Seminar Keamanan Bertransaksi Online

Hari Senin tanggal 11 Mei 2015, saya  mengikuti acara seminar keamanan bertransaksi online. Acara ini diadakan oleh Kementerian Komunikasi dan Informasi dari Direktorat Keamanan Informasi  bagian dari Direktorat Jenderal Aplikasi Informatika. Tempat di Trans Luxury Hotel Bandung.  Seminar ini dibuka oleh Ibu Woro Widyastuti, beliau merupakan staff ahli Teknologi Kominfo. Selanjutnya ada sambutan dari Dr.Dudi Sudrajat, Kadis Kominfo Jabar.

Acara diawali dengan sosialisasi aplikasi Indeks Keamanan Informasi oleh Ibu Intan Rahayu, Kasubdit Budaya Keamanan Informasi. Kemudian Dr. Mohammad Mustafa Sarinanto, Kepala Pusat Teknologi Informasi PPATK dengan materi “Keamanan Transaksi Elektronik” . Sealanjutnya  Pak Charles Lim dari Honeynet Chapter Indonesia, dengan membawakan materi “Pengamanan Sistem Jaringan dari serangan malware dengan Honeynet” . Terakhir mas Raditya Iryandi, Computer Security Expert.

Saya akan share materi seminar ini dalam beberapa tulisan. Dimulai dari sosialisasi aplikasi indeks keamanan informasi (KAMI). Indeks  KAMI  merupakan  aplikasi  yang   digunakan  sebagai  alat  bantu  untuk   menganalisa  dan  mengevaluasi   tingkat  kematangan  penerapan   keamanan  informasi  di  sebuah   organisasi  berdasarkan  kesesuaian   dengan  kriteria  pada  SNI  ISO/IEC   27001. Indeks KAMI berfungsi sebagai  indikator  penerapan   keamanan  informasi  secara  nasional. Kominfo berperan  melakukan  pembinaan  kepada   Penyelenggara  Sistem  Elektronik   Layanan  Publik,   dengan  aplikasi ini.

Aplikasi digunakan  untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi (SMKI) kepada pimpinan Instansi Area yang dievaluasi. Versi terbaru adalah dashboard Aplikasi Indeks KAMI v 3.1 2015. Beberapa poin yang dinilai pada aplikasi ini adalah dari sisi

• Tata kelola
• Pengelolaan risiko
• Kerangka kerja
• Pengelolaan Aset
• Teknologi

Pada tata kelola dievaluasi apakah instansi sudah mengintegrasikan keperluan/ persyaratan keamanan informasi dalam proses kerja? Apakah sudah mengidentifikasikan data pribadi yang digunakan dalam proses kerja dan menerapkan pengamanan sesuai dengan peraturan perundangan yang berlaku?

Pada pengelolaan risiko dijui apakah Instansi sudah menetapkan penanggung jawab manajemen risiko dan eskalasi pelaporan status pengelolaan risiko keamanan informasi sampai ke tingkat pimpinan?

Pada Kerangka Kerja ditanyakan Apakah tersedia proses untuk mengidentifikasi kondisi yang membahayakan keamanan infomasi dan menetapkannya sebagai insiden keamanan informasi untuk ditindak lanjuti sesuai prosedur yang diberlakukan? Apakah organisasi sudah membahas aspek keamanan informasi dalam manajemen proyek yang terkait dengan ruang lingkup? Apakah organisasi sudah menerapkan proses pengembangan sistem yang aman (Secure SDLC) dengan menggunakan prinsip atau metode sesuai standar platform teknologi yang digunakan?

Pada Pengelolaan Aset diuji Apakah tersedia definisi klasifikasi aset informasi yang sesuai dengan peraturan perundangan yang berlaku? Peraturan terkait instalasi piranti lunak di aset TI milik instansi Prosedur untuk user yang mutasi/keluar atau tenaga kontrak/ outsource yang habis masa kerjanya. Apakah tersedia proses untuk memindahkan aset TIK (piranti lunak, perangkat keras, data/informasi dll) dari lokasi yang sudah ditetapkan (dalam daftar inventaris)

Dan pada evaluasi teknologi ditanyakan Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dirancang untuk memastikan ketersediaan (rancangan redundan) sesuai kebutuhan/persyaratan yang ada? Apakah instansi  menerapkan lingkungan pengembangan dan uji-coba yang sudah diamankan sesuai dengan standar platform teknologi yang ada dan digunakan untuk seluruh siklus hidup sistem yng dibangun?

Presentasi lengkapnya dapat dilihat pada link berikut: