You are on page 1of 36

Sesi 2 IT Security Strategy

Pengembangan IT Masterplan menggunakan IT Architecture Toolkit


Description Current State Target State Analysis

Business Security Requirement

Business Framework
IT Strategy
Principles Data Function Platform People & Process Models Inventory Standard

IT Security Strategy

Definition Metrics Measurement

IT Architecture Framework

IT Master Plan
Projects Metrics Buy-In Process People

ISMS

ADIM

Implementation Framework

IT Security Cycle

IT Implementation Plan
2

Information Security Management Purposes

Confidentiality

Purposes of Information Security Management


y ilit ab ail Av eg rity Int

IT Security Strategy of GaneshaCD

Vision

Objective
Very secure online Transaction (e-commerce & m-commerce)

Strategy
Menerapkan Security Development Life Cycle sejak awal pengembangan

Secure & trusted IT

Menerapkan highest level of security terutama pada aplikasi yang sifatnya transaksional

Mengembangkan organisasi security yang handal serta policy/procedure untuk running seluruh security system.
4

IT Security Strategy : an Example

Vision
Secure & Trusted IT

Objective

Strategy
1. Focus on Organization Development

Compliance with ISO 17799 In x years

2. Improve & Implement Information Security Policy

3. Implement The Right Technology

Visi: Secure, Reliable & Trusted IT


Memperkuat kinerja perusahaan dan kepercayaan masyarakat dan customer pada perusahaan.

S S M M A A R R T T

Visi Perusahaan:
Menjadi mitra yang memberikan rasa aman dan nyaman pada seluruh customer dan memberikan nilai layanan hingga menjadi yang paling istimewa dan unik di mata pelanggan (share heart , customer share ).

Visi IT :

Secure, Reliable & Trusted IT

Visi: Secure, Reliable & Trusted IT


IT dapat memenuhi semua kriteria information security Dengan demikian Information Security dapat mendukung upaya
perusahaan dalam memberikan kenyamanan dan rasa aman pada seluruh pelanggannya.

Kriteria Information Security


Confidentiality Integrity Availability

Objective: Compliance with ISO 17799 in x years

S S
1 2 3 4 5 6 7 8 9 10 Security Policy Organizational Security Asset Classification and Control Personnel Security Physical and Environmental Security Communications and Operations Management Access Control System Development and Maintenance Business Continuity Management Compliance: With Legal Requirements, System Audit Controls

M M A A R R T T

Strategy 1: Focus on Organization Development

S S

Why ?

Perlu assessment menunjukkan mana di antara


butir-butir ISO yang menjadi focus. Kebanyakan perusahaan di Indonesia masih memiliki persoalan besar dalam organisasi security.

M M A A R R

Best Practices internasional merekomendasikan:


perlu ada pejabat setingkat direksi (Chief Security Officer) yang khusus menangani permasalahan security , termasuk information security.

T T

Strategy 1: Focus on Organization Development

S S

Organizational security menurut ISO 17799


Management information security forum Information security coordination Allocation of information security responsibilities

M M A A R R T T

Information Security Infrastructure

Authorisation process for information processing facilities Specialist information security advise Co-operation between organisations Independent review of information security.

2 3

Security of Third Party Access Outsourcing

Identification of risks from third party access Security requirements in third party contracts Security requirements in outsourcing contracts

10

Strategy 2: Improve & Implement Information Security Policy


Policy merupakan fondasi paling dasar untuk membangun
information security system.

S S M M A A R R T T

Why?

Karena policy memuat prinsip-prinsip utama yang menjadi guidance dalam pengembangan aturan-aturan atau prosedur yang lebih spesifik.

Best Practices Internasional dan pengalaman di berbagai


institusi menunjukkan bahwa kegagalan implementasi security policy menghasilkan kegagalan information security secara total.

Kegagalan implementasi policy paling sering disebabkan


The information security policy tells staff members: What they CAN do, what they CANNOT do, what they MUST do, and what their RESPONSIBILITIES are

oleh dua hal: kegagalan sosialisasi dan policy yang tidak terintegrasi.

Di berbagai institusi di Indonesia, masalah assessment,


development, improvement & implementation serta monitoring information security policy masih menjadi kekurangan utama.

