1
InformationSecurity
Awareness
Pengenalan Keamanan Informasi
2
TUJUAN
Information Security Awareness bertujuan agar semua pegawai
Kementerian Keuangan memahami pentingnya keamanan informasi
dan tanggung jawab mereka terkait keamanan informasi.
Information Security Awareness bukan hanya tanggung jawab Top
Management, Tim TIK, maupun Tim Keamanan Informasi saja,
namun merupakan tanggung jawab semua pegawai di lingkungan
Kementerian Keuangan.
Prinsip KeamananInformasi
Prinsip-prinsipKeamananinformasiterdiridari:
–Confidentiality(Kerahasiaan):melindungidata
daninformasiorganisasidaripenyingkapanorang
–orangyangtidakberhak
–Integrity(Integritas):melindungikeutuhandata
daninformasiorganisasidarimodifikasiyangtidak
sah
–Availability(Ketersediaan):melindungi
ketersediaandatadaninformasiorganisasi,
sehinggadatatersediapadasaatdibutuhkan
3
ContohPenerapan CIA
•Kerahasiaan:dataWajibPajakharustertutup
untukumum
•Integritas:datapenerimaannegaraharusbenar,
tidakadamodifikasi
•Ketersediaan:datapenerimaannegaratersedia
saatdibutuhkan
Mengapa harus aware?
1.Meningkatnyatrenancamankeamananinformasidi
dunia,misalnyaserangansibersemakincanggihdan
masif,ransomwaremenyerangsetiap14detikpada
tahun2019(sumber:https://techjury.net/)
2.TingginyanilaitransaksikeuanganpadaKementerian
KeuangansehinggamenjadikanKemenkeutarget
serangansiber.DataseranganpadasistemKemenkeu
tahun2019adalahsebanyak2.518.536
3.Perkembanganteknologisemakinpesat,menyebabkan
peningkatancybercrime.Misalnyamobilebanking
4
Mengapa harus aware?
4.TingginyatingkatketergantunganprosesbisnisKemenkeuterhadap
TIK.Digitalisasiprosesbisnis,sepertiOfficeAutomationKemenkeu,
pelaporanpajak(e-filling),SistemPerbendaharaandanAnggaran
Negara(SPAN),danCustoms-ExciseInformationSystemandAutomation
(CEISA).SehinggajikaterjadigangguanterhadapTIK,makakegiatan
bisniskemenkeuakanterganggu.
5.ITliteracydaninformationsecurityawarenesspegawaiKemenkeu
masihrendah,misalnyamasihbanyakpegawaiyangmenggunakan
emailnonkedinasan,tidakmenggantipasswordsejakpertamakali
mendapatkan,ataupegawaimenggunakanPCyangbelumterinstal
antivirus.
6.Masihterdapatsisteminformasiyangbelumsesuaistandar
keamanan,misalkansuatuaplikasibelumlulusujikerentanantapi
sudahdigunakan.
1.Terganggunyakegiatanoperasional
–misalkanaplikasixterkenaseranganhackingsehinggadown,makaprosesbisnis
yangbergantungpadaaplikasixakanterhenti
–Perangkatpenggunapadasuatukantorterkenaransomwaredanmenyebabkan
kegiatanoperasionalpadakantortersebutterganggu
2.Rusaknyareputasi(Reputationloss),
–misalkanaplikasiyyangdigunakanuntukeksporimporterganggusehingga
menggangguproseseksporimpormakaakanmenyebabkanrusaknyareputasi
penyelenggaraaplikasiy
–SeranganhackingpadasuatuwebsitemilikKemenkeudiketahuiolehmasyarakat
luas,sehinggamerusakreputasiKemenkeu
3.KerugianFinansial(Financialloss),
–misalnyajikaterjadipencuriansebesarxrupiahuntuksetiaptransaksipenerimaan
negara,makaakanmenyebabkankehilanganfinancial(penerimaannegara)
–LayananModulPenerimaanNegaraterhentisehinggamenyebabkanpenerimaan
negaratertundadankehilanganpotensipendapatandaribungapenerimaan
negaratersebut
Dampak gangguan keamanan informasi
5
4.Kehilangankekayaanintelektual(Intellectualpropertyloss)
–Misalnyapencurianhasilpenelitian-penelitian
–Misaldesignsisteminformasidansourcecodeaplikasitersebarkepada
pihaklain
5.Kehilangankepercayaandari stakeholders(Lossofstakeholder’s
confidence)
–DatadaninformasiWajibPajaktersebarsehinggamenyebabkan
kepercayaanmasyarakatterhadapKemenkeuhilang
6.OpportunityLoss
–MisalkansistemretailSBNdownmakaopportunityuntukmendapatkan
investasiakanberkurang
–LayananModulPenerimaanNegaraterhentisehinggamenyebabkan
penerimaannegaratertundadankehilanganpotensipendapatandari
bungapenerimaannegaratersebut
7.Bocornyarahasianegara(InformationLeakage)
–RancanganRKAKLtersebarkemasyarakatluas
–Spesifikasipengadaantersebarsebelumproseslelangdimulai
Dampak gangguan keamanan informasi
KEBIJAKAN KEAMANAN INFORMASI
DAN SANKSI PELANGGARAN
6
KEBIJAKANKI
MelaksanakanKebijakanKIyang
telahditetapkanorganisasi
Kebijakankeamananinformasi
adalahserangkaianaturanterkait
keamananinformasidalam
rangkamelindungikeamanan
informasi.
