27001

INDOSAT

MeraihKepercayaan

Pasar

ciso.co.idJuni 2013

GUNAKAN FORMAT LANDSCAPE UNTUK KENYAMANAN MEMBACA

ANDA PENGGUNA IPAD ?Download Aplikasi Interaktif CISO Magazine di Appstore

CONTENT// COVER STORY

ISO 27001Indosat Meraih Kepercayaan Pasar

// COMPLIANCE

ISO 27001 mengharuskan hal terkait keamanan ambil bagian dalam BCM perusahaan. Tahap apa yang harus dipertimbangkan dalam pem-bentukan BCM, Jeffry Kusnadi menjelaskannyadi sini.

// INSIGHT

PENTINGNYA PERSYARATAN UTAMA SERTIFIKASI ISO 27001

ISO 27001 ialah salah satu framework dalam mewujudkan keamanan informasi yang diakui di seluruh dunia. Lantas, bagaimana adopsi ISO 27001 di organisasi?

BUSINESS CONTINUITY

MANAGEMENT DALAM ISO 27001

ISO 27001 ialah standar manajemen keamana informasi level internasional. Bagaimana proses sertifikasi hingga signifikansinya untuk bisnis Indosat, Rommy (Project Manajer sertifikasi ISO 27001) menceritakannya dengan rinci.

064

088 134

// PROFILE // KNOWLEDGE // INFOSEC NEWS

// INFOSEC NEWS

// EVENT // BUSINESS // CONCEPT

// THE ZERO DAY

// ID-SIRTII // RECOMMENDED // CAREER

Username

Password

Login

admin

rahasia

// KNOWLEDGE

// FORENSIC

STRATEGY TECHNOLOGY

AUDITOR ISO 27001,

NATALIA EVIANTI

CLOUD SECURITY, BISAKAH DIPERCAYA?

COMPUTER FORENSIC

106 150

164

180

KEAMANAN ENKRIPSI PADA HALAMAN LOGIN

020

040 048 056

192 208 214

038

S ebelum menentukan dalam memilih sebuah perusahaan penyedia jasa pastinya kita harus melihat cara kerja mereka. Apakah bisa dipercaya

dalam melakukan sebagian pekerjaan yang dibutuhkan organisasi? Apakah informasi yang kita berikan akan aman di tangan pihak ketiga itu? Bagaimana mereka memperlakukan informasi kita? Tidak mudah untuk bisa mendapatkan jawaban dari pertanyaan-pertanyaan tersebut dalam setiap pencarian penyedia jasa ataupun barang. Salah satu parameter yang bisa dijadikan acuan untuk menentukan adalah dengan sertifikat standarisasi.

Sertifikasi mengenai manajemen sistem keamanan informasi yang diakui secara internasional adalah ISO 27001. Sebuah organisasi yang telah memegang sertifikat ISO 27001 diakui telah menjalankan manajemen sistem keamanan informasi dengan benar. Dengan sertifikasi tersebut setidaknya dapat menjawab pertanyaan-pertanyaan di atas tadi.

Pada edisi Juni, CISO Magazine menghampiri PT Indosat Tbk untuk melihat bagaimana implementasi ISO 27001 pada sebuah unit kerja layanan Data Center (DC) dan Data Recovery Center (DRC). Tidak hanya dari sudut

FROMTHEEDITOR

YASSER HADIPUTRAEDITOR IN CHIEF@yasserhadiputra

pandang implementasi, Ibu Natalia Evianti membagikan pengalamannya dalam melakukan audit ISO 27001 dari sudut pandang auditor.

Salah satu dokumen wajib dalam ISO 27001 adalah Business Continuity Planning. Melengkapi pembahasan mengenai standar internasional ini, Jeffry Kusnadi dari Pricewaterhouse Coopers menuliskan panduan penerapan Business Continuity Management dalam sebuah perusahaan.

Selamat menikmati CISO Magazineedisi Juni 2013!

EDITORIAL

PT. BUMI NAWACOMMUNICATIONSGraha Sartika Lt. 3Jl. Dewi Sartika No. 357 Cawang - Jakarta Timur T : +62-21-46432255

ADVERTISINGadv@ciso.co.id

INFORMATIONinfo@ciso.co.id

EDITOR IN CHIEFYasser Hadiputra

CREATIVEMochammad IqbalChasan Bayu

APP DEVELOPERAndini Sri Kartika

EDITORIAL STAFFAnita Rosalina

Find us on:

COMPUTER FORENSIC WORKSHOP

WORKSHOP INFORMATION

The fees cover luncheon, coffe break, course materials, computer forensic tools and certificate attendance.

For Further information please contact us at 021 2960 1586, 0878 3303 4071 or info@idforensic

WORKSHOP REGISTRATION FORM

Workshop registration form can be download at http://www.idforensic.com/site/registration.pdf

Send registration form with the receipt of payment to cfworkshop@idforensic.com

FEERp. 2.000.000

THE INSTRUCTORAhmad Zaid Zam Zami

GCFA,CEH,CHFI,ENSA,and CEI

VENUEMuamalat Institute

Gedung Dana Pensiun Telkom Lt.2Jl. Let Jend S. Parman Kav. 56 Slipi

Jakarta Barat

DATE19-20 June 2013

09.00 - 05.00 pm

CONTRIBUTOR

JEFFRYKUSNADI

Jeffry Kusnadi adalah seorang manajer dalam Risk & Controls Solutions (RCS) Group di Pricewaterhouse Coopers Indonesia. Ia memimpin timnya dalam kegiatan konsultasi keamanan dan infrastruktur teknologi informasi. Berpengalaman selama lebih dari sepuluh tahun dalam ranah teknologi informasi dan keamanannya. Sebelum di Pricewaterhouse Coopers, ia merupakan Kepala divisi teknologi informasi di PT Bank Bumi Arta, Tbk.

AHMAD ZAMZAMI

Penulis adalah pakar digital forensik yang telah banyak terlibat dengan aparat ke-polisian, penyidik, lembaga advokasi dan instansi pe-merintahan dalam kaitanya dengan pengungkapan serta

EKOPRASETIYO

Eko Prasetiyo adalah seorang peneliti keamanan teknologi informasi yang fokus dalam penetration test dan digital forensic. Tidak hanya riset, ia juga banyak membantu organisasi-organisasi di industri perbankan, migas,

10 tahun berpengalaman dalam melayani lebih dari 50 perusahaan termasuk bank, institusi finansial, asuransi, pemerintah, bursa efek, fmcg, dan perusahaan lainnya di area internal audit, kepatuhan, manajemen risiko, keamanan informasi, IT Governance, kebijakan dan prosedur, Project QA, dan subject matter expert.

ERRYSETIAWAN

Charles Lim, MSc., ECSA, ECSP, ECIH, CEH, CEI adalah seorang pendidik, peneliti, penulis, konsultan IT dan IT security, dan juga pelatih professional di bidang keamanan IT.

CHARLESLIM

penelusuran bukti digital.Beberapa kasus yang pernah ditangani penulis antara lain pencurian properti intelektual, pencemaran nama baik, pe-nyebaran konten pornografi, penggelapan, penipuan, ke-jahatan cyber, dan beberapa kasus lainnya. Penulis yang telah mengantongi sertifikati profesi internasional dibidang digital forensik ini juga aktif diundang sebagai pembicara di berbagai pelatihan dan seminar utamanya dalam menyampaikan awareness digital forensik dan ke-amanan informasi.

dan manufaktur di Indonesia untuk melakukan penetration test dan security assessment terhadap sistem kritikal mereka. Merupakan finalis kompetisi hacking dunia Global Cyberlympics.

Sehari-harinya beliau lebih banyak melakukan penelitian di Swiss German University dan mempublikasikan hasil penelitiannya terutama yang befokus pada malware, data mining, cloud security, dan digital forensic. Beliau juga aktif dalam berbagai komunitas seperti Honeynet Indonesia Chapter, Academy CSIRT, OWASP Indonesia Chapter dan Cloud Security Alliance.

Berminat Menjadi Kontributor di

CISO Magazine?

email ke:red@ciso.co.id

INFOSEC NEWSJumat, 10 Mei 2013

Pelaku kejahatan cyber internasional berhasil mencuri 45 juta dolar dari ribuan ATM pada serangan yang hanya berlangsung beberapa

jam. Kabar tersebut dilaporkan oleh otoritas federal pada Kamis (9/05). Sebuah dakwaan menyebutkan delapan anggota New York City mencuri kurang lebih 2,4 juta dolar dari hampir 3.000 ATM di wilayah metropolitan. Pembobolan dilakukan selama dua hari pada Februari.

“In the place of guns and masks, this cybercrime organization used laptops and the Internet,” jelas Pengacara Loretta Lynch sebagai otoritas federal pada pemberitahuan mengenai rincian pembobolan yang menjadi kasus terbesar pada abad ke-21

“Moving as swiftly as data over the Internet, the organization worked its way from the computer systems of international corporations to the streets of New York City,

Hacker Rebut 45 Juta dari Pembobolan ATM

with the defendants fanning out across Manhattan to steal millions of dollars from hundreds of ATMS,” tambah Lynch dalam pemberitahuannya.

Jaksa Federal dan penyidik mengatakan serangan yang dikenal dalam cyberunderworld sebagai “Operasi Terbatas” karena menggunakan teknik canggih computer-hack. Serangan ini memungkinkan pelaku mendapatkan akses yang hampir tak terbatas.

Pelaku dapat masuk ke sistem komputer prosesor untuk kartu kredit, mencuri informasi kartu debit prabayar, dan mengeliminasi limit dan saldo akun. Serangan mengakibatkan penarikan jumlah uang yang tidak terbatas dari ATM sebelum operasi ditutup.

Berdasarkan surat dakwaan, tersangka melakukan dua operasi antara Oktober 2012 dan bulan lalu. Pada serangan awal, hacker bekerja dengan anggota New York City pada 22 Desember yang diduga menargetkan prosesor kartu kredit. Kartu kredit tersebut ditangani

oleh MasterCard yang dikeluarkan oleh National Bank of Ras Al-Khaimah, Uni Emirat Arab sebuah bank yang juga dikenal dengan RakBank.

Setelah penetrasi ke jaringan komputer prosesor, para hacker memanipulasi saldo dan batas penarikan pada rekening kartu debit RakBank. Kemudian tim yang disebut cashers diduga melancarkan serangan yang menyebabkan kerugian lebih dari 5 juta dolar. Uang haram tersebut direbut pelaku melalui lebih dari 4.500 ATM pada 20 negara.

Menurut dakwaan, hanya memakan waktu dua jam 25 menit, pelaku melakukan 750 transaksi penipuan yang menarik hampir 400.000 dolar dari sekitar 140 lokasi ATM New York City.

Dugaan operasi terbatas kedua terjadi pada 19 Februari. Hacker menerobos komputer prosesor kartu debit prabayar untuk Bank Muscat yang terletak di Oman.Bersumber dari dakwaan, hampir 10 jam, casher cell di 24 negara yang melayani

transaksi 36.000 ATM di seluruh dunia menuai kerugian 40 juta dolar. Hasil pembobolan termasuk 2,4 juta dolar oleh kelompok New York.

Pihak berwenang dari 12 negara bekerja sama dengan penyidik AS dan mengatakan bahwa, belum mengidentifikasi tersangka yang memimpin serangan cyber. Namun dakwaan menyebutkan bahwa kelompok New York dipimpin oleh Alberto Yusi Lajud-Pena (23) yang sebagai “Prime” dan “Albertico.” Dia dan kelompok Elvis Rafael Rodriguez (24), dan Emir Yasser Yeje (24) diduga mencuri ratusan ribu dolar dari ATM yang digunakan untuk membeli mobil mewah dan jam tangan mahal.Dalam satu transaksi, 150.000 dolar dapat diperoleh dan disimpan dalam rekening

Miami yang dipegang oleh Lajud-Pena. Pihak berwenang menuturkan bahwa Pena tewas terbunuh di Republik Dominika bulan lalu.

Pemerintah federal sejauh ini menyita ratusan ribu dolar dalam bentuk tunai dan rekening bank, dua arloji merk Rolex, serta Mercedes SUV. Selain itu Porsche Panamera juga disita karena diduga dibeli dengan uang curian.

Dari kasus tersebut tujuh dari delapan tersangka anggota geng New York telah ditangkap dan didakwa atas tuduhan konspirasi untuk merebut akses dari perangkat dan pencucian uang. Jika terbukti bersalah pelaku akan diganjar maksimal 10 tahun dan kurungan selama 7,5 tahun. AR

Food Porn pada InstagramMenggiring Jejak Pelaku Pencurian Identitas

INFOSEC NEWS

Mathaniel Troy Maye (44) dan Tiwanna Tenise Thomason (39) didakwa dengan kasus pencurian ribuan identitas. Jejak Maye dan Thomason

diketahui oleh pihak kepolisian Florida setelah mereka mempos “food porn” melalui situs social media instagram. Foto tersebut yang kemudian membantu investigator menemukan jejak pasangan pelaku pencurian identitas.Mempos foto makanan menggiurkan melalui instagram adalah hal populer yang dilakukan

oleh pecinta makanan. Mereka biasa memfoto makanan sebelum dimakan. Itu juga yang dilakukan oleh pasangan, Maye dari Harlem dan Thomason dari Miramar, Florida.

Aksi terungkap setelah pria tidak dikenal memberitahukan IRS bahwa orang yang bernama Troy telah mencuri 700.000 identitas. Pria tersebut hanya memiliki sedikit petujuk tentang si pelaku.

Rabu, 15 Mei 2013

Seorang yang menyamar untuk IRS mengatakan Troy dan Thomason mengadakan pertemuan pada 5 Januari di restoran YOLO (You Only Live Once), Las Olas Boulevard. Pertemuan pasangan tersebut terjadi untuk kedua kalinya pada 7 Januari di restoran steak Morton, yang juga merupakan hari dimana pertukaran data hasil curian, 700.000 identitas, berlangsung. Data tersebut dicurigai akan dimanfaatkan untuk melakukan penipuan terkait pajak penghasilan.

Ketika IRS memeriksa USB drive mereka, IRS hanya berhasil menemukan 50 identitas hasil curian, serta data yang disembunyikan, yang terhubung ke drive Troy Maye.

Agen khusus bagian investigasi kriminal IRS, Louis Babino mencari profile Troy Maye di instagram, sebuah situs untuk berbagi foto.

Babino menulis bahwa dirinya menemukan foto steak dan makaroni dengan judul Morton, yang bertepatan dengan 7 Januari, hari dimana pertemuan kedua pasangan tersebut berlangsung.

IRS menangkap pasangan Maye dan Thomason di apartemen Thomason dan mengungkapkan bahwa IRS menemukan dua USB drive yang berisi data ilegal, yakni 55.000 identitas hasil curian.

Akibat aksinya, pasangan tersebut akan menghabiskan dua belas tahun masa kurungan serta denda yang terbilang besar. Dilansir harian setempat, Sun Sentinel, selain didakwa melakukan pencurian identitas, pengadilan di Fort Lauderdale juga memberatkan dengan dakwaan kepemilikan perangkat akses yang tidak sah. AR

Metode Otentikasi Baru Dari Motorola

INFOSEC NEWS

Motorola mengenalkan cara baru untuk otentikasi berupa tato dan hal ini telah disetujui oleh Food and Drug Administration (FDA). Dengan

kelimpahan device yang dimiliki password yang telah empat puluh tahun digunakan dianggap tidak lagi relevan.

Regina Dugan, perempuan pertama sebagai kepala di DARPA, berbicara pada D11 conference, ia mengatakan otentikasi butuh

proses yang lebih sederhana. Rata-rata orang melakukan sign on sebanyak 39 kali per harinya dan masing-masing memakan waktu 2,3 detik, itu pun jika orang mengingat password mereka.

Untuk mengubah itu semua diperlukan cara otentikasi baru, ia berpandangan dengan tato di tubuh atau menggunakan otentikasi dalam bentuk pil ialah cara untuk menghemat waktu. Namun industri masih saja terjebak dengan

Selasa, 4 Mei 2013

cara log in tradisional yang telah digunakan selama empat puluh tahun. Ia mengatakan Motorola memiliki jawaban atas semua itu atau setidaknya berpartner untuk memangkas masalah tersebut.

Ia memaparkan dengan tato elektronik di lengannya yang dapat dimanfaatkan untuk wireless power coil, temperature, ECG, phone sensor, dan LED with a wireless antenna border. Untuk kerja ini Motorola bertandem dengan para investor, Cambridge, perusahaan Massachusetts MC10.

“It may be true that 10-20 year-olds don’t want to wear a watch on their wrist, but you can be sure they’ll be far more interested in wearing an electronics tattoo, if only to piss off their parents,” jelas Dugan. Ia bermaksud mengatakan bahwa jika seorang religius setuju.

“The stick-on circuitry would last about two weeks before needing to be replaced, and the connections between the silicon and sensors are designed to flex 200 per cent. The system

would be sprayed with a plastic composite to assure your morning shower doesn’t leave you a non-person,” tambah Dugan.

Ia juga memamerkan kandungan pil yang ia sebut dengan ”inside-out potato battery”. Pil ini menggunakan asam lambung sebagai eletkrolit yang dapat menyebabkan mati dan nyala. Dari “18-bit ECG-like signal” yang dihasilkan berbagai device dapat mengidentifikasi hal tersebut.

“It’s really true; it means that that becomes my first superpower. I really want this superpower. It means my arms are like wires, my hands are like alligator clips, and when I touch my phone, my computer, my door, my car, I’m authenticated in,” ungkap Dugan.

Sistem ini dikembangkan oleh Proteus Digital Heath dan telah dinyatakan aman oleh FDA. Selain itu, CE pun mengatakan bahwa orang dapat mengonsumsi 20 pil dalam sehari.

Penerapan otentikasi baru ini akan ada untuk the Moto X yang akan diluncurkan sekitar September tahun ini. CEO Motorola Dennis Woodside mengatakan ia telah mengantongi produk tersebut, namun bukan untuk ditunjukkan. Keseluruhan dari produk Motorola ini akan dirakit di AS sekitar 70 persennya. Produk ini dapat dimanfaatkan oleh perusahaan dengan pula memanfaatkan manufacture baru seperti 3D printing.

Dengan sistem baru tersebut, Motorola telah memecahkan masalah lama yang dialami mobile electronic lainnya yakni dengan

membuat low-power motion sensors tanpa harus menanggalkan seluruh sistem operasi. Woodside berpandangan, ponsel seharunya dapat menemukan lokasi dan pergerakan anda, serta dapat beradaptasi dengan interface agar sesuai dengan situasi.

Sistem otentikasi yang mudah tentu tidak langsung diterima oleh semua orang, seperti yang dikatakan Dugan, dengan menerapkan otentikasi berupa tato bisa saja menciderai ideologi kaum religus, terutama Katolik di AS yang percaya bahwa transfusi darah tidak dibenarkan. AR

THE ZERO DAY

CVSS Score : 10Ditemukan oleh Tenable Network SecurityDilaporkan pada 24 Juli 2012Dirilis resmi pada 29 April 2013Celah ini memungkinkan penyerang jarak jauh (remote attacker) mengeksekusi kode pada instalasi IOS Cisco yang rentan. Tidak dibutuhkan interaksi dari pengguna untuk melakukan eksploitasi celah ini. Cacat permasalahan terletak pada Smart Install Client. Sebuah paket yang dibuat sedemikian rupa dapat dikirimkan ke server SMI IBC dan menginstruksikan mesin untuk mengunduh IOS Config file dan IOS image file. Celah ini menyebabkan tergantinya startup configuration file dan memulai switch Cisco dengan IOS image sebagai Smart Install Client. Hal ini membuat penyerang dapat mengambil alih kontrol secara penuh terhadap switch.

Solusi vendor : http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130327-smartinstall

Cisco IOS Smart Install Configuration File Upload

Remote Code Execution Vulnerability

CVE-2013-1146

CVSS Score : 9,3Ditemukan oleh Ben MurphyDilaporkan pada 22 Februari 2013Dirilis resmi pada 10 Mei 2013Celah ini memungkinkan penyerang jarak jauh (remote attacker) untuk mengeksekusi kode pada instalasi Java Oracle yang rentan. Dibutuhkan interaksi korban untuk eksploitasi celah. Korban harus mengunjungi situs yang telah disusupi file yang diinginkan, atau korban harus mengeksekusi sebuah file. Cacat permasalahan terletak pada class java.util.concurrent.ConcurrentHashMap, lebih spesifiknya ada pada kolom segmentShift dan segmentMask yang dapat digunakan untuk memanipulasi memori di luar buffer yang telah ditentukan.

Solusi vendor : http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html

Oracle Java java.util.concurrent.ConcurrentHash

Map Remote Code Execution Vulnerability

CVSS Score : 7,8Ditemukan oleh Marek KroemekeDilaporkan pada 22 Maret 2013Dirilis resmi pada 29 Mei 2013Celah ini memungkinkan penyerang jarak jauh (remote attacker) menyebabkan kondisi denial of service pada instalasi IIS yang rentan. Tidak dibutuhkan interaksi dari pengguna untuk melakukan eksploitasi celah ini.

Cacat permasalahan terletak pada cara Windows kernel menangani header HTTP. Dengan memberikan duplikasi header tertentu, penyerang dapat menyebabkan pengulangan perhitungan yang tidak terhingga pada parser header HTTP. Ini akan menyebabkan habisnya sumber daya prosesor sehingga IIS tidak dapat merespon pada permintaan data.

Solusi vendor : https://technet.microsoft.com/en-us/security/bulletin/ms13-039

Microsoft HTTP.SYS Remote Denial

of Service Vulnerability

CVE-2013-1305CVE 2012-5201

EVENT

CYBER JAWARA ID SIRTII, PACU KESADARAN KEAMANAN INFORMASI

Indonesia Security Incident Response Team on Internet and Infrastructure (ID SIRTII) menggelar perlombaan tahunan, National Cyber Jawara. Tahun ini merupakan kali kedua, sejak diselenggarakan pada tahun lalu. Tujuannya meliputi dua hal memberikan saran untuk mengasah kemampuan di bidang keamanan TI serta membentuk tim “National Cyber Jawara” yang mewakili Indonesia dalam event cyber security competition tingkat Asia dan Internasional. Selain itu dengan digelarnya National Cyber Jawara, ID SIRTII bermaksud membangun kesadaran keamanan informasi kepada seluruh lapisan masyarakat.

Iwan Sumantri, Wakil Ketua IDSIRTII Bidang Riset dan Pengembangan yang ditemui di kantornya, Menara Ravindo Lt.17, mengatakan bahwa kesadaran keamanan informasi dapat dilihat pula dari kalangan underground, “supaya melek hukum,” ujur Iwan.

Pada tahun ini, rangkaian National Cyber Jawara berlangsung sejak 3 hingga 12 Juni. Jika tahun sebelumnya perlombaan hanya dilakukan secara offline, tahun ini perlombaan dilakukan juga secara online. Untuk perlombaan secara online, peserta akan dikenai sistem gugur, artinya jika tidak

berhasil melalui salah satu tahap, tidak dapat meningikuti tahap selanjutnya. Empat tahap yang harus dilalalui peserta, meliputi Cryptanalysis, Steganografi, Malware Analysis, dan Forensic.

EVENT

Sepuluh tim yang berhasil mencapai tahap keempat akan diundang untuk mengikuti perlombaan secara offline yang digelar 12 Juni 2013. Empat tahap perlombaan yang harus dilalui meliputi, Cyber Defence, Penetration Testing, Forensic, dan Capture The Flag (CTF). Perlombaan secara offline tidak mengenal mekanisme gugur, keputusan pemenang akan dinilai berdasarkan akumulasi nilai pada masing-masing tahap. Penjurian pada perlombaan online langsung ditangani oleh ID SIRTII,

“Cyber Jawara merupakan

yang terlengkap,” jelas Iwan ketika membandingkan

dengan perlombaan sejenis.

sementara untuk perlombaan offline, Iwan menuturkan tiga orang juri berasal dari ID SIRTII dan tiga lainnya berasal dari ahli keamanan informasi.

Ditemui pada Selasa (4/6) ia menceritakan perlombaan sudah mencapai tahap tiga, dengan total 20 dari 52 tim yang berpartisipasi di tahap pertama. Hingga berita ini diturunkan, National Cyber Jawara telah sampai pada tahap empat dengan total 10 tim finalis.

EVENT

“Selain untuk industri, pemerintah atau TNI pun dapat menggandeng pemenang,” pungkas Iwan.

Pemenang pada National Cyber Jawara akan disertakan untuk perlombaan di level internasional, seperti Global Cyberlympics, DEFCON, atau RED Hack. Pemenang pun akan mendapatkan pembinaan untuk menghadapi kejuaraan di level internasional.

Ditanyai pengaruh Nation Cyber Jawara bagi industri keamanan, Iwan berpandangan tentu dengan pemenang yang telah memiliki pengalaman pada perlombaan di level nasional maupun internasional, perusahaan dapat merekrut sebagai praktisi keamanan informasi. Ia mengimbuhkan, apalagi dengan pengalaman melakukan penetration testing.

EVENT

BUSINESS

Adopsi Best Practice CSA untuk Keamanan Cloud

CLOUD COMPUTING LINTASARTA

Sertifikasi ISO 27001 pada Lintasarta, karena kebutuhan manajemen keamanan informasi dan ISO 27001, telah diperluas pada 2011 hingga ke data center secara inheren untuk layanan cloud computing

LINTASARTA CLOUD COMPUTING

Lintasarta merupakan anak perusahaan Indosat. Pada 2011 Lintasarta resmi meluncurkan layanan terbaru, cloud computing, yang telah dipersiapkan sejak akhir 2010. Gidion Suranta Barus, General Manager Lintasarta menuturkan mengenai fokus bisnis perusahaan yang hingga sekarang ini masih menyasar last enterprise corporate. Mulanya, layanan cloud computing menyediakan layanan Infrastructure as a Service (IaaS) , sekarang ini memasuki pula layanana Software as a Service (SaaS), seperti email atau mail as a service.

Layanan cloud computing yang ditawarkan perusahaan, yakni private cloud, dedicated cloud, dan public cloud. Layanan public cloud berarti penggunaan server dan store oleh beberapa pelanggan Lintasarta. Sementara untuk layanan private cloud penggunaan server dan storage khsuus untuk pelanggan tertentu, tidak berbagi seperti pada public cloud.

SWOT BISNIS CLOUD COMPUTING

Cloud computing merupakan evolusi dari data center, perusahaan yang telah mengembangkan bisnis data center besar peluangnya untuk melanjutkan bisnis ke cloud computing. Di-tambah juga dengan utilitas server perusahaan yang ternyata rendah, salah satu cara mengop-timalkannya adalah dengan cloud computing. Sehingga perusahaan dapat menuai efisiensi biaya. Dua hal tersebut bisa dikatakan sebagai strength perusahaan untuk menambah portofolio bisnis di bidang cloud computing.

Pertumbuhan bisnis secara global pun menuntut teknologi untuk mendukung bidang usaha mereka. Kebutuhan aplikasi, hardware, software ialah mutlak untuk mendukung proses bisnis. Namun kebutuhan untuk memastikan teknologi tersebut menjadi tantangan sendiri bagi perusahaan. Dengan adanya layanan cloud computing perushaan bisa memanfaatkan hal tersebut untuk penyimpanan data mereka. Hal ini lebih efisien secara anggaran misalnya, Capex perusahaan dapat bergeser menjadi Opex dengan memanfaatkan layanan cloud computing.

Akan tetapi teknologi baru tidak pernah berjalan dengan satu kaki, peluang. Tantangan ialah kaki yang lain. Penyerapan manfaat dari teknologi baru tidak pernah terjadi dalam sekejap mata, selalu diperlukan waktu untuk beradaptasi. Sehingga Lintasarta sebagai penyedia layanan pun perlu mengedukasi calon pelanggan. Menjadi tantangan tersendiri untuk mendobrak stigma bahwa layanan cloud computing tidak aman. Dilansir dari Charles Lim dalam Cloud Security, Bisakah dipercaya?, 85% responden dalam survei Lieberman Software mengatakan bahwa mereka tidak bisa mempercayakan data sensitif disimpan dalam layanan cloud computing. Sehingga diungkapkan oleh Gidion, sejauh bisnis cloud computing Lintasarta berjalan, pengguna layanan merupakan organisasi yang tidak menjadikan keamanan data sebagai titik tekan, melainkan organisasi yang fokus pada efektifitas. Seperti pada bisnis perbankan yang hingga kini belum berani memanfaatkan layanan bisnis cloud computing, perbankan lebih memilih untuk membangun dan mengurus sendiri cloud computing atau internal perusahaan. Kemudian meyakinkan pelangganbahwa cloud computing Lintasarta ditangani secara kompeten menjadi tantangan tersendiri.

Kekhawatiran perbankan pada public cloud adalah bagaimana keamanan yang disediakan dan apakah perusahaan menempati lokasi yang aman. Sementara itu untuk layanan public cloud sendiri belum ada regulasi yang mengatur. Memang, regulasi yang ada, PP No.82 dan Peraturan Bank Indonesia No.9 Tahun 2007, baru mengatur sebatas data center, sementara sifat data center berbeda dengan cloud computing yang tidak memiliki wilayah fisik. Jika ditilik, menurut Denny Sugiri Sales Assistant Manager – VAS CAM Resource & Partnership Lintasarta aturan ini bermaksud untuk mengantisipasi jika nantinya ada investigasi data perusahaan, sementara data disimpan di luar negeri.

Sementara dari internal perusahaan pun muncul sesuatu yang dapat dikatakan pekerjaan rumah, yakni bagaimana mengubah SDM, proses, dan bisnis proses. Hal ini karena Lintasarta merupakan perusahaan telekomunikasi yang kemudian mengembangkan sayap ke layanan TI.

Menghadapi tantangan yang ada penting bagi bisnis untuk terus mengedukasi calon pelanggan bahwa layanan cloud computing yang dikelola secara kompeten. Best practice untuk sistem manajemen keamanan informasi, ISO 27001 dan best practice secara khusus untuk cloud computing yang diadaptasi dari Cloud Security Alliance (CSA).

ISO 27001 ialah standar internasional dalam sistem manajemen keamanan informasi. Setifikasi ISO 27001 oleh Lintasarta pada dasarnya dilakukan jauh sebelum bisnis cloud computing diluncurkan, yakni sejak 2008. Gidion mengatakan bahwa memang ada kebutuhan manajemen keamanan informasi di perusahaan. Kemudian sertifikasi ISO 27001 diperluas lagi pada 2011 untuk data center. Denny mengaku untuk ISO 27001 perusahaan memilih untuk melakukan audit enam bulan sekali, tujuannya adalah untuk terus memastikan kesadaran keamanan perusahaan.

Cloud computing yang terbilang sebagai teknologi baru tidak memiliki regulasi internasional, seperti halnya ISO. Best practice yang dimanfaatkan ialah berasal dari CSA, organisasi nirlaba yang terdiri dari perusahaan penyedia layanan cloud computing, TI vendor, perusahaan yang memanfaatkan cloud computing dan stake holder lainnya yang terlibat. Sertifikat yang dikeluar-kan CSA menunjukkan bahwa cloud computing tersebut dioperasikan oleh engineer yang mendapat sertifikasi. Lintasarta yang bergabung dengan CSA sebagai corporate member menuai manfaat dari hal tersebut, pertama ialah adopsi best practice cloud computing, audit secara tahunan, serta informasi celah keamanan yang dapat membahayakan layanan cloud computing. Hal ini membawa dampak positif bahwa pelanggan tahu bahwa data mereka ditangani secara kompeten oleh perusahaan. AR

BEST PRACTICE BAGI LAYANAN CLOUD COMPUTING

CONCEPT

SOP DIGITAL FORENSIC PUSL ABFOR POLRI

“Pemeriksaan & analisis tanpa SOP artinya berpijak pada ilmu pengetahuan & dasar hukum,” AKBP Muhammad Nuh Al-Azhar, MSc, CHFI, CEI, Kepala Sub Departemen Forensic Bareskrim Polri

Ialah Muhammad Nuh Al-Azhar yang akrab disapa dengan Nuh, inisiator Standard Operating Procedure (SOP) digital forensic

di laboratorium forensik kepolisian Indonesia (Puslabfor Bareskrim Polri). Sejak tahun 2000Nuh telah bergelut di bidang computer forensic. Praktis pada 2012, bersama tim di Puslabfor ia menginvestigasi 448 bukti dari 81 kasus. Di tahun yang sama, dirinya menyelesaikan buku pertama dengan judul Digital Forensic: Panduan Praktis Investigasi Komputer. Selama perjalanan kariernya, Nuh yang merupakan Kepala Sub Departemen Computer Forensic di Puslabfor telah merancang lima belas SOP Digital Forensic.

SOP adalah pilar kedua dalam digital forensic setelah manajemen. Ia sebagai pemandu dalam pemeriksaan dan analisis. Secara peran SOP sangatlah vital, pemeriksaan dan analisis yangberjalan tanpa SOP artinya tidak berpijak padailmu pengetahuan dan dasar hukum. Di persi-dangan hasil temuan digital forensic pun baru dinilai dapat dipertanggungjawabkan jika menerapkan SOP.

Menyusun SOP Digital Forensic, Puslabfor Bareskrim Polri mempertimbangkan hukum positif yang berlaku di Indonesia, yakni Undang-Undang Informasi dan Transaksi Elektronis (UU ITE). Pada pasal 5 ayat 1 disebutkan bahwa informasi elektronik dan/atau dokumen elektronik dan/atau hasil cetaknya merupakan alat bukti yang sah. Dan pada pasal 6 dirincikan kembali dokumen elektronik dianggap sah sepanjang informasi yang tercantum di dalamnya dapat diakses, ditampilkan, dijamin keutuhannya, dan dapat dipertanggungjawabkan sehingga menerangkan suatu keadaan. Oleh karena itu SOP digital forensic harus memenuhi keempat syarat tersebut.

