Seri InfoSec Management Concept – Konsep Penting

Berikut adalah konsep penting lain dalam Information Security Management:

Identifikasi
sarana dimana pengguna menunjukkan identitas mereka ke sebuah sistem. Misalnya: untuk access control.

Otentikasi
proses pembuktian identitas pengguna. Proses ini bertujuan untuk memastikan bahwa pengguna adalah benar-benar sesuai dengan identitas yang ditunjukkan.

Akuntabilitas
kemampuan sistem untuk menentukan segala tindakan yang dilakukan pengguna. Contoh: audit trail dan audit log.

Otorisasi
hak dan ijin yang diberikan pada seseorang atau proses, pada sebuah sistem. Otorisasi akan menentukan sampai sejauh mana hak akses diberikan.

Privacy
Tingkat kerahasiaan dan privacy yang diberikan pada pengguna oleh sistem.

Advertisements

Seri InfoSec Management Concept – The Big Three

Berikut adalah tiga prinsip dasar dari information security yang sering disebut sebagai “The Big Three” yaitu: Confidentiality, Integrity dan Availability ( C I A).

Confidentiality
konsep ini memastikan bahwa informasi tidak dapat dibuka oleh orang yang tidak berhak baik disengaja ataupun tidak.

Integrity
Integrity memastikan bahwa:

  • informasi tidak diubah oleh orang yang tidak berhak
  • perubahan pada informasi hanya dilakukan secara sah (oleh orang atau proses)
  • data konsisten baik internal ataupun eksternal

Availability
menjamin tersedianya informasi pada saat dibutuhkan.

Kebalikan dari C I A adalah D A D (Disclosure, Alteration and Destruction)

bersambung

Biru

… serba salah,
… tidak berguna,
… diabaikan,
… tercampak,
… jatuh,
… tinggi
… amat sakit

hingga perlu bertanya pada diri
untuk apa ada di sini?

semua kelihatan berubah sekarang
atau memang sudah berubah?
atau, ini seharusnya?

Perubahan …
manusia,
proses,
teknologi

Lalu,
kenapa mesti ngga happy?

Is it me?
or … the world?

or … maybe,
its just about time

to leave …

Disclaimer:

not necessarily represent my current emotions 🙂

Liputan KKI Security Night 13

Semalam saya menyempatkan diri untuk hadir (lagi) di pertemuan Komunitas Keamanan Informasi (KKI) yang ke 13 yang kali ini membawakan topik “UU ITE … Lalai = Pidana?”. Tuan rumah kali ini adalah rekan-rekan dari PPATK yang berbaik hati meminjamkan ruang meeting gedenya. Nice place … lho, meski untuk perjalanan ke tempat itu mestinya lebih cepat dengan busway karena jika dengan mobil harus berliku-liku mencari jalan tikus karena aturan “3-in-1”

Karena topiknya sendiri adalah topik mengenai hukum, maka sebagai presenter adalah rekan Aulia, seorang praktisi hukum yang kantornya sering juga dipinjam oleh KKI pada pertemuan-pertemuan sebelumnya. Pertemuan kali ini cukup meriah dihadiri oleh sekitar 20 orang diantaranya (tentu) dari PPATK, Depkominfo, Lembaga Sandi Negara, dan praktisi IT dan security termasuk mahasiswa.

Diskusi mengalir dengan hangat dan dinominasi oleh para praktisi hukum (ehm, rasanya seperti di ruang pengadilan) diantaranya mengenai masalah alat bukti dan pembuktian, transaksi dan tanda tangan elektronik, sertifikasi elektronik, 9 PP susulan yang akan terbit, serta nama domain.  Sayangnya, aspek pidana tidak sempat tersentuh (mengingat waktu). Padahal, menurut saya, tentu menarik untuk menafsirkan pasal 27 – 31 mengenai Perbuatan yang Dilarang. Paling tidak buat praktisi dan konsultan security yang hadir di sana 🙂

Beberapa ide menarik yang penting rasanya untuk dipikirkan kembali adalah ide agar komunitas berkontribusi untuk menafsirkan pasal-pasal (misalnya memberikan contoh-contoh kasus) dalam UU ITE agar lebih mudah dipahami oleh komunitas IT dan dapat dijadikan pedoman bagi penegak hukum dalam mengimplementasikan UU ini. Ide lain adalah mengenai perlunya ada semacam “Dewan Pakar” yang dapat dijadikan sebagai saksi ahli dalam pembuktian di pengadilan (maksudnya agar tidak semua orang menganggap dirinya pakar dan berbicara di media, gitu lho … tahu maksudnya kan? hehehe) dan juga ide untuk membentuk forum online khusus untuk membahas UU ini.

