfeksi malicious code oleh penyerang. Dua situs yang ditemukan oleh SophosLabs untuk mengeksekusi kontrol serangan mengandung dokumen SWF sebagai Troj/SWFExp-BF, dokumen HTML sebagai Exp/20124792-B, dan kode tersembunyi pada xsainfo.jpg sebagai Trojan Horse, Troj/Agent-ZMC. Pengguna Internet Explorer yang sangat berpotensi sebagai korban seharusnya lebih berhati-hati dengan memastikan perlindungan berlapis guna meminimalkan risiko.

EVENT Ivano Aviandi , Founder CDA

GRAND LAUNCHING CYBER DEFENSE AC A D E M Y

Cyber Defence Academy (CDA) merupakan institusi bagi para profesional guna menambah kapasitas diri dalam bidang keamanan informasi. CDA juga sebagai jawaban atas tantangan keamanan cyber yang meningkat dewasa ini.

EVENT Tamu undangan

amis (14/3) peluncuran Cyber Defense Academy (CDA) dilaksanakan di hotel Bidakara Jakarta Selatan. CDA merupakan instansi akademik yang fokus geraknya pada bidang keamanan teknologi informasi. Dengan visi Menjadi penyedia ilmu pengetahuan keamanan dunia maya yang bertaraf internasional dan dapat dijadikan standar bagi seluruh lapisan industri, CDA bertujuan untuk memberikan pendidikan dan pelatihan khusus bagi profesional yang ingin meningkatkan kapasitasnya di bidang keamanan informasi.

Melalui sambutannya, Ivano Aviandi selaku CEO Cyber Defense Academy mengatakan bahwa selama ini standar mengenai IT Security selalu berkiblat pada dunia internasional yang belum tentu pas untuk diterapkan di Indonesia. CDA merupakan yang pertama dan satu-satunya yang berasal dari lokal. Kesadaran semakin bertumbuhnya angka serangan dari waktu ke waktu merupakan titik tolak dibentuknya Cyber Defense Academy. Total serangan di dunia sepanjang tahun 2012 mencapai 1.250.000 dan 250.000 serangan pada Januari 2013. Sementara untuk Indonesia total serangan mencapai 9.514 pada 2012, angka tersebut hanya mewakili serangan pada website. Edwin Nugraha, Technical Manager Cyber Defense Academy,

EVENT

mengatakan dengan cukup percaya diri, CDA adalah jawaban masalah keamanan teknologi informasi di Negara ini. Turut berpartisipasi dalam peluncuran acara yang bertopik Kompetensi SDM terkait IT Security Iwan Sumantri, Wakil Ketua ID-SIRTII Bidang Riset dan Pengembangan; Bambang Heru Tjahyono, Direktur Keamanan Informasi Kemkominfo; dan Sarwono Sutikno, praktisi bidang keamanan informasi sekaligus akademisi dari STEI-ITB. CDA memiliki dua jenis kurikulum, yaitu Secure Infrastructure dan Secure Programming yang masing-masingnya memiliki tiga tingkatan, yakni Associate, Professional, dan Expert.

Mengenai CDA

Secure Infrastructure

Secure Programming

EXPERT Professional Associate

EXPERT Professional Associate

EVENT

Ivano menjelaskan bahwa individu yang mendaftarkan dirinya untuk mengikuti pelatihan CDA tidak dapat langsung memasuki tingkat professional maupun expert. Peserta harus memulai pelatihan dari level associate, baru dapat menuju level berikutnya. Penilaian naik tingkat tidak hanya berdasarkan kapasitas pengetahuan, tetapi juga etika moral. Tanpa etika moral seorang yang memiliki pengetahuan bisa saja menyalahgunakan. Kurikulum associate secure infrastructure dan programming sama-sama akan berlangsung selama lima hari, namun dengan muatan berbeda. Pada associates secure infrastructure akan dibahas, yakni merancang topologi berdasarkan standar keamanan informasi,

Tim CDA dan pembicara

EVENT

mengaplikasikan aturan berdasarkan standar keamanan informasi, serta kebaruan infrastructure. Sementara itu pada associate secure programming yang akan dibahas adalah merancang aplikasi yang memenuhi standar keamanan informasi, menerapkan logical programming yang baik dan benar, serta mengenai teknik pengembangan aplikasi terbaru. Peserta pada kurikulum ini ditargetakan untuk menguasai tiga bahasa pemrograman, yakni PHP, .Net, dan Java. Keluaran CDA diharapkan dapat menambah pengetahuan mengenai keamanan informasi, menambah pengetahuan yang dapat diterapkan secara langsung, mampu memprediksi setiap serangan yang akan terjadi, memiliki inovasi lebih besar guna merancang terobosan yang bernilai bagi dunia keamanan informasi. Peserta yang telah mengikuti rangkaian pelatihan CDA dipastikan bergabung dalam Cyber Defense Community (CDC) dimana komunitas ini berbeda dari komunitas cyber kebanyakan yang bersifat underground. CDC adalah komunitas white hat professional yang akan terus berbagi pengetahuan mengenai zero day, perkembangan keamanan teknologi informasi, dan lain sebagainya dan berjejaring dengan komunitas lainnya. Tidak berhenti pada pelatihan, Ivano memiliki impian besar terkait CDA, yakni menjadikannya sebagai universitas yang akan mencetak para ahli IT Security. Sebagai langkah awal, Ivano dan tim akan mengenalkan CDA pada universitasuniversitas di Indonesia guna bekerja sama menyusun kurikulum keamanan informasi sebagai sebuah mata kuliah. Ke depan, CDA akan terbuka baik bagi profesional di bidang industri, mahasiswa, dan masyarakat umum yang ingin meningkatkan kapasitas dirinya di bidang keamanan teknologi informasi. AR

PEMBICARA Bambang Heru Tjahyono Iwan Sumantri Sarwono Sutikno

EVENT

Salah satu permasalahan keamanan informasi hingga saat ini adalah tingkat awareness instansi-instansi pemerintah serta masyarakat di Indonesia mengenai keamanan informasi dan internet masih sangat rendah.

Hasil pemantauan yang dilakukan ID-SIRTII terhadap serangan pada traffic internet Indonesia mengalami penurunan pada Februari 2013. Pada Januari, serangan mencapai 2.458.230 sementara pada Februari menurun hingga 1.943.478.

Dengan judul Securing Mobile Devices Using COBIT 5 for Information Security membahas mengenai kontrol terhadap BYOD yang menjadi banyak permasalahan pada organisasi sekarang ini berdasarkan COBIT 5 yang merupakan versi terbaru untuk menyesuaikan dengan kebutuhan saat ini.

CONCEPT

THE BEST DEFENSE IS A GOOD OFFENSE

SUDUT PAND ANG YANG SE RING D I K ESA MP I NG K A N

Dalam mengamankan infrastruktur organisasi, sering kali usaha yang dilakukan berorientasi pada solusi teknologi. Dengan memasang firewall pada setiap layer akses, penggunaan IDS/IPS yang handal, dan policy yang mendukung solusi dianggap sudah memadai. Padahal solusi tersebut seringkali tidak memiliki dasar.

CONCEPT

asar yang dimaksud adalah bukti. Bukti bahwa solusi yang diterapkan memang teruji dalam menangkal serangan. Dalam hal pembuktian teori tersebut, seorang network security administrator tidak bisa hanya menggunakan satu sudut pandang, yaitu sudut pandang pertahanan (defense). Sudut pandang seorang hacker (offense) juga perlu dianalisis. Melalui sudut pandang hacker akan terlihat secara jelas celah, malfungsi, dan kesempatan yang ada untuk hacker menyusup atau mengakali sistem pertahanan yang dibentuk. Sulit bagi seorang untuk memiliki sudut pandang yang benar-benar berbeda. Oleh karena itu dibutuhkan bantuan orang lain yang berbeda fungsi dan memiliki kemampuan baik dalam menganalisis celah (vulnerability analysis). Tidak jarang manajemen pun meng-hire konsultan atau pihak ketiga untuk memperoleh hasil

analisis yang optimal dan independen. Pihak independen tidak akan memiliki kepentingan lain selain tugas yang diamanatkan kepadanya, lain halnya dengan staf internal organisasi, terkadang mereka memiliki posisi yang membuat mereka cenderung pragmatis dalam mencari solusi.

Pertahanan terbaik adalah menyerang kutipan tersebut sejalan dengan konsep sistem keamanan komputer. Begitu banyaknya attack vector pada sistem keamanan komputer yang tidak bisa dilihat melalui sudut pandang network security administrator menjadi salah satu celah yang luput dari perhatian manajemen keamanan informasi. Dengan melakukan uji ketahanan sistem maka akan didapat bukti nyata bahwa sistem pertahanan yang dibangun memang tidak memiliki celah rawan. Meskipun begitu, risiko tidak mungkin bernilai nol. YH

INSIGHT

TIGA MATA RANTAI KEAMANAN INFORMASI

Oleh : Toto Widjonarto

If you know your enemies and know yourself, you will not be imperiled in a hundred battles; if you do not know your enemies but do know yourself, you will win one and lose one; if you do not know your enemies nor yourself, you will be imperiled in every single battle Sun Tzu, Art of War -

INSIGHT

erangkat dari falsafah Sun Tzu apabila ingin menang menghadapi musuh maka kita harus mengetahui kekuatan musuh, serta kekuatan yang kita punya. Falsafah tersebut juga dapat diterapkan dalam masalah keamanan informasi sehingga kita tahu apa yang harus diproteksi dan bagaimana memproteksinya. Pengetahuan mengenai modus operandi yang sering terjadi dalam keamanan informasi perlu terus ditingkatkan, sehingga langkah antisipasi dapat diambil secara proaktif guna mencegah kerugian finansial lebih besar lagi.

dimensi dalam keamanan informasi yang tidak kalah penting, yaitu dimensi proses dan dimensi manusia. Di sini terjadi ketidakseimbangan fokus untuk mata rantai keamanan informasi dimana CEO tersebut hanya menitikberatkan pada dimensi teknologi. Sementara dalam keamanan informasi faktor manusia adalah mata rantai terlemah karena kecenderungan manusia yang ceroboh, mudah dimanipulasi, tidak pernah puas, selalu ingin mudah, dan sebagainya. Di samping itu faktor proses juga menentukan. Namun hal-hal tersebut sering terabaikan.

Pada sebuah diskusi, seorang CEO dari salah satu bank ternama di Indonesia membanggakan teknologi dari jaringan keamanan yang sudah menggunakan firewall, intrusion prevention system, antivirus, encryption, dan chip technology, sehingga bank tersebut seolah-olah sudah sangat terjamin keamanan informasinya. Akan tetapi hal itu sebenarnya adalah false sense of security karena masih terdapat dua

Keamanan teknologi informasi adalah proses yang berlangsung secara terus menerus dimana faktor manusia, proses, dan teknologi adalah tiga mata rantai dalam keamanan informasi yang tidak dapat dipisahkan yang akan membentuk sebuah kekuatan sehingga apabila salah satu dari ketiga mata rantai tersebut terabaikan dapat mengakibatkan masalah keamanan informasi serius.

INSIGHT

DIMENSI MANUSIA
Pada salah satu bank di Indonesia pernah terjadi fraud terkait penyalahgunaan kewenangan password. Seorang petugas teller dengan pengetahuan IT mumpuni melihat celah keamanan yang dapat dieksploitasi, yakni sikap abai pegawai terhadap password komputer yang merupakan tanggung jawabnya. Selain itu pegawai juga lemah dalam penerapan kebijakan keamanan, seperti komputer yang tidak menggunakan hardening, sehingga dengan bebas pegawai dapat menggunakan USB flash disk dan menginstal software atau program yang tidak dibutuhkan kantor. Melihat celah keamanan/kelemahan tersebut timbul motivasi untuk melakukan kejahatan. Dengan memanfaatkan koneksi internet rumahan, petugas teller mengunduh program portable keylogger gratis untuk dicopy pada komputer kantor. Motifnya untuk mengetahui password system core banking dari manajer operasional yang memiliki kewenangan lebih tinggi darinya. Petugas teller tersebut sign in dengan mudahnya karena sudah mengetahui password komputer standar semua pegawai. Di sini jelas terlihat kelemahan dari dimensi keamanan informasi yang terabaikan, yaitu dimensi manusia. Dengan tidak adanya edukasi mengenai masalah keamanan informasi, para pegawai membiarkan password standar menjadi rahasia umum tanpa pernah diganti. Selain password, para pegawai tersebut juga tidak peduli terhadap update antivirus sehingga portable keylogger tidak dapat dideteksi.

INSIGHT

DIMENSI PROSES
Kasus penipuan ATM (Automatic Teller machine) yang marak terjadi memanfaatkan celah kelemahan dalam dimensi proses. Pelaku memanfaatkan mekanisme pengaduan melalui nomor telepon helpdesk ketika terjadi permasalahan pada ATM. Cara yang digunakan adalah dengan membuat stiker palsu dengan nomor telepon palsu (bukan milik bank terkait). Korban akan dibuat seolah-olah ATM-nya bermasalah, sehingga menghubungi helpdesk. Selanjutnya korban dipandu untuk memberitahu nomor PIN. Belajar dari kejadian tersebut, saat ini sudah banyak bank yang mencantumkan nomor telepon pengaduan langsung di layar ATM.

DIMENSI TEKNOLOGI
Penggunaan teknologi jaringan keamanan juga bisa menimbulkan false sense of security. Tidak sedikit orang awam bertanya, mengapa sudah memakai firewall tapi masih juga dibutuhkan intrusion prevention system? Mereka tidak paham bahwa firewall hanya memproteksi atau menyaring port dalam TCP/IP, yang dalam bahasa teknisnya firewall hanya bekerja di transport layer (layer 4) dari 7 OSI layer. Sehingga apabila serangan dilakukan di application layer (layer 7) maka firewall sudah tidak bisa memproteksi lagi. Akibatnya banyak kejadian kejahatan di dunia maya berimbas pada kerugian finansial dan reputasi. False sense of security terjadi karena proteksi teknologi yang tidak lengkap dan memadai. Padahal penggunaan firewall, intrusion prevention system, antivirus, antispam, endpoint security saling melengkapi, masing-masing memiliki fungsi yang berbeda dalam melakukan proteksi terhadap serangan di dunia maya. Hal tersebut menggambarkan bahwa mata rantai manusia, proses, dan teknologi saling terkait untuk membentuk sebuah kekuatan keamanan informasi. Ketiganya tidak dapat diabaikan, sehingga perlu tetap fokus menjaga keseimbangannya.