CONCEPT

Selama kurang lebih dua hingga tiga tahun, lima belas SOP Digital Forensic diterapkan Bareskrim POLRI, yakni:

SOP 01 Prosedur Analisis Digital forensic

SOP 02 Komitmen Jam Kerja

SOP 03 Pelaporan Digital Forensic

SOP 04 Menerima Bukti Elektronik/Bukti Digital

SOP 05 Submitting Electronic/Digital Evidence

SOP 06 Triage Forensic

SOP 07 Live Acquisition

SOP 08 Akuisisi hardisk, flashdisk, dan memory card

SOP 09 Analisis Harddisk, Flashdisk dan Memory Card

SOP 10 Akusisi Handphone dan Simcard

SOP 11 Analisis Handphone dan Simcard

SOP 12 Analisis Audio Forensic

SOP 13 Analisis Video Forensic

SOP 14 Analisis Gambar Digital

SOP 15 Analisis Network Forensic

SOP DIGITAL

FORENSICPUSLABFOR

POLRI

CONCEPT

Menurut Nuh yang ditemui CISO Magazine di laboratoriumnya, SOP Digital Forensic terus direvisi karena teknologi yang terus berkembang. Saat ini SOP Digital Forensic ke-16 sedang disusun, mengenai pendapat ahli.

Dalam menyusun SOP Digital Forensic dua panduan internasional yang dijadikan sebagai pedoman dasar, dari Association of Chief Police Officers (ACPO) dan 7Safe di Inggris serta National Institute of Justice yang berada di bawah Department of Justice, Amerika Serikat. Selain itu Nuh menjadikan buku yang ditulisnya, Digital Forensic: Panduan Praktis Investasi Komputer, sebagai panduan. Tujuannya adalah supaya hasil pemeriksaan sesuai yang diharapkan dan dapat dipertanggungjawabkan secara ilmiah dan hukum.

Perlu dipastikan bahwa SDM terkait memahami dan dapat menerapkan SOP Digital Forensic yang ada. Dilansir dari Nuh, Puslabfor terdapat di enam provinsi, Medan, Palembang, Semarang, Surabaya, Makassar, dan Denpasar, serta di Jakarta yang merupakan pusat Labfor. Pelatihan

pada SDM yang tersebar tersebut diadakan untuk memastikan hingga ketahap pelaksanaan SOP Digital Forensic.

Menyoal penerapan SOP Digital Forensic di Bareskrim Polri, Indonesia boleh bergembira hati karena menurut Nuh SOP Digital Forensic Bareskrim Polri ialah satu yang terbaik. Ia sendiri telah diminta menjadi pembicara untuk bidang tersebut, di Inggris pada 2010 dan di Hongkong pada 2013 untuk International Conference on Cyber Crime in Computer. AR

“Bahkan Oman pun meminta pada saya secara langsung SOP Digital Forensic kita,” bangga Nuh.

CONCEPT

COVER STORY

Indosat Meraih Kepercayaan Pasar

COVER STORY

Foto : Chasan Bayu | Video : Mochammad Iqbal

COVER STORY

F okus industri pada keamanan informasi semakin meningkat dewasa ini. Adaptasi standar

terkait keamanan pun mulai dilakukan dengan berbagai alasan seperti, hasrat untuk meraih pasar yang lebih luas, taat pada regulasi yang berlaku, atau kesadaran pentingnya manajemen keamanan informasi bagi internal perusahaan. Salah satu standar yang diamini ialah ISO 27001, standar manajemen keamanan informasi yang diaplikasikan pada lintas industri dan diakui secara internasional. ISO 27001 sebenarnya tidak hanya menekankan keamanan informasi, melainkan juga proses bisnis perusahaan. Standar ini jua lah yang diterapkan pada layanan Data Center (DC) dan Data Recovery Center (DRC) milik Indosat.

INISIATIF SERTIFIKASI ISO 27001

Pada kesempatan wawancara CISO Magazine dengan pihak Indosat, Rommy Bastian Hutauruk selaku Data Center Project Manager VAS, Data Center & Manager Service Project Division dan Gidion Suranta Barus selaku Division Head IT Solution Indosat, mengatakan bahwa inisiatif sertifikasi ISO 27001 berasal dari alasan eksternal dan internal. Alasan eksternal seperti kebutuhan bisnis data center, komparasi dengan pesaing, dan kepatuhan pada regulasi lokal. Sementara alasan internal ialah kebutuhan perusahaan dalam manajemen keamanan informasi.

Kebutuhan untuk menjamin data ialah mutlak bagi perusahaan, memanfaatkan layanan DC dari perusahaan penyedia ialah alternatif yang dapat dipilih guna efisiensi anggaran, mengalihkan capital expenditure (capex) menjadi operational expenditure (opex). Di sisi lain, salah satu regulasi lokal dari industri perbankan Peraturan Bank Indonesia (PBI) No.9/15/PBI 2007 mengharuskan DC dan/atau DRC berlokasi di dalam negeri. Hal ini mendorong berjamurnya penyedia

COVER STORY

layanan DC dan DRC lokal lainnya, seperti Biznet, Telkom Sigma, CBN, IDC, CSM, Lintasarta, Omadata, Collega, Indosat, Visionet, dan lain sebagainya.

Penyedia layanan DC dan DRC mulai mendaftarkan layanannya untuk mendapatkan sertifikasi ISO 27001. Dalam bahasa Gidion, ISO 27001 dewasa ini semakin “Pop” dalam dunia bisnis. Untuk menyetarakan layanan Indosat dengan pesaing, Indosat pun memutuskan untuk melakukan sertifikasi ISO 27001. Secara resmi penyerahaan sertifikasi ISO 27001 berlangsung simultan dengan peluncuran layanan cloud computing milik Indosat pada Oktober 2012.

Rommy mengaku bisnis DC dan DRC mayoritas didapatkan berdasarkan tender. Dalam memenuhi persyaratan tender, serangkaian checklist harus dilengkapi untuk memastikan keamanan informasi layanan DC. Diungkapkan Rommy, pada dasarnya checklist tersebut merupakan subset dari ISO 27001. Ketika Indosat belum mengadopsi ISO 27001, secara terpaksa beberapa kolom perlu diberi cap “not comply”. Alasan tersebutlah yang menyebabkan Indosat mengadopsi ISO 27001. Dalam artian, ketika sudah comply dengan ISO 27001, checklist keamanan

ISO 27001 dewasa ini semakin “Pop” dalam dunia bisnis

COVER STORY

informasi lainnya dapat dicap “comply”. Dalam bahasa yang berbeda Gidion mengatakan bahwa sertifikasi ISO 27001 merupakan permintaan divisi sales sebagai kebutuhan diferensiasi kepada pelanggan.

Kesadaran untuk pembenahan prosedur dan budaya kerja organisasi ialah alasan internal bagi Indosat untuk melakukan sertifikasi ISO 27001. Rommy menilai dalam implementasi keseharian sebenarnya banyak hal yang perlu diatur, seperti perawatan perangkat, keluar masuk pelanggan atau vendor. Adaptasi ISO 27001 dapat melingkupi kebutuhan tersebut. Menurut Rommy, dalam ISO 27001 instruksi kerja atau business process diatur dengan pakem-pakem ter-tentu, misalnya, sekarang ini perusahaan lebih ketatdalam mengatur setiap karyawan yang baru masuk atau vendor yang be-kerja di Indosat harus diminta untuk menan-datangani non disclosure agreement. Hal ini membuat perusahaan di mata pasar maupun dari sudut pandangan keamanan lebih bagus

Perusahaan diwajibkan untuk menjalani siklus Plan, Do, Check, Action atau yang umum disebut dengan PDCA sebelum memperoleh sertifikasi ISO 27001, tujuan utamanya ialah menjamin konsistensi dalam semua kegiatan pengamanan sistem informasi (Rafiandi & Cahyono, 2010).

Tahap persiapan sertifikasi ISO 27001 di Indosat secara total memakan waktu selama empat bulan, termasuk di dalamnya tahap perencanaan hingga proses audit. Perencanaan setelah keputusan untuk melakukan sertifikasi ISO 27001 meng-habiskan waktu yang terbilang sebentar, yakni seminggu hingga dua minggu. Berdasarkan penuturan Rommy, proses perencanaan – yang termasuk menyusun anggaran – telah pula berdiskusi dengan tim peru-sahaan bidang compliance yang pernah terlibat untuk sertifikasi ISO 9001.

Memasuki project execution perusahaan memu-tuskan untuk menggandeng konsultan yang akan

PERSIAPAN SERTIFIKASI ISO 27001

COVER STORY

membantu dalam kelengkapan berkas dan membimbing PDCA sebagai syarat sertifikasi ISO 27001. Beberapa hal dijadikan pertimbangan Indosat dalam merekrut konsultan, seperti: konsultan memiliki pengalaman dalam menangani ISO 27001, kecakapan yang dinilai pada saat presentasi di depan Indosat , dan harga yang tidak terlalu tinggi yang mana pada akhirnya ditentukan oleh bagian pengadaan. Tim konsultan yang dijanjikan ketika presentasi juga harus sama dengan ketika proyek berjalan. Artinya tidak ada personil yang berubah hingga proses sertifikasi selesai.

Alasan perusahaan menggandeng konsultan salah satunya karena Indosat belum memiliki pengalaman dalam sertifikasi ISO 27001, selain itu jika dikerjakan secara mandiri tim perusahaan tidak akan sanggup karena bagaimanapun setiap orang punya pekerjaan sehari-hari yang harus diselesaikan diluar proyek sertifikasi ISO 27001.

Dalam persiapan sertifikasi ISO 27001, Project Owner (PO) sertifikasi ISO 27001 dipegang oleh Gidion, sementara Project Manager (PM) dipegang oleh Rommy yang sekaligus satu-satunya orang dari divisi produk yang disertifikasi ketika itu. Sementara itu tim inti lainnya diisi dari operasional yang berjumlah sekitar sepuluh hingga dua belas orang. Inilah yang dikatakan Rommy sebagai tim inti. Namun supporting system, seperti dari bagian SDM juga dilibatkan guna mengatur dan bertanggung jawab dalam merekrut orang serta bertemu dengan vendor outsource. Artinya jika tim pelaksana ditotal akan

Dengan memanfaatkan peran konsultan, proses sertifikasi ISO 27001

di Indosat diakui cukup terbantu.

COVER STORY

mencapai dua puluh orang. Untuk Steering Commite (SC) ISO 27001, diketuai oleh Fadjri Sentosa Direktur Jabotabek dan Corporate Sales Indosat serta beberapa anggota SC lain yang berasal dari Group Head masing-masing bidang terkait.

Kerja sama dengan konsultan seperti yang diungkapkan Gidion, tanggung jawab konsultan adalah mendetailkan keperluan ISO 27001, sementara perusahaan bertanggung jawab untuk mengkoordinasikan tim. Dengan adanya konsultan, diharapkan dapat memberikan framework, sementara perusahaan tinggal mengisi dan memberikan keputusan. Konsultan pada sertifikasi ISO 27001 di Indosat bertanggung jawab untuk beberapa hal, yakni melengkapi prosedur yang telah dijalankan perusahaan namun belum didokumentasikan serta membuat dan merancang dokumen yang dibutuhkan untuk ISO 27001 hingga siap untuk disertifikasi. Tentu dengan memanfaatkan peran konsultan proses sertifikasi ISO 27001 di Indosat diakui cukup terbantu, menimbang tim perusahaan untuk ISO 27001 yang masih juga melakukan tanggung jawab hariannya.

Dalam melakukan control objectives perusahaan mengaku tidak menerapkan keseluruhan kontrol yang berjumlah 139. Control objective yang tidak diterapkan ialah seputar connectivity karena memang di Indosat hal tersebut berada pada layanan jasa yang berbeda, di luar lingkup sertifikasi yaitu DC dan DRC. Sementara untuk connectivity, perusahaan mengungkapkan ingin memulai sertifikasi ISO 27001 pada semester kedua 2013.

Beberapa hal dijadikan pertimbangan Indosat dalam merekrut konsultan, seperti: konsultan memiliki pengalaman dalam menangani ISO 27001

COVER STORY

Salah satu tahap pada Plan ialah gap analysis, tujuannya tidak lain untuk mengetahui sejauh mana manajemen keamanan informasi diterapkan pada perusahaan sesuai dengan standar ISO 27001 (Rafiandi & Cahyono, 2010). Gidion mengatakan ketika dilakukan gap analysis hasilnya jauh sekali karena ketika itu belum ada kesadaran keamanan informasi. Perusahaan menganggap implementasi selama ini sudah cukup aman, ternyata tidak, sehingga penting untuk mengisi gap yang ada. Gap yang ditemukan diperbaiki dan dicek lagi, temuan yang ada terus diperbaiki hingga menuju sertifikasi.

Komitmen sertifikasi ISO 27001 pada umunya diukur dari berbagai hal, salah satunya dari kesertaan tim ISO 27001 ketika rapat diselenggarakan. Rommy menjabarkan dari empat bulan waktu persiapan sertifikasi ISO 27001 terjadi dua hingga tiga kali rapat dalam seminggu. Rapat sendiri bisa dilangsungkan di dua tempat berbeda, dimana DC dan DRC Indosat terletak. Rommy mengaku tempat rapat selalu digilir secara teratur, misalnya rapat pertama di lokasi DRC berada, selanjutnya di lokasi DC. Dengan kesibukan masing-masing personil dalam tim internal perusahaan, total kehadiran rapat diwakili dengan persentase 30 hingga 50 persen. Perusahaan mengaku masing-masing personil tidak bisa dipaksa selalu hadir setiap kali karena alasan, proyek lain dan tanggung jawab keseharian.

Sementara ditanyai mengenai komitmen tim, Rommy dan Gidion mengaku bahwa komitmen tersebut muncul karena arahan dilakukan

COVER STORY

secara top-down, dengan memanfaatkan jalur SC.

Sebelum memasuki masa audit sertifika-si ISO 27001, secara mandiri perusahaan me-lakukan audit secara internal, tahap ini jamak diketahui sebagai pra audit. Penang-gung jawab pra audit dipegang oleh internal audit yang diemban oleh divisi compliance perusahaan dan konsultan. Pada masa ini perusahaan mendapatkan temuan kecil di sana sini bahkan saat pra audit dilakukan selama dua tahap. Pra audit ini dilakukan oleh perusahaan untuk memastikan kes-iapan organisasi sebelum memasuki masa audit sertifikasi yang sesungguhnya yang dilakukan oleh lembaga sertifikasi.

Proses sertifikasi ISO 27001 melewati dua tahap audit, tahap pertama ialah audit dokumen, tahap kedua surveillance dalam implementasi. Saat audit tahap pertama, perusahaan bisa melihat bahwa konsultan yang digandeng sedikit di bawah ekspektasi karena setelah menyiapkan banyak

dokumen sebagai syarat sertifikasi ternyata berbeda dengan fokus auditor.

Rommy menganalisis bahwa ternyata memang fokus konsultan dan auditor sangat mungkin berbeda. Menurutnya ini bisa jadi pengetahuan bagi perusahaan lainnya yang hendak melakukan sertifikasi ISO. Konsultan yang terbiasa dengan suatu lembaga audit, katakanlah BV akan mengerti focus audit dari BV, sehingga dokumen syarat ISO 27001 disesuaikan dengan fokus BV. Namun ternyata konsultan yang digandeng Indosat tidak terbiasa dengan lembaga sertifikasi SGS.

Pemilihan SGS sendiri bukan tanpa alasan, Indosat sebelumnya telah memanfaatkan jasa SGS untuk audit ISO 9001 dan ISO 18000. Pihak compliance Indosat pun menyarankan menggunakan jasa yang sama dengan alasan efisiensi. Alasannya, dalam setiap audit terdapat dokumen general yang diminta, seperti document control dan SDM. Dengan auditor yang sama, audit untuk dokumen general tidak perlu dilakukan lagi, cukup sekali saja. Namun untuk area yang berbeda, yang disyarat dalam sertifikasi ISO 27001 tetap perlu dilakukan. Menurut Rommy dengan

COVER STORY

begitu perusahaan jauh lebih efisien, apalagi ketika dilakukan surveillance tahunan untuk ketiga sertifikasi ISO yang dimiliki Indosat, lembaga sertifikasi dapat melakukan secara simultan.

Pada saat audit tahap satu, auditor mene-mukan temuan besar. Untuk memitigasi temuan tersebut, dibutuhkan pengadaan barang yang mana akan memakan waktu yang cukup lama karena harus melakukan proses tender, pengiriman barang dan ken-dala lainny. Akhirnya hal tersebut menye-babkan jadwal audit mundur. Masa pending terjadi selama dua hingga tiga bulan. Setelah temuan dipastikan telah dimitigasi, auditor akan kembali melakukan audit tahap perta-ma. Tidak hanya sampai disitu, pada audit tahap pertama yang kedua kembali didapa-tkan temuan, namun kali ini temuan kecil. Rommy berasumsi hal ini mungkin terjadi karena fokus konsultan dan auditor yang berbeda. Perusahaan dan konsultan pun akhirnya harus merancang kembali doku-men persyaratan sertifikasi ISO 27001.