11

Strategy 2: Improve & Implement Information Security Policy


Information security policy harus didukung penuh,
ditandatangani dan disetujui oleh top management (BOD).

S S M M A A R R

Untuk mengembangkan security policy suatu perusahaan


perlu melakukan policy life cycle berikut ini

Creation Review Approval

Communication Compliance Exceptions

Awareness Monitoring Enforcement Maintenance Retirement

T T

Development Tasks

Implementatio n Tasks

Maintenance Tasks

Disposal Tasks

12

Strategy 3: Implement the Right Technology


Korporasi / institusi perlu memilih teknologi yang tepat untuk

S S M M A A R R T T

Why?

mengantisipasi kerawanan-kerawanan baru karena perkembangan teknologi informasi yang sangat cepat.

Pemilihan Teknologi sekuriti yang tidak tepat mengakibatkan


kompleksitas sistem keamanan menjadi terlalu tinggi, unmanageable.

Korporasi/Institusi hendaknya melaksanakan roadmap (ada


di bagian Roadmap dan Strategi Pencapaian) untuk mengimplementasikan teknologi security secara terencana.

13

Information Security Management System (ISMS)

Information Security Management System (ISMS)


Process
Policy Best Practices Guidelines Management Process Procedure

People

Culture

Organization
Technology

Competence

Centralized Resources

Identity Management

Policy Management

Authorization

Access Control

Security Operation

Monitoring System

Secure Intranet

Secure Internet

Physical Security

Definition Metrics Measurement

14

Definition Metrics Measurement

Definition

15

ISMS
ISMS is the means by which Senior Management:

monitor and control their security minimising the residual business risk ensuring that security continues to fulfil corporate,
customer and legal requirements.

16

Industry Key Compliance Matrix


Regulation Industry Healthcare Publicly-traded companies Utilities SarbanesOxley GrammLeachBliley HIPAA FERC Cyber Security Standards ISO 17799 Internal Policies/ Controls

Financial services

Retail

Manufacturing

17

Process
Process Item Policy

Keterangan

Long-term Panduan pengembangan aturan

yang lebih spesifik Diinterpretasikan dan dilaksanakan melalui guidelines, procedures.


Best Practices Guidelines Management Process Procedure

Tujuan
menjamin arah dan ketepatan proses yang terjadi pada information security management

Praktek-praktek terbaik yang dapat


menjadi contoh

Cara mengimplementasikan policy Aktifitas untuk menghasilkan dan


memelihara information security

Cara mengimplementasikan policy

secara spesifik pada situasi tertentu Bergantung pada proses, teknologi, platform dan aplikasi

18

Policy Lifecycle

Creation Review Approval

Communication Compliance Exceptions

Awareness Monitoring Enforcement Maintenance Retirement

Development Tasks

Implementation Tasks

Maintenance Tasks

Disposal Tasks

19

Best Practice

Best Practice vs. Common Practice Liability


Reasonable person standard Industry custom defence Risk assessment trump

20

People
ISMS dibangun dengan tujuan untuk
memenuhi kehendak dan kebutuhan manusia melalui aturan-aturan yang bertumpu pada prinsip-prinsip yang benar.

People

Karenanya, peran human resources adalah


yang paling kritikal untuk kesuksesan information security.

21

People Aspects

culture

Dasar utama keberhasilan

implementasi aspek-aspek ISMS Yang paling utama: security awareness

organization competence

Perlu dibentuk organisasi khusus

untuk menangani information security

Mendefinisikan kebutuhan kompetensi


untuk periode tertentu Meng-assess serta meng-upgrade kompetensi SDM-nya secara regular

22

Technology
Item Centralized Resources Identity management Policy Management Authorization Access Control Security Operation Monitoring System Secure Intranet Secure Internet dan Extranet Physical Security
23

Keterangan

Technology

Sentralisasi sumber daya teknologi informasi secara fisik Tujuan:


pengelolaan lebih mudah lebih efisien dalam biaya

Siapa anda? Apa saja yang dapat anda akses? Pemeliharaan policy agar selalu sesuai dengan kebutuhan
perusahaan. daya apa

Mekanisme untuk mengatur: siapa mengakses sumber


Pembatasan akses dengan sumber daya. Contoh: ACL (Access Control List) Penanganan masalah-masalah security sehari-hari. Pencatatan aktifitas yang memanfaatkan teknologi informasi perusahaan.