REGULASITERKAIT KEAMANAN INFORMASI
a.Undang-UndangNomor11Tahun2008 TentangInformasidanTransaksiElektronik
sebagaimanatelahdiubahmelaluiUUNomor19Tahun2016 tentangPerubahan
AtasUndang-UndangNomor11Tahun2008TentangInformasidanTransaksi
Elektronik;
b.PeraturanPemerintahNomor71Tahun2019 tentangPenyelenggaraanSistemdan
TransaksiElektronik
c.PerpresNomor95Tahun2018 tentangSistemPemerintahanBerbasisElektronik
(SPBE)
d.PeraturanKepalaArsipNasionalRepublikIndonesiaNomor17tahun2011
tentangPedomanPembuatanSistemKlasifikasiKeamanandanAksesArsipDinamis
e.PeraturanMenteriKomunikasidanInformatikaNomor4Tahun2016 tentang
SistemManajemenPengamananInformasi
f.PeraturanMenteriKomunikasidanInformatikaNomor11Tahun2018 tentang
PenyelenggaraanSertifikatElektronik
7
REGULASI TERKAIT KEAMANAN INFORMASI
g.PMKNomor97/PMK.01/2017 tentangTatakelolaTeknologiInformasidan
KeuangandiLingkunganKementerianKeuangan
h.SuratEdaranMenteriPendayagunaanAparaturNegaradanReformasiBirokrasi
Nomor137Tahun2018tentangPenyebarluasanInformasiMelaluiMediaSosial
BagiAparaturSipilNegara
i.SuratEdaranMenteriKeuanganNomorSE-16/MK.01/2018 tentangPanduan
AktivitasdanPenggunaanMediaSosialBagiPegawaiKementerianKeuanganRI
j.KMKNomor942/KMK.01/2019 tentangPengelolaanKeamananInformasiDi
LingkunganKementerianKeuangan
k.KCIONomor KEP-03/SA.5/2013TentangKebijakandanStandarPenggunaandan
PengelolaanAntiMaliciousCodediLingkunganKementerianKeuangan.
l.KCIONomor KEP-03/SA.5/2014:TentangPedomanPengelolaanPerangkat
LunakAntivirusdiLingkunganKementerianKeuangan.
m.KCIONomor KEP-01/SA.5/2015:KebijakanBaselineKonfigurasiKeamanan
PerangkatTeknologiInformasidanKomunikasiKementerianKeuangan.
Undang-UndangInformasidan TransaksiElektronik
(UUITE)Nomor 11 Tahun 2008
Secaraumum,materiUUITEdibagimenjadiduabagianbesaryang
terkaitkeamananinformasi,yaitu:
1.Pengaturanmengenaiinformasidantransaksielektronik
termasukdidalamnyamengenaitandatangandigital
2.Pengaturanmengenaiperbuatanyangdilarang,antaralain:
a)Penggunaansetiapinformasimelaluimediaelektronikyang
menyangkutdatapribadiseseorangtanpapersetujuan
Orangyangbersangkutan
b)mengaksesKomputerdan/atauSistemElektronikmilik
Oranglaindengancaraapapundengansengajadantanpa
hakataumelawanhukum
8
Lanjutan...
