Ringkasan dokumen tersebut adalah:
1. Dokumen tersebut membahas pentingnya keamanan informasi dalam penyelenggaraan e-government.
2. Dibahas pula ancaman serangan siber yang terjadi di Jawa Timur beserta pengenalan dasar-dasar keamanan informasi.
3. Dokumen tersebut memberikan rekomendasi untuk membentuk lembaga strategis bernama JATIM-CSIRT guna melindungi infrastruktur digital di Jawa Timur.
2. Tak Kenal Tak Sayang
• AKADEMISI
ST., MT.
Dosen & Peneliti
Fakultas Ilmu Komputer
Universitas Narotama.
• PRAKTISI
VSP., VTSP.
Corporate Consultant
PT. Piramida Teknologi
Informasi.
Cahyo Darujati, 08123594969(WA), cahyod@gmail.com
9. Sistem Elektronik
• Sistem Elektronik adalah serangkaian perangkat dan prosedur
elektronik yang berfungsi mempersiapkan, mengumpulkan,
mengolah, menganalisis, menyimpan, menampilkan, mengumumkan,
mengirimkan, dan/atau menyebarkan Informasi Elektronik
9
10. Penyelenggara Sistem Elektronik
• Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara
negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola,
dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri
maupun bersama-sama kepada Pengguna Sistem Elektronik untuk
keperluan dirinya dan/atau keperluan pihak lain.
10
11. • Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem
Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau
masyarakat.
• Pelayanan Publik adalah kegiatan atau rangkaian kegiatan dalam
rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan
perundang-undangan bagi setiap warga negara dan penduduk atas
barang, jasa, dan/atau pelayanan administratif yang disediakan oleh
penyelenggara pelayanan publik
11
12. • Sistem Manajemen Pengamanan Informasi adalah
pengaturan kewajiban bagi Penyelenggara Sistem Elekronik
dalam penerapan manajemen pengamanan informasi
berdasarkan asas Risiko.
• Keamanan Informasi adalah terjaganya kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan
(availability) informasi.
12
13. • Sistem Manajemen Pengamanan Informasi adalah pengaturan
kewajiban bagi Penyelenggara Sistem Elekronik dalam penerapan
manajemen pengamanan informasi berdasarkan asas Risiko.
• Data Pribadi adalah data perseorangan tertentu yang disimpan,
dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
• Risiko adalah kejadian atau kondisi yang tidak diinginkan, yang dapat
menimbulkan dampak negatif terhadap pencapaian sasaran kinerja
dari layanan Sistem Elektronik.
13
21. 21
Ditambah mandat dari PERPRES 95/2018
tentang Sistem Pemerintahan Berbasis
Elektronik
Rencana Induk SPBE
BAB II
TATA KELOLA SISTEM PEMERINTAHAN BERBASIS
ELEKTRONIK pasal 9
32. Bagaimana apabila target serangan siber adalah
Infrastruktur kritis nasional?
32
Gas & Oil Storage
and Delivery
Water Supply
Systems
Banking & Finance Transportation
Electrical Energy Telecommunications Emergency Services
Government
Operations
42. Apa yang kita butuhkan ?
• Total Security Management :
• Risk Management
• Crisis Management
• Physical Security
• Information Security
• CISO
• CSIRT
• Penanggung Jawab : CEO / Direktur
43. Siklus Manajemen
Keamanan Jaringan Kebijakan
Keamanan
Analisa
Resiko
Perencanaan
Keamanan
Implementasi
Audit &
Evaluasi
feedback
Sumber :
Security Training Course APISC 2015
CSIRT dapat memberikan
konstribusinya berupa :
1. Analisa Resiko
2. Perencanaan Keamanan
3. Evaluasi
44. CERT atau CSIRT atau …
• CERT : Computer Emergency Response
• Pertama kali berdiri tahun 1988 di Carnegie Melon University kemudian menjadi
trademark
• Harus ada ijin dari CMU : http://resources.sei.cmu.edu/library/asset-
view.cfm?assetID=51636
• CERT / CC = CERT + Coordination Center
• CSIRT : Computer Security Incident Response
• Pertama kali berdiri tahun 1998
• Referensi : http://www.sei.cmu.edu/reports/03hb002.pdf
• RT (Incident Response Team)
• CIRT (Computer Incident Response Team)
• SERT (Security Emergency Response Team)
45. Membangun CSIRT ?
• Kenali organisasi anda
• Keamanan Informasi tidak hanya tentang router dan perangkat
jaringan lainnya
• Hubungan boss, semua staff dengan anda
• Hubungan Produk dan dan layanan
• Hubungan Pelanggan anda,
Investor anda dengan anda
• Hirarki / struktur, bagaimana hubungan antar unit
• Pimpinan kunci/orang yang berpengaruh dalam
pengambilan keputusan
46. Deskripsi CSIRT dalam …
• Misi : Apa yang diharapkan dari tim CSIRT?
• Otoritas : Apa yang boleh dilakukan dan tidak boleh dilakukan ?
• Konstituen : Untuk siapa tim CSIRT bekerja?
• Struktur tim : central/distributed ? Experts on-call ? Timezones ?
• Posisi tim dalam organisasi induk : Dimana posisi tim dalam struktur
organisiasi? Siapa atasan dari tim? Apakah posisi dan koordinasi tersebut
sudah bagus?