Pada stage dua, auditor mendapatkan temuan kecil. Ini sering ditemukan dalam audit stage dua karena menurut Gidion tidak mudah mengubah budaya, bukan satu hal yang dapat dilakukan dalam satu atau dua hari.

Bertolak dari banyak alasan eksternal, seperti kepentingan bisnis, ISO 27001 diadopsi Indosat untuk bidang DC dan DRC. Jika dilihat dari kacamata bisnis, proyek sertifikasi ISO 27001 bukanlah proyek besar karena pendapatan perusahaan dari layanan DC atau DRC kecil jika dibandingkan dengan layanan selular. Namun jika dilihat dari meraih kepercayaan pasar tentu akan menjadi berbeda. Sertifikasi ISO 27001 dapat membantu meraih kepercayaan pelanggan atau bahkan calon pelanggan. Ditanya mengenai keuntungan adopsi ISO 27001, “apakah sesuai dengan harapan?”, secara sederhana Rommy mengatakan, sesuai.

Pada 2012 tren bisnis DC dan DRC meningkat, Gidion bahkan menyebut, dari sepanjang sejarah bisnis DC dan DRC Indosat, 2012 menjadi tahun terbaik.

SERTIFIKASI ISO 27001: KEUNTUNGAN DAN TANTANGAN

COVER STORY

Rommy menganalisis hal ini selain karena sertifikasi ISO 27001, juga karena PBI yang mewajibkan perbankan memiliki DC dan DRC di dalam negeri sehingga membuat permintaan terhadapan layanan ini meningkat. Indosat sebagai salah satu penyedia layanan DC dan DRC mendapatkan peluang dari peraturan tersebut. Sertifikasi ISO 27001 juga membuka keuntungan lain bagi perusahaan, Indosat mendapatkan salah satu perbankan terbesar sebagai pelanggan. Hal ini dapat menjadi salah satu petunjuk bahwa best practice keamanan informasi dari ISO 27001 mampu menstimulus kepercayaan pasar lebih luas lagi.

Keuntungan juga dirasakan perusahaan dalam menghadapi pelanggan saat tender, layanan DC dan DRC Indosat mendapatkan kepercayaan pelanggan. Indosat sebagai vendor penyedia layanan DC dan DRC tentu harus comply dengan perusahaan pelanggan, lebih kepada pelanggan yang sudah juga menerapkan ISO 27001. Pelanggan perbankan yang terikat dengan PBI No.9/15/2007 mengharuskan untuk mengaudit perusahaan penyedia layanan pihak ketiga. Dengan menerapkan ISO 27001 audit yang dilakukan terhadap Indosat dapat dilaksanakan dengan cepat.

Di lain sisi, adopsi standar internasional ISO 27001 memberikan tantangan tersendiri. Hal ini tentu sering digaungkan oleh praktisi keamanan informasi bahwa keamanan berjalan berlawanan dari kenyamanan, semakin menerapkan sistem keamanan, semakin tidak nyaman. Seperti salah satu yang terjadi pada Indosat adalah penerapan penandatanganan non disclosure agreement yang bahkan kepada pelanggan yang baru

COVER STORY

calon. Hal ini dapat dipandang sangat birokratis dan tidak praktis, namun Rommy menilai langkah keamanan yang sama juga diterapkan oleh perusahaan penyedia DC lainnya.

Mengomunikasikan dan mengoordinasikan dengan fungsi lain juga menjadi tantangan karena prosedur pemeliharaan mengacu pada banyak fungsi. Untuk fungsi inti yang selalu bersinggungan dengan pelanggan, seperti operasional TI, boleh jadi bukan sebuah perkara. Namun untuk fungsi lain, misalnya yang memelihara genset, Rommy mengaku perlu untuk terus mengomunikasikan dan mengoordinasikan perubahan budaya dan cara kerja yang dianjurkan ISO 27001.

Secara umum, Gidion menyimpulkan tantangan ISO 27001 ialah change management, bagaimana mengubah budaya perusahaan dalam melak-sanakan langkah keamanan informasi. Dan hal ini bukan perkara yang dapat diubah dalam waktu singkat. Dilarang atau diatur mengenai kebiasaan praktis, seperti mengoper data dengan menggunakan USB pribadi, tentu bukan perkara menyenangkan. Belum lagi menurut Gidion jika yang diatur ialah pekerja lama yang sudah besar dengan budaya seperti itu. Keuntungan bagi Indosat adalah memiliki pekerja-pekerja muda yang lebih terbuka terhadap perubahan, sehingga lebih mudah diatur. Komitmen manajemen pun menjadi satu alasan krusial untuk mengadopsi best practice ISO 27001 oleh karyawan.

COVER STORY

Jika ISO 27001 hanya menyoal sertifikat yang akan mengharumkan nama perusahaan, mungkin ritme keseriusan manajemen keamanan informasi selesai pada setelah memperoleh sertifikat, setelah itu biasanya enggan untuk memastikan proses keseharian. ISO 27001 berjalan lebih jauh dari itu, penerapannya menuntut komitmen manajemen. Oleh karena itu bahkan dalam sebelas aspek yang diatur oleh ISO 27001, tujuh diantaranya adalah mengatur manajemen. Surveillance ISO 27001 sendiri baru berlangsung satu tahun kemudian oleh auditor eksternal, artinya perlu kesadaran perusahaan untuk memastikan manajemen keamanan informasi masih terus dilaksanakan.

Indosat terus menerus mengingatkan keamanan informasi melalui security awareness yang digelar setiap dua tahun sekali untuk seluruh karyawan. Secara khusus perusahaan mendatangkan security expert yang membahas keamanan informasi di perusahaan. Selain itu sosialisasi juga dilakukan untuk mengingatkan karyawan, Rommy mengambil contoh ide yang disosialisasikan, “ketika ada rapat, jangan update status pada media sosial.”

MENJAGA RITME ISO 27001

Adopsi ISO 27001 sendiri telah disosialisasikan di masa awal, sesuai prosedur bisnis. Selain itu dilakukan kembali setelah prosedur selesai. Sosialisasi dilakukan sesuai masing-masing area, terutama area inti seperti operasional pada DC dan DRC karena karyawan di area tersebutlah yang bertanggung jawab untuk pelaksanaan harian, seperti ketika pelanggan masuk, proses barang masuk, dan lain sebaginya. YH

TEMPLATE

PENTINGNYA SERTIFIKASI ISO 27001

Oleh : Erry Setiawan

ISO 27001 ialah Security Management System yang telah diadopsi oleh berbagai organisasi dan diakui di seluruh dunia sebagai salah satu framework dalam mewujudkan keamanan informasi

Kini informasi menjelma menjadi aset yang tidak ternilai harganya (intagible), bahkan seringkali lebih mahal dari aset fisik (tangible). Kita lihat bagaimana perusahaan seperti Facebook dapat dinilai triliunan rupiah, hanya karena

berisi database informasi privasi jutaan individu yang menjadikan mereka target pasar menggiurkan. Namun demikian, informasi dapat dianggap aset bernilai apabila terjamin unsur kerahasiaan, keutuhan, dan ketersediaan. Hal ini menjadi tiga prinsip keamanan informasi atau lebih sering disebut CIA (Confidentiality, Integrity, Availability) triad. Salah satu framework dalam mewujudkan keamanan informasi adalah ISO 27001, yaitu Information Security Management System yang telah diadopsi oleh berbagai organisasi dan atau perusahaan sekaligus diakui di seluruh dunia.

Banyak perusahaan menaruh harapan tinggi terhadap penggunaan ISO 27001, baik untuk internal perusahaan maupun terhadap afiliasi atau rekanan. Tentunya dalam berbisnis dengan rekanan atau bahkan pelanggan, terjadi pertukaran data atau informasi. Pertukaran ini atau yang sering disebut sebagai information exchange memerlukan kompromi agar masing-masing perusahaan saling menghormati dan sepakat bagaimana memperlakukan informasi tersebut agar tetap bernilai. Misalnya perusahaan A menyewa jasa aplikasi berupa Application Service Provider dari perusaaan B, maka perusahaan B berharap source code aplikasi tidak jatuh ke perusahaan A dan begitupun sebaliknya, perusahaan A berharap data aplikasi, misalnya data nasabah tidak bocor atau bahkan tidak perlu diakses sama sekali oleh perusahaan B sebagai penyedia aplikasi. Sehingga keduanya dapat menjalankan kerja sama bisnis bersama, dengan tetap menjaga keamanan informasi sesuai dengan kebutuhan masing-masing perusahaan. Apabila kedua perusahaan telah

memiliki sertifikasi ISO 27001, stakeholders akan merasa nyaman untuk melakukan bisnis dan bahkan menjadi nilai tambah atau winning-factor ketika mengikuti tender bisnis tersebut. Karena pentingnya sertifikasi ini, bahkan regulator seperti Bank Indonesia menggunakan ISO 27001 sebagai referensi dalam pemenuhan kepatuhan terhadap salah satu regulasi yang cukup terkenal, yaitu PBI 9/15/PBI 2007 mengenai Manajemen Risiko terhadap Penggunaan TI.

Secara teori, ISO 27001 berperan untuk menjaga keamanan informasi dengan cara mengidentifikasi titik-titik proses dimana informasi perlu dijaga. Secara lugas, terdapat 134 controls untuk mendukung 39 objectives untuk mengamankan titik-titik proses yang memiliki kerawanan terhadap risiko. Suatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dari nature bisnis masing-masing yang harus diformalkan ke dalam SoA (Statement of Applicability) sebagai persyaratan utama nomor satu. SoA ini penting agar organisasi dapat membatasi cakupan kerja sehingga tidak terjerumus ke dalam usaha yang berlebihan dalam mengamankan informasi dan lebih fokus ke titik-titik proses dimana lebih bermanfaat bagi nilai informasi tersebut.

Suatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dari nature bisnis masing-masing yang harus diformalkan ke dalam SoA (Statement of Applicability) sebagai persyaratan utama nomor satu.

Dalam penerapannya banyak organisasi memilih menggunakan konsultan eksternal untuk implementasi ISO 27001 dengan tujuan mendapatkan “jaminan” kelulusan. Hal ini tidak salah, hanya saja perlu disadari bahwa dalam melakukan pemilihan konsultan – terlebih apabila diharuskan suatu tender – tidak mungkin dapat menilai kemampuan konsultan untuk memahami organisasi terutama apabila harus dihadapkan dengan kerangka price and time yang terbatas. Dalam hal ini pemberdayaan internal resources justru dapat dijadikan alternatif. Karyawan internal yang mungkin bukan tenaga ahli lebih mengenal lapangan daripada konsultan. Hal ini kembali kepada kompleksitas organisasi untuk menentukan strategi mana yang lebih cocok.

Pada umumnya, tahapan konsultasi ini dapat dibagi menjadi dua tahap. Tahap pertama akan dipilih konsultan yang dapat melakukan analisis

kesenjangan organisasi, menyusun kerangka acuan kerja, dan estimasi harga untuk vendor. Sedangkan pada tahap kedua, yaitu memilih vendor yang akan mengerjakan implementasi ISO 27001 dan vendor yang akan melakukan sertifikasi ISO 27001. Walaupun demikian, hanya pelaksanaan sertifikasi yang harus dilakukan vendor independent, sehingga harus berbeda dari implementor.

Implementasi dimulai dengan melakukan identifikasi dan klasifikasi aset informasi yang dimiliki perusahaan. Banyak yang mengartikan aset informasi tersebut berupa tangible dan intangible aset, hal ini tidak salah, hanya mungkin sedikit naif. Misalnya memasukkan server sebagai aset informasi memang membuat prosesnya menjadi mudah untuk comply dengan ISO, namun dapat mempengaruhi keseimbangan antara efektifitas dan efisiensi. Dalam arti aset informasi yang tersimpan dalam server tersebut masih harus di-breakdown kembali ke dalam klasifikasi yang bertingkat; apabila kontrol terlalu umum maka berpotensi inefektifitas terhadap aset informasi yang lebih bernilai, dan apabila kontrol

terlalu ketat maka terjadi inefisiensi terhadap aset informasi yang kurang bernilai. Lebih jauh lagi, ada juga organisasi yang memasukkan meja dan kursi sebagai aset informasi, padahal ketika dokumen berisi aset informasi sudah berpindah meja, maka meja tersebut menjadi tidak begitu bernilai. Atau ketika suatu pekerjaan dilakukan secara mobile, misalnya pengawas lapangan, keberadaan kursi menjadi tidak begitu penting.

Bicara mengenai aset informasi tentunya tidak lepas dari bisnis proses suatu perusahaan, informasi apa saja yang bernilai bagi proses bisnis tersebut, dan seberapa berharga nilainya. Umumnya, informasi mengenai kondisi keuangan perusahaan lebih bernilai daripada informasi mengenai absensi karyawan. Sedangkan informasi mengenai strategi pemasaran biasanya cukup rahasia, bahkan karyawan perusahaan tersebut tidak boleh tahu untuk menghindari

kebocoran informasi ke perusahaan pesaing. Informasi-informasi tersebut dapat diklasifikasikan ke dalam berbagai level, misalnya sensitif, rahasia, sangat rahasia, dan sebagai-nya. Level inilah yang akan menentukan sejauh mana kontrol harus dijalankan. Klasifikasi informasi berikut kontrolnya perlu diformalkan ke dalam suatu dokumen yang disebut Kebijakan Keamanan Informasi sebagai persyaratan utama yang kedua.

Klasifikasi informasi berikut kontrolnya perlu diformalkan ke dalam suatu dokumen yang disebut Kebijakan Keamanan Informasi sebagai persyaratan utama yang kedua.

Keberadaan SoA dan Kebijakan Keamanan Informasi melahirkan kebutuhan baru untuk menjaga keseimbangan antara efektifitas dan efisiensi dari suatu kontrol, dengan cara melakukan risk assessment terhadap aset informasi dan kontrol yang relevan. Pelaksanaan risk assessment ini perlu diatur pada Kebijakan Manajemen Risiko sebagai persyaratan utama nomor tiga. Sedangkan pelaksanaan persyaratan-persyaratannya juga perlu dibakukan dalam Struktur Organisasi Keamanan Informasi yang menjadi persyaratan utama nomor empat. Sebagai persyaratan utama nomor lima, harus dilakukan audit internal secara berkala terhadap keamanan informasi.

Pelaksanaan risk assessment ini perlu diatur pada Kebijakan Manajemen Risiko sebagai persyaratan utama nomor tiga.

Sedangkan pelaksanaan persyaratan-persyaratan-nya juga perlu dibakukan dalam Struktur Organisasi Keamanan Informasi yang menjadi persyaratan utama nomor empat.

Sebagai persyaratan utama nomor lima, harus dilakukan audit internal secara berkala terhadap Keamanan Informasi.

Tahap sertifikasi biasanya dimulai dengan penunjukkan vendor selaku auditor yang mewakili perusahaan untuk mengajukan sertifikasi kepada lembaga yang berwenang memberikan sertifikasi. Kecukupan sumber daya manusia vendor juga akan menentukan kualitas dari sertifikasi. Vendor dengan permintaan yang tinggi tentunya akan memicu kelelahan dan pekerjaan yang overload. Hal ini mengakibatkan menurunnya kemampuan vendor untuk melakukan audit dengan layak. Walaupun hal tersebut (permintaan yang tinggi) dapat menguntungkan, namun tidak jarang malah merugikan apabila auditor tidak menganalisa kecukupan kontrol secara komprehensif dengan tidak memperhatikan kontrol yang lain (compensating control) di luar kontrol-kontrol utama. Selain itu, jadwal dan proses audit yang sedang berjalan perlu diperhatikan agar tidak mengganggu operasional perusahaan.

Setelah implementasi dan sertifikasi dilakukan, apabila perusahaan berhasil mendapatkan sertifikasi, selanjutnya akan dilakukan pengawasan dalam bentuk surveillance audit selama tiga tahun, yang umumnya dilakukan enam kali. Kurang lebih sekitar enam bulan sekali. Audit ini akan dilakukan terhadap area-area sampel untuk menentukan apakah organisasi tetap mampu menjalankan Information Security Management System secara konsisten dan berkelanjutan. Jika terdapat ketidaksesuaian (non-conformance) maka auditor akan menerbitkan temuan audit untuk ditindaklanjuti dalam kurun waktu tertentu. Ketidakpatuhan terhadap dapat menyebabkan sertifikasi direkomendasikan untuk dicabut.

Struktur dan proses organisasi, terutama organisasi dinamis akan terus berkembang mengikuti kebutuhan perusahaan untuk mengembangkan bisnis-bisnis baru. Hal ini perlu diikuti dengan meninjau ulang cakupan SoA dari sertifikasi agar mampu melindungi aset informasi yang digunakan bisnis baru tersebut. Misalnya sebelum sertifikasi, sebuah organisasi yang tidak memiliki hubungan langsung dengan bisnis dan proses e-commerce dapat mengecualikan kontrol e-commerce. Namun ketika bisnis berkembang dan sudah memasuki tahap e-commerce, kontrol e-commerce perlu ditambahkan ke dalam SoA dan mendefinisikan aset informasi dan kontrol yang sesuai ke dalam Kebijakan Keamanan Informasi. Manajemen dari organisasi tersebut harus terus bertanggung-jawab melakukan supervisi terhadap pengembangan ini dalam bentuk Management Review sebagai persyaratan utama nomor enam.