AUDIT BERKALA
Audit untuk masalah keamanan informasi ini bisa mengacu kepada salah satu standar kepatuhan yaitu ISO 27001:2005, dimana standar ini sangat fleksibel untuk dikembangkan sesuai dengan kebutuhan organisasi. ISO 27001 juga telah mencakup dimensi manusia, proses dan teknologi. Selain ISO, beberapa standar, seperti FISMA, GLBA, HIPAA dan Sarbanes-oxley, COBIT, kepatuhan juga bisa digunakan sebagai landasan, tergantung dari core bisnis yang dijalankan oleh sebuah organisasi. Setelah suatu organisasi menetapkan standar kepatuhannya maka langkah selanjutnya adalah melakukan proses audit keamanan informasi dengan cakupan dimensi manusia, proses dan teknologi. Audit untuk dimensi manusia mencakup evaluasi program awareness terhadap karyawan dari organisasi tersebut. Apakah temanya sudah sesuai dan tepat sasaran, sehingga tingkat keberhasilannya dapat diukur secara langsung melalui budaya kerja di lingkungan organisasi tersebut. Apakah sudah sesuai dengan garis kebijakan keamanan informasi yang ditetapkan. Di samping hal tersebut, terdapat beberapa aspek keamanan untuk dimensi manusia yang harus diaudit seperti latar belakang, pemisahan kewenangan, dan program pengembangan kompetensi dari staff TI organisasi tersebut. Untuk dimensi proses, audit akan dilakukan melalui pendekatan proses bisnis dari organisasi tersebut dengan melihat kebijakan dan prosedur, monitoring, audit logging, capacity planning, dan tata kelola. Dimensi proses juga banyak menyumbangkan celah keamanan yang dapat dieksploitasi sehingga perlu mendapat perhatian yang lebih dalam proses audit. Audit pada dimensi teknologi mengacu kepada pendekatan manajemen risiko dimana penerapan teknologi dilaksanakan untuk mengantisipasi risiko terhadap aset organisasi, apakah sudah memadai. Juga dievaluasi masalah tata kelola pada perangkat teknologi yang digunakan. Untuk evaluasi yang lebih lengkap perlu dilakukan penetration testing terhadap aset organisasi tersebut. Audit keamanan informasi ini harus dilakukan secara berkala/periodik. Tentunya ini harus dijadikan landasan dan sasaran strategis dari organisasi dengan tujuan untuk meminimalkan risiko dan menciptakan keamanan informasi yang baik.

INSIGHT

SOCIAL MEDIA SECURITY

Social media memberikan begitu banyak keuntungan dan kemudahan dalam marketing, public relations, serta komunikasi antar karyawan. Namun di balik itu tanpa ada kesadaran , penggunaannya memiliki risiko yang besar, apalagi tanpa pengelolaan/pengaturan

INSIGHT

erkembangan social media secara masif lima tahun belakangan telah mengubah bagaimana cara individu berkomunikasi, baik secara online maupun offline. Facebook, Twitter, LinkedIn, dan bentuk social media lainnya tidak bisa tanggal dari keseharian. Bahkan 20% dari jaringan komunikasi yang kita bangun berlangsung melalui social media. Seorang SEO sekaligus social media consultant dari Inggris, Andy Kinseyl, menjelaskan bentuk aktivitas yang dilakukan orang melalui social media meliputi, mengakses informasi, menjalankan sebuah usaha/bisnis, menjaga relasi dengan orang lain, serta membuktikan keraguan terhadap sesuatu karena individu memiliki naluri untuk mengemukakan apa yang mereka pikir dan rasa melalui social media.

Pada awal kelahirannya, social media dilihat sebagai produk trivia. Perusahaan buta bahwa yang mereka nilai trivia dapat dijadikan alat untuk membidik konsumen sampai ke akar rumput. Hal ini terkait sifat social media, yakni memungkinkan untuk

seorang individu mengkonstruksi suatu profil baik yang bersifat publik maupun semi-publik di dalam sistem tersebut, membuat daftar pengguna lain yang memiliki hubungan atau koneksi dengan individu tersebut, dan melihat serta menjelajah daftar pengguna lain tersebut maupun daftar pengguna yang dibuat oleh pengguna lainnya
(Ellison dan Boyd, 2007).

Berkumpulnya banyak orang dalam social media tentulah menguntungkan perusahaan yang bermaksud menjaga konsumen tetap atau mencari konsumen baru. Hampir lebih dari 995 juta pengguna berkumpul dalam social media yang bernama Facebook, bukankah ini hal yang sungguh manis bagi penjaja produk? Sejak dilahirkan, Facebook adalah anak unggul social media yang hingga kini belum bisa digantikan popularitasnya. Tiga fitur yang popular di Facebook, yakni adding friend, updating status, using application like quizzes and games. Di Indonesia pengguna

INSIGHT

Facebook menempati posisi keempat setelah US, Brazil, dan India, yaitu 43,06 juta (berdasarkan data yang dimiliki Kementerian Komunikasi dan Informatika) . Sedangkan untuk pengguna Twitter, Indonesia merupakan tertinggi kelima di dunia, dengan 19,5 juta pengguna. Sementara itu total pengguna jasa internet di Indonesia mencapai 55 juta orang (Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika, Aswin Sasongko). Kemudahan yang dibawa social media dirasakan juga oleh perusahaan. Setiap perusahaan membangun dirinya melalui social media dengan tujuan brand awareness. Namun tanpa pengetahuan mengenai bagaimana social media itu bekeja, perusahaan bisa saja lumpuh antisipasi. Selain kemudahan, ancaman sebagai imbas dari masifnya social media juga dapat dituai oleh penggunanya. Tidak lain karena social media merupakan lumbung informasi personal. Kiranya terdapat dua jenis ancaman di social media yang perusahaan perlu mawas diri, yaitu ancaman dari luar, seperti malware yang dikirim melalui message pada social media: inbox Facebook, direct message Twitter, dan

metode penyertaan link lainnya. Serta ancaman dari dalam, yakni terkait kurangnya kesadaran karyawan dalam menggunakan social media karena kebocoran informasi dapat berasal dari mana saja. Hal-hal yang tidak pernah kita pikirkan bisa berimbas pada risiko besar.

Bentuk Ancaman dari Luar

Keberadaan social media dilihat oleh penyerang sebagai peluang untuk melakukan berbagai bentuk cybercrime. Perlu diketahui bahwa cybercrime bukanlah barang baru, tetapi melesatnya perkembangan social media membuat cybercrime berkembang lebih pesat lagi. Perusahan harus mulai serius menghadapi ancaman ini. Nathan Eddy bahkan pernah menulis dalam eweek.com, disamping BYOD (Bring Your Own devices), social media merupakan ancaman top di 2013. Dilaporkan selama satu menitnya terdapat 3.3 ancaman baru, hampir 12.600 perjamnya terjadi serangan oleh penjahat cyber dengan menggunakan social media korban (nsslabs.com).

INSIGHT

Review mengenai ancaman terhadap social media secara sederhana dapat dilihat sebagai berikut
2008 2009 2009 2010 2011 2011

101001 10 1000 10 100 10 10101 01010101110 000 0001 01 10101 1101 101 101 101 101 101 101 101 1 101 101 10 1 1 10000 10 10 10 100100 0

Berbagai bentuk ancaman perlu diketahui oleh para pekerja. Sebagai contoh, pesan menggoda dari seorang teman di social media yang membuat kita vulnerable. Dengan pesan kamu keren di video ini!, sudah pasti kita akan tergoda dan membuka link yang diberikan, hal ini tentu berujung pada terkirimnya malware pada komputer atau ponsel pintar, sehingga menyebabkan pencurian akun social media. Pengetahuan akan bahaya ancaman dari luar harus diberikan pada pekerja. Facebook, Twitter, LinkedIn seringkali dapat digunakan untuk menyebarkan phishing, potensi bawaannya adalah pencurian data perusahaan yang

bersifat tertutup. Selain itu, aplikasi pada social media yang kemudian diunduh oleh karyawan mungkin saja sudah dijangkiti spyware atau virus berbahaya bagi jaringan internal. Berangkat dari kesadaran ini, penting bagi perusahaan membuat aturan dan prosedur guna membangun sikap mawas diri dari pekerja atas penggunaan social mediamanakala hal tersebut bersinggungan dengan aset perusahaan. Hal yang perlu dirancang sebagai pencegahan adalah memastikan software protection terus diperbarui karena penyerang di luar sana menghabiskan waktu yang tak terhitung untuk

INSIGHT

menemukan cara menelusup ke dalam sistem, seperti membuat malicious software atau yang lebih dikenal dengan malware. Para pelaku kejahatan komputer terus memperbarui model serangan, hal yang perlu dipastikan adalah bagaimana memiliki sistem keamananan yang cukup, pengetahuan pekerja, serta sikap yang perlu diambil ketika mendapatkan ancaman social media.

informasi terbesar. Hal ini senada dangan studi yang dilakukan Deloitte. Dalam studinya, TMT Global Security Study, disebutkan, lack of employee awareness is a top security vulnerability. Tidak sedikit perusahaan yang luput mengenai hal ini. Padahal karyawan sama halnya dengan pengguna social media yang lain, menuliskan pikirannya melalui blog, menyebarkan informasi melalui Twitter, atau berbagai bentuk aktivitas lainnya . Tidak menjadi masalah jika informasi yang disebarkan tidak terkait informasi perusahaan, namun ketika informasi itu menyinggung reputasi perusahaan atau informasi rahasia, hasilnya akan merusak. Ambil contoh seorang resepsionis yang bekerja dekat seorang satpam. Resepsionis tersebut mengutarakan pikirannya melalui Twitter, Oh ternyata pak satpam setiap hari makan bubur di pojok kantor. Tanpa disadari, informasi pada tweet tersebut dapat dimanfaatkan oleh penyerang. Dengan mengetahui rutinitas operasional pengamanan, penyerang secara lihai

Bentuk Ancaman dari Dalam

Dengan keamanan informasi sebagai bingkai, setidaknya dua masalah yang muncul sebagai bentuk ancaman social media dari dalam perusahaan. Pertama berasal dari kurangnya kesadaran karyawan perusahaan itu sendiri. Kedua, dari agen periklanan yang dewasa ini berkembang sebagai jawaban atas kebutuhan branding awereness. Kurangnya kesadaran karyawan dalam membagikan informasi melalui social media merupakan celah keamanan

INSIGHT

berpotensi menjadi celah. Ancaman semacam ini sangat memungkinkan karena sifat dasar social media, terbuka, mudah berbagi, dan fleksibel. Semestinya penggunaan social media oleh karyawan diatur di luar dari terms of service social media. Perusahaan harus menerapkan aturan lain mengenai apa yang dapat dan tidak dapat dibagi melalui social media, seperti penting untuk menjaga baik dokumen legal ataupun finansial perusahaan. Perusahaan yang demi kepraktisan membatasi atau bahkan melarang penggunaan social media telah salah mengambil langkah. Pelarangan hanya akan membunuh hak individu, tidak solutif, dan bumerang bagi perusahaan sendiri. Mengapa? Tidak solutif karena perkembangan mobile device, seperti ponsel pintar ataupun komputer tablet dewasa ini memudahkan individu mengakses social media pribadinya di luar fasilitas kantor. Bahkan dari survei yang dilakukan oleh Cisco pada 2014 setiap karyawan akan memiliki

melihat sebuah celah. Bisa dengan memanfaatkan waktu luang seorang satpam yang sedang makan bubur atau berpura-pura menjadi tukang bubur untuk menggali informasi lebih dalam. Permasalahan the weakest link pada kemanan membuat interaksi melalui social media

INSIGHT

Semestinya penggunaan social media oleh karyawan diatur di luar dari terms of service social media. Perusahaan harus menerapkan aturan lain mengenai apa yang dapat dan tidak dapat dibagi melalui social media, seperti penting untuk menjaga baik dokumen legal ataupun finansial perusahaan.

rata-rata mobile device yang dikoneksikan ke jaringan (Lim, 2013). Pembatasan atau pelarangan penggunaan social media justru seperti memutihkan mata dari tantangan yang ada, dapat dipastikan tidak ada policy penggunaan yang benar. Dengan kondisi tersebut karyawan akan menggunakan social media semaunya, tanpa aturan. Tanpa mempertimbangkan risiko yang ada, baik bagi mereka maupun perusahaan. Perusahaan sebaiknya menerapkan beberapa kebijakan guna mengatur karyawannya di social

media. Tujuannya bukan untuk membatasi kebebasan mengemukakan pendapat yang dimiliki seseorang, tetapi dalam upaya menjaga kredibilitas perusahaan serta menjaga informasi yang sifatnya tertutup atau rahasia. Steven Van Belleghem dari Social Media Today berpendapat, perusahaan seharusnya tidak hanya membuat policy, tetapi juga melatih serta memfasilitasi pekerja untuk menggunakan social media dengan cerdas. Hal ini senada dengan survei yang dilakukan oleh Deloitte yang menyarankan perusahaan menginvestasikan dana untuk training keamanan informasi dan membangun kesadaran karyawan guna mendorong mereka memetakan risiko teknologi baru. Perusahaan dapat membuat program di bawah divisi keamanan informasi.. Pelaksanaan aturan inilah yang kemudian diturunkan ke divisi HRD untuk dibahasatekniskan ke karyawan. Aturan ini juga sebaiknya sudah disepakati antara perusahaan dan pekerja sejak awal.
Pentingnya social media mulai dilirik bisnis periklanan di Indonesia. Sekarang ini akun social media resmi perusahaan atau institusi lainnya tidak hanya dikelola oleh pihak internal

INSIGHT

saja, banyak perusahaan agen periklanan yang menawarkan jasa dalam pengelolaan akun social media dalam rangka integrasi kampanye iklan yang sedang dilakukan. Hal ini secara sadar ataupun tidak dapat menjelma menjadi ancaman bagi keamanan informasi perusahaan. Maka sebaiknya pihak eksternal ini juga disertakan pada saat memperhitungkan nilai risiko penggunaan social media. Pernah ada situasi dimana saya duduk di sebelah seorang admin akun social media sebuah perusahaan agen periklanan yang sedang meliput acara seminar. Orang tersebut menanyakan pada rekannya password untuk akses akun social media sebuah brand yang sedang dikelola oleh perusahaannya. Lantas rekan tersebut memberitahu dengan suara yang jelas, sehingga saya pun dapat mendengarnya. Kejadian ini jelas tidak disadari bahwa jika akses akun tersebut diterima oleh pihak yang tidak bertanggung jawab tentu membuahkan risiko besar. Hal yang juga dilalaikan menurut saya adalah password akun tersebut tidak mengikuti standar keamanan yang baik, hanya beberapa deret angka yang berurutan.

Hemat saya, perlu adanya dokumen kesepakatan penjagaan risiko, serta kepatuhan terhadap policy organisasi yang sudah diterapkan. Atau bahkan arahan jelas mengenai policy bagi perusahaan agen periklanan yang menjadi pihak ketiga.