Keamanan pada jaringan penghubung setiap unit di dalam Internet merupakan medan atau lingkungan yang rawan
terhadap penyerangan. Jadi, secure internet merupakan sebuah keharusan.

Keamanan infrastruktur teknologi informasi secara fisik

Implement New Technology

perlu memilih teknologi yang tepat untuk


mengatasi kerawanan sekuriti baru:
Perlu antisipasi terhadap perkembangan teknologi informasi yang sangat cepat. Pemilihan Teknologi sekuriti yang tidak tepat akan mengakibatkan kompleksitas sistem keamanan menjadi terlalu tinggi, unmanageable.

24

Contoh: Identity management

Identity management address:


who are you?

Authentication

25

Definisi Security Architecture

Definisi lain
application security; network security (dicontohkan oleh Cisco SAFE, Microsoft technet papers); access control (dicontohkan oleh banyak buku CISSP dengan berbagai modelnya seperti Bell La Padula, Biba, Clark-Wilson Rolebased access control / RBAC); security framework yang bersifat high-level (biasanya diacu oleh konsultan seperti PricewaterhouseCoopers); security activities (diacu oleh Accenture, dimana di dalamnya ada kegiatan seperti pengembangan kebijakan, training, dan sebagainya).

kumpulan dari komponen (fungsional) security hubungan antara komponen tersebut, dan kegiatan (operasional, prosedur)

untuk mengamankan sumber daya teknologi informasi yang dimiliki oleh perusahaan.

26

Berbagai input dalam mengembangkan information security architecture

27

Contoh security architecture


(ITB telah merekomendasikan skema ini untuk institusi di Indonesia)

Source: Tim ITB

28

Metrics & Measurement


Definition Metrics Measurement

29

Metric & Measurement

Goal Metric:
give context to measurement mengukur kinerja information security

Uses
Trending are you getting more or less secure? are you doing better/worse? how many resources do I need for next year? should I build or buy a solution?

Measurement :
observations

Benchmarking Forecasting

Decisionmaking

30

Good Metric Characteristics

Based on information security goals and objective


No 1 2 3 4 Characteristic Specific Measurable Attainable Repeatable Keterangan Menjelaskan metric secara spesifik, tidak hanya secara umum Dapat diukur dengan ukuran yang jelas Pengukuran metric ini dapat dilaksanakan dengan baik Metric berlaku bukan hanya saat ini saja, tapi juga untuk masa yang akan datang Hasil measurement akan berubah sejalan dengan waktu

Time-dependent

31

Sample Metrics

Sample Metric 1 Sample Metric 2 Sample Metric 3 Sample Metric 4 Sample Metric 5

Persentase sistem yang comply dengan policy password Persentase repositori data dengan klasifikasi yang jelas Jumlah insiden sekuriti pada perioda tertentu Persentase budaya perusahaan yang termasuk pada budaya sekuriti yang baik Laporan compliance dengan standar yang ada, secara mendetail

32

Challenge of Metrics
Structural Problems

Poorly understood adversaries Fast pace of technological change Reputation loss Liability exposure

Fear of Sharing

Lies, Damn Lies, & Statistics

Sampling errors in voluntary reporting Poor definitions Inconsistent methodologies

33

October 21, 2005


34

Penutup
IT Security Strategy yang tepat membantu perusahaan dalam mempertahankan Confidentiality, Integrity & Availability informasinya sesuai dengan business strategy.

IT Security Strategy yang tepat sebaiknya meliputi hal-hal yang terkait dengan strategi dalam people, strategi dalam process maupun strategi dalam technology.

IT Security Strategy diterjemahkan secara lebih detil dalam ISMS (Information Security Management System) dengan kejelasan pada KPI / Metrics untuk information security baik dalam people, process maupun technology. Dalam hal technology ISMS harus dikembangkan secara terintegrasi dengan IT Security Architecture.

Salah satu bagian tak terpisah dari IT Security Strategy adalah Disaster Recovery Strategy. IT Security Strategy yang lengkap harus mengandung Disaster Recovery Strategy.

35

Merci bien Arigatoo Matur Nuwun Hatur Nuhun Matur se Kelangkong Syukron Kheili Mamnun Danke Terima Kasih

36