Terlepas pada pro-kontra mengenai UU ITE, toh ini sudah diundangkan dan harus dilaksanakan. Jadi, menurut saya, lebih baik mendukung dan membantu pemerintah dengan memberikan masukan yang cukup agar setiap pihak yang berkepentingan menjadi jelas dan kepastian hukum dapat diperoleh. Termasuk juga dengan mempersiapkan perangkat hukum seperti polisi, jaksa dan hakim agar mengerti terminologi IT yang dimaksud dalam UU ini sehingga mereka mampu menerjemahkannya ke dalam bahasa hukum. Bagaimanapun, perkembangan IT sangat cepat sehingga semua pihak harus punya komitmen untuk tetap belajar.

Prosedur = Birokrasi ???

Birokrasi, menurut wikipedia:

Bureaucracy is the structure and set of regulations in place to control activity, usually in large organizations and government. As opposed to adhocracy, it is represented by standardized procedure (rule-following) that dictates the execution of most or all processes within the body, formal division of powers, hierarchy, and relationships. In practice the interpretation and execution of policy can lead to informal influence.

Bureaucracy is a concept in sociology and political science referring to the way that the administrative execution and enforcement of legal rules are socially organized. Four structural concepts are central to any definition of bureaucracy:

  1. a well-defined division of administrative labor among persons and offices,
  2. a personnel system with consistent patterns of recruitment and stable linear careers,
  3. a hierarchy among offices, such that the authority and status are differentially distributed among actors, and
  4. formal and informal networks that connect organizational actors to one another through flows of information and patterns of cooperation.

Sedangkan Prosedur, menurut Wiktionary:

  1. Serangkaian kegiatan yang ditujukan agar menghasilkan sesuatu.
  2. (Komputer) Sebuah sub-rutin atau kode fungsi untuk menjalankan tugas tertentu.

Dan … menurut wikipedia:

A procedure is a specification of series of actions, acts or operations which have to be executed in the same manner in order to always obtain the same result in the same circumstances (for example, emergency procedures). Less precisely speaking, this word can indicate a sequence of activities, tasks, steps, decisions, calculations and processes, that when undertaken in the sequence laid down produces the described result, product or outcome. A procedure usually induces a change.

Procedure may also refer to:

Jadi, kalau melihat definisi di atas sepertinya prosedur adalah merupakan “alat” dari sebuah birokrasi. Maka pertanyaan kemudian adalah apakah birokrasi selalu berarti jelek? Apakah seperti istilah yang sering dipergunakan sekarang untuk merefer ke sesuatu yang rumit, seolah2 mengikuti prosedur tanpa ujung? Seperti mengurus komplain di perusahaan penyedia jasa milik pemerintah, misalnya? Hehehe ….

Jadi, sepertinya telah terjadi pergeseran makna dari kata “birokrasi” itu sendiri.

Differentiating factors-nya adalah “delegation of authority”, “kesiapan SDM” dan jangan lupa “control” untuk memastikan accountability.

Delegation of authority diperlukan untuk mengurangi hal-hal yang tidak perlu dieskalasi ke level berikut. Ini erat hubungannya dengan struktur organisasi dan efisiensi prosedur. Ini mungkin yang biasa dijadikan referensi  …. lambat = birokrasi!

Kesiapan SDM, mental dan mind-set SDM pelaku prosedur-nya gimana. Standar recruitment dan pelatihan SDM menjadi faktor penting di sini.

Control diperlukan untuk memastikan setiap langkah dalam prosedur selalu terdokumentasi, dapat divalidasi dan dipertanggungjawabkan.

Hmmm, itu menurut saya …

Barang Baru

Kemarin datang paket kiriman:

  • Majalah Information Systems Control Journal volume 3, 2008 – ISACA
    baru buka-buka, belum dibaca.
  • Live CD Open Solaris yang dipesen saat IGOS Summit 2, 2008.
    semalem sempet dicoba di VirtualBox, ehm, pake GNOME juga dia. Kesan pertama, lambat pisan. Padahal setting memory di VBOX sudah > 300 MB.  Wah, berat juga ya.
  • CD John Petrucci – Suspended Animation
    yang ini bukan dikirim. Tapi beli. Sudah lama pengen, tapi kok pas jalan ke Music City Sarinah, nemu ini … tinggal 1 lagi. Pas bayar, dibelakang ada mas-mas juga cari CD ini. Udah gitu, mbak yang jaga ngga ngerti … John Patituci kali, katanya. Hehehe …. sori ya Mas, kali ini saya yang beruntung 🙂

Hmm, bekal untuk week-end.

CD-nya rusak, euy!

Baru sempet cobain setumpuk CD oleh-oleh dari IGOS Summit. Ternyata beberapa CD ngga kebaca, malah ada yang masih blank!

rupanya ngga ada QA-nya nih.

Ini kali salah satu kendala sosialisasi open source, ya?

sigh …