Social Media Policy

Beranjak dari kesadaran keamanan informasi seharusnya membawa kita ke solusi. Secara sederhana dua hal yang bisa menjawab ancaman yang ada, yakni security awareness dan pemanfaatan teknologi guna mereduksi risiko ancaman keamanan informasi. Setidaknya perlu ada klasifikasi informasi. Dilarang menyebarkan informasi perusahaan yang terkait dengan kebijakan kerahasiaan dan privasi perusahaan. Karyawan harus dididik bahwa ada batasan informasi sesuai klasifikasinya, dan ada code of conduct serta hak kekayaan intelektual perusahaan. Ini berlaku juga dalam melayangkan komentar pada blog orang lain, forum, dan social media lainnya. Jika terjadi pelanggaran, harus

ada hukumannya. Hukuman harus tertera pada policy. Karyawan harus setuju untuk diawasi aktivitas social media-nya, serta memperbolehkan akun perusahaan untuk dikoneksi dengan akun milik mereka. Identitas seorang individu juga perlu dipertegas apakah ketika berperan sebagai perusahaan (berpendapat mewakili perusahaan) atau berlaku sebagai pribadi (perusahaan setiap pendapat tidak ada kaitannya dengan posisinya dalam perusahaan). Posisi sebagai pribadi harus memberikan disclaimer bahwa apa yang dituliskan dalam media tersebut tidak menyangkut sudut pandang perusahaan tempat ia bekerja. Contohnya disclaimer berisikan potonganthe authors alone and do not represent the views of the company . Namun perlu diingat meskipun hal ini dilakukan, tetap ada kecenderungan opini publik terhadap tempat ia bekerja. Sebagai contoh kasus akun twitter kementrian kominfo yang me-retweet kasus korupsi daging sapi PKS yang lalu. Perusahaan sebaiknya menyertakan karyawannya dalam training mengenai best practice privacy setting pada akun social media. Melalui training tersebut karyawan ditingkatkan kesadarannya pada bentuk-bentuk keamanan informasi, termasuk juga penggunaan secure password

Karyawan harus dididik untuk menjaga informasi perusahaan yang terkait dengan kebijakan kerahasiaan dan privasi perusahaan serta adanya batasan informasi sesuai klasifikasinya

policy pada akun social media mereka, Tidak boleh sama dengan password sistem TI di organisasi atau email dari akun social media tersebut. Cepatnya informasi yang melintas melalui social media, memaksa perusahaan bergerak tangkas dalam Incident Handling Process yang sejalan dengan Incident Handling Process Policy. Jika terjadi sebuah kelalaian karena penggunaan social media, hingga mengakibatkan tercemarnya reputasi perusahaan, maka harus ada langkah konkrit tertulis mengenai apa yang harus dilakukan. YH

Kontrol dengan Teknologi

Proses penyebaran informasi di social media tentu menggunakan teknologi informasi. Kontrol terhadap penggunaannya tentu perlu diperhatikan. Beberapa solusi teknologi yang dapat dimanfaatkan untuk kontrol tersebut adalah

DLP & Content Filtering Teknologi DLP (Data Leak Prevention) akan membantu dalam penerapan klasifikasi informasi yang telah didokumentasikan. Sistem DLP akan memonitor, mendeteksi dan melakukan blokir terhadap data yang sedang digunakan (inuse), ditransmisikan (inmotion), dan disimpan (at-rest).

Access and Identity Management

Browser hardening and settings

Bring-Your-Own-Device Policy

Tercurinya akun social media merupakan salah satu kasus yang paling banyak terjadi terkait penggunaan social media. Penggunaan teknologi Identity dan Access Management, dapat membantu karyawan dalam mengatur credential aplikasi-aplikasi yang digunakan sehingga standar kekuatan password dapat diterapkan. (Cari data attack vector dari social media authentication)

Pengaturan keamanan browser di end-point juga faktor penting yang mendukung social media security. Begitu banyak fitur-fitur pada situs social media yang menggunakan teknologi JavaScript dan plugins Java memang meningkatkan kenyamanan pengguna. Dengan memperhitungkan penggunaannya pada sistem aplikasi perusahaan, menonaktifkan pada browser karyawan akan mengurangi celah serangan yang terbuka.

Kontrol social media tidak mungkin bisa dimonitor secara total karena tanpa peralatan kantor yang difasilitasi kepadanya pun, karyawan masih dapat mengakses melalui ponsel pribadi mereka. Yang harus dikontrol adalah penggunaan perangkatnya, yaitu dengan adanya policy dan sertifikasi terhadap standar pengamanan perangkat.

GOVERNANCE

CEO

COO

CFO

CIO

OP

IT

PO SISI ST RAT E G I S KE AM AN AN I NF ORM AS I

Menjalani strategi keamanan informasi dengan pendekatan top-down merupakan yang paling efektif, untuk itu CISO membutuhkan wewenang yang cukup

GOVERNANCE

edakan pertumbuhan konektivitas dan kolaborasi menjadikan keamanan informasi sebagai satu hal kompleks dan sulit untuk dikelola. Kenyataan tersebut merupakan tantangan bagi keamanan informasi dalam setiap organsisasi. Data Breach Investigation Report yang dikeluarkan oleh Verizon pada 2012, menyebutkan perusahaan-perusahaan di dunia mengalami kehilangan data terbesar pada 2011. Eskalasi insiden 2011 merupakan peringatan keras bagi bisnis setelah insiden yang sama pada 2004. Ancaman terhadap keamanan informasi tidak hanya menyasar perusahaan-perusahaan besar, melainkan juga perusahaan-perusahaan kecil. Studi yang dilakukan oleh U.S. House Small Business Subcommittee on Health and Technology menunjukkan fakta bahwa perusahan-perusahaan kecil juga berisiko mengalami kehilangan data. Dibanding dengan perusahaan-perusahaan besar, risiko pencurian data pada perusahaan kecil dapat berakibat jauh lebih fatal. Studi menunjukkan, 60% dari perusahaan kecil segera bubar jalan pasca enam bulan serangan. Penggunaan personal device oleh karyawan yang langsung terkoneksi dengan jaringan perusahaan juga menambah

pelik masalah keamanan informasi. Diprediksi pada 2015 karyawan dengan personal device menyentuh angka 1,3 miliar, sementara di 2011 ancaman mobile security telah meningkat sebesar 20%.

Risk is a natural part of the business landscape.If left unmanaged, the uncertainty can spread like weeds. If managed effectively, losses can be avoided and benefits obtained. ISACA-

GOVERNANCE

Serangkaian pendekatan strategis dan terintegrasi guna menjawab tantangan keamanan informasi perlu dirumuskan. Akan tetapi tidak sedikit dari perusahaan yang masih mengandalkan aksi reaktif, artinya perusahaan tidak memiliki prediksi risiko ancaman keamanan informasi. Ada juga yang sudah selangkah ke depan, perusahaan telah lebih matang secara kapasitas dan memiliki persiapan lebih baik untuk menghadapi ancaman baru. Mengapa sebuah perusahaan bisa lebih percaya diri dalam menghadapi tantangan, tidak lain karena terdapat peran yang melakukan perencanaan, penerapan, pengawasan, serta evaluasi atas kerja keamanan informasi. Peran ini secara umum dipegang oleh seorang Chief Information Security Officer (CISO).

TANGGUNG JAWAB DAN POSISI CISO PADA PERUSAHAAN

Tanggung Jawab Ciso Pada CEO
Di Indonesia, hingga saat ini belum ada seorang CISO pada organisasi. CISO yang dimaksud adalah posisi seorang yang bertanggung jawab terhadap keamanan informasi dengan tingkat setara direktur atau bisa dikatakan Direktur Keamanan Informasi, dengan posisi tersebut seorang CISO dapat melapor langsung kepada CEO.

Head of Compliance PT Sigma Cipta Caraka, Erry Setiawan mengutarakan, sejauh ini di Indonesia baru ada satu perusahaan yang mengatakan membutuhkan CISO. Hal ini karena keamanan informasi perusahaan sangat critical. Bisnis perusahaan tersebut berangkat dari keamanan informasi, sehingga jika mengalami kebocoran informasi, bisnisnya akan habis.

GOVERNANCE

ISO 27001 sebagai salah satu standar internasional untuk sistem manajemen keamanan informasi menuliskan bahwa standar tersebut harus diterapkan dengan pendekatan top-down. Untuk itu kewenangan seorang CISO haruslah cukup. Akan tetapi fakta lapangan berbeda. pada perusahaan yang tidak menjadikan keamanan informasi sebagai prioritas, CISO ataupun orang yang memiliki tanggung jawab terhadap keamanan informasi tidak akan mendapatkan posisi dengan kewenangan yang cukup untuk menjalankan strateginya. Lebih tragis lagi beberapa perusahaan bahkan belum menempatkan seorang yang fokus pada keamanan informasi.

Dengan fokus bisnis perusahaan dan keberagaman struktur organisasi, membuat posisi CISO bisa berbeda-beda namanya namun memiliki fungsi kerja yang sama dengan CISO. Mengenakan kaca mata idealis, Hadi Cahyono, seorang konsultan ISO 27001, menilai keberadaan CISO secara peran dan tanggung jawab merupakan yang terbaik. Dengan adanya CISO, renstra keamanan informasi dapat disusun secara integral. CISO juga memiliki pemahaman yang matang dalam ketiga aspek keamanan informasi yaitu Manusia, Proses, dan Teknologi. Lain halnya dengan Manajer TI yang bingkai berpikirnya hanya pada teknologi. CISO dapat mengidentifikasi risiko serta membuat strategi perusahaan guna melakukan mitigasi risiko tersebut. Sebagai contoh, Hadi memaparkan bisa saja pada suatu sistem mitigasi yang perlu diperkuat adalah kapabilitas manusianya untuk memastikan proses berjalan dengan disiplin, bukan kecanggihan teknologi. CISO dipandang mampu memetakan aspek prioritas pada proses penjagaan keamanan informasi perusahaan. Hadi memandang awareness terhadap keamanan

You need a CISO today to manage not only the TI risks, but understand and influence the business risks that are imposed on the company by the decisions and strategies TI takes. John South, CISO Heartland Payment Systems

GOVERNANCE

informasi di Indonesia terbilang rendah. Perusahaan masih mengandalkan respon reaktif setelah insiden terjadi. Beda halnya dengan negara yang dikenal sebagai Macan Asia, Jepang. Keberadaan CISO pada perusahaan-perusahaan Jepang mutlak diperlukan. Perusahaan yang sudah beberapa langkah di depan telah menyadari bahwa ancaman keamanan informasi bukan hanya menjadi

tantangan negara maju, seperti negara adi daya Amerika Serikat, melainkan tantangan global yang dihadapi pada setiap organisasi di dunia. Tanpa adanya posisi CISO, perusahaan harus memandang bahwa keamanan informasi tetap perlu ada yang menangani, entah pada divisi atau bidang apa, yang disesuaikan dengan lingkup bisnis perusahaan. Jamak ditemui tanggung jawab CISO dipegang oleh Manajer TI yang berada di bawah CIO ( Chief Information Officer ).

CISO di bawah komando CEO atau COO Diterapkan pada perusahaan yang berorientasi pada keamanan informasi, sehingga seorang CISO bisa berkoordinasi secara langsung dengan CEO serta memiliki kewenangan yang besar untuk mengeksekusi strategi-strateginya.

tanggung jawab CISO dipegang oleh Manajer TI Diterapkan pada perusahaan yang sedang berkembang, dimana kebutuhan atas perlindungan keamanan informasi dilaksanakan oleh posisi yang dinilai relevan.

CISO dibawah CSO atau C-level lainnya Terkadang CISO lebih masuk akal berada dibawah departemen lain seperti pada legal department atau HRD. Diterapkan pada perusahaan menengah.

tidak memiliki CISO atau fungsi setara CISO Pada perusahaan kecil dengan pekerja minim. Fungsi keamanan informasi dilakukan bersama-sama melalui komunikasi internal serta kerja sama yang dilakukan secara ketat.

GOVERNANCE

Tanggung Jawab Ciso Pada Manajer TI ( Di Bawah CIO )

Yang membuat tanggung jawab CISO sering kali diembankan kepada Manajer TI adalah arus pemikiran mainstream yang masih menganggap keamanan informasi sebagai bagian dari lini teknologi komputer. Padahal keamanan informasi bukan melulu menyoal keamanan komputer, tetapi juga risiko bisnis karena kerentanan informasi perusahaan, baik dari internal maupun eksternal. CISO yang diemban oleh Manajer TI akan kesulitan menerapkan idealismenya karena Manajer TI sebagai fungsi CIO memiliki conflict of interest terhadap keamanan informasi. CISO dan CIO memiliki gol yang berbeda, CISO bertanggung jawab pada risiko, standar, dan kepatuhan, sedangkan CIO bertanggung jawab terhadap efisiensi dan ketersediaan informasi. Dengan tujuan tersebut, CIO mempunyai gol terhadap ketersediaan data seluas dan secepat mungkin, sedangkan seperti diketahui bahwa keamanan berjalan berlawanan arah. Maksudnya dengan menjamin keamanan informasi bisa jadi membuat kenyamanan pengguna yang merupakan salah satu gol CIO tadi menjadi berkurang. Tujuan tersebut tidak akan efektif

jika kerja CISO diemban oleh Manajer TI, berada di bawah komando CIO, ataupun sebaliknya. Tanpa dipungkiri CISO yang berada di bawah CIO bisa berhasil. Hal demikian hanya terjadi apabila relasi antara seorang CISO dan CIO berlangsung harmonis. Saling mengerti atas tujuan masing-masing membuat strategi keamanan informasi dapat didukung, conflict of interest pun dapat ditanggalkan. Namun perlu digarisbawahi relasi harmonis merupakan faktor X yang tidak pasti, sangat kasuistik. Layaknya, CISO memiliki posisi dan kewenangan yang sejajar dengan CIO.

GOVERNANCE

Tanggung jawab CISO yang dipegang oleh manajemen TI dapat dijumpai pada Bank Bumi Arta dan Telkomsigma. Pengembangan divisi keamanan informasi pada Bank Bumi Arta belum menjadi prioritas, Bank Bumi Arta pun tidak memiliki posisi CISO. Meskipun begitu, Bank Bumi Arta terbilang bank yang patuh pada compliance yang ditetapkan Bank Indonesia melalui PBI No. 9/15/2007. Tanggung jawab pelaksanaan keamanan informasi Bank Bumi Arta diembankan pada Alex Sander Lo, Manajer TI Bank Bumi Arta. Dalam pelaksanaannya, Manajer TI dibantu dengan divisi SOP yang bertanggung jawab atas pengembangan kebijakan. Serupa Bank Bumi Arta, Telkomsigma tidak memiliki posisi CISO pada perusahaannya. Sebelum Telkomsigma diakuisi oleh Telkom pada 2008, ia dikenal dengan PT Sigma Cipta Caraka. Bisnis PT Sigma Cipta Caraka adalah IT Outsourcing bagi dunia perbankan. Tanggung jawab CISO saat itu berada di bawah Quality Assurance. Sejak diakuisisi pada 2008 bisnis Telkomsigma berkembang ke arah colocation

untuk data center. Tanggung jawab CISO pun berubah, posisi CISO diemban oleh Vice President of Directorate Operation. Head of Compliance Telkomsigma, Erry Setiawan menjelaskan, pada pelaksanaan kerja keamanan informasi harian didistribusikan ke beberapa bidang seperti operation, compliance, dan divisi lainnya. Operation bertanggung jawab pada physical security dan logical security. Sementara itu compliance bertanggung jawab pada review, planning, serta evaluasi terkait keberhasilan dan kepatuhan. Dalam pelaksanaan kerja, operation dan compliance saling bersinergi. Compliance menentukan berbagai inisiatif keamanan informasi, sementara operation menjalankan peran teknis terkait implementasinya. Compliance akan melakukan review serta evaluasi kerja operation. Baru kemudian, tanggung Jawab secara keseluruhan pada keamanan informasi dipegang oleh Vice President of Directorate Operation yang memegang fungsi CISO.