Manajemen dari organisasi tersebut harus terus bertanggung-jawab melaku-kan supervisi terhadap pengembangan ini dalam bentuk Management Review sebagai persyaratan utama nomor enam.

OPINION Penerapan ISO 27001 di Indonesia relevan atau tidak

M Hadi CahyonoKonsultan ISO 27001, Penulis Buku Jurus Sukses Sertifikasi ISO 27001 Menurut saya relevan karena sekarang ini sudah jadi kepentingan perusahaan. Informasi di perusahaan itu banyak sekali, perlu strategi untuk mencegah kebocoran informasi, misalnya KPK yang baru-baru ini mengalami kebocoran sprindik (surat perintah penyidikan).

Ivano Aviandi CEO PT Cybertech Solusindo, Dosen Magister Teknologi Informasi Universitas Indonesia

Penerapan ISO 27001 di Indonesia relevan untuk dilakukan, lebih lagi pada perbankan diterapkan regulasi PBI 9/15.

Hendrie Aripin(Assistant Vice President IT Strategy, Architecture, & Planning Group) Penerapan ISO 27001

sangat relevan untuk diterapkan pada berbagai organisasi di Indonesia karena sebagai panduan keamanan informasi yang sudah berskala internasional. Sertifikasi untuk ISO 27001 sangat baik, ketika perusahaan sudah comply dengan sistem keamanan informasi, sertifikasi merupakan pembuktian dari kepatuhan tersebut.

Sarwono SutiknoDirektorat Operasi Sistem PPATK, Dosen Teknik Elektronik dan Informatika ITB

Menurut saya penerapan ISO 27001 oleh industri sangat relevan, terlebih di Indonesia standar tersebut sudah diadopsi ke dalam SNI. Dan penerapan standar keamanan informasi sendiri merupakan syarat minimum yang harus dipenuhi oleh industri.

PROFILE

KOMITMEN MANAJEMEN FONDASI UTAMA SERTIFIKASI ISO 27001

Auditor ISO 27001,Natalia Evianti:

“Sertifikasi ISO 27001 tidak mengenal kata gagal, melainkan pending. Dan hal tersebut sangat bergantung dengan komitmen manajemen”

N atalia Evianti mungkin bukan seorang auditor ISO 27001 yang hidup dalam imaji anda. Ia adalah seorang perempuan. Anwar Siregar, Sales Manager British Standard Institute (BSI) yang menemui CISO Magazine sebelum wawancara mengatakan bahwa Vivi, begitu akrab disapa,

adalah seorang auditor perempuan pertama untuk ISO 27001 di Indonesia. Bahwa jumlah laki-laki dalam industri keamanan informasi merajai, bukanlah cerita lama. Boleh jadi karena ISO 27001 dekat dengan pelaksanaan TI.

Perihal fokus kerja dan gender Vivi mengimbuhkan, “cuma memang jadi pertanyaan ketika saya pergi ke conferencenya CISO di Beijing. Mereka pikir saya bukan engineer yang mengerti jaringan dan infrastruktur, mereka pikir saya hanya manajemen.”Namun Vivi mengaku posisinya sekarang ini sesuai dengan basis pendidikan yang ia pilih, kuliah sarjananya ia tempuh di Teknik Elektro

PROFILE

NATALIA EVIANTIAuditor PT BSI Group Indonesia

Pendidikan• S-1FakultasTeknikUniversitas Indonesia,TeknikElektro, 1996 – 2001• S-2ElectricalandElectronics Engineering, 2006 – 2008• DoubleDegreeProgram: 3 semester at Computer Engineering,Universität Duisburg-Essen.

Karier • LecturerElectrical Engineering Department, UniversityofIndonesia March2001–December2006 (5years10months)• KonsultanTIpadasalahsatu perusahaanswasta(2009-2012)• AuditorPT.BSIGroupIndonesia September 2012 – sekarang

Universitas Indonesia (UI). Dengan lima bidang penjurusan yang ada, Vivi memilih teknik komputer. Sementara untuk kuliah masternya Vivi mengambil double degree, Electrical and Electronics Engineering di UI dan Computer Engineering di Universität Duisburg-Essen, Jerman.

Vivi yang juga pernah menjadi dosen di UI selama lebih dari lima tahun mengatakan bahwa dirinya sudah cukup lama bersinggungan dengan dunia keamanan informasi. Ia pernah menjadi instruktur Cisco Networking Academy Program dan memiliki Cisco Certified Network Associate. Ia juga pernah bekerja sebagai IT consultant di perusahaan swasta dengan fokus tanggung jawab pada jaringan dan evaluasi keamanan informasi sejak 2009 hingga 2012. Vivi bergabung di BSI sebagai auditor sejak September 2012.

Sejak bergabung di BSI hingga sekarang sudah berapa organisasi yang diaudit?

UntukISO27001sayasudahmengaudithampirlebih dari sepuluh organisasi.

PROSES AUDIT

Proses mengaudit tersebut memakan waktu berapa lama?

Tergantunglingkupdanorganisasinya,kalaubesardancukupbanyakkaryawannnya,palinglama bisa tiga hari.

Boleh dijelaskan bagaimana tahapan dalam audit tersebut.

Padatahapsatukamimempelajaridokumenperusahaan,danitutidakoffsiteya,tetapionsite. Jadi kamiakandatang,kemudianuntukmelihatdokumentasinya,apakahsudahsesuaidenganpersyaratanISO 27001. Ini adalah tahap satu, kami melakukan document review.

Kalaumemangsecaradokumentasisudahmencukupi,memadai,danmemenuhisemuapersyaratan,seterusnyakamirekomendasikanuntuktahapdua.Tahapduaialahdimanakamimelakukanreview implementasinya.Kamimelihatapakahimplementasinyasudahsesuaidenganproseduryangperusahaanterapkan,targetjugasudahsesuaiyangperusahaanterapkan,dankontrol-kontrolyangperusahaansudahmemilihsendiriuntukditerapkandiorganisasinya.

Bagaimana kalau lingkup organisasinya kecil?

Halpertamayangperludiketahui,materiaudititusendiriadaduajenis,tahapsatuterkaitdokumen,sementarapadatahapduamengenaiimplementasikepatuhannya.Kalaulingkupnyakecilbisasatuatauduahari.Tergantungauditnyajuga,padatahapsatukarenadokumentasihanyamenghabiskansatu hari, tetapi kalau tahap dua membutuhkan lebih dari dua hari.

Berarti pada stage pengecekan dokumen ada kemungkinan bahwa dokumen perusahaan tidak sesuai dan harus diperbaiki? Selanjutnya prosesnya bagaimana?

Biasanyaketikamendapatkantemuanatau ketidaksesuaian dengan dokumentasi, kamiakanmemberikanwaktu.Umumnyamaksimal lima hari kerja untuk memperbaiki dokumenyangkurang.Akantetapikembalilagi, ketidaksesuaian itu ada dua jenis, kalau temuankecilbiasanyakamitidakmenuntut,hanyamintadiserahkanbuktiyangberupaperencanaannyasaja.Nantikamiakanverifikasikembalipadakunjunganberikutnya,namanyaCAV (Continued Assessment Visit).Biasanyadilakukan sebelum memasuki tahap dua. Sementarauntuktemuanbesarbiasanyakamiakan memberikan waktu pada perusahaan untukmenyerahkandokumenpersyaratanyangkurang.Kamiakanmemberikanwaktutigabulanatausebelumkunjunganberikutnya.

Boleh dijelaskan apa yang digolongkan ke temuan kecil dan besar tersebut

Temuankecilumumnyaterdapatpadasatuklausul.Kamimenemukanhanyaditempattertentu, misal kami menemukan document control atau clean desk policy atau screen safer policytidakdijalankan,tetapihanyadisatutempatsaja,tidaksecaramenyeluruh.

Kalautemuanbesarberartiadasistemyanggagal,tidakdijalankansamasekali.Artinyasisidokumentasinyamemangtidakada,padahalmandatory document.Itucontohuntukyangtemuan besar.

Jadi jika mandatory document tidak ada bisa mengakibatkan perusahaan gagal untuk sertifikasi ISO 27001?

PadaISO27001perusahaantidakmengenalgagal,tetapi tunda, tahap satu berlangsung pada kurun

waktuenambulan,tetapiketikaperusahaanmenilaienambulantidakcukup,akhirnyatunda.Jikakurun waktu tunda lebih dari enam bulan, mau tidak mau ulang kembali tahap satu.

Bagaimana ketika masa mitigasi tersebut tidak lebih dari enam bulan? Apakah audit tidak perlu dilakukan dari awal?

Kembalilagiapakahcritical atautidakpadapersyaratannya,internal audit, mandatoryBCP,danmanagement review.Misalnya mandatoryBCP,beralasanatautidak,contohperusahanakanberjalankembalitigabulan,sementaralayanannyamengharuskanberjalandalamwaktusatuatauduajamdantidakbolehputus.Auditordapatmelihatnyaberalasanatautidakberalasan.KetikaPerusahaantidakbisamenjelaskan,auditortidakbisamenerima.Haltersebutyangkemudiandikatakantemuanbesar.Sehinggamautidakmauperusahaanharusmemperbaikidanjikaenambulantidakcukup,kemudianwaktutundacukuplama,dapatkembalilagidaritahapsatu.

ISO 27001 itu kembali pada komitmen manjemen, topmanajemenorganisasi.Kalaumanajemenmemilikikomitmen,seharusnyatigabulantidakjadisoal.

STAGE II: IMPLEMENTASI

Selanjutnya tahap kedua implementasi, di ISO 27001 sendiri ada sebelas domain yang diperhatikan. Ketika audit implementasi dilakukan, apa audit dilakukan pada seluruh domain tersebut?

Benardarisebelasdomaintersebutdankontrolapasajayangmerekaterapkandalamorganisasi.Biasanyatidaksecararincisetiapkontrolnya,tetapihampirmencakupsemuanya,dariA5hinggaA15apakahsudahditerapkanataubelum.Halyangperludicatat,auditorinimodelnyasampling.Berbedadengan penetration testyangdilakukansecaramenyeluruh,setiapaspekharusdicekdandites.

Auditorhanyamenggunakanmetodesamplingdankamipunyametodenya.Kira-kirasudahmencapaisemuadivisidanperbagianakandicek.Setiaporganisasipastipunyaperbagian-perbagiantersebut.

Metode penarikan sampling-nya bagaimana? Apa pada bagian yang dianggap krusial saja?

Hampirsemuabagianuntukkontrolnya,semuabagianatausemuadomainharusdicek.Jaditidakhanyayangpalingkrusial,tapisemuabagianharusdicek.

Kalau dari penilaian sebelas domain? Sebelumnya dari auditor apakah ada semacam checklist?

Kamitidakbekerjaberdasarkanchecklist, tetapi mengacupadasetiapklausul.Padasetiapdomainbukanhanyachecklist, tetapi setiap evidenceharusdicantumkanjuga.Misalnyatadiyangsayasinggung,clear desk dan screen safer policy,sayaakanmenuliskan,komputernyaapa,username-nyasiapa.Jaditidakhanyachecklist iyadantidak,tetapiharusmencantumkansetiapbuktitadi.Itulahbedanyaauditor,kamiharus menuliskan reportsemuanya,mulaidariA5, security policy, evidence based on document apa, action policy nomor berapa, dated berapa, revisionberapa,semuaharusdicantumkan.

Berarti seperti pendeskripsian? Tidak dikuantitafkan?

Iyabenar,pendeskripsian,tetapiadakuantitatifnyajuga,misalnyasampling, berapa komputeryangdijadikansample.Contohpadatigakomputeryangpastimemilikiasset number, sayatuliskanasset number-nyadidepartemenmanakarenasetiapareakamipunyadeskripsinyasendiri.Misalnyasayamengauditareadata center,sayaakanceksemuadokumentadi,manayangsudahapply apa evidence-nya.Termasuksampai ke area depan, ke area security, itu jugasayaharuscantumkanbahwamemangdi pintu depan sudah ada parameter security atautidakpakai.Apatidakpunyaaccess door, tetapisudahadasatpam.Sayaakantuliskanbahwa perusahaan sudah ada satpam dengan logbook,sehinggasetiaporangyangmasukharusmencatat,menuliskankeperluannyadengansiapa,danapatujuannya.

Sebelas domain itu sendiri, dari kacamata auditor apakah ada leveling? Maksudnya ada domain yang lebih utama dari domain yang lain.

Tidakada,semuanyaharus.KamibergerakdariStatement of Applicability(SOA).Namunperludiketahuibahwatidaksemua133kontrolitudiaplikasikan.Dankamihanyaakanmengecekyangdiaplikasikansajasecarageneral.A5itukangeneralya,security policyberikutnyakearahorganisasi.Lebihkearahkontrolnya,kamimelihatimplementasiyangkelihatan,misalnyadiacces control, apakah mereka melakukan evaluasi setiap acces control, apakah memiliki user metric atau tidak, seperti tadi untuk parameter security kami tekankan di sana.

KemudiankontrolyangharusadaialahBCPkarenatermasukmandatory document.SebenarnyaISO27001 adalah annex,lampiran.Kamisebagaiauditortidakmenganggapitusebagaimandatory, tetapi kami sebagai auditor menganggap enam mandatory document dulu, dari ISO 27000, mulai dari risk assessment, approach, internal audit, management review, corrective action, dan preventive action, itu justruyangmandatory.Selebihnyadocumented proceduremengacupadakontrol-kontrolyangmerekaterapkan.

DansatulagiadalahBCPkarenasyaratnyaISO27001ialahyangpalingterakhir,availability seperti apa.KalaumerekatidakadaavailabilityyangdidukungdenganBCP,berartimerekatidaksiapuntukISO27001karenamerekatidakbisamenyediakanavailibilty-nyaincaseterjadiapa-apadenganinfrastrukturdiorganisasitersebutyangmendukungprosesbisnis.

JadikalaumaulihatutamayaBCPitu.Kamijugaharusmelihathasiltesnya.Selebihnyamenurutsayasemuacukuppenting,tidakadamanayanglebihutamadibandingyanglainkarenabaliklagikeorganisasinyamanayangmerekamauaplikasikan.Kontrolnyatadiyangsudahsayasinggungdankamiakanceksemuayangmerekamauterapkan,bagaimanaimplementasinya.

Jika perusahaan menerapkan bentuk compliance yang lain, seperti misalnya PCI DSS pada perbankan, apakah akan menambah nilai lebih pada proses audit?

ISO27001tidakmengacupadastandaryanglain,kamihanyamengacupadaISO27001,tetapisebagaibest practicesayabolehmengatakanbahwaPCIDSSsudahlebihmajukarenatelahbegiturincimenyinggungteknologi,bagaimanaenkripsinya,firewallberapalapis,dansebagainya.HaltersebutdisinggungdalamPCIDSS,tetapiISO27001tidakberbicaraitu.KamisebagaiauditortetapakanmengeceksemuaklausulyangadadiISO27001plus133kontrolyangmerekaterapkan.

Bagaimana proses selanjutnya setelah stage dua dilakukan?

Setelahtahapsatudandua,kamimerekomendasikanorganisasiberhakmendapatkansertifikasi.Kamimemiliki revieweryangakanmengecekkembali,untukISO27001reviewer kami dari India. Mereka akan melakukan review semua dokumentasi hasil laporan tahap satu dan dua, berikut evidence, dan kelengkapanpersyaratannya.Setelahlengkap,organisasidinyatakanberhakmendapatkansertifikasi.

PENGALAMAN SEBAGAI AUDITOR ISO 27001

Untuk resertifikasi ISO 27001 per tiga tahun, apakah dilakukan dari stage pertama?

RAV (Reasssement Visit)hanyamengulangtahapkeduasajakarenaperusahaandianggapmenerapkandokumentasiyangsama,sehinggatahapsatubisadilewatkan.Auditseluruhbagiandilakukansamahalnyasepertipadatahapdua.

Sejauh pengalaman Anda dalam mengaudit, pada umumnya perusahan mengalami pending karena faktor apa?

Kalaupenundaansaatinisayabarumenemukanpadaduaperusahaan,halituterjadikarenasisidokumentasimerekayangternyatabelumsiap.Bahkandaritahapsatuperusahaanbelumsiap,bagaimanamajuuntuktahapberikutnya.Akhirnyaprosessertifikasiiniditunda,bukangagalya,sertifikasi ISO 27001 tidak mengenal kata gagal, hal itu kembali pada keinginan perusahaan. Sementarajikatahapsatubelumlolos,tahapduatidakbisadijalankankarenabiasanyatemuannyabesar.Perusahaanharusmelakukanmitigasidulu.Kalaumemangdapatdimitigasi,barukamijalanlagi ke tahap dua.

Jadi dari kurang lebih dua perusahaan yang pending, delapan perusahaan telah memperoleh sertifikasi ISO 27001?