d)melakukanintersepsiataupenyadapanatasInformasi
Elektronikdan/atauDokumenElektronikdalamsuatu
Komputerdan/atauSistemElektroniktertentumilikOrang
laindengansengajadantanpahakataumelawanhukum
e)mengubah,menambah,mengurangi,melakukantransmisi,
merusak,menghilangkan,memindahkan,menyembunyikan
suatuInformasiElektronikdan/atauDokumenElektronik
milikOranglainataumilikpublikdengansengajadantanpa
hakataumelawanhukumdengancaraapapun.
f)melakukantindakanapapunyangberakibatterganggunya
SistemElektronikdan/ataumengakibatkanSistemElektronik
menjaditidakbekerjasebagaimanamestinyadengansengaja
dantanpahakataumelawanhukum
PeraturanPemerintahNomor71 Tahun2019
MateridalamPP71Tahun2019tentang
PenyelenggaraanSistemdanTransaksiElektronikyang
terkaitkeamananinformasiadalah:
1.PenyelenggaraanSistemElektronik,antaralain
termasukPenyelenggaraSistemElektronik,
PenempatanSistemElektronikdanDataElektronik,
sertaTransaksiElektronikdanSertifikasiElektronik
2.Pengelolaan Nama Domain
9
1.SPBEadalahpenyelenggaraanpemerintahanyang
memanfaatkanteknologiinformasidankomunikasi
untukmemberikanlayanankepadaPenggunaSPBE
2.SPBEdilaksanakandenganprinsipsalahsatunya
adalahkeamanan(kerahasiaan,keutuhan,
ketersediaan,keaslian,dankenirsangkalan
(nonrepudiation))
Peraturan Presiden No 95 Tahun 2018
Peraturan Kepala Arsip Nasional Republik
IndonesiaNomor 17 tahun 2011
1.tentangPedomanPembuatanSistemKlasifikasi
KeamanandanAksesArsipDinamis
2.Penentuankategoriklasifikasikeamanan:
a.SangatRahasia
b.Rahasia
c.Terbatas
d.Biasa/Terbuka
3.Pengamananberdasarkantingkatklasifikasinya
(dalamhalpenyimpanandanpenyampaian)
10
Peraturan Menteri Komunikasi dan Informatika
Nomor 11 Tahun 2018
•PermenkominfoNo11Tahun2018tentangPenyelenggaraan
SertifikasiElektronik.SertifikatElektronikadalahsertifikat
yangbersifatelektronikyangmemuatTandaTangan
Elektronikdanidentitasyangmenunjukkanstatussubjek
hukumparapihakdalamTransaksiElektronikyang
dikeluarkanolehPenyelenggaraSertifikasiElektronik.
•PenyelenggaraSertifikasiElektronikterdiriatasPenyelenggara
SertifikasiElektronikIndonesia(InstansidanNon-instansi)dan
Asing.
•TataCaraMemilikiSertifikatElektronik.
•PengawasanterhadapPenyelenggaraanSertifikasiElektronik
dilaksanakanolehMenteriKominfo.
PMK Nomor97/PMK.01/2017
•PengaturanTataKelolaTIKdilingkunganKementerian
Keuanganbertujuanuntukmemberikanpedomanbagisetiap
UnitdiLingkunganKementerianKeuangandalampengelolaan
danpemanfaatanTIK.
•PengelolaanTIKdimaksuddilaksanakanberdasarkanatas
prinsipsalahsatunyaadalahkeamananinformasi.
•Prinsipkeamananinformasiditerapkanuntukmenjami
ketersediaan,keutuhan,dankerahasiaan.
•Dalammendukungpenerapanprinsipkeamananinformasi
dimaksudmakadibentukOrganisasiKeamananInformasi.
11
KMK Nomor 942/KMK.01/2019
1.PengelolaanKeamananInformasi(KI)dilingkungan
kemenkeuditerapkansesuaidenganprinsipKI
yaitumenjaminketersediaan( availability),
keutuhan(integrity),dankerahasiaan
(confidentiality).
2.KMKinimengaturtentang:
–SistemManajemenKeamananInformasi(SMKI);
–Penggunaanakun,katasandi,danpengelolaan
internetdanintranet;dan
–PenggunaanSertifikatelektronik.