GOVERNANCE

Tanggung Jawab Ciso Pada Manajemen Resiko

ORGANIZATION

MANAGEMENT

PLANS

ADVICE

IMPROVEMENT

STRATEGY

PROJECT

Selain posisi CISO yang berada di bawah komando CIO atau Grup TI, di lapangan dapat pula ditemui CISO yang berada dalam divisi Manajemen Risiko. Biasanya hal ini diterapkan pada organisasi bisnis di bidang finansial. Di dalam divisi Manajemen Risiko, seorang CISO mempunyai tujuan yang searah dengan divisinya, sehingga tidak ada kekhawatiran akan conflict of interest. Selain itu pendekatan seorang CISO yang banyak menggunakan risk based membuat keterkaitan yang besar dengan divisi Manajemen Risiko.

CISO
operation
EXPERTISE PROcess

EFFiCIENT

PERFORMANC E

PERMASALAHAN KERJA KEAMANAN INFORMASI

Dalam melaksanakan tanggung jawab CISO, berbagai kendala mungkin dihadapai, seperti mengomunikasikan kebijakan pada jajaran C-level, menghadapi prioritas anggaran perusahaan, menyeimbangkan antara keamanan dan kenyaman, atau bahkan kendala kepemimpinan.

Derek Oliver memiliki analogi mengenai komunikasi dengan C-Level , Never use a doing word with an executive, as their job is to observe, not to get their hands dirty. Security costs money, with many organizations seeing TI as a black hole. You need to communicate at this level why a firewall is needed and be able to justify the expense.

Mengomunikasikan kebijakan pada jajaran C Level

CISO ataupun orang yang memegang tanggung jawab CISO harus menyadari bahwa kebijakan yang ia ambil mempengaruhi seluruh jajaran. Oleh karena itu penting untuk mengatur strategi komunikasi dan membahasakan sesuai kebutuhan C-Level lainnya. CISO harus mampu mengidentifikasi siapa pemegang otoritas yang melaluinya kebijakan dapat diterima oleh semua level. Setidaknya sebagi output, CISO butuh memahami tidak hanya area kerjanya, tetapi juga bisnis organisasinya. Meluangkan waktu untuk melibatkan diri dengan bisnis sebelum merancang strategi keamanan. Keterlibatan tersebut akan membantu dalam mendefinisikan strategi kerja, sehingga akan memantapkan dukungan dari bisnis. Hal tersebut dapat juga dijadikan bahan pertimbangan mengenai pesan yang akan disampaikan pada C-Level lainnya, serta bagaimana harus disampaikan.

GOVERNANCE

Menghadapi prioritas anggaran perusahaan

Perusahaan pada umumnya lebih mengutamakan pengembangan pada aspek bisnis ketimbang untuk menjamin keamanan informasi. Hal ini biasanya dapat tergambar dari anggaran, untuk pengembangan bisnis biasanya lebih besar jika dibandingkan untuk pemeliharaan keamanan informasi. Anggaran keamanan informasi pun sudah jamak diketahui tidaklah kecil, inisatif keamanan informasi memerlukan anggaran yang besar dalam implementasinya. Setidaknya pos yang harus diisi mencakup tiga aspek, teknologi, manusia, dan proses, seperti belanja perangkat keamanan TI, pelatihan untuk peningkatan kualitas SDM, serta audit eksternal untuk mendapatkan opini yang independen. Telkomsigma misalnya sebagai penyedia layanan TI dan colocation, anggaran diprioritaskan untuk keperluan pelanggan. Erry menjelaskan bahwa ketika dimintai untuk mengucurkan dana, atasannya akan bertanya anggaran tersebut dikeluarkan untuk keperluan pelanggan yang mana. Namun bila ada kebutuhan untuk investasi keamanan internal, pengambilan keputusan manajemen tidak secepat pemenuhan kebutuhan pelanggan. Bisnis Telkomsigma dapat dikatakan lebih responsif untuk menangani keperluan pelanggan ketimbang untuk kebutuhan keamanan internal perusahaan. Bank Mandiri serupa dengan Telkomsigma yang masih memprioritaskan anggarannya pada pengembangan bisnis. Muhammad Guntur, Vice President IT SAP Bank Mandiri, menuturkan bahwa keperluan bisnis kini begitu mendesak, sehingga anggaran keamanan TI baru bisa dikatakan cukup dan terlaksana. Guntur mencontohkan anggaran keamanan TI yang baru-baru ini digelontorkan untuk implementasi data liquid protection. Namun diakui bahwa anggaran yang digelontorkan tidak sebesar pengembangan bisnis. Dengan anggaran yang cukup, inisiatif terkait keamanan TI bisa dijalankan oleh Bank Mandiri.

GOVERNANCE

Menyeimbangkan antara keamanan dan kenyamanan

Tarik ulur antara kepentingan keamanan dan bisnis merupakan tantangan generik bagi setiap CISO ataupun orang yang memegang tanggung jawab CISO. Serupa dengan hal yang telah diungkapkan sebelumnya, bahwa keamanan dan kenyamanan seringkali bertolak belakang. Titik tekan CISO adalah keamanan informasi perusahaan, sementara logika bisnis terpaut pada kenyamanan pengguna dan pelanggan. Guntur pada sebuah kesempatan wawancara di kantornya mengungkapkan tantangan tersebut. Bisnis perbankan berkembang begitu cepat. Perbankan memasuki era transformasi, dimana teknologi infomasi dan komunikasi memberikan kemudahan sekaligus tantangan bagi keamanan informasi. Kebutuhan bisnis yang cepat, seringkali bersinggungan dengan kebutuhan keamanan. Pada titik singgung tersebut, seorang CISO dituntut untuk melakukan penyeimbangan karena meski fokus seorang CISO adalah keamanan informasi ia berdiri di tengah-tengah industri, dimana bisnis tetap harus menjadi aspek utama. Tantangan bisnis itulah yang harus ditaklukan, dimana ide-ide baru mengenai keterbukaan teknologi harus diimbangi inovasi dan strategi keamanan informasi dari seorang CISO atau pun orang yang memegang tanggung jawab CISO.

GOVERNANCE

Kepemimpinan
Masalah kepemimpinan juga dialami dalam kerja keamanan informasi. Erry menuturkan kebanyakan keamanan TI mengeluhkan masalah pengguna, bahkan atasan yang tidak paham dengan keamanan informasi. Dibutuhkan kepemimpinan untuk menjawab permasalahan tersebut. Berdasarkan pengalaman di Telkomsigma, Erry menilai cara yang paling efektif dilakukan adalah dengan membangun pemahaman pada certain group. Semisal sebuah kebijakan keamanan informasi perlu dimanifestasikan oleh sepuluh unit kerja, maka yang dibutuhkan hanyalah meyakinkan certain group yang memiliki pengaruh untuk menerapkan prosedur keamanan. Certain group tersebut akan membawa pengaruh pada unit lainnya untuk menerapkan prosedur keamanan.

Implementing an information security transformation aimed at closing the ever-growing gap between vulnerability and security does not require complex technology solutions. Rather, TI requires leadership, as well as the commitment, capacity and courage to act not a year or two from now, but today.

GOVERNANCE

KEUNTUNGAN PERUSAHAAN YANG MEMILIKI CISO

CISO

Alih-alih untuk anggaran keamanan informasi, perusahaan memilih untuk mengembangkan sisi bisnis. Peninjauan kerentanan (vulnerabilities), uji konfigurasi kontrol pada jaringan atau sistem, bahkan patching sistem pada eksploitasi berbahaya merupakan kerja keamanan informasi yang sebenarnya juga membawa keuntungan pada sisi finansial. Keamanan informasi dewasa ini tidak hanya soal mengamankan informasi rahasia dengan perangkat keamanan TI, tetapi lebih jauh lagi, yakni menangani risiko perusahaan serta kelanjutan bisnisnya. Oleh karena itu seorang CISO dituntut untuk memahami multidisiplin, seperti memahami risiko bisnis,

keberlanjutan bisnis, security metrics, dan lain sebagainya. Dengan CISO yang memiliki pengetahuan tersebut CISO dapat merumuskan strategi yang integral guna menjamin keamanan informasi sebagai langkah preventif. CISO juga dapat membantu perusahaan dalam mereduksi risiko bisnis yang ditimbulkan akibat insiden keamanan yang terjadi dan memikirkan kelanjutan operasional bisnis ketika bisnis berhenti berjalan. Salah satu hal yang bisa dilakukan CISO dalam menangani hal tersebut adalah dengan transfer risiko. Dimana perusahaan dengan aset besar mempercayakan datanya pada pihak ketiga sebagai perusahaan penyedia colocation bagi data center.

Berdasarkan riset yang dilakukan oleh TI Policy Compliance Group, organisasi yang memiliki CISO dapat memperoleh nilai lebih dari aset informasi. Keuntungan memiliki posisi CISO, meliputi: Memiliki penyimpanan pengguna yang lebih tinggi, pendapatan dan keuntungan Rendahnya peluang kehilangan data pelanggan dari pencurian Mereduksi kerugian finansial dari kehilangan data Produktivitas bisnis terkait aset TI lebih tinggi lagi Biaya untuk audit turun hingga 50% (lebih rendah). Pada penelitian yang dilakukan oleh itpolicycompliance.com keuntungan dari memiliki CISO atau posisi yang sama meliputi : $1.10 kembali untuk setiap dana yang dihabiskan untuk biaya keamanan informasi pada perusahaan kecil. $1.60 kembali untuk setiap dana yang dihabiskan untuk biaya keamanan informasi pada perusahaan menengah $10 kembali untuk setiap dana yang dihabiskan untuk biaya keamanan informasi pada perusahaan besar

GOVERNANCE

CISO sebagai posisi sangat dipengaruhi oleh jenis organisasi, struktur, dan posisi pada sebuah perusahaan. Pada perusahaan yang aspek ke-amanan informasi dipandang begitu krusial, posisi CISO sangatlah penting. Selain itu posisi CISO juga dipandang begitu krusial pada perusahaan yang pernah mengalami kasus terkait keamanan informasi. Ada atau tidaknya posisi CISO pada sebuah perusahaan, kerja keamanan informasi tidak seharusnya ditinggal dalam membangun sayap bisnis. Posisi yang dipandang relevan perlu memegang tanggung jawab tersebut. Kewenangan CISO ataupun seorang yang bertanggung jawab terhadap kerja CISO haruslah cukup mengingat kerja CISO akan efektif jika kebijakan yang disusun dapat dimanifestasikan secara top-down. YH

GOVERNANCE

Oleh : Jeffry Kusnadi

GOVERNANCE

elbagai industri telah menerapkan kebijakan keamanan informasi, serta menyadari pentingnya memiliki unit kerja khusus dalam mengelola keamanan informasi. Standar internasional terkait keamanan informasi seperti ISO 27001 serta COBIT menyebutkan bahwa sebaiknya perusahaan memiliki kebijakan mengenai keamanan informasi yang didokumentasikan, serta memiliki posisi senior yang melapor langsung kepada manajemen untuk mengawasi dan mengatur kebijakan tersebut. Fungsi keamanan informasi yang digabungkan kedalam operasional TI dapat memicu terjadinya konflik kepentingan, akhirnya perusahaan akan cenderung menitikberatkan operasional TI. Selain itu, operasional TI akan lebih fokus kepada teknologi serta risiko yang terkait TI. Dengan adanya fungsi keamanan informasi yang berdiri sendiri, maka keamanan informasi dan operasional TI memiliki kekuatan yang sama dalam menjaga keberlangsungan bisnis perusahaan. Selain itu, fungsi keamanan informasi

ini juga harus fokus terhadap bisnis dan risiko terkait. Fungsi keamanan informasi yang berdiri sendiri ini idealnya melapor langsung kepada direksi atau manajemen, bukan kepada pemimpin divisi TI. Apabila posisi pemimpin divisi TI merupakan Chief Information Officer (CIO) atau Chief Technology Officer (CTO), posisi pemimpin divisi keamanan informasi ini lazim disebut dengan Chief Information Security Officer (CISO). Untuk kesuksesan penekanan terhadap keamanan informasi, maka salah satu tugas utama CISO adalah mengomunikasikan pentingnya keamanan informasi kepada anggota C-level lainnya. Dengan mengartikulasikan nilai-nilai ini kepada mereka sesuai kepentingan dan kaitannya terhadap setiap C-level. Jika hal ini dapat dilakukan dengan baik, akan tercipta dukungan dan lingkungan kolaborasi yang baik bagi CISO dalam melindungi bisnis dari segi keamanan informasi.

GOVERNANCE

alam industri yang memiliki regulasi ketat, Bank Indonesia sebagai badan regulator industri perbankan telah menerbitkan Peraturan Bank Indonesia (PBI) No. 9/15/2007 mengenai Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Pada bab 1 yang mengatur mengenai manajemen teknologi informasi disebutkan bahwa secara ideal bank perlu memisahkan antara fungsi yang melaksanakan prosedur pengamanan informasi sehari-hari, dengan fungsi pengelola program pengamanan informasi dan pemantauan pengamanan secara menyeluruh. Fungsi yang melaksanakan prosedur pengamanan informasi biasanya merupakan bagian dari operasional bank. Peran fungsi tersebut hanya sebatas menjalankan prosedur yang telah ditetapkan, sehingga tidak dapat mengambil keputusan guna melakukan pengecualian atau mengubah prosedur dan standar pengamanan yang telah ditetapkan. Meskipun demikian, bank yang ada di Indonesia

masih belum memiliki CISO sebagai posisi yang berdiri sendiri, dengan fungsi kerja mengatur pengamanan informasi bahkan termasuk didalamnya adalah bank yang menempati posisi sepuluh besar. Posisi CISO umumnya berada di bawah divisi Teknologi Informasi untuk operasionalnya, atau di bawah divisi manajemen risiko atau sistem dan prosedur untuk pembuatan kebijakan dan prosedurnya.

GOVERNANCE

* Global State of Security Survey 2012 //PricewaterhouseCoopers

elalui sebuah survei yang dilakukan oleh PricewaterhouseCoopers mengenai Global State of Security Survey 2012, dari kurang lebih 9.600 perusahaan di dunia mencakup berbagai industri, ditemukan bahwa pada 2011, hanya sekitar 52% perusahaan yang telah memiliki posisi CISO yang berperan sebagai penanggung jawab atas strategi keamanan informasi secara keseluruhan. Jumlah ini meningkat jika dibandingkan dengan tahun sebelumnya. Pada 2010 baru sekitar 45% perusahaan yang memiliki posisi CISO. Dari survei tersebut ditemukan juga fakta, sebenarnya manajemen telah memiliki persepsi bahwa organisasi mereka membutuhkan posisi CISO. Hal ini ditunjukkan dengan 84% responden dari level manajemen yang menyatakan bahwa mereka perlu memiliki posisi CISO.