Tidaksemuamemangsayatanganiauditnyadariawal,adabeberapayanghanyaCAV,jadimerekasudahdisertifikasisebelumnya,sayahanyamelakukanauditCAV,sayahanyamelakukanauditsetiaptahunnya. SayasendiribarubergabungpadaSeptember2012.SementarasebelumnyaBSIsudahmensertifikasibanyakjugaperusahaan,sehinggasayatidakmenanganidariawal,adayangbarusayaikutiditengah.ISO27001ituberlakuselamatigatahunya,padaawalsertifikasi,selanjutnyaCAV.Jadiyangsepuluhtadi sudah oke semua.

Dari organisasi yang berhasil sertifikasi ISO 27001, bagaimana sebaran fokus perusahaannya? Apakah mayoritas perbankan?

Sayajustrubelummengauditperbankan.Akantetapi balik lagi tadi, jika komitmen manajemen itu kuat, tidak harus perbankan juga bisa.DepartmenyangtidakadahubungannyadenganTIpunbisamenerapkanISO27001.Jadimindset-nyajanganmeluluTIkarenakeamananinformasibisaberupaapasaja,walaudidukungdenganTI.

Dari sepuluh yang ditangani, apakah ada yang di luar perusahaan TI?

Justrubanyak,divisikepegawaianatauSDMyangmengontrolrecordpegawaimisalnya.Ataupadapengadaansecaraelektronikjugakami audit, serta perusahaan transportasi bagian data center.

Adakah jaminan bahwa organisasi yang sudah disertifikasi ISO 27001 artinya aman?

KalauISO27001ituminimalya,maksudnyakami,sebagaiauditorsifatnyamemantauimplementasi.Maka kemudian ada CAV setiap tahun untuk memastikan perusahaan tetap konsisten menjalankan keamananinformasinya.Artinyaauditorcukuplamatidakmengauditkembali,satutahun,saatitulahkami harus mensertifikasi kembali, menjamin perusahaan konsisten menjalankan komitmen keamanan informasi. Kamijugasebagaiauditorpunyakewajibanmengawasisetiaptahunnya.Akantetapikembalilagi,itujuga tugas bersama, bahwa ISO 27001 merupakan continous improvement, setiap kami mendapatkan temuan, kami mengatakan pada perusahaan harus memperbaiki terus menerus karena tidak menjamin semuanya,kamiberdasarkansampling. Itu juga harus menjadi patokan. Serta kembali pada prilaku masing-masingorang,kamitidakbisamenjaminbahwaperusahaandengansertifikasiISO27001makakonsistenmenjalankannya.

Padasaatpelaksanaan,tugasperusahaanyangmemantau,sepertimelaluiinternal auditor. Jadi kami bekerjasama.KembalilagibahwaISO27001adalahbehavior, kembali ke komitmen manjemen untuk menjalankansecarakonsisten.

Dari pengalaman Anda sebagai auditor, boleh berikan tips untuk mendapatkan sertifikasi ISO 27001?

Daripengalamansayaselamaini,adasatupengalamandariperusahaanTIyangdapatdijadikanpelajaran,merekajustrukehilangannyawanyaISO27001.Baliklaginyawanyaadalahmanajemensistem,sistemjalanatautidak.Okesecarateknologimunculnyacelahkeamananinformasibisaditangani,namunharusadasistemyangjalan.

Dokumentasikanapayangandalakukan,lakukanapayangandadokumentasikanatautulisyangapaandajalankan,jalankanapayangandatulis.PadaTImisalnyayanglebihkesolusi,seringkalidokumentasinyatidakada.Dokumentasiituyangtidakdilakukandenganbaik.

Pemahamandokumentasiitusendiriunik,dokumentasidisinimaksudnyaadarecord dan arsip serta evidence.Iniyangseringjadiperdebatanbahwasemuadokumentasiperluditulis,dari1994kemudianklausulISOberubah,bukanmenulis,tetapirecorddanarsip.

Tipsselanjutnyaadalahbergerakdariapayangsudahbiasaperusahaanlakukan.Janganmenambahkansatuproseduryangtidakdiperlukanperusahaankarenapastikeamananinformasisudahbiasadilakukanwalautidaktertulisdalamsebuahprosedur.Jadibisamulaiduludarisitu.Selebihnyabarudisesuaikanapayangkurang dari prosedur ISO 27001.

Danyangpalingpenting,komitmenmanajemenkarenapenerapanISO27001seringkalimaudimulaidaribawah.Padahalbukandaribawah,tetapidariatas.OlehkarenaitupadaISO27001adasatuklausulkhususyaituklausullimayangisinyatentangmanajemen.Change management ini cultureyangharusdimulaidari atas. AR

COMPLIANCE

Sebagai salah satu poin penting dalam sertifikasi ISO 27001, Business Continuity Management wajib direncanakan, dimiliki, dan diterapkan pada organisasi.

BUSINESS CONTINUITY MANAGEMENT DALAM ISO 27001

Oleh : Jeffry Kusnadi

BCM bertujuan untuk memastikan perusahaan dapat mengantisipasi ancaman yang mungkin terjadi, serta dapat melanjutkan operasi dalam waktu yang ditentukan

eberadaan sarana dan sistem TI sebagai inti dari operasi perusahaan menciptakan tuntutan atas layanan yang disediakan oleh TI untuk terus

tersedia, meskipun terdapat gangguan. Tuntutan ini pula yang menyebabkan banyak perusahaan membuat dan mengimplementasikan manajemen keberlangsungan bisnis atau yang lazim disebut Business Continuity Management (BCM). Pemegang otoritas perbankan, Bank Indonesia juga telah mengatur perbankan di Indonesia untuk memiliki, mengimplementasikan, serta memastikan bahwa BCM yang telah dibuat dapat mendukung bisnis dalam kondisi darurat. Tujuan BCM tidak lain adalah untuk memastikan bahwa perusahaan dapat mengantisipasi segala ancaman yang mungkin terjadi, serta memastikan bahwa perusahaan dapat kembali melanjutkan operasi dalam waktu yang telah ditentukan. Dalam pelak-sanaannya BCM perusahaan harus didukung penuh oleh seluruh stakeholder perusahaan, serta disosialisasikan kepada seluruh lapisan dalam organisasi perusahaan.

Standar ISO 27001 mengharuskan hal-hal yang berkaitan dengan keamanan informasi untuk ambil bagian dalam BCM perusahaan. Hal ini mencakup identifikasi risiko, proses manajemen keberlangsungan bisnis, serta pengujian berkala untuk memastikan BCM perusahaan selalu dimutakhirkan. Ada beberapa tahap yang harus dilakukan dalam pembentukan BCM,

COMPLIANCE

Sebelum membuat BCM, perusahaan harus terlebih dahulu mengetahui anca-man apa saja yang mungkin dapat mengganggu operasional perusahaan. Dalam tahap identifikasi ini, ancaman dapat dikategorikan menjadi dua kelompok besar, yaitu ancaman dari dalam (internal threats) dan ancaman dari luar (external threats). Hal-hal yang terkait dengan internal threats biasanya memiliki sifat masih dapat dikendalikan oleh perusahaan, sedangkan external threats bersifat tidak dapat dikendalikan. Tentunya hal ini dapat berdampak pada bagaimana perusahaan memitigasi risiko ancaman. Ancaman dari dalam atau internal threats dapat berupa sabotase dari karyawan, spionase, pencurian data, ancaman virus pada perangkat pribadi, dan lain sebagainya. Sedangkan ancaman dari luar atau external threats dapat berupa ancaman bencana alam seperti kebakaran, gempa bumi, banjir, dan juga ancaman cyber, seperti DoS (Denial of Service), defacing (mengubah tampilan website), network intrusion, serangan virus, dan lain sebagainya. Perusahaan harus membuat prioritas dan peringkat kemungkinan (likelihood) dari berbagai ancaman tersebut. Dari peringkat ancaman, perusahaan harus membuat beberapa skenario kunci untuk kejadian bencana yang mungkin terjadi.

Identifikasi Ancaman (threat analysis)

COMPLIANCE

Setelah menentukan ancaman-ancaman yang relevan, perusahaan perlu mengidentifikasi bagian bisnis yang bersifat kritis terhadap keberlangsungan perusahaan. Pendekatan ini biasa dilakukan dengan menggunakan pendekatan risiko (risk based analysis), dimana perusahaan harus menentukan risiko-risiko terkait pada setiap kegiatan operasional perusahaan, contoh: risiko operasional, risiko kerugian finansial, risiko kepatuhan, risiko hukum, dan sebagainya. Ditahap ini pula perusahaan harus menentukan waktu yang dibutuhkan untuk memulihkan layanan TI, lazim disebut dengan Recovery Time Objective (RTO). Selain itu perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau lazim disebut Recovery Point Objective (RPO). Sistem atau layanan yang kritis biasanya akan memiliki RTO yang rendah, misalnya, RTO 15 menit, artinya layanan atau sistem harus pulih dalam waktu 15 menit, serta RPO yang rendah pula, misalnya RPO 0 detik, artinya tidak ada satu pun data yang boleh hilang akibat gangguan. Sistem pendukung yang tidak kritis dapat memiliki RTO dan RPO yang lebih tinggi. Contoh, sistem pembayaran gaji, di pertengahan bulan mungkin memiliki RTO yang cukup tinggi, misalkan sehari dengan RPO yang tinggi pula, misalkan sehari, namun keadaan tersebut bisa berbeda saat periode pembayaran gaji. Adanya analisis dampak terhadap bisnis ini akan menentukan strategi dalam membuat rencana keberlangsungan bisnis (Business ContinuityPlan/BCP).

Analisis dampak terhadap bisnis (Business Impact Analysis/BIA)

COMPLIANCE

Berdasarkan hasil analisis terhadap bisnis (BIA) serta skenario bencana yang mungkin terjadi, perusahaan harus membuat strategi pemulihan bencana yang sesuai. Hal ini mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC), pengaktifan perangkat cadangan, pemindahan server produksi yang aktif, dan lain sebagainya. BCP yang dibuat harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah ditentukan dalam BIA. Terkait dengan keamanan informasi, harus dipastikan bahwa BCP dapat mencakup pemulihan layanan dan data jika terjadi serangan yang melumpuhkan server produksi aktif. Aspek yang perlu dipertimbangkan dalam pembuatan BCP, antara lain :

Membuat BCP

COMPLIANCE

BCP harus memuat strategi dalam pemulihan bencana, antara lain mencakup kerangka kerja dalam pemulihan bencana, sistem atau layanan mana saja yang kritis, dan lain sebagainya.

Berisi struktur organisasi dalam keadaan darurat. Salah satunya adalah line of command (garis komando), serta call tree.

BCP harus memuat kemampuan atau keahlian yang dibutuhkan dalam keadaan bencana serta pemulihannya.

Berisi detil dan prosedur penetapan kondisi bencana, pemulihan, serta restorasi ke kondisi semula. Prosedur ini lazim disebut Disaster Recovery Plan (DRP).

Memuat teknologi yang dibutuhkan untuk mendukung keberlangsungan bisnis, antara lain infrastruktur utama dan cadangan, sarana backup, restore, dan lain sebagainya.

STRATEGI

STRUKTUR

PROSES

MANUSIA

TEKNOLOGI

COMPLIANCE

Skenario BCP yang telah dibuat harus diuji coba secara berkala. Hal ini dilakukan untuk dapat memastikan bahwa rencana yang disusun dapat mencapai tujuan pemulihan sistem atau layanan yang diharapkan secara efektif. Biasanya ada dua cara untuk melakukan uji coba ini, yaitu pertama adalah menggunakan simulasi kejadian bencana. Uji coba ini menggunakan simulasi data serta kejadian bencana yang seakan-akan kejadian sesungguhnya. Cara kedua adalah dengan menggunakan uji coba secara langsung, yaitu melakukan kegiatan operasional pada satu hari yang dipilih dengan mengaktifkan kondisi bencana. Uji coba dengan cara ini akan lebih efektif untuk memastikan kesiapan BCP karena perusahaan juga harus memastikan bahwa semua sistem atau layanan dapat berfungsi secara optimal pada infrastruktur cadangan, serta dapat dikembalikan ke infrastruktur utama tanpa gangguan.

Menguji serta memperbaharui BCP

Seluruh pegawai dalam perusahaan harus menerima pelatihan mengenai BCP. Hal ini untuk memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat, dan lain sebagainya. BCP yang tidak disosialisasikan kepada pegawai hanya akan menjadi dokumen yang kurang memiliki arti.

Sosialisasi ke seluruh pegawai

COMPLIANCE

Pembuatan BCM tidak hanya berhenti pada satu siklus, namun harus tetap diperbaharui secara berkala dan terus menerus. Hal ini sesuai dengan perubahan bisnis, perubahan infrastruktur TI, serta perubahan paparan ancaman yang ada. Perusahaan harus membuat sebuah tim mandiri yang bertugas untuk memastikan dan mengawasi BCM masih sejalan dengan operasional perusahaan serta mampu menangani permasalahan yang muncul akibat terjadinya bencana.

Selain memiliki BCM, ISO 27001 juga mewajibkan perusahaan untuk memiliki information security incident management agar segala kelemahan atau kejadian yang berkaitan dengan keamanan informasi dapat dikomunikasikan serta diambil tindakan guna perbaikan pada waktu yang telah ditentukan.

COMPLIANCE

KNOWLEDGEKNOWLEDGE

CLOUDSECURITY Bisakah Dipercayai?Oleh : Charles Lim

KNOWLEDGE

Saya belum terlalu percaya dengan layanan awan”, begitulah komentar salah satu eksekutif perusahaan

ketika ditanya, “seberapa percaya terhadap layanan awan? Kelihatannya para eksekutif masih ragu untuk memercayakan semua datanya baik di-proses maupun disimpan pada layanan awan. Bahkan lebih dari 85%, berdasarkan hasil survei Lieberman Software pada computerweekly.com, mengatakan mereka tidak bisa mempercayakan data yang bersifat sensitif untuk disimpan dalam layanan awan. Walau demikian, hasil suvei juga menunjukkan 46% responden yang memindahkan datanya ke layanan awan merasa datanya lebih aman.

Layanan awan yang sering disebut dengan Cloud Service merupakan layanan berbasis Internet, dimana sumber daya yang ada digunakan bersama, yang dirancang untuk memudahkan pengguna untuk membeli maupun memberhentikan langganan layanan awan kapan saja dikehendaki sesuai dengan kebutuhan. Dengan digunakan bersama sumber daya seperti prosesor, memori, dan hard disk, maka beban biaya untuk penggunaan sumber daya dapat

ditanggung bersama sehingga biaya layanan awan menjadi salah satu alasan penting mengapa layanan awan menjadi pilihan para eksekutif dalam menekan biaya Teknologi Informasi perusahaan. Hal yang menjadi pertanyaan utama para eksekutif dalam mempertimbangkan layanan awan adalah keamanan awan itu sendiri. Keuntungan yang diberikan oleh layanan awan, yaitu berupa biaya yang jauh lebih rendah, menimbulkan faktor risiko keamanan informasi pada saat bersamaan. Semua risiko keamanan informasi pada layanan awan berpusat pada teknologi virtualisasi yang digunakan. Semua layanan awan disiapkan menggunakan virtualisasi sistem hardware yang ada, sehingga jika para penyusup berhasil menguasai sistem virtualisasi tersebut dengan hak administrator, setiap pelanggan layanan awan dapat dimatikan sewaktu-waktu oleh penyusup.

Walaupun faktor penyusupan seperti yang digambar-kan di atas dapat terjadi, kemungkinannya dapat dikurangi apabila pengguna layanan awan lebih mempersiapkan diri dalam menghadapi berbagai kemungkinan yang dapat terjadi pada layanan awan.

KNOWLEDGE

BERIKUT BEBERAPA SARAN HAL YANG DAPAT DIPERTIMBANGKAN UNTUK PARA EKSEKUTIF YANG SEDANG MEMPERTIMBANGKAN LAYANAN AWAN SEBAGAI SARANA UNTUK MENEKAN BIAYA IT YANG TERUS MENINGKAT:

DIMANA PENYIMPANAN DATA LAYANAN AWAN?

APAKAH DATA ANDA SUDAH TERISOLASI DENGAN BAIK?

BAGAIMANA AKSES TERHADAP DATA DILAKUKAN?

Lokasi penyimpanan data layanan awan menjadi sangat penting, terutama pada saat kebutuhan permintaan pemeriksaan oleh pihak yang berwenang, dimana lokasi yang di luar yurisdiksi kewenangan pemeriksaan tidak memungkinkan adanya penuntutan hukum bila terjadi kasus pidana maupun perdata. Untuk itu pemerintah melalui Kementerian Komunikasi dan Informatika telah menerbitkan Peraturan Pemerintah No. 82 Tahun 2012 yang mengharuskan lokasi pusat data berada di wilayah Indonesia (web.kominfo.go.id).

Mekanisme isolasi yang baik dalam lingkungan layanan awan adalah menggunakan enkripsi untuk semua data yang disimpan. Tentunya metode enkripsi perlu diuji dengan baik sebelum digunakan secara luas dalam layanan awan.

Mengingat data organisasi diletakkan diluar organisasi maka akses kepada program dan data perlu didefinisi dengan jelas terutama yang mempunyai hak istimewa dalam mengakses program dan data organisasi

KNOWLEDGE

APAKAH PENYEDIA LAYANAN TERMASUK MITRA KERJANYA MEMENUHI SYARAT ATAU KETENTUAN YANG BERLAKU?