• Eskalasi : pada kasus yang membutuhkan tindakan cepat bagaimana akses
tim ke 1) t manajemen tertinggi, 2) Staf PR 3) departemen legal
47. Beberapa frase kata untuk menentukan Misi
CSIRT
• Alerts & Warnings
• Incident Handling
• Vulnerability Handling
• Artifact Handling
• Announcements
• Technology Watch
• Audits/Assessments
• Configure and Maintain
Tools/Applications/Infrastructure
• Security Tool Development
Intrusion Detection
Information Dissemination
Risk Analysis
Business Continuity Planning
Security Consulting
Awareness Building
Education/Training
Product Evaluation
List from CERT/CC :http://www.cert.org/csirts/services.html
48. Urutan Layanan pada CSIRT
1. Pencegahan Insiden
• Awareness raising, audits, port and vulnerability scans, advisories, …
2. Deteksi Insiden
• IDS sensors, firewall alerts, point-of-contact, …
3. Incident resolution
• Incident co-ordination, on site handling, …
4. Incident quality management
• Team meetings, lessons learnt, recommendations, …
• Punishment/repression is not a CSIRT task
• but CSIRT will contribute when necessary (follow strict procedures!)
• Feeds back to incident prevention
49. Layanan Utama
• Incident Handling : essential function for most any CSIRT
• Exception: product security teams
• May consist of any or all of:
• Incident response coordination
• Incident response support
• Incident response on site
• Incident analysis
• Forensic evidence collection
• Tracing or tracking
• Incident Prevention : just as essential !
• Many ways to do this
50. Otoritas : Harus dengan Model TOP-DOWN
• Otoritas – what is your team allowed to do
• Advise only ?
• Mandat untuk melakukan eskalasi ?
• Mandat untuk eksekusi? (e.g. blocking)
• Otoritas harus datang dari Board/CEO level (tidak hanya dari setingkat manajer TI/CIO/CISO)
• Mempunyai dokumen Kerangka Kerja CSIRT resmi yang ditandatangi oleh CEO
• Argumen Dasar
• Primary process / business operations reliant on information systems
• Laws and standards e.g. UU ITE, ISO9000, ISO27000, Accountancy/Board audit demands
• Commercial contracts (risk of damage to partners)
• Return on investment ( CSIRT saves money ! )
51. Kerangka Kerja CSIRT
• Write “CSIRT framework” document
• Essential to define CSIRT service and prevent discussions when incidents happen
• High level description
• Mission, authority, constituency, structure & place of team, escalations
• Rujukan utama : http://www.cert.org/incident-management/csirt-
development/resources-creating-csirt.cfm
• RFC-2350 : Expectations for Computer Security Incident Response
• Operational factsheet
• Ditempatkan di website , contoh: http://www.cert.or.id/rfc/id/
52. Konstituen
• Untuk siapa tim bekerja ?
• Karakter : internal, untuk pelanggan, koordinasi dengan eksternal
• Tipe (sumber : Trusted Introducer):
• Research & education
• Other non-commercial organisation
• ISP customer base
• IT vendor customer base
• Financial sector
• Other commercial organisation
• Military
• Government
• CIIP
• National
53. Posisi tim dan eskalasi
• Yang lazim: Bagian dari departemen TI
• Misi dan otoritas harus ditetapkan secara top down
• Hubungan baik dengan unit lainnya dan kepastian dalam melakukan eskalasi
• Konstituen
• Line management (your boss)
• Board level e.g. melalui CISO
• PR staff (press contacts)
• Legal department & privacy officer
54. Langkah-langkah membangun CSIRT
Cari Dukungan
Manajemen
(CIO/CISO)
Tentukan time line
secara aggresive
Lakukan diskusi
dengan orang-
orang kunci dalam
organisasi
Lakukan
pendekatan ke
arah kebijakan TI
dan kepedulian TI
Tentukan funding
Tulis Proposal :
management
summary, review
keadaan keamanan
,resiko dan
ancaman, statistic
Ajukan proposal
ke CEO-pastikan
CEO mengetahui
tanggung jawab
yang diemban
Mulai CSIRT
dengan
memastikan
sdm, komunikasi
Official Launch
dengan
WORKSHOP
START
58. SECURITY & SOFTWARE
✓The Process of Security (Bruce Schneier)
✓The Basics of Web Application Security (Cade Cairns, Daniel Somerfield)
✓Secure Coding Patterns (Andreas Hallberg)
✓Security is A Process, not a Plugin (Thomas Vitale)
✓OWASP Top 10 Most Critical Web Application Security Risks – 2017
✓Software Security: Building Security In, Gary McGraw
✓Building Secure Software: How to Avoid Security Problems the Right Way, John Viega
and Gary McGraw
✓JAWA TIMUR Computer Security Incident Response Team (JATIM-CSIRT), Ferry Astika
✓Cyber Situational Awareness Framework (ICSAF) , Konsep Penanganan Serangan Siber
di Indonesia, Ferry Astika
✓Security is a Process, Not a Magic, Cahyo Darujati.
59. TERIMA KASIH
Cahyo Darujati | IT SECURITY RESEACHER
This work is licensed under a Creative Commons Attribution 4.0 International License.
Images source: Pexels