GOVERNANCE

alu pertanyaan yang akan muncul adalah Apakah perusahaan saya membutuhkan posisi CISO untuk mengelola keamanan informasi? Tidak ada jawaban pasti untuk pertanyaan ini. Saat ini persepsi umum yang berkembang adalah posisi CISO diperlukan untuk perusahaan yang sudah berskala besar dengan informasi yang sensitif dan penting. Hal ini juga sangat bergantung dari kesadaran manajemen tentang pentingnya pengelolaan keamanan informasi secara mandiri, tanpa dicampuri hal terkait operasional perusahaan. Tanpa dukungan

nyata dari manajemen, fungsi keamanan informasi akan selalu menjadi nomor dua setelah operasional. Memang sudah menjadi pandangan umum bahwa fokus akan keamanan informasi secara otomatis akan meningkatkan biaya. Hal ini karena kebutuhan inisiatif pengamanan informasi. Akan tetapi pihak manajemen harus memiliki pengertian dan kesadaran atas kemungkinan risiko jika terjadi pelanggaran atau kehilangan informasi perusahaan. Dampak yang diperoleh bisa jadi lebih besar ketimbang biaya inisiatif pengamanan informasi. Pembuatan skenario dan analisis cost-benefit akan memberikan pandangan pada manajemen mengenai dampak kehilangan dari segi finansial perusahaan. Secara spesifik pada industri perbankan (seperti yang telah digambarkan sebelumnya), melalui Peraturan Bank Indonesia telah dijelaskan sebaiknya fungsi yang mengelola dan memantau keamanan informasi terpisah dari operasionalnya, dimana fungsi tersebut umumnya dipimpin oleh seorang CISO. Namun tetap saja, keputusan atas hal tersebut merupakan tanggung jawab manajemen untuk mengelola risiko terkait.

GOVERNANCE

Kualifikasi apakah yang diperlukan oleh seorang CISO dalam menjalankan fungsinya? Secara fundamental, seorang CISO seharusnya memiliki beberapa aspek pengetahuan sebagai berikut:
PENGETAHUAN TEKNIS , dimana kebanyakan informasi yang ada di perusahaan bersifat elektronik, sehingga seorang CISO harus memiliki pengetahuan mendalam atas teknologi yang digunakan serta kompleksitasnya. PENGETAHUAN MENGENAI MANAJEMEN RISIKO , hal ini merupakan yang mendasar dalam mengelola keamanan informasi. Seorang CISO harus memiliki pemahaman mendalam mengenai manajemen risiko dan kaitannya dengan proses bisnis. PENGETAHUAN & METODE SECURITY METRICS , seorang CISO harus menguasai metode pengukuran risiko yang jelas guna mempertahankan budget keamanan informasi diantara anggota C - level . Tanpa pengetahuan ini, seorang CISO akan sulit untuk mendapatkan

keyakinan dan dukungan oleh C -level dalam menerapkan pengamanan yang dirancang, serta mencakup risikonya.

GOVERNANCE

PENGETAHUAN MENDASAR MENGENAI PROSES BISNIS juga akan memberikan nilai tambah bagi seorang CISO dalam mengelola pengamanan terkait. Seorang CISO harus dapat memberikan pengaruh kepada anggota C - level lain mengenai pentingnya keamanan informasi, tentunya terkait dengan proses bisnis oleh masing-masing bagian lainnya.

PENGETAHUAN MENGENAI TATA KELOLA KEAMANAN , seorang CISO harus memiliki pengetahuan mendalam mengenai framework, pendekatan dan standar internasional di industri seperti ISO 27001, COBIT, ITIL, dan lain sebagainya.

MEMILIKI SERTIFIKASI DARI BERBAGAI LEMBAGA INDEPENDENT , seperti Certified Information Security Manager (CISM) dari ISACA, atau Certified Information Security Officer (CISO) dari EC Council, atau sertifikasi lainnya yang sejenis.

GOVERNANCE

engan bekal pengetahuan tersebut, diharapkan seorang CISO dapat mengelola keamanan informasi di perusahaan dengan baik, efektif, dan efisien, serta dapat didukung oleh manajemen dan semua pihak yang terkait dalam proses bisnis. Fungsi CISO akan terus berevolusi untuk semakin baik dalam mengelola keamanan informasi dan akan semakin banyak yang membutuhkan posisi CISO dalam perusahaan untuk melakukan inisiatif pengamanan informasi. Hal ini tentunya untuk melindungi keberlangsungan bisnis, serta meningkatkan ketahanan perusahaan terhadap ancaman terkait keamanan informasi yang datang dari mana saja, dari luar maupun dalam, seiring perkembangan dan perubahan bisnis yang terjadi.

COVER STORY

Muhammad Guntur
Menjawab Tantangan Keamanan Informasi Bank Mandiri

Setelah 17 tahun malang melintang di bidang aplikasi, ia pindah ke Bank Mandiri sebagai SVP IT SAP

COVER STORY

Keamanan teknologi informasi dunia perbankan menjadi sorotan publik sejak beralihnya transaksi manual menuju elektronik. Jalur internet yang terbuka memudahkan akses jasa perbankan untuk nasabah maupun bukan nasabah. Jasa bisnis bank yang berlomba-lomba untuk memanjakan nasabah dengan layanan elektronik berdampak pada terbukanya sistem TI bank, sehingga membutuhkan pengamanan yang serius. Bank Mandiri sebagai salah satu institusi perbankan di Indonesia tentu mengalami tantangan yang sama. Strategi keamanan teknologi informasi Bank Mandiri digodok dalam grup yang dinamai dengan IT SAP. Tanggung jawab grup ini adalah strategi teknologi informasi dalam keamanan, arsitektur, dan perencanaannya. Penanggung jawab segala bentuk kerja pada IT SAP dipikul oleh Muhammad Guntur sebagai seorang SVP IT SAP (Senior Vice President Information Technology Strategy , Architecture , and Planning ).

COVER STORY

Mengenal Sosok Muhammad Guntur

Muhammad Guntur menjabat sebagai SVP IT SAP sejak 2007. Sebelumnya Guntur berkarier di Exim Bank dengan fokus kerja sebagai pengembang aplikasi hingga menjadi sistem analyst. Guntur mengaku selama dirinya di pengembangan aplikasi (sejak 1989 hingga 2006) ia berkarib dengan COBOL dan RPG AS400 sebagai basis aplikasi core banking. Selama kurang lebih 17 tahun bergelut di dunia pengembangan aplikasi, ia mengaku memiliki banyak pengetahuan mengenai sistem keamanan aplikasi, sebagai contoh system value pada i5 milik IBM. Namun menurut Guntur saat itu sistem keamanan aplikasi masih dilakukan dengan konfigurasi mesin server saja, alih-alih menggunakan firewall ataupun Secure Sockets Layer (SSL).
Setelah 17 tahun malang melintang di bidang aplikasi, ia pindah ke Bank Mandiri

Guntur menceritakan dirinya mengerti juga tentang security access level dan access control. Sehingga dirinya juga banyak mengetahui

COVER STORY

mengenai database. Pada CISO Magazine ia mengaku pernah menjadi data analyst, sehingga ia mengetahui mengenai sistem risk, sistem control, dan sistem value. Setelah 17 tahun malang melintang di bidang aplikasi, ia pindah sebagai Group Head IT SAP yang kini disebut sebagai SVP IT SAP (Senior Vice President IT Strategy, Architecture, & Planning Group). Mengenai kerja security Guntur menjelaskan di Bank Mandiri bagiannya dipisahkan antara development dan operation. Tujuannya adalah memisahkan antara kerja security planning dengan bidang development ataupun operation.

Saat CISO Magazine menanyakan transisi kerja dan hambatannya, Muhammad Guntur mengakui tentu terjadi penyesuaian dari seorang yang tadinya bertanggung jawab sebagai pengembang aplikasi ke seorang yang bertanggung jawab sebagai IT SAP.
Guntur menilai kerja development lebih fleksibel. Ia memberikan gambaran sederhana, misalnya bisnis membutuhkan tools yang menyokong kemudahan tentu development akan menyatakan kesanggupan. Sisi kenyamanan untuk mendukung bisnis merupakan orientasi seorang development. Panggilan untuk memberi solusi tersebut menurut Guntur hingga kini masih sering terbawa. Meski begitu, ia menyadari dengan posisinya sebagai seorang IT SAP panggilan memberikan solusi sudah tidak lagi tepat.

Mengenai kerja security Guntur menjelaskan di Bank Mandiri bagiannya dipisahkan dengan development dan operation.

COVER STORY

Menurutnya, seorang IT SAP harus berpola pikir disiplin, menjaga governance, arsitektur, planning, dan keamanan. Dengan pengalaman sebagai development Guntur mengakui tidak mudah bagi dirinya untuk menjaga bahwa disiplin jauh di atas solusi bisnis. Hal tersebut merupakan kendala tersendiri bagi Guntur. Ia merasa perlu waktu untuk beralih ke logika disiplin. Hingga saat ini kadang-kadang Guntur tidak begitu ketat menjalankan nilai-nilai disiplin. Ia mengambil contoh pada sebuah kejadian dimana bisnis memaksa untuk menerapkan inovasi baru, namun aspek keamanannya belum secara penuh diimplementasikan. Akhirnya logika dialihkan ke back-up plan, misalnya adanya mitigasi risiko, walk around solutions, serta compensating control. Ia menambahkan ketika sebagai development orientasinya lebih ke bisnis, sekarang ini sebagai IT SAP tetap harus memandang bisnis karena bagaimana pun keamanan harus mendukung bisnis. Ia memberikan penekanan bahwa peran untuk menjaga keamanan tetap ada di pundaknya. Secara sederhana kerjanya adalah menyeimbangkan antara orientasi kenyamanan bagi nasabah serta keamanan IT.

Guna menjamin performa di bidang kerja IT SAP hal yang notabenenya baru bagi Guntur tentu saja kecakapan perlu ditambah. CISO Magazine menanyakan pada Guntur mengenai kecakapan apa saja yang diperlukan untuk berada di posisinya sekarang.
Fokus kerja IT SAP menurut Muhammad Guntur terdiri dari dua hal, yakni governance dan security. Pada governance yang dibutuhkan adalah kecakapan mengenai konsep keamanan, seperti mengetahui arsitektur, pengembangan arsitektur, standar parameter, serta menjaga arsitektur. Sementara pada bidang kerja keamanan, seperangkat kecakapan seperti aplikasi perimeter keamanan, firewall dan konfigurasinya sudah harus dimiliki sebelum mengemban pekerjaan ini, lain halnya ketika bekerja di bagian development kecakapankecakapan tersebut bisa diperoleh

COVER STORY

sembari menjalani pekerjaan. Guntur mengatakan hal ini karena menurutnya keamanan merupakan bagian dari perencanaan. Melalui penjelasan Guntur dapat ditangkap bahwa kecakapan dari dua bidang kerja tersebut harus dimiliki sebagai skill set yang akhirnya dapat diintegrasikan. Dengan kepercayaan diri yang mantap Guntur menjelaskan, menurut saya dengan pengalaman saya di pengembangan aplikasi sangat mendukung pekerjaan saya di bidang governance ini. IT SAP membutuhkan orang-orang development, yang mengerti aplikasi riil di lapangan. Dengan terbuka, kepada CISO Magazine Guntur menuangkan apa yang ia amati. Dari pengamatannya ia berkesimpulan tidak sedikit orang di IT SAP kurang paham perihal teknis keamanan.

Dari pengalaman Guntur selama lebih dari 17 tahun di development dan lebih dari lima tahun di IT SAP CISO Magazine menanyakan mengenai divisi yang paling tepat untuk posisi IT SAP.
Terkait divisi operation yang menempati posisi IT SAP, Guntur berargumen, operation tidak cocok karena benturan kepentingan. Dalam pandanangan Guntur operation seperti robot karena hanya menjalankan apa yang diperintahkan. Kuasa operation yang tidak sampai pada menyusun judgment dinilai satu hal yang bisa saja membahayakan karena seorang IT SAP harus memiliki kerangka berpikir serta berpikiran terbuka. Sangat kontras dengan operation yang kerjanya berdasarkan pada checklist komando. Sementara ditanyai apakah bagian manajemen risiko pas sebagai IT SAP, Guntur berpendapat hal tersebut pun kurang tepat karena dalam pandangannya sebagai seorang yang pernah bergelut di pengembangan aplikasi kerja manajemen risiko terlalu teoritis. Guntur mengaku bahwa dirinya dengan bagian manajemen risiko sering beradu argumen karena kerja manajemen risiko yang terlalu teoritis. Dengan analisis yang terbuka, tanpa ada niatan meremehkan, Guntur sebagai seorang

Dengan Kepercayaan D i r i Ya n g Mantap Guntur Mengatakan Bahwa Orang Dari

COVER STORY

Development-Lah Ya n g P a s U n t u k Mengisi IT SAP

Dengan kepercayaan diri yang mantap Guntur mengatakan bahwa orang dari pengembangan aplikasilah yang pas untuk mengisi IT SAP. Sedikit berefleksi ia mencurahkan pengalaman pribadi soal posisi pas sebagai IT SAP, Hanya masalah disiplin, menjaga governance dan keamanan itu tadi, saya selalu berorientasi pada solusi. Guntur melihat orientasi tersebut kontras dengan gambaran ideal seorang praktisi keamanan yang ketat, seperti pengaturan konfigurasi, perimeter, pemetaan risiko fraud, hacker, dan lain sebagainya. Namun ia mengakui bahwa tidak semua dilakukan dengan ketat, kecuali terkait firewall dan IPS.

yang lama berkecipung di operation mengatakan, Manajemen Risiko TI pun kerjanya sangat teoritis, hanya melakukan identifikasi pada risiko yang mungkin timbul atau yang mungkin menempati posisi teratas, satu hal yang dalam kepala Guntur terlalu teoritis sehingga tidak applicable. Sementara kerja dari bingkai kaca mata pengembangan aplikasi adalah kerja pilihan yang sangat applicable, seperti nol atau satu, on atau off, ataupun pilihan biner lainnya. ungkap Guntur. Ia menambahkan manajemen risiko sendiri hanya terbatas pada compliance dan review.

Posisi dan Pandangan Mengenai CISO

Keberagaman organisasi sebutan CISO bisa saja berbeda. Sebagai acuan, menurut ISO 27001, CISO adalah seorang yang dapat mengambil keputusan atas ICT karena ICT tersebut harus punya controller pada inovasi teknologi guna menjamin keamanan. Seorang CISO juga harus memiliki cukup wewenang di C-level dalam pengambilan

COVER STORY

strategi sehingga dapat menerapkannya dengan pendekatan top-down. Mengenai posisi Muhammad Guntur sebagai SVP IT SAP Bank Mandiri, CISO Magazine menanyakan apakah bisa dikatakan sebagai CISO. Ia mengatakan bahwa jika dilihat dari sisi keamanan, posisinya sudah yang paling tinggi. Namun ia mengakui bahwa fokus kerjanya hanya pada keamanan TI, sementara untuk keamanan informasi secara luas belum ada yang menangani di Bank Mandiri. Guntur mengatakan bahwa CISO sebagai posisi memang perlu dipertimbangkan pada bank sebesar Mandiri. Hal tersebut dapat dilihat dari pernyataannya yang cukup antusias ketika CISO Magazine menanyakan mengenai posisi CISO. Hal ini yang perlu dibangun di bank sebesar Mandiri, pengendalian untuk informasi jujur saja belum ada yang on.

Ini sepertinya sesuatu yang menarik, bahwa awareness tentang security di Indonesia masih jadi challenge secara umum. Contoh nyatanya e-KTP. Padahal jika dilihat, bank bisa terkena dampaknya. Sebagai contoh ketika terjadi fraud. Saat dilacak alamat yang tertera jelas di KTP, ternyata tidak benar, papar Guntur. Ia menyadari meski peran CISO selama ini tidak ada di Bank Mandiri, tetapi sebenarnya peran CISO dibutuhkan. Hanya kini, menurut Guntur perlu dipikirkan transformasi yang tepat, apakah peran CISO sebaiknya dipegang secara transparan oleh IT SAP atau di bidang lain, seperti bidang Policy. Dengan CISO di pegang TI pun sebenarnya cocok-cocok saja menurut Guntur. Akan tetapi perlu kewenangan yang lebih tinggi lagi karena selama ini wewenangnya hanya di sisi sistem TI. Belum lagi menyoal anggaran yang dikelola,

COVER STORY

selama ini baru sebatas pada kebutuhan TI. Jika TI sifatnya benarbenar ke arah keamanan informasi maka harus ada kewenangan khusus untuk mengatur, mengelola, dan membuat policy. Pendapat lain dari Guntur mengenai posisi CISO, bisa saja di bagian Policy. Seperti misalnya untuk menangani klasifikasi data. Menurutnya tentu saja kerja tersebut tidak relevan jika ditangani TI karena TI hanya menangani masalah sistem dan penggunaannya seperti USB, ponsel pintar, iPad, dan mobile device lainnya, yaitu dengan pemanfaatan end point protection. Namun pengaturan terkait akses email perusahaan melalui mobile device pribadi, seperti beberapa batasan maksimum yang boleh dimiliki, sertifikasi mobile device, dan lainnya tentu harus ada yang mengatur. Salah satu permasalahan yang dihadapi oleh kebanyakan praktisi keamanan informasi adalah dukungan dari direksi ataupun C-level lainnya, misalnya dalam penganggaran. Guntur menilai sejauh ini penganggaran keamanan TI tidak menjadi kendala. Dukungan untuk anggaran keamanan bisa dikatakan cukup. Seperti dukungan pada inisiatif yang baru saja dilakukan, yakni data liquid protection. Namun seperti yang diakui Guntur, anggaran yang digelontorkan tentu tidak sebesar untuk pengembangan bisnis. Yang pasti dukungan terhadap keamanan TI mendapat perhatian yang cukup serius di manajemen Bank Mandiri.

COVER STORY

Tantangan bisnis Bank Mandiri begitu mendesak sehingga butuh perhatian besar di aspek keamanannya

Standar dan Regulasi Keamanan Informasi

ISO 27001 secara sederhana merupakan regulasi yang mengatur manajemen sistem keamanan informasi. Bank Mandiri sempat certified untuk ISO 27001, tetapi penerapannya baru dilakukan pada grup TI, sebatas pada operation, planning, dan application. Hal ini yang dituturkan Guntur pada CISO Magazine. Ia mengakui bahwa Bank Mandiri belum berani menerapkan ISO 27001, menjaga IT saja setengah mati, ungkap Guntur.

Pasca masa sertifikasi ISO 27001 habis, Bank Mandiri memutuskan untuk tidak memperpanjang kembali status sertifikasinya. Guna mengetahui alasannya CISO Magazine mengonfirmasi hal tersebut. Guntur mengakui bahwa Bank Mandiri belum siap untuk melakukan sertifikasi ulang ISO 27001 disebabkan fokusnya yang masih pada pengembangan bisnis. Namun hal ini tidak mengurangi keseriusan Bank Mandiri dalam menjaga keamanan informasinya karena selain ISO 27001, Bank Mandiri tetap comply pada standar dan regulasi keamanan informasi lainnya seperti Peraturan Bank Indonesia. Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, atau yang biasa di kalangan praktisi keamanan informasi perbankan disingkat PBI, merupakan salah

COVER STORY

satu compliance yang wajib dipatuhi oleh bank yang beroperasional di Indonesia. Terkait PBI, Bank Mandiri boleh berbangga diri karena grand design PBI salah satunya merupakan buah pikir Bank Mandiri. Guntur yang dikonfirmasi apakah ada hambatan tersendiri dalam penerapannya mengakui sejauh berjalan Bank Mandiri tidak menemui kendala yang berarti. Audit dari Bank Indonesia pun dapat dijalankan secara disiplin. Arah compliance Bank Mandiri tidak selalu pada PBI saja. Aturan lain yang menjadi pedoman Bank Mandiri sekarang ini adalah Payment Card Industry Data Security Standard atau sering dikenal dengan PCI DSS. PCI DSS adalah seperangkat persyaratan komprehensif sebagai standar keamanan data nasabah yang disimpan, diproses dan/ atau ditransmit oleh pengguna layanan pembayaran yang ditetapkan oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide, dan Visa Inc. Tidak semua environment dapat diterapkan dengan PCI DSS. Menurut Guntur hal ini karena menyesuaikan dengan kebutuhan bisnis juga. Ketika penerapan PCI DSS dilaksanakan begitu ketat, pihak bisnis bisa protes.

Padahal menurut Guntur sebenarnya kebutuhan bisnis untuk PCI DSS sendiri cukup besar, hal tersebut terkait shifting liabilities. Dimana ketika Bank Mandiri tidak comply pada PCI DSS maka saat terjadi fraud pada nasabah, alih-alih Visa yang harus bertanggung jawab, Bank Mandiri yang harus bertanggung jawab dan mengganti denda. Shifting liabilities sangat terkait, terutama pada Visa dan Master Card.

COVER STORY

BCA merupakan salah satu bank yang terlihat serius menerapkan PCI DSS. Dengan produk-produk baru BCA yang banyak mengandalan pembayaran online dan tentu terkait pula dengan VISA dan MasterCard. Guntur pun mengatakan hal yang sama pun terjadi di Mandiri. Merchant harus patuh kepada bank sesuai dengan PCI DSS. Ini merupakan kewajiban merchant yang bila tidak dipenuhi akan berdampak buruk kepada bank. Oleh karena itu jika merchant tidak comply, tentunya Bank Mandiri akan bersikap tegas. Guntur membagikan pengalamannya tentang suatu kejadian penyalahgunaan data nasabah yang dilakukan oleh salah satu merchant yang tidak sigap dalam menangani keamanan data. Hal ini membuatnya untuk lebih tegas kepada merchant. Padahal kejadian tersebut tidak berdampak sebagai kerugian finansial di sisi Bank Mandiri, namun kerugian reputasilah yang ingin dihindari. Nasabah ataupun bukan bisa saja menarik kesimpulan dari insiden tersebut bahwa Bank Mandiri tidak tangguh karena dapat dibobol, padahal kelalaian bukan di pihak Bank Mandiri.

Mengenai penggunaan kartu pembayaran elektronik, seperti kartu kredit, kartu debit, dan e -money serta keamanannya
Guntur mengemukakan bahwa kesadaran masyarakat terhadap penggunaan e-money belum begitu dipahami bahwa e-money adalah uang. Orang masih cenderung teledor. Penerapan e-money bertujuan untuk mengurangi jumlah uang kecil, seperti untuk retribusi parkir, uang tol, dan transaksi kecil lainnya. Oleh karena itu untuk mengantisipasi risiko yang ada pada e-money, di Indonesia saldo di dalam e-money masih terbatas pada angka satu juta rupiah ini sesuai dengan aturan mengenai anti money laundering. Meski begitu, gelagat untuk menaikan nominal hingga lima juta rupiah mulai terlihat.

COVER STORY

Credit Card Jauh Lebih Aman Karena Penggunaan Chip Berbasis Europay, Mastercard dan Visa (Emv) Yang Sudah Lama Diterapkan

Sedangkan untuk kartu debit dan kartu kredit, Guntur berpendapat bahwa hingga saat ini kartu kredit jauh lebih aman karena penggunaan chip dengan EMV (Europay, MasterCard and Visa) compliance yang sudah lama diterapkan. Sementara untuk kartu debit di Indonesia belum ada kewajiban untuk mengganti kartu dengan chip. Kelonggran penerapan NSCIS yang diberikan oleh BI tidak lain menimbang besarnya biaya penggantian kartu. Biaya yang bisa dihabiskan untuk penggantian kartu mencapai satu dolar. Melalui hitungan kasar dengan nasabah Bank Mandiri yang mencapai sepuluh juta orang maka biaya ganti kartu sedikitnya mencapai sepuluh juta dolar. Oleh karena ini dalam penerapannya Guntur memperkirakan akan dilakukan secara bertahap. Batas waktu yang dari BI untuk penggantian kartu hingga dua sampai tiga tahun ke depan.

COVER STORY

Visa Kini Telah Memiliki Sistem Untuk Menangani Fraud Atau Pencurian Melalui Credit Card Dengan Verified By Visa (VBV)

Transaksi melalui online kini marak untuk dilakukan, penggunaan kartu kredit secara ilegal atau pencurian melalui kartu kredit mungkin untuk dilakukan. Bagaimana sistem dari Bank Mandiri untuk menghindari hal tersebut?
Visa kini telah memiliki sistem untuk menangani fraud atau pencurian melalui credit card dengan Verified by Visa (VBV). Dulu ketika transaksi online dilakukan pemegang kartu hanya diminta memasukan nomor CVV di balik kartu kredit. Kini sistem tersebut bergerak ke arah VBV, sehingga Visa sendiri bisa yakin bahwa yang melakukan transaksi adalah pemiliki otoritas. Konfirmasi oleh Visa dapat dilakukan seperti melalui SMS dan lain sebagainya. Sehingga ketika nasabah memverifikasi, baru transaksi online bisa diproses. Jika dengan sistem VBV masih terjadi fraud Visa bisa melakukan ganti rugi apabila nasabah dapat menunjukkan bukti, hal ini diistilahkan non repudation. Sebagai contoh, telah terjadi transaksi yang di lakukan di Swiss padahal nasabah tidak pernah merasa mengunjungi negara tersebut. Nasabah dapat membuktikan perkara ini dengan menunjukkan paspornya dan membuktikan bahwa ia tidak mengunjungi Swiss dalam rentang waktu kejadian perkara. Hal yang tidak bisa di-sangkal seperti itu bisa diberikan ganti rugi oleh Visa.

COVER STORY

Tantangan dan Strategi dalam Menghadapinya

Guntur menyebutkan sekarang ini transaksi melalui e-channel telah mencapai 92%, sedangkan transaksi tradisional tertinggal jauh di belakang, yakni 8%.

Dengan sistem yang lebih terbuka sekarang tentu membuat attacker mencari celah keamanan Contohnya phishing. Sekarang ini Guntur mengaku baru bisa bertindak reaktif, belum bisa proaktif seperti ketika ditemukan situs palsu maka akan ditake down. Tantangan ditambah dengan nasabah yang seringkali tidak aware dengan situs palsu dan phishing, padahal sangat merugikan nasabah sendiri. Guntur mengakui kerjanya untuk mematikan situs palsu sangat kejar-kejaran karena karakter situs palsu yang selalu muncul lagi setelah di-take down. Ia menilai sistem manual seperti monitoring sudah tidak lagi relevan untuk dilakukan. Diperlukan langkah maju untuk menghadapi tantangan ini. Hal ini tentunya juga memerlukan kerja sama nasabah. Namun menurut Guntur logika keamanan dan kenyamanan sering kali berbenturan, bisnis memprioritaskan kenyamanan nasabah, tetapi hal tersebut sangat berisiko pada keamanan bank atau nasabah secara pribadi. Guntur menambahkan seiring pesatnya perkembangan transaksi yang sifatnya online atau e-channel, compensating control sudah tidak bisa dijalankan secara manual. Ini yang jadi tantangan kita di security. Masih ada phishing dan website palsu, terang Guntur.

COVER STORY

Salah satu tantangan bisnis lain yang begitu mendesak ke depannya di Bank Mandiri adalah masuknya teknologi dengan penggunaan banyak platform, salah satunya adalah open source. Kebutuhan bisnis begitu luar biasa untuk aspek keamanan. Saat ini Unix sudah masuk. Selanjutnya teknologi open source lain akan menyusul. Ini tentu menambah beban pikir, bagaimana strategi dan pola keamanan yang akan diterapkan pada open source. Guntur menganalisis standar konfigurasi aplikasi open source yang berbeda berpotensi sebagai pemicu kebingungan tersendiri. Tambah-tambah open source nihil dukungan lokal, sehingga ketika kesulitan hadir tidak ada bantuan yang bisa ditemui untuk mengetahui standarnya. Kadang-kadang debat mengenai keamanan dan kenyamanan menjadi masalah tersendiri. Bagaimana dapat menyeimbangkan dan tetap mempertimbangkan aspek bisnis. Guntur membayangkan seharusnya internet banking tidak bisa digunakan pada jaringan Wi-Fi yang tidak aman. Caf atau warnet adalah tempat yang seharusnya dilarang untuk melakukan transaksi online. Namun hal tersebut akan menuai protes dengan mengatakan bahwa Bank Mandiri tidak fleksibel.

COVER STORY

CISO Magazine juga menanyakan bagaimana Bank Mandiri menangani fraud ? Siapa yang memegang peranan tersebut
Penanggulangan fraud dijalankan oleh tim operasional untuk forensik dan investigasi. Sementara itu IT SAP berlepas tangan dari kegiatan operasional karena peran yang dimainkan adalah peran strategis. Pasca masalahnya diketahui, bagian operation baru melaporkan pada IT SAP untuk diambil alih. Sehingga secara sederhana kerja IT SAP berlangsung setelah insiden.

Berdasarkan survei yang dilakukan Deloitte, Bring Your Own Device (BYOD) merupakan salah satu tantangan terbesar di 2013. Mengonfirmasi kesiapan Bank Mandiri menghadapi tantangan tersebut, CISO Magazine menanyakan secara langsung kepada Guntur.
Sejauh ini belum ada regulasi di Bank Mandiri yang mengatur hal tersebut, namun ada arah ke sana. Seperti kebijakan yang mengatur berapa jumlah device yang boleh dimiliki oleh karyawan untuk mengakses data perusahaan. Guntur berangan, ke depannya Bank Mandiri ingin menerapkan security online services, dimana nasabah harus mengunduh dulu, seperti pada iTunes untuk Apple, dan lain sebagainya. Dengan sistem tersebut secara tidak langsung akan mendorong nasabah untuk mengakses situs dari device yang aman karena tidak mungkin diinstall pada public device seperti komputer warnet.

COVER STORY

Isu yang juga berkembang dewasa ini sebagai sebuah ancaman serius adalah kebocoran data melalui social media . Bagaimana regulasi yang mengatur hal tersebut?
Social media pada Bank Mandiri justru dimanfaatkan sebagai media security awareness untuk karyawan, layaknya komunikasi viral, seperti menginformasikan situs palsu atau phishing kepada karyawan. Sementara itu aturan mengenai penggunaan social media ada di sisi bisnis, tepatnya di public relation perusahaan.
Menutup pembicaraan, Guntur menyatakan Sejauh ini Bank Mandiri belum pernah mengalami kebocoran data karena keteledoran karyawan dalam menggunakan social media. YH

KNOWLEDGE

SEBERAPA AMAN ANDA MENERAPKAN SSL PADA WEB?