Sanksi Pelanggaran Keamanan Informasi
Hal:MenjagainformasidandataKemeterianKeuanganyangbersifat
rahasia
Contoh:
1.Tanpasengajamenyebardokumenrahasiakantorsaatmelakukan
fotoselfiemerupakanpelanggarankodeetikdengansanksimoral
2.Sengajamenyebarkandokumenrahasiakantor merupakan
pelanggarandisiplindenganSanksiHukumanDisiplinberat(dampak
negatifpdpemerintahdan/ataunegara)
DasarHukum:
-PPNomor53Tahun2010tentangDisiplinPegawaiNegeriSipil
-PMKNomor29/PMK.01/2007tentangPedomanPeningkatanDisiplin
PegawaiNegeriSipildiLingkungankementerianKeuangan
-PMKNomor190/PMK.01/2018tentangKodeEtikdanKodePerilaku
-PegawaiNegeriSipildiLingkunganKemenkeu
12
Sanksi Pelanggaran Keamanan Informasi
PelanggaranterhadapketentuanpadaUUITEdapatdikenai
sanksipidanasesuaidenganBabXIKETENTUANPIDANA.
Contoh:
PelanggaranterhadapPasal33,yaitu“SetiapOrangdengan
sengajadantanpahakataumelawanhukummelakukan
tindakanapapunyangberakibatterganggunyaSistem
Elektronikdan/ataumengakibatkanSistemElektronikmenjadi
tidakbekerjasebagaimanamestinya”dapatdikenaisanksi
pidanapenjarapalinglama10(sepuluh)tahundan/atau
dendapalingbanyakRp10.000.000.000,00(sepuluhmiliar
rupiah).
PENERAPAN KEAMANAN INFORMASI
13
PENERAPAN KEAMANAN INFORMASI
Klasifikasi Aset Informasi dan Kerahasiaan Informasi
Keamanan Fisik
Keamanan Komputer
Pengelolaan Kata Sandi (Password)
Penggunaan Intranet dan Internet, Surat Elektronik, WIFI, dan Penggunaan Intranet dan Internet, Surat Elektronik, WIFI, dan
Etika Bersosial Media
Perangkat Lunak Berlisensi
Insiden KI dan Kewaspadaan terhadap Malwaredan Phising
KLASIFIKASIDATA
DANINFORMASI
Mengamankandata dan
informasisesuaidengan
tingkatklasifikasinya.
SANGAT
RAHASIA
RAHASIA
TERBATAS
PUBLIK
KLASIFIKASI
14
Klasifikasi Data dan Informasi
PMK Nomor 97 Tahun 2017:
SangatRahasia:DataKementerianKeuanganyangapabila
didistribusikansecaratidaksahataujatuhketanganyangtidak
berhakakanmenyebabkankerugianketahananekonominasional.
Contoh:DataRAPBN
Rahasia:yaituDataKementerianKeuanganyangapabila
didistribusikansecaratidaksahataujatuhketanganyangtidak
berhakakanmengganggukelancarankegiatanKementerian
KeuanganataumengganggucitradanreputasiKementerian
Keuangandan/atauyangmenurutperaturanperundang-
undangandinyatakanrahasia.
Contoh:DataWajibPajak;DataWajibBayar.
Klasifikasi Data dan Informasi
Terbatas:DataKementerianKeuanganyangapabila
didistribusikansecaratidaksahataujatuhketanganyang
tidakberhakakanmengganggukelancarankegiatan
KementerianKeuangantetapitidakmengganggucitra
danreputasiKementerianKeuangan.
Contoh:SOP;LaporanKinerja.
Publik:DataKementerianKeuanganyangsecarasengaja
disediakanolehKementerianKeuanganuntukdapat
diketahuiolehmasyarakatumum.