BAGAIMANA PENYEDIA LAYANAN MELAKSANAKAN TANGGAP DARURAT TERHADAP LAYANAN YANG DIBERIKAN?

BAGAIMANA KINERJA (UPTIME ATAU DOWNTIME) LAYANAN AWAN ?

Penyedia layanan wajib mematuhi dan memenuhi semua syarat dan ketentuan atau peraturan yang berlaku. Serta semua temuan auditor eksternal transparan terhadap pengguna layanan awan

Bencana selalu terjadi tanpa ada pemberitahuan sehingga penyedia layanan perlu memiliki rencana tanggap darurat bila terjadi, paling tidak ada beberapa lokasi pusat data yang dapat dijadikan alternatif bila diperlukan saat darurat.

Penyedia layanan biasanya memberikan jaminan sebuah angka uptime, misal 99.5% untuk layanan awannya, sehingga penyedia layanan akan memberikan ganti rugi apabila uptime tidak sesuai dengan yang dijanjikan.

KNOWLEDGE

BAGAIMANA REPUTASI PENYEDIA LAYANAN?

BAGAIMANA PENYEDIA LAYANAN AWAN MENYEDIAKAN INFORMASI UNTUK KEBUTUHAN INVESTIGASI?

Apabila perusahaan penyedia layanan terpaksa tidak melanjutkan layanan awannya, apakah penyedia layanan dapat memindahkan data dan program organisasi anda ke penyedia layanan awan yang ditunjuk

Dengan konsumen layanan awan datang dan pergi maka pencatatan sistem satu konsumen bergabung dengan pencatatan konsumen lainnya. Proses tersebut mempersulit proses investigasi kecuali penyedia layanan mempunyai dan dapat menunjukkan teknik yang sudah terbukti serta dapat dipertanggung jawabkan

KNOWLEDGE

Walau penyedia layanan awan menghadapi berbagai tantangan, jumlah pengguna layanan awan terus meningkat cukup siknifikan (forbes.com). Penggunaan Private Cloud dan Public Cloud masih mendominasi penggunaan layanan awan. Para penyedia layanan awan juga tidak tinggal diam, inovasi untuk meningkatkan keamanan pada layanan awan terus ditingkatkan. Microsoft tahun ini akan mulai memperkenal layanan yang disebut Trust Service, dimana layanan tersebut memberikan layanan pada para pengembang aplikasi dimana data dapat terenkripsi pada tingkat aplikasi dan hanya dapat dibaca oleh pengguna data yang mempunyai otorisasi (microsoft.com).

Dengan propaganda penggunaan layanan awan terus meningkat, ditambah adanya berbagai insentif atau kemudahan bagi yang menerapkan Green IT (TI yang bersahabat dengan lingkungan), mobilitas pengguna yang terus bertambah, dan Big Data (tersedianya informasi dalam bentuk digital dalam semua bidang terus meningkat tajam), maka penggunaan layanan awan akan terus meningkat pesat. Bahkan menurut hasil rist Frost

and Sullivan tahun 2013 (asiacloudforum.com), pendapatan layanan awan akan mencapai lebih dari 12 miliar USD, suatu nilai yang luar biasa. Tahun ini, raksasa perangkat lunak Microsoft penjualan layanan awan berbasis Microsoft Azure telah mencapai satu miliar USD (news.cnet.com), sehingga prediksi Frost and Sullivan pada tahun 2016 tidak sulit untuk dicapai.

Hal yang diperlukan adalah organisasi terus bergerak dengan penuh waspada dalam menerapkan layanan awan, termasuk membangun kepercayaan dengan penyedia layanan awan di samping mencari informasi bagaimana semua mitra dari penyedia layanan bekerjasama dalam memberikan layanan secara menyeluruh. Selain menggunakan Service Level Agreement sebagai salah satu sumber yang mengikat komitmen penyedia layanan awan terhadap konsumen, pengguna juga perlu mencari auditor mandiri di bidang keamanan informasi untuk menentukan status keamanan informasi layanan awan.

KNOWLEDGE

WAWANCARADENGAN XL AXIATAGM CLOUD SERVICE,DR. ARKAV JULIANDRI

Saat ini XL Axiata sudah memiliki layanan awan dengan nama XCLOUD dan layanan awan tersebut termasuk IaaS (Infrastructure as a Service) dan SaaS (Software as a Service). Contoh IaaS adalah XCLOUD storage dan contoh dari SaaS adalah Microsoft Office365.

XL AXIATA SAAT INI SUDAH MEMILIKI LAYANAN AWAN, BISA SEBUTKAN LAYANAN AWAN APA SAJA YANG SEKARANG SUDAH ADA?

Ada dua tantangan utama, yaitu kekwatiran para eksekutif terhadap keamanan layanan awan dan cara berpikir atau

MENURUT ANDA, APA SAJA YANG MENGHAMBAT PERUSAHAAN KOMERSIAL MENGADOPSI LAYANAN AWAN?

XL Axiata bekerjasama dengan beberapa pihak, baik industri dan akademisi (Swiss German University, Universitas Indonesia, dan Institut Teknologi Bandung) untuk meningkatkan kompentensi dan keamanan layanan awan.

BAGAIMANA CARA XCLOUD MEYAKINKAN PELANGGAN MENGENAI KEAMANAN LAYANAN AWAN?

Memang membangun bisnis XCLOUD membutuhkan waktu dan tidak dapat

BAGAIMANA XCLOUD MEMBANGUN KEYAKINAN KONSUMEN DALAM MENGGUNAKAN LAYANAN AWAN?

paradigma calon pengguna layanan awan, pilihan antara membeli atau menyewa.

dilakukan dalam waktu sekejap. XCLOUD saat ini sudah memiliki lebih dari sepuluh perusahaan yang menggunakan XCLOUD sejak dikampanyekan pada November 2012. Para CFO saat ini mulai sadar, bahwa memiliki infrastruktur TI sendiri sangat mahal dan disinilah IT sourcing seperti layanan awan dapat memberikan manfaat dari sisi biaya sehingga biaya TI dapat jauh ditekan. Dengan demikian perusahaan dapat mengalihkan biaya yang dihemat untuk investasi ke unit lainnya.

KNOWLEDGE

KEAMANAN ENKRIPSI PADA HALAMAN LOGINOleh : Eko Prasetiyo

KNOWLEDGE

KNOWLEDGE

Keamanan sebuah halaman web pada login diperlukan guna membatasi pengguna untuk mengakses halaman dengan tingkat manajemen yang berbeda-beda, sesuai dengan aturan yang telah dibuat oleh para pengembang aplikasi. Dengan teknolo-gi ini seorang pengguna diharapkan untuk mengakses halaman web sesuai dengan kebijakan yang telah ditetapkan. Ketika pengguna telah selesai mengakses halaman web, maka pengguna tersebut dapat keluar dari aksesnya (logout), sebagaimana da-lam penerapan di dunia nyata, dimana ketika seorang masuk ke ruangan dibutuh-kan otentikasi bahwa orang tersebut terdaftar. Jika data yang diberikan sesuai, orang tersebut dapat mengakses ruangan. Dan apabila telah selesai beraktifitas dalam ru-angan orang tersebut dapat keluar melalui pintu yang telah disediakan.

Meskipun teknologi semakin maju, ada beberapa hal yang tidak bisa dilakukan oleh sebuah sistem, dimana seorang penyerang yang berhasil mendapatkan akses login melalui teknik Man In the Middle Attack, menebak secara berulang (brute force) atau dengan injeksi SQL, penyerang dapat melakukan login menggunakan akun yang bukan miliknya. Ini merupakan isu keamanan pertama yang perlu diperhatikan bagi pengembang aplikasi web.

Beberapa framework pengembangan aplikasi telah mencegah serangan tersebut. Namun berdasarkan pengalaman, enkripsi pada halaman login merupakan salah satu celah paling banyak ditemukan dalam melakukan penetration test pada aplikasi web. Hal ini disebabkan kurangnya pemahaman pengembang aplikasi terhadap proses detail layer per layer mekanisme login.

KNOWLEDGE

Secara prosedur beberapa mekanisme login juga memiliki kelemahan. Sebagai contoh kita mengambil sebuah standar keamanan mekanisme login yang diatur oleh PCI DSS. PCI DSS v2 Requirement 8.5.13, percobaan login tidak boleh dilakukan lebih dari enam kali. Jika pengulangan login lebih dari enam kali maka sebaiknya akun di-disable atau dikunci untuk sementara waktu. Lalu requirement poin 8.5.14 standarisasi yang sama mengatakan akun di-disable selama tiga puluh menit atau dapat juga diaktifkan secara langsung jika telah mengonfirmasi dengan pihak penyedia layanan.

Selain itu, penggunaan mekanisme login pada aplikasi bisnis yang memiliki risiko tinggi seperti perbankan seharusnya tidak hanya melakukan enkripsi pada text input password, tapi juga kepada text input username. Pertimbangan lain juga dikarenakan username merupakan variabel pada sistem perbankan yang tidak seharusnya diketahui oleh orang lain selain pemiliknya.

PROSES

AksesLogin

Administrator

PCI DSS v28.5.13

PCI DSS v28.5.14

Gagal

Kontak Administrator

Enable

Setelah 30 menit

Tentunya berbeda hal nya dengan aplikasi media sosial seperti Facebook dan Twitter. Username merupakan informasi publik yang disebarkan.

KNOWLEDGE

ENKRIPSI

Pada umumnya enkripsi sederhana yang digunakan pada halaman login adalah jenis hash MD5. Beberapa penerapannya pun terkadang masih mispersepsi.

Terlihat pada gambar sebuah kasus dimana pengembang aplikasi telah mengubah variable password menjadi hash MD5 akan tetapi pada saat melakukan transfer data sebenarnya masih dalam bentuk aslinya (input teks belum berubah), perubahan teks, dari teks asli menjadi bentuk MD5 terjadi di sisi server.

Pada langkah pertama pengguna melakukan sebuah permintaan akses login ke server dengan mengirimkan data username dan password yang masih dalam bentuk teks aslinya, penerapan ini masih dianggap rentan karena hanya menggunakan software seperti wireshark password dapat dibaca dengan mudah.

Sedangkan pada gambar lainnya terlihat sebuah kasus dimana pengembang aplikasi telah mengubah variable password menjadi hash MD5 pada sisi klien, sehingga permintaan akses

KNOWLEDGE

login ke server telah mengubah teks aslinya ke bentuk MD5 sebelum server menerima sebuah permintaan dari pengguna. Pada Gambar 2 penerapan seperti ini dapat dikatakan aman dengan tingkat keamanan yang rendah seorang penyerang dapat mencoba mencocokan input teks yang dalam bentuk MD5 dari hasil capture traffic, yang diperolehnya dengan menggunakan tools seperti John The Ripper.Sistem login ini juga memiliki celah keamanan lain, seperti brute force pada halaman login. selain itu perubahan dari teks asli menjadi MD5 tidak mengalami perubahan (statis).

Lain halnya dengan jCryption. jCryption dibuat oleh Daniel Griesser yang merupakan metode enkripsi dinamis client side menggunakan javascript serta metode dekripsinya dilakukan di server side meng-gunakan PHP. Dengan penggunaan jCryption, ketika klien menekan tombol login, dari sisi klien melakukan permintaan ke server untuk menghasilkan public key. Setelah klien mendapatkan public key yang telah diperoleh dari server, klien dapat menggunakan public key tersebut untuk berkomunikasi ke server.

KNOWLEDGEKNOWLEDGE

Klien mengirimkan data yang telah terenkripsi menggunakan public key yang telah diberikan oleh server.

Hasil permintaan ke server berhasil dienkripsi. Enkripsi terjadi pada sisi server. Sementara itu, hasil dekripsi dilakukan di sisi server.

KNOWLEDGE

Setelah dilakukan pengujian dengan melakukan login sebanyak dua kali, menghasilkan enkripsi yang berbeda dengan nilai variabel yang sama pada username dan password.

KNOWLEDGE

KNOWLEDGE

Penggunaan enkripsi menggunakan jCryption lebih baik dibandingkan dengan penggunaan MD5 karena input teks awal mengalami perubahan pada saat melakukan permintaan login ke server. Namun keamanan ini tidaklah baku, para pengembang dapat menerapkan jenis enkripsi lainnya. Teknologi ini tidak dapat dikatakan sangat aman karena bagaimanapun transfer data menggunakan HTTP dapat dilihat. Melainkan, jCryption sangat disarankan sebagai pelengkap HTTPS untuk aspek keamanan mekanisme login sebuah aplikasi web, bukan sebagai pengganti HTTPS. jCryption dibutuhkan untuk mengatasi celah ketika paket data yang ditransmisikan ke server masih bisa ditangkap oleh penyerang pada segmen jaringan yang sama. Bagaimanapun HTTPS tetap diperlukan guna meningkatan keamanan pada halaman login yang tentunya sesuai dengan kriteria HTTPS yang aman seperti yang telah dibahas pada edisi sebelumnya.

FORENSIC

COMPUTERFORENSIC

Oleh: Ahmad Zaid Zam Zami

Prosedur dalam komputer forensic menempati posisi yang sangat krusial. Tanpa adanya prosedur, penanganan yang salah dapat terjadi pada bukti digital

PROSEDUR KOMPUTER FORENSIC

BAG 2

Mengikuti sebuah prosedur adalah hal yang sangat penting

dalam computer forensic karena dapat mempengaruhi keberhasilan proses investigasi. Computer forensic identik dengan pemeriksaan bukti digital yang memiliki sifat alamiah, rentan terhadap perubahan dan masa aktif tertentu, sehingga diperlukan penanganan yang tepat. Untuk menghindari penanganan yang salah, seorang tenaga ahli computer forensic perlu mengetahui dan menerapkan prosedur operasi standar computer forensic.

FORENSIC

Teknologi komputer dan media penyimpanan senantiasa mengalami perkembangan dari generasi ke generasi namun desain teknologi yang diimplementasikan pada dasarnya sama, sehingga prosedur computer forensic yang sama pun dapat diterapkan pada berbagai macam jenis komputer maupun media penyimpanan lainnya. Bukti digital dapat ditemukan dalam berbagai bentuk baik berupa file dokumen, gambar, video, email, log, browser history, registry serta bentuk lainnya. File tersebut adakalanya aktif, terhapus, atau bahkan tersembunyi. Dengan beragamnya bentuk bukti digital yang terdapat pada perangkat komputer, diperlukan ketelitian serta pengetahuan yang luas oleh seorang tenaga ahli computer forensic mengenai jenis-jenis bukti digital serta teknik penangananya.

Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan di pengadilan. Kehati-hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu, atau sengaja diubah.

FORENSIC

BERIKUT ADALAH BEBERAPA POTENSI ANCAMAN YANG DAPAT MENGUBAH ATAU MENGHILANGKAN BUKTI DIGITAL SELAMA PROSES AKUISISI BUKTI DIGITAL DARI SUATU MEDIA :

Virus merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja maupun tidak, karena eksekusi program lainnya.

Virus memiliki potensi untuk merusak atau menghilangkan bukti digital.

Program yang melakukan pember-sihan temporary file, seperti cache, history, maupun cookies, pada komputer yang berjalan secara

otomatis ketika komputer dinyalakan atau dimatikan. Program ini sebenarnya bukan merupakan program jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan mati.

Penyimpan media dalam suatu ruangan yang tidak kondusif, dapat mengakibatkan kerusakan atau hillangnya bukti digital.

Sehingga diperlukan ruangan khusus untuk penyimpanan media yang dapat dipantauserta diatur kelembaban udaranya, suhu, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.

CHAIN OF CUSTODY atau dokumen yang mencatat setiap proses investigasi dari mulai identifikasi bukti digital, duplikasi, analisi hingga pembuktian di pengadilan. Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta mencakup informasi, siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti digital tersebut diperiksa.

WAKTU menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga ancaman terorisme dapat digagalkan.

FAKTOR YANG TIDAK BERHUBUNGAN SECARA FISIK PADA PROSES AKUISISI DAN PEMERIKSAAN BUKTI DIGITAL

FORENSIC

Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, ter-lebih jika terdapat pada beberapa media penyimpanan yang berkapasitas besar. Adakalanya juga bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang umum digunakan antara lain, mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk mengelabuhi, contoh file dokumen berektensi .docx yang diubah ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan proses investigasi. Teknik lainnya menggunakan teknologi enskripsi, yang memerlukan key atau password tertentu untuk membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini,seorang tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk menemukan key atau password agar informasi yang dienskripsi atau disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup lama. Demikian juga teknik steganography yang memiliki kemampuan untuk menyembunyikan file atau informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.

FORENSIC

BERIKUT ADALAH PROSEDUR UMUM YANG DAPAT DITERAPKAN SELAMA PROSES INVESTIGASI KOMPUTER FORENSIK YANG MENCAKUP ASPEK TEKNIS DAN NON-TEKNIS :

Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita dan memeriksa komputer tersangka.

Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang serta terlibat

dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.

Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah yang dilakukan adalah

proses atau service yang sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses akuisisi (imaging) data , baik yang tersimpan pada hard disk maupun yang tersimpan diRAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara normal.

Jika di tempat kejadian ditemukan komputer dalam keadaan menyala,jangan langsung mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi koneksi , informasi sistem operasi, hard disk, partisi , informasi

Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut pada perangkat computer forensic yang telah dilengkapi dengan perangkat write blocker. Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi bukti digital dari perubahan serta kerusakan data.

melepas hard disk-nya serta mencatat informasi fisik hard disk yang tedapat pada label hard disk tersebut.

FORENSIC

FORENSIC

Untuk memastikan proses imaging berjalan dengan sempurna , lakukan pengecekan dengan menggunakan teknik hashing. Teknik ini merupakan teknik komputasi untuk mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa proses imaging telah sempurna.

Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada media tersebut, baik terhadap file yang aktif, terhapus, maupun tersembunyi. Pemeriksaan dapat dilakukan antara lain dengan, analisis metadata, analisis timeline (kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus atau terfragmentasi.

Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga tahap akhir pemeriksaan bukti digital.

Catatlah setiap proses yang dilakukan dalam lembar chain of custody.

FORENSIC

MENGENAI ID-SIRTII

K ejahatan cyber meningkat sejak 2003, Kepolisian Republik Indonesia (Polri) mencatat 71 kasus kejahatan cyber. Kejahatannya pun beragam, seperti credit card fraud, ATM/EDC skimming,

hacking, cracking, phishing, internet banking fraud, malware, internet pornografi, dan banyak kejahatan cyber lainnya.

Menjawab tantangan di atas, Peraturan Menteri No. 26/PER/M.KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jaringan Telekomunikasi Berbasis Protokol Internet dikeluarkan pada 4 Mei 2007. Menteri Komunikasi dan Informasi menunjuk Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Center (ID-SIRTII/CC) untuk melakukan pengawasan keamanan jaringan telekomunikasi berbasis protokol internet.

ID-SIRTII lembaga yang memiliki peran strategis – dalam sosialisasi dengan pihak terkait tentang IT security (keamanan sistem informasi), melakukan pemantauan dini, pendeteksian dini, peringatan dini terhadap ancaman terhadap jaringan telekomunikasi dari dalam maupun luar negeri khususnya dalam tindakan pengamanan pemanfaatan jaringan, membuat/menjalankan/mengembangkan dan database log file serta statistik keamanan Internet di Indonesia – untuk memberikan informasi berkala mengenai laporan serangan oleh ID-SIRTII. Tujuannya tidak lain adalah memberikan kesadaran pada lapisan pembaca atas kejahatan cyber yang semakin canggih serta meningkat secara kuantitas.

METODE PENGAMATAN ID-SIRTII PADA TREN SERANGAN KEAMANAN INTERNET

PERALATAN PEMANTAUAN INTERNET// Aktif : Peralatan Monitoring Internet Id-Sirtii

// Partisipatif : Tsubame Project Dan Nicter

PELAPORAN INSIDEN KEAMANAN INTERNET (Http://Idsirtii.or.id/Pelaporan-Insiden-Keamanan-

Internet/

SURVEI SERANGAN WEBSITE DOMAIN INDONESIA

LAPORAN BULANAN // APRIL 2013

April Maret Rata - Rata Tahun Lalu

Pemantauan Traffic 9.924.525 10.744.727 3.474.728,00

Aktivitas Malware 8.083.850 8.101.801 445.186,33

Insiden Website 846 876 792,23

Informasi Celah Keamanan 1.545 993 -

Aktivitas Manipulasi & Kebocoran Data

569 96 -

Pelaporan Insiden 117 62 58,75

Laporan bulanan ini merupakan hasil pengamatan Id-SIRTII/CC tentang tingkat keamanan internet di Indonesia dalam bulan April 2013. Laporan ini berisikan tentang pemantauan trafik nasional, aktifitas malware, insiden website, informasi celah keamanan, aktivitas manipulasi dan kebocoran data serta pelaporan insiden.

RANGKUMAN

// APRIL 2013

serangantraffic

960.688

36.40816.822

12.6424.073

3.1952.744

14.443

37.790

1.781.534

7.054.186Berdasarkan hasil pe-mantauan trafik nasi-onal di perangkat Id-SIRTII/CC periode bulan April 2013, serangan terbesar terdapat di kategori MALWARE-CNC mencapai 7.054.186 serangan per bulan. Serangan MALWARE-CNC mendominasi sebesar 71,08% dari kategori serangan lainnya selama satu bulan. Diikuti oleh SERVER-MSSQL sebesar 1.781.534 (17.95%).

Jumlah keseluruhan dari trafik serangan sebesar 9.924.525 jumlah ini menurun jika dibanding-kan dengan bulan lalu.

40.00K

32.00K

24.00K

16.00K

8.00K

0.0001 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

// APRIL 2013

Pemantauan aktivitas malware di perangkat Id-SIRTII/CC pada periode April 2013, total sebanyak 8.083.850 terlihat menurun dibandingkan bulan lalu sebesar 8.101.801. Adapun aktivitas terbesar pada jenis malware seperti terlihat pada tabel 2 yaitu MALWARE-CNC, sebesar 8.040.174 aktivitas.

Total sebanyak 8.083.850 aktivitas malware untuk MAL-WARE-CNC mendominasi sebesar 99,46% dari seluruh aktivitas malware yang terpantau. Sementara itu, aktivi-tas malware lainnya seperti BLACKLIST sebesar 0,45%, SPYWARE-PUT sebesar 0,05%, dan PUA-ADWARE sebe-sar 0,04%.

aktivitasmalware

99,46%

0,54%

Januari Februari Maret April

980

1339

876

846

.sch.id

0

50

100

150

200

250

300

350

400

.web.id .go.id .co.id .or.id .ac.id .mil.id .net.id .com .net .org .co. biz .in .asia. name. eu

Sejak 4 April hingga 30 April 2013 insiden website menurun. Total se-banyak 846 insiden yang terjadi dibandingkan bulan Maret 2013 dengan total sebanyak 876 insiden dari berbagai domain. Saat ini data yang di dapat berdasarkan pelaporan langsung, pencarian melalui mesin pencari google.com, zone-h.org, maupun dari hack-db.com. Selama April 2013 total insiden serangan terhadap website (deface) mencapai 846 buah insiden pada berbagai domain.

Berikut ini perbandingan intensitas insiden website selama empat bulan dalam tahun 2013.

Adapun lima domain peringkat teratas dari insiden website yang terjadi pada bulan ini adalah sebagai berikut:

1. .go.id sebanyak 157 (18,56%)2. .sch.id sebanyak 143 (16,90%)3. .co.id sebanyak 139 (16,43%)4. .ac.id sebanyak 119 (14,07%)5. .web.id sebanyak 108 (12,77%)

// APRIL 2013

// APRIL 2013

Selama April 2013, Id-SIRTII/CC melakukan pemantauan berkaitan dengan informasi celah keamanan pada website yang berbasis .id. Berdasarkan hasil pemantauan, didapatkan sebanyak 130 buah website terdapat celah keamanan dengan rata-rata 4 buah website yang ditemukan setiap harinya. Domain .ac.id merupakan domain diperingkat teratas ditemukan celah keamanan, diikuti oleh domain .go.id, dan domain .co.id. Celah keamanan yang ditemukan ini merupakan celah yang memungkinkan dapat di exploitasi lebih lanjut.

2

8

3 1 26

16

144

157164

Berdasarkan pengamatan yang dilakukan dari pastebin dan google hacking database, maka dapat disimpulkan website di Indonesia yang memakai domain .id terdapat kebocoran data di 16 site domain dan 487 record. Site domain yang sering terjadi kebocoran data yakni .ac.id, .go.id, .co.id, or.id, serta .sch.id. Namun dari domain tersebut yang paling sering terjadi kebocoran data yakni sch.id, .ac.id, dan .go.id. Pada bulan April 2013 jumlah data leakage site domain .ac.id dan .sch.id lebih sedikit dari .go.id, namun record nya lebih besar.

Pelaporan phising pada bulan April 2013, terdapat sejumlah situs yang dipalsukan, dibuat mirip dengan aslinya ataupun menyamarkan informasi yang ditujukan untuk mengelabui pengunjung situs tersebut. Umumnya situs yang dipalsukan dengan IP Address Indonesia ini adalah dengan nama domain .com, .ac.id, .co.id, .net, .org, dsb. Berdasarkan dari sumber mesin pencari seperti google.com, Phistank, dan pelaporan dari monitoring Id-SIRTII/CC pada April 2013 mencapai 66 website yang terkena phishing. Hal ini lebih tinggi dari bulan sebelumnya. Pada domain .com aktivitas ini ditemukan berjumlah 58 buah, domain .ac.id sebanyak 2 buah, dan domain .co.id sebanyak 6 buah. Adapun domain .net, .org, or.id, dan .web.id, tidak ditemukan.

// APRIL 2013

Periode bulan April 2013, pelaporan insiden dari masyarakat yang masuk melalui email Id-SIRTII/CC di incident@idsirtii.or.id sebanyak 117 buah laporan. Dimana laporan terbanyak adalah kategori malware yang mencapai 66 laporan, selanjutnya fraud dengan 32 laporan, Vulnerability sebanyak 16 laporan, Intrusion dengan 2 laporan, dan DOS dengan 1 buah laporan.

// APRIL 2013

RECOMMENDED

DIGITAL FORENSIC : PANDUAN PRAKTIS INVESTIGASI KOMPUTER

Oleh : Muhammad Nuh Al AzharKebutuhan ahli digital forensik di Indonesia sangat tinggi, namun masih minim sekali yang mampu. Buku ini memberikan panduan umum maupun teknis bagi aparat penegak hukum, dosen, mahasiswa, hingga para pelaku TI dalam melakukan digital forensik dengan cara yang benar. Mulai dari pengenalan dasar undang-undang di Indonesia, prosedur, hingga sisi teknikal digital forensik.Penggunaan alat bantu perangkat lunak yang dicontohkan dalam buku ini pun bervariasi. Mulai dari yang berbayar dan berbasiskan Windows, maupun berbasis open source. Terlihat pada buku ini, penulis memaparkan pengalaman dalam melakukan analisa digital forensik yang sering terjadi pada kasus-kasus yang telah investigasi olehnya.

Penerbit : Salemba Infotek

BooksApps

www.senderbase.org

Situs ini mengumpulkan laporan terhadap reputasi IP dan domain name di seluruh dunia terhadap ancaman spam dan email secara real time. Situs ini menganalisa lebih dari 100TB informasi keamanan internet per harinya terhadap lebih dari 1,6 juta web, email, firewall, dan perangkat IPS. Selain web dan email, senderbase.org juga memberikan laporan mengenai malware paling baru yang ditemukan setiap harinya.

Tidak hanya itu memberikan laporan umum, situs ini juga memiliki fitur pengecekan IP atau domain name tertentu dan memberikan laporan detail mengenai reputasinya.

Website

RECOMMENDED

UNTRACEABLE ( 2008 )

Terkena dampak buruk social media, seorang pemuda yang kesal terhadap publik internet yang senang melihat video kematian ayahnya, mengeksploitasi hal tersebut untuk melakukan pembunuhan berantai. Dengan teknologi canggih yang dimiliki pelaku, aksi tersebut tidak dapat dilacak dengan mudah oleh FBI. Hingga suatu hari, pelaku mengetahui kegiatan investigasi yang dilakukan FBI terhadap dirinya, pelaku akhirnya mengincar keluarganya. Film ini memperlihatkan kecanggihan teknologi hacking serta trik-trik social engineering yang sophisticated. Tidak hanya itu, terlihat sekali salah satu dampak buruk media sosial serta perilaku pengguna terhadap kejiwaan seseorang.

Sutradara : Gregory Hoblit

Film

RECOMMENDED

Head IT Infrastructure and Security (ISS)Indomobil Finance

IT Security EngineerDatacommJakarta

IT Security SpecialistPT Sanghiang Perkasa (KALBE Nutritionals) Jakarta

Qualifications:

// Min. Bachelor Degree (S1) in Computer Science or Information Technology or Electrical Engineering min GPA is 3.0 (on 4.0 scale)// Having CCNA and CCNP certificate would be an advantage// Have competency in implementing and secure communication networking LAN, WAN, Internet, E-mail (Web Server, Mail / Exchange Server, Firewall) and Citrix// Management of system operations in a windows and linux// Responsible for network management, it security, recovery strategy with min 3 years experience// Proactive, hard worker and can work with limited supervision// Male max 34 years old and can coordinate a team

Send Applicantsemail resume with most recent photo and Transcript of Records to ITrecruitment@indomobilfinance.com

Requirement:

// Graduated from reputable university majoring in Electrical or Telecommunication Engineering or Computer Science or Information Technology with min. GPA of 3.0.// Having good knowledge with OSI Layer and TCP/IP network.Having good knowledge with IT security concept, Firewall, IDS/IPS, VPN, NAC, QoS management and SIEM.Having good knowledge with Windows, Linux, *BSD platform administration.// Having good knowledge with security tools is advantages (Network Reconnaisance, Vulnerability Scanning, Exploitation Framework, Incident Handling, and Digital Forensic).// Hands-on experience with PERL, PYTHON, and BASH is preferable.Having good writing, communication, and presentation skill.Passionate to learn, hardworking, good team player and willing to travel all over Indonesia.

Responsibilities:

// Create, Implement, and Update the secure system (existing and new) for network, application, and server

Requirements:

// Male,// Max. 30 years old// Bachelor degree from Information technology, Computer, or Information

Kirimkan Surat Lamaran, CV Lengkap beserta Foto Terbaru dan fotokopi KTP ke e-mail:

Grha DatacommJl. Kapten Tendean 18AJakarta 12790, IndonesiaT. +62 21 2997 9797F. +62 21 2997 9898 webmaster@datacomm.co.id

Management// Have experience min. 2 years in System Security Policy Development and Security Penetration Testing Application.// Skill needed : Security Penetration System and Security Policy System// Attention to detail, excellent in team work, good integrity, humble, good adaptable, and high drive for result// Placement : Head Office (Sunter)

Please send your application to : HRD – KALBE NUTRITIONALSGed. Graha Kirana Lt. 5 suite 501Jl. Yos Sudarso Kav. 88 Sunter Jakarta Utara 14350Or Email :recruitment@kalbenutritionals.com

CAREER

Compliance Auditor (AD)PT Intertek Utama ServicesJakarta Pusat

Information Security ManagerPT GUNUNG SEWUJakarta Selatan

IT Security StaffPT Collega Inti PratamaJakarta

Requirements:

// Law or Environmental Engineering graduates // Female// Have experience minimum 1 (one) year in HR or Environment field// Posses good knowledge of Health, Safety and Environment Management System// Familiar with Environmental and Labor laws// The ability to work both independently and as part of a team.// Domicile in Jakarta area// Willing to travel extensively

Please indicate the position applied and send your application letter complete with CV, contact number, expected salary and recent photograph to:HR. DepartmentJl. Cikini IV No. 2Jakarta Pusat 10330Or hrd.indonesia@intertek.com

Responsibilities :

// To oversee the operations of the enterprise’s security solutions through management of the organization’s resources.// To establish an enterprise security stance through policy, architecture and training processes.// Rocommended/ lead the process in selecting appropriate security solutions and oversight of any vunerability audits and asessments.// Interface with peers in the IS&T Infrastucture departments as well as with the leaders of the business units to both share the corporate security vision & to solicit their involvement in achieving higher level of enterprise security through information sharing and co-operation.// Initiates, facilitates, and promotes activities to create information security awareness within the organization// Reviews all system-related security plans throughout the organization’s network

Requirements:

// Pria, Usia Max 30 tahun// Pendidikan Min D3 Teknologi / Komputer / Jaringan// Menguasai Linux / AIX operating system// Menguasai Troubleshooting Server, e-mail, Internet, LAN, Network Security// Menguasai Zenoss / Nagios /Hyperic atau alat monitoring lainnya// pengalaman min 1 tahun dibidang yang sama// Karyawan tetap perusahaan// Bersedia ditempatkan di Jakarta Selatan

Kirimkan Surat Lamaran terdiri dari CV, Pas Foto terbaru, fotokopi KTP, dan salinan Ijazah & Transkrip Nilai ke alamat :HRD PT. Collega Inti PratamaJl. TB. Simatupang Kav. 22-26Talavera Office Park Lantai 6-7Cilandak – Jakarta Selatan 12430Or hrdcip@collega.co.id

Requirements :

// At least 5 years work experience in information security management and/or related functions (such as IT audit and IT Risk Management)// Information security management qualifications such as CISSP or CISM// Absolutely trustworthy with high standards of personal integrity (demonstrated by an unblemished career history, complete lack of criminal convictions etc.), and willing to undergo vetting and/or personality assessments to verify this if necessary// Hands-on team leadership and management experience// Good Analytical and problem solving skills.// Good command of verbal and written English

Please submit your application with CV including current and expected salaries with recent photograph to:

recruit@gunungsewu.com Pt. Gunung Sewu KencanaPlaza Chase podium 7th Fl.Jl. Jend Sudirman Kav.21 Jakarta 12920, Indonesia www.gunungsewu.com