Oleh : Eko Prasetio

KNOWLEDGE

eperti yang anda ketahui SSL atau kepanjangan dari Secure Socket Layer merupakan salah satu solusi pengamanan bagi Web Server yang sebelumnya menggunakan protokol HTTP (Hypertext Transfer Protocol) menjadi protokol HTTPS (Hypertext Transfer Protocol Secure). Dengan SSL, komunikasi yang sebelumnya berbentuk plaintext (dapat dilihat dengan jelas dan mudah dibaca) menjadi data yang terenkripsi, sehingga ketika seseorang yang mencoba melakukan sniffing pada aliran data dalam suatu jaringan tidak bisa dibaca secara langsung sebagaimana mudahnya membaca aliran data pada HTTP. Kondisi seperti ini tidak membuat diam para hacker, mereka selalu berusaha mencari celah yang dapat dimanfaatkan. Pada kenyataannya beberapa Web Server yang telah menerapkan protokol HTTPS pun dapat dengan mudah dibaca. Para hacker mencoba melakukan serangan ini atau yang biasa disebut dengan man-in-the-middle-attack (MITM). MITM merupakan teknik serangan yang sering dilakukan pada jaringan LAN. Seorang attacker dapat pula menggunakan teknik serangan ini pada WiFi dimana korban sebagai target tidak mengetahui akan bahayanya browsing internet pada layanan umum.

ARP Spoofing
3 1
Victim
ARP

KNOWLEDGE

2 2 3

Router Server

Attacker

1. Ketika awal pengiriman data ( request certificate ke server), Victim akan melakukan pengecekan ARP cache untuk tujuan MAC Adress Gateway.

2. jika MAC Address Gateway tidak ditemukan maka victim akan melakukan ARP broadcast di segmen jaringannya dengan tujuan FF:FF:FF:FF:FF:FF.

3. Setiap perangkat yang menerima ARP broadcast dari victim akan merespon dengan memberikan MAC Address-nya ke victim. Namun Attacker akan merespon dengan membanjiri paket ARP ke Victim hingga victim menganggap bahwa MAC dan IP Address Attacker adalah gateway, lalu victim menyimpan MAC dan IP Address Attacker sebagai alamat Gateway

MITM
1

Router

KNOWLEDGE

5
Victim
ARP

Server

1. Victim akan mencoba melakukan request certificate ke server sebelum melakukan browsing untuk membuka sebuah halaman web melalui SSL.

2. Karena ARP Spoofing telah terjadi, paket request yang dikirimkan Victim akan dibelokkan ke Attacker sebelum mencapai server, hal ini terjadi karena Victim menganggap Attacker adalah Gateway, dalam Kondisi Ini, Attacker dapat menahan request certificate dari Victim, membacanya, bahkan merubah isi paket request tersebut.

Attacker

3. Lalu Attacker meneruskan paket request yang melaluinya ke server untuk memperoleh paket respon dari server.

4. Server akan merespon request certificate Victim yang dikirimkan Attacker.

5. Ketika Attacker mendapat respon dari server dalam kondisi ini Attacker juga dapat mengubah respon dari server sebelum diteruskan ke korban, pada kondisi ini setiap korban melakukan request akan selalu direspon oleh attacker yang bukan merupakan server sebenarnya.

Bagaimana SSL Dapat Dikatakan

KNOWLEDGE

Karena SSL merupakan metode enkripsi komunikasi komputer tentu besaran cipher enkripsinya sangat mempengaruhi kekuatan uji nya. Pada beberapa konfigurasi Aman? awal SSL sebuah server dengan sistem operasi sejenis Unix atau Linux, umumnya masih melayani SSL dengan cipher rendah. Web server seharusnya minimum melayani cipher 256 bit. Dibawah itu, SSL bisa dengan mudah di-crack, dan tools yang beredar sekarang baik yang berbayar maupun yang open source dan gratis sudah bisa melakukan dekripsi cipher SSL dibawah 256 bit. Oleh karena itu, SSLv2 (SSL versi 2) sebaiknya tidak digunakan lagi karena maksimal mendukung cipher 168 bit. Pastikan web server anda menggunakan SSLv3 atau TLSv1 yang tidak mendukung cipher dibawah 256 bit. Pengalaman saya dalam melakukan security assessment selama ini, dari sepuluh server yang menerapkan protokol HTTPS, terdapat 10% server yang menggunakan SSLv2 dengan cipher 40 bit, 50% server yang menggunakan SSLv2 dengan cipher 168 bit, dan sisanya menggunakan SSLv3 128 bit. Jelas bahwa pemahaman mengenai standar kekuatan cipher pada SSL masih belum banyak dimengerti.

10%
SSLv2 40 bit

SSLv2 168 bit

40%

SSLv3 128 bit

50%

KNOWLEDGE

Menggunakan konfigurasi sederhana pada linkungan lab, berikut beberapa screenshot terhadap analisa kekuatan cipher dan pembuktian uji dengan metode MITM

Menggunakan SSL Scan pada Linux Backtrack, hasil scan terhadap web server yang menggunakan konfigurasi awal (default), masih melayani permintaan sertifikat SSL dengan cipher rendah

Hasil SSL Scan setelah konfigurasi SSL pada web server sudah diperbaiki dan hanya melayani cipher minimal 256 bit

KNOWLEDGE

Apa yang dilihat oleh pengguna (victim) jika sertifikat SSL dari benar-benar dari server yang dituju, informasi dalam sertifikat sesuai dengan informasi perusahaan

Informasi dalam sertifikat SSL palsu yang telah diubah oleh Attacker menjadi PortSwigger. Dalam kondisi ini setiap pertukaran data dan informasi antara pengguna dan server bisa dibaca oleh Attacker

KNOWLEDGE

Contoh HTTP method GET yang dapat dibaca oleh Attacker jika berhasil melakukan MITM SSL menggunakan tools Burp Suite.

Respon yang didapat oleh Attacker jika terjadi handshake failure ketika server telah dikonfigurasi agar tidak lagi melayani cipher dibawah 256 bit, sehingga tools tidak dapat melakukan dekripsi cipher.

KNOWLEDGE

Dampak Serangan MITM

Serangan jenis ini tidak secara langsung menyerang pada sisi server, tetapi serangan ini sering terjadi pada sisi klien, dimana klien lengah pada saat melakukan aktivitas browsing seperti mengakses situs pada e-commerce atau internet banking. Setiap transaksi yang dilakukan oleh pengguna situs dapat dibaca dan diubah oleh attacker. Sebagai contoh, jika pengguna berbelanja pada suatu situs e-commerce, ketika transaksi pembelian, informasi kartu kredit yang diberikan dapat dibaca oleh Attacker. Contoh lainnya, seorang nasabah yang menggunakan internet banking untuk melakukan transfer dana dapat diubah nomor rekening yang dituju menjadi nomor rekening milik Attacker atau nomor rekening lainnya. Hal ini menyebabkan tidak tercapainya pengamanan di sisi confidential dan integrity. Dampak lainnya bisa merusak reputasi pemilik situs sehingga tidak ada pengguna yang percaya lagi.

MOBILE

BYOD
Siapkah Kita?
Oleh : Charles Lim

MOBILE

YOD (Bring Your Own Device) menjadi singkatan yang sering muncul dalam topik keamanan informasi dewasa ini, terutama bagi perusahaan dalam menghadapi karyawan yang membawa ponsel pribadi seperti, ponsel pintar (smartphone) dan komputer tablet yang terkoneksi ke jaringan perusahaan, sehingga dapat membaca informasi perusahaan melalui ponsel pribadinya. Ancaman yang dihadapi perusahaan tersebut meliputi kebocoran informasi perusahaan, mobile malware (malicious software), dan lainnya. Dengan jumlah penggunaan ponsel pintar atau komputer tablet yang akan terus meningkat dari tahun ke tahun berdasarkan hasil studi Cisco terbaru, setiap karyawan pada tahun 2014 akan memiliki rata-rata tiga mobile device yang terkoneksi ke jaringan , maka tidak heran ini akan menjadi tantangan sekaligus ancaman bagi perusahaan dalam menghadapi ponsel pribadi tersebut. Ditambah lagi dengan jumlah aplikasi gratis yang dapat diunduh melalui berbagai App Store maka ancaman terhadap keamanan kebocoran informasi akan semakin meningkat, mengingat aplikasi yang diunduh tersebut dapat disusupi aplikasi malware yang

PA D A T A H U N 2 0 1 4 S E T I A P K A R YA W A N A K A N M E M I L I K I R A T A - R A T A T I G A M O B I L E D E V I C E YA N G T E R K O N E K S I K E J A R I N G A N *

* C I S CO

dapat membocorkan informasi kepada pembuat malware tersebut. NIST (National Institute Standards and Technology) pertengahan tahun 2012 memublikasikan rekomendasi awal (draft) untuk perusahaan dalam mengelola keamanan ponsel yang dapat diunduh dengan kode dokumen NIST SP 800-124 Rev 1 (draft).

MOBILE

Langkah awal NIST merekomendasikan agar perusahaan memiliki kebijakan keamanan informasi berdasarkan ancaman yang dihadapi perusahaan, kelemahan sistem, kemungkinan ancaman, fungsi kendali, dampaknya terhadap perusahaan apabila ancaman tersebut terjadi, dan akhirnya menentukan apakah perlu adanya penambahan fungsi kendali untuk mengatasi ancaman, proses tersebut dikenal dengan nama threat model. Kebijakan keamanan informasi mencakup seperti kebijakan umum, kebijakan tentang komunikasi data dan penyimpanan data, kebijakan mengenai autentikasi pengguna dan autentikasi peralatan yang digunakan, serta kebijakan tentang aplikasi yang digunakan. Kebijakan umum mencakup bagaimana perusahaan menegakkan kebijakan yang membatasi akses ke perangkat keras dan perangkat lunak, mengelola antar muka jaringan nirkabel dan pemantauan otomatis, serta proses pelaporan bila pelanggaran kebijakan terjadi.

Kebijakan komunikasi data dan penyimpanan data wajib mencakup bagaimana penggunaan enkripsi saat data dipindahkan dalam proses komunikasi dan enkripsi pada saat data dalam penyimpanan. Selain itu kebijakan juga wajib mencakup bagaimana proses penghapusan data pada alat elektronik saat peralatan tersebut hilang atau dicuri. Kebijakan ini mencegah terjadinya kebocoran informasi akibat kesalahan manusia baik disengaja atau tidak. Kebijakan yang lain mencakup bagaimana proses autentikasi berlangsung saat informasi diakses, fitur password reset jarak jauh bagi pengguna yang lupa, penguncian otomatis saat alat tidak digunakan, dan penguncian jarak jauh saat alat diduga tertinggal dalam keadaan tidak terkunci. Kebijakan mengenai aplikasi merupakan kebijakan yang cukup kritis dimana perusahaan wajib menentukan apakah menggunakan prinsip whitelist (memblokir semua aplikasi dan memperbolehkan aplikasi yang telah ditentukan saja) atau blacklist (memperkenankan semua apikasi dan memblokir aplikasi yang

MOBILE

telah ditentukan), bagaimana instalasi dan update aplikasi dilakukan, pembatasan layanan sinkronisasi, pembubuhan tanda tangan digital pada aplikasi, penyaluran aplikasi perusahaan dari pusat App Store yang khusus, dan pembatasan atau pencegahan akses yang dikaitkan dengan sistem operasi maupun aplikasi pengelolaan ponsel pintar yang bersangkutan.

Bahkan para pakar keamanan berpendapat bahwa kebijakan sederhana bisa langsung diterapkan pada pengguna ponsel sebelum kebijakan versi lengkap diterapkan.

S E T I A P P E N G G U N A YA N G A K A N M E N G G U N A K A N P O N S E L P R I B A D I N YA U N T U K M E N G A K S E S DATA P E R U S A H A A N M A K A M E R E K A WA J I B M E M A ST I K A N B A H WA P O N S E L M E R E K A D A PA T M E N D U K U N G H A L- H A L B E R I K U T :

PIN
AUTO
MENDUKUNG PENGGUNAAN PIN UNTUK MENGUNCI PONSEL MENDUKUNG AUTO LOCKOUT

010011001 010011001 11001 11001

MENDUKUNG PENGGUNAAN ENKRIPSI

110

ERASE

MENDUKUNG PENGHAPUSAN DATA SECARA JARAK JAUH

MOBILE

atau tablet yang tadinya didominasi oleh ponsel seperti Blackberry. Sedangkan keamanan informasi Blackberry sepenuhnya diserahkan kepada kemampuan Blackberry Enterprise Server (BES). Pada saat perusahaan mulai fokus bagaimana mengurangi biaya dan meningkatkan kepuasan karyawannya maka sistem MDM ini menjadi pilihan yang sangat menarik bagi perusahaan baik kecil, sedang, maupun besar. Dengan terus bertambahnya pilihan untuk ponsel pintar maka tantangan untuk memastikan kebijakan keamanan informasi dapat ditegakkan dan kemudahan karyawan dalam menggunakan ponsel pribadinya juga terus meningkat, maka pilihan untuk menggunakan sistem MDM semakin menarik. Walaupun solusi untuk masalah keamanan informasi BYOD tersedia secara luas, perusahaan yang menerapkan kebijakan keamanan informasi BYOD berbasis sistem MDM maupun tidak, wajib memberikan edukasi kepada karyawannya bagaimana menggunakan ponsel pribadi dengan bijak terutama jika ponsel pribadi yang dipakai mengakses informasi perusahaan tersebut

BEBERAPA CONTOH VENDOR MOBILE DEVICE MANAGEMENT (MDM)

Banyak vendor keamanan informasi menawarkan solusi Mobile Device Management (MDM) system yang dapat mengotomatiskan semua penegakan kebijakan keamanan informasi perusahaan seperti yang disebutkan di atas. Contoh vendor MDM diantaranya adalah Zenprise (yang sekarang ini merupakan bagian dari Citrix), AirWatch, MaaS360, DronaMobile, Symantec, dan masih banyak yang lagi. Sistem MDM ini bermunculan sejak munculnya berbagai alternatif ponsel pintar

MOBILE

U M U M N YA K A R YA W A N YA N G KEHILANGAN PONSEL PRIBADI MENGHUBUNGI PROVIDER TELEKOMUNIKASI UNTUK MELAKUKAN D E A K T I VA S I N O M O R T E L E P O N YA N G H I L A N G T E R S E B U T. PA DA H A L H A L TERSEBUT TIDAK T E PAT

hilang atau dicuri. Sebagai contoh, umumnya karyawan yang kehilangan ponsel pribadi menghubungi provider telekomunikasi untuk melakukan deaktivasi nomor telepon yang hilang tersebut. Padahal hal tersebut tidak tepat. Hal yang seharusnya di-lakukan adalah karyawan melaporkan kepada helpdesk perusahaan atas kejadian tersebut, selanjutnya helpdesk-lah yang akan mengirimkan instruksi wipe ke ponsel pintar tersebut sebelum deaktivasi dilakukan. Fokus para pengguna ponsel pintar bukan pada berapa kerugian pribadi yang diderita ketika ponsel mereka hilang, tetapi seharusnya pada bagaimana mencegah kebocoran informasi ke pihak luar. Perusahaan juga wajib menginformasikan bahwa kerugian dari kebocoran informasi perusahaan lebih besar dibandingkan dengan kerugian pribadi. Dengan demikian jelas bahwa kebijakan keamanan informasi tidak hanya sekedar sebuah kebijakan, tetapi perlu didukung dengan berbagai sistem untuk menegakkan kebijakan. Hal yang juga penting adalah cara berpikir karyawan perlu terus ditingkatkan dengan berbagai cara, sehingga karyawan semakin sadar akan keamanan informasi atas ponsel pintar pribadi yang mereka bawa untuk mengakses informasi perusahaan.