Contoh:SiaranPers;PMK
15
Tabel Pengamanan Dokumen Konvensional
NoKlasifikasi Pelabelan Pengguna Prasarana & Sarana
1Biasa/
Terbuka
Tidak ada persyaratan dan
prosedur khusus
Pengguna yang berasal dari
eksternal dan internal yang
mempunyai hak akses
Tidak memerlukan
prasarana dan sarana
khusus
2TerbatasAda persyaratan dan prosedur
dengan memberikan cap
“TERBATAS” pada fisik dokumen
Dibatasi hanya untuk penentu
kebijakan, pengawas internal
dan eksternal serta penegak
hukum
Diperlukan tempat
penyimpanan yang aman
3Rahasia1.Ada persyaratan dan prosedur
rahasia dengan memberikan
cap “RAHASIA” pada fisik
dokumen
2.Tidak sembarangan
meletakkan arsip/ dokumen
yang bersifat rahasia
Dibatasi hanya untuk penentu
kebijakan, pengawas internal
dan eksternal serta penegak
hukum
Lokasi aman dengan
akses yang terbatas
4Sangat
Rahasia
Ada persyaratan dan prosedur
rahasia dengan memberikan cap
“SANGAT RAHASIA” pada fisik
dokumen
Dibatasi hanya untuk Penentu
Kebijakan, Pengawasan, dan
Penegak Hukum
1.Disimpan dalam zona
yang sangat aman,
dengan penelusuran
jejak akses
2.Penerapan kebijakan
“Meja harus bersih”
Tabel Pengamanan Dokumen Elektronik (Part 1)
NoKlasifikasi Pelabelan Pengguna Prasarana & Sarana
1Biasa/
Terbuka
Back-upsecara teratur
untuk tujuan pemulihan
sistem dalam rangka
menjamin keaslian
dokumen
Pengguna yang berasal
dari eksternal dan
internal yang
mempunyai hak akses
Tidak memerlukan
prasarana dan sarana
khusus
2Terbatas 1.Back-upsecara teratur
untuk tujuan pemulihan
sistem dalam rangka
menjamin keaslian
dokumen
2.File-file elektronik
(termasuk database)
harus dilindungi
terhadap penggunaan
internal atau oleh pihak-
pihak eksternal
1.Autentikasi
pengguna (nama
pengguna/ password
atau ID digital)
2.Penggunaan untuk
log in pada tingkat
individual
1.Autentikasi server
2.Langkah-langkah
keamanan dengan
Operating System khusus
atau aplikasi khusus
3.Firewalldan sistem-
sistem serta prosedur-
prosedur deteksi
terhadap intrusi
16
Tabel Pengamanan Dokumen Elektronik (Part 2)
NoKlasifikasi Pelabelan Pengguna Prasarana & Sarana
3Rahasia 1.Back-up secara teratur
untuk tujuan pemulihan
sistem dalam rangka
menjamin keaslian
dokumen
2.File-file elektronik
(termasuk database) harus
dilindungi terhadap
penggunaan internal atau
oleh pihak-pihak eksternal
1.Hanya staf yang ditunjuk
oleh kementerian atau
organisasi dan tingkat di
atasnya yang dapat
mengakses arsip
tersebut
2.Autentikasi pengguna
(nama pengguna/
passwordatau ID digital)
3.Penggunaan untuk log in
pada tingkat individual
1.Langkah-langkah keamanan
dengan Operating System
khusus atau aplikasi khusus
2.Firewallserta sistem-sistem
dan prosedur-prosedur deteksi
terhadap intrusi. Firewall
adalah sistem untuk
melindungi komputer atau
jaringan dari akses komputer
lain yang tidak memiliki hak
untuk mengakses komputer
atau jaringan kita
4Sangat
Rahasia
1.Back-upsecara teratur
untuk tujuan pemulihan
sistem dalam rangka
menjamin keaslian
dokumen
2.File-file elektronik
(termasuk database) harus
dilindungi terhadap
penggunaan internal atau
oleh pihak-pihak eksternal
1.Autentikasi pengguna
(nama
pengguna/password
atau ID digital)
2.Penggunaan untuk log in
pada tingkat individual
1.Autentikasi server
2.Langkah-langkah keamanan
dengan OperatingSystem
khusus atau aplikasi khusus
3.Firewalldan sistem-sistem dan
prosedur-prosedur deteksi
terhadap intrusi.
Prosedur Pengiriman Informasi
NoKlasifikasi Konvensional Elektronik
1Biasa/
Terbuka
Tidak ada persyaratan prosedur khusus. Tidak ada prosedur khusus.
2TerbatasAmplop segel. Apabila pesan elektronik atau email berisi
data tentang informasi personal, harus
menggunakan enkripsi, email yang dikirim
dengan alamat khusus, password, dan lain-lain
3Rahasia1.Menggunakan warna kertas yang berbeda
2.Diberi kode rahasia
3.Menggunakan amplop dobel
4.Amplop segel, stempel rahasia
5.Konfirmasi tanda terima
6.Harus dikirim melalui orang yang sudah diberi
wewenang dan tanggung jawab terhadap
pengendalian arsip/ dokumen rahasia.