FORENSIC

COMPUTER FORENSIC

PERANGKAT DAN PROSEDUR INVESTIGASI

BAG 1

Kerugian besar yang disebabkan oleh tindak kriminal dengan menggunakan komputer dapat mengancam siapa saja. Tidak hanya kepada perusahaan besar, kasus juga banyak terjadi pada individu pengguna komputer.

Oleh: Ahmad Zaid Zam Zami

FORENSIC

LATAR BELAKANG

ecara tidak langsung aktivitas dan rekam jejak kehidupan termasuk identitas pribadi kita terekampada perangkat teknologi informasi dan komunikasi. Sebagai dampaknya, dewasa ini muncul berbagai tindak kejahatan yang mengeksploitasi teknologi informasi dan komunikasi. Baik kejahatan yang memanfaatkan teknologi sebagai alat bantu seperti penggelapan pajak, korupsi, narkoba, human trafficking, judi ilegal, maupun kejahatan yang murni dilakukan di cyberspace seperti pencurian identitas, penyalahgunaan kartu kredit (carding), hacking, defacing, kejahatan perbankan, phishing, spamming, penipuan, pencemaran nama baik, dan lain-lain. Sehingga lembaga peradilan di seluruh dunia dihadapkan dengan kebutuhan yang tinggi untuk menyelidiki tindak kejahatan ini. Hal ini melatarbelakangi munculnya disiplin ilmu computer forensic,membantu proses penegakkan

hukum dengan mengungkapkan peristiwa kejahatan melalui bukti-bukti digital yang tersimpan pada piranti digital atau elektronik. Seorang praktisi computer forensic memiliki peran vital dalam mengungkapkan peristiwa kejahatan berbasis teknologi informasi. Semakin meluasnya tindak kriminal modern dengan memanfaatkan teknologi informasi, kebutuhan akan sumber daya yang kompeten serta prosedur yang baku dalam melakukan investigasi computer forensic sangat diperlukan. Terlebih tindak kejahatan tersebut tidak hanya ditujukan pada individu atau organisasi, tetapi juga mencakup entitas suatu negara.

DEFINISI COMPUTER FORENSIC

Computer forensic adalah serangkaian metodologi yang digunakan dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti digital mencakup setiap informasi elektronik yang disimpan atau diolah

FORENSIC

menggunakan teknologi komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic adalah setelah terjadinya suatu insiden maka metodologi yang tepat sangat diperlukan untuk mempercepat proses investigasi serta mendapatkan bukti-bukti digital yang akurat.

Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti digital, antara lain data persistent dan data nonpersistent. Perbedaan dari keduanya adalah pada jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali masing-masing jenis data dibutuhkan metode tersendiri.

BUKTI DIGITAL DAPAT BERUPA

Rekaman transaksi (log file) yang dihasilkan oleh perangkat komputer tertentu seperti server, router, switch atau dihasilkan oleh aplikasi server seperti web server, database server serta aplikasi sejenis lainnya. Laporan intrusi yang digenerasi oleh perangkat keamanan jaringan antara lain seperti firewall, IDS, IPS dan sejenisnya

File yang tersimpan pada suatu hardisk, flashdisk, memory card atau media penyimpanan lainnya seperti dokumen yang berupa teks, gambar, audio, video, aplikasi dan lainnya baik itu yang sudah terhapus maupun masih aktif tersimpan.

Log hasil web browser (internet explorer, firefox, opera, safari, chrome) yang memuat informasi diantaranya seperti website history, website cache, most visited page, saved username & password, cookies serta informasi lainnya.

Rekaman chat (chat log) yang dihasilkan oleh aplikasi pengirim pesan (messenger) seperti yahoo messenger, skype, google talk, pidgin, dan lainnya.

FORENSIC

Pengetahuan terhadap karakteristik masingmasing file (ekstensi file, signature), file system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki seorang tenaga ahli computer forensic.

defacement (mengubah tampilan website) salah satu petinggi negara.

Berkaca pada fakta-fakta yang terjadi, terlebih dengan semakin meluasnya penggunaan teknologi informasi sangatlah penting bagi suatu institusi untuk memiliki kemampuan computer forensic. Dengan memiliki kemampuan computer forensic, setiap terjadi insiden yang mengancam keamanan informasi pada institusi tersebut dapat segera dilakukan mitigasi dan celah keamanan yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi. Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan atas tindakan pelanggaran yang terjadi. Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan komputer yang semakin kompleks merupakan tantangan dalam computer forensic. Jika dulu seorang tenaga

KEBUTUHAN COMPUTER FORENSIC

Seperti kita ketahui bersama, belakangan banyak terjadi tindak kejahatan di tanah air yang melibatkan pemanfaatan teknologi informasi hingga menyita perhatian berbagai media, baik cetak maupun elektronik. Seperti diantaranya pembobolan server pulsa salah satu provider seluler di Indonesia yang diklaim mengakibatkan kerugian finansial miliaran rupiah, diringkusnya kawanan pelaku prostitusi online, pembobolan email, dan bocornya data-data penting perusahaan oleh seorang hacker yang menimpa salah satu perusahaan terbesar di Indonesia, serta kasus yang masih hangat diberitakan yaitu ditangkapnya seorang hacker karena diduga melakukan website

FORENSIC

Seorang Tenaga Ahli Computer Forensic Dituntut Untuk Mampu Merespon Suatu Insiden Secara Tanggap

ahli computer forensic dapat dengan mudah mendapatkan bukti digital dari hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau dikenal dengan komputasi awan (cloud computing). Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta menganalisis jenisjenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti digital. Seperti misalnya, sebuah gambar yang diambil menggunakan kamera digital modern dapat mengandung informasi meliputi,

tanggal dan jam saat foto diambil, merk dan tipe kamera yang digunakan, karakteristik lensa yang digunakan, bahkan mampu menampilkan informasi posisi dimana foto tersebut diambil. Semua informasi tersebut merupakan informasi yang berharga dan berguna untuk membantu proses investigasi. Seorang tenaga ahli computer forensic dituntut untuk mampu merespon suatu insiden secara tanggap, serta memiliki kecakapan mengolah bukti digital dengan hati-hati. Terlebih sifat alami dari bukti digital yang mudah rusak dan berubah. Sehingga diperlukan prosedur baku untuk mengolah bukti digital tersebutkarena kesalahan dalam menerapkan prosedur dapat mengancam rusaknya bukti digital, bahkan berakibat pada gagalnya serangkaian proses investigasi. Selebihnya mengenai prosedur dan teknik computer forensic secara rinci pada CISO Magazine di edisi berikutnya.

RECOMMENDED

RISK MANAGEMENT FOR COMPUTER SECURITY

Books

Oleh : Andy Jones dan Debi Ashenden Dr Andy Jones dari University of Glamorgan UK mengeluhkan tidak adanya buku mengenai manajemen risiko untuk keamanan komputer yang ditulis oleh praktisi yang ahli di bidangnya. Rata-rata buku mengenai manajemen risiko ditulis oleh penulis yang bagus ataupun pelaku riset, namun sering sekali isinya tidak dapat diaplikasikan secara langsung. Dalam buku ini, penulis menjelaskan letak risiko dan pengaruhnya terhadap bisnis serta melihat permasalahan dari sudut pandang bisnis. Salah satu yang terpenting adalah bagaimana cara mengatur budget agar bisa menangani risiko sampai pada tahap yang bisa diterima. Dapat peroleh di Amazon.com Elsevier Publishing $50.95

RECOMMENDED

CONTACT PRO
Mobile apps

Salah satu data yang paling dicari oleh hacker di dalam smartphone adalah data kontak dan nomor telepon. Tentu untuk membatasi akses ke dalam smartphone hanya menggunakan passcode saja. Tapi banyak jalan menuju roma. Dengan mengakses database langsung, data kontak dapat dibaca. Menggunakan aplikasi ContactPro, aplikasi Contact bawaan dari iPhone tidak dapat membacanya. Hal ini karena ContactPro menggunakan interface khusus dengan database yang dienkripsi. Namun sayangnya fitur import data kontak yang sudah ada tidak bisa secara langsung dipindahkan, masih harus melakukan secara manual, yaitu memasukan data satu persatu. Download Melalui App Store | $ 1.99

RECOMMENDED

SNEAKERS // 1992
Film

Sutradara : Phil Alden Robinson Sneakers merupakan salah satu film klasik mengenai keamanan informasi yang sangat menarik. Film ini menceritakan teknik social engineering yang sangat masuk akal, hingga teknik hacking yang bisa dimengerti dengan mudah meski bukan penggila komputer. Film Sneakers mengambil latar Amerika pada 1992. Seorang mantan hacker yang menjadi konsultan keamanan informasi, Bishop, mengembangkan bisnis bersama tim elitnya. Mereka mendapatkan tugas dari Pemerintah AS untuk mengintai ahli kriptografi yang diduga kuat bekerja untuk Rusia. Dalam perjalanannya Bishop dan tim justru tertipu dengan trik social engineering sederhana.

CAREER
IT Information Security Specialist - Pusat PT.WOM FINANCE, Tbk Jakarta Pusat IT SAP Auditor
RGE Pte Ltd

Riau - Pangkalan Kerinci

// Good command of written and spoken English; spoken Mandarin will be an advantage to liaise with international associates // Willing to travel extensively // Willing to be based in Pangkalan Kerinci - Riau
To apply, please send completed applications (max 500kb) to: Eleonora_yovita@rgei.com. We regret that only shortlisted candidates will be notified.

Requirements: // Minimum education S1 computer science / computer system // At least 2-5 years experience in IT Secutiry & IT Audit // Basic knowledge of multibusiness // Knowledge of IT SOX and IT COBIT // Knowledge of IT Security // Basic knowledge of programming and database // Basic knowledge of system architecture, network and integration between systems // Knowledge management in the field of IT-related projects
Send your CV and application letter to: PT.WOM FINANCE, Tbk Mega Glodok Kemayoran Office Tower B Lt.11, Jl.Angkasa Kav B6 Bandar Kemayoran Jakarta Pusat

Responsibilities: // To plan, coordinate, and perform // Audit of IT security controls and compliance with corporate policies // To carry out risk assessment over Technology infrastructure and components // To plan and perform IT Audit assignments in various technology areas (i.e. IT system development, general control, SAP application, data integrity, infrastructure, etc.) // To conduct Security Awareness Training prior to promote security awareness among Employees Requirements: // Minimum Bachelor degree in IT or related fields // Having min. 3 years experience in IT Security or IT Audit // Familiar with SAP modules // Strong knowledge and skills of IT Security, especially in Network Security

device, konsep LAN & WAN, mengerti bandwith management, Network Monitoring System (NMS) dan mengerti End Point Security // Nilai tambah bagi yang memiliki : MCP (Microsoft Certified Professional), MCSE (Microsoft Certified Systems Engineer), CCNA (Cisco Certified Network Associate), CISA / CEHP. // Pengamalan min.1 thn di posisi yang sama.
Kirimkan Surat Lamaran, CV Lengkap beserta Foto Terbaru dan fotokopi KTP ke e-mail: recruitment@oto.co.id (maks.400Kb) *Cantumkan Kode Jabatan pada sudut kiri atas amplop lamaran atau pada subject e-mail Kunjungi website kami : www.oto.co.id atau www.otofinance.co.id

IT Network Engineer
(Security Engineer) (JS-SEN)

OTO Group

Jakarta

Requirements: // Pria/Wanita, usia maks. 30 th // Pendidikan Min. S1 Jurusan Manajemen Informatika/Teknik Informatika /Teknik Komputer // Menguasai: AD windows 2003, messaging dan Proxy Server, Internetworking TCP/IP, Backup System, Anti Virus System. // Mengerti: Storage Area Network (SAN), Routing dan L3 Switching

IT Security Staff PT Collega Inti Pratama Jakarta Selatan

Assistant Vice President Internal Audit (Code: IA)

PT Penjaminan Infrastruktur Indonesia (Persero)

Jakarta
Requirements: // Pria, Usia Max 30 tahun // Pendidikan Min D3 Teknologi / Komputer / Jaringan // Menguasai Linux / AIX operating system // Menguasai Troubleshooting Server, e-mail, Internet, LAN, Network Security // Menguasai Zenoss / Nagios / Hyperic atau alat monitoring lainnya // pengalaman min 1 tahun dibidang yang sama // Karyawan tetap perusahaan // Bersedia ditempatkan di Jakarta Selatan
Kirimkan Surat Lamaran terdiri dari CV, Pas Foto terbaru, fotokopi KTP, dan salinan Ijazah & Transkrip Nilai ke alamat : HRD PT. Collega Inti Pratama Jl. TB. Simatupang Kav. 22-26 Talavera Office Park Lantai 6-7 Cilandak Jakarta Selatan 12430 Or hrdcip@collega.co.id

Responsibilities: // Prepare audit programs // Conduct the compliance and substative test // Prepare draft audit report // Perform follow up audit Requirements: // At least Bachelors Degree of Accounting or Financial Management // Master Degree in Accounting/ Finance is an advantage // Having minimum 5 years experience in Audit // Having CIA or CISA certification is an advantage // Computer & IT Literate // Excellent verbal and written communication skills, in Bahasa and English

Application & resume must be sent within 14 days after this advertisement to: Bagian Human Resource PT PENJAMINAN INFRASTRUKTUR INDONESIA (PERSERO) INDONESIA INFRASTRUCTURE GUARANTEE FUND (IIGF) Sampoerna Strategic Square Building NorthTower, 14th Floor Jl. Jenderal Sudirman, Kav 45-46, Jakarta 12930 - Indonesia or e-mail: recruitment@iigf.co.id

// Lebih diutamakan yang memiliki kualifikasi CISA (Certified information System Auditor) // Jujur dan memiliki integritas // Bersedia melakukan perjalanan dinas ke lokasi kebun / pabrik Deskripsi Pekerjaan : // Menyusun audit program atas Information Technology (IT) yang efektif // Melakukan audit dan mereview hasil kerja tim audit terkait IT // Melakukan supervisi atas beberapa tim audit pada saat yang bersamaan // Menyampaikan laporan temuan audit terkait IT secara lisan maupun tertulis kepada pimpinan audit // Mengusulkan langkah perbaikan atas temuan audit IT
Go to this page to fill the application form : http://www.simp.co.id/ Career/ApplicationForm. aspx?JobID=5&JobDesc=Manager %20Internal%20Audit%20%20IT% 20%28MITA%29aspx?JobID=5& JobDesc=Manager%20Internal% 20Audit%20%20IT%20%28 MITA%29

Manager Internal Audit IT (MITA) PT Salim Ivomas Pratama Tbk Jakarta Selatan
Kualifikasi : // S1 Akuntansi / Teknik Informatika / Komputer Akuntansi // Memiliki pengalaman kerja minimal 7 tahun dan lebih diutamakan yang memiliki pengalaman sebagai IT Auditor, termasuk menjadi Koordinator tim IT audit di perusahaan perkebunan // Memiliki pengetahuan tentang SAP program