1.Harus ada konfirmasi dari penerima
pesan elektronik atau email
2.Menggunakan perangkat yang
dikhususkan bagi pesan elektronik atau
email rahasia.
3.Menggunakan persandian atau
kriptografi.
4Sangat
Rahasia
1.Menggunakan warna kertas yang berbeda
2.Menggunakan amplop dobel bersegel
3.Audit jejak untuk setiap titik akses (misal:
tandatangan)
4.Harus dikirim melalui orang yang sudah diberi
wewenang dan tanggung jawab terhadap
pengendalian arsip/dokumen rahasia.
1.Harus ada konfirmasi dari penerima
pesan elektronik atau email
2.Menggunakan perangkat yang
dikhususkan bagi pesan elektronik atau
email rahasia
3.Menggunakan persandian atau
kriptografi
4.Harus ada pelacakan akses informasi
untuk suatu pesan elektronik atau email.
17
PANDUAN UMUM PENGAMANAN DOKUMEN
Jangan membiarkan dokumen sensitif terbuka
Jangan mencetak dokumen sensitif di printer yang diluar
jangkauan
Jangan berbagi informasi sensitif
Jangan melihat informasi sensitif yang bukan kewenangannya
Jangan menyimpan informasi sensitif di luar fasilitas kedinasan
Jangan membuang laporan/informasi tanpa dihancurkan terlebih dahulu
Jangan memberikan aset informasi kepada pihak lain untuk kepentingan di luar
kedinasan
Memberikan label/kode kerahasiaan pada amplop pembungkus dokumen
sensitif
Jangan membuat sharing folder dengan akses “everyone”
PengamananArea Kerja
•Gunakansistemakseskeamananlingkungansepertiaccesscard,fingerprint,dll
•Janganberbagiaksesmasukareakerja
•Areakerjaharusterlindungidaribahayalingkungandanaksespihaktidak
berwenang
•Jalurkeluarmasukareakerjaharusdijagadandipantau
•Areakerjaharusterlindungidaribendaberbahayadanbendamudahterbakar
•Menerapkancleardeskdanclearscreenpadasaatmeninggalkanareakerja
Contohcleardesk:Menyimpandokumenrahasiapadatempatterkunci
Contohclearscreen:Menghapuspapantulis,mematikanataumengunci(lock)
komputer.
•Hati-hatiterhadaporangasing,misalnyamenanyakanIDterhadaporangtak
dikenalyangberadadilingkungankerja
•Membawapengunjunghanyadiruangresepsionis/ruangtamu
•Waspadaterhadap“tailgating”
Tailgatingadalahtindakanbypassaccessfisikyangdilakukandengancara
mengikutiindividuyangberwenanguntukmemasukiareaaman.
18
PENGAMANAN PERANGKAT (KOMPUTER)
Perangkat Pengguna wajib Join Domain resmi Kementerian
Keuangan
Perangkat Pengguna wajib Join Domain resmi Kementerian
Keuangan
Perangkat Pengguna menggunakan antivirus
dan signatureversi terbaru
Perangkat Pengguna menggunakan antivirus
dan signatureversi terbaru
Aktifkan fitur lockpada komputer saat ditinggalkan
Backupberkalauntukdata penting
Pengguna login pada perangkat dengan Akun
Domain resmi Kementerian Keuangan
Pastikan sistem operasi selalu update
dengan patchsistem operasiterbaru
Pastikan sistem operasi selalu update
dengan patchsistem operasiterbaru
PENGAMANAN PERANGKAT (KOMPUTER)
Waspada terhadap shoulder surfing, yaitu metode observasi langsung
dengan cara mengintip untuk mendapatkan informasi.
Matikankomputerketikameninggalkan kantor
Hati-hati menyimpandata pentingdi komputerseperti
nomorkartukredit, atautanggalulangtahundan
janganmengirimkandata pentingtersebutmelalui
pesan instan/email
Konfigurasikomputeryang tidakdigunakandalam15
menitdibuatmati(hibernate/sleep) secaraotomatis
Perangkat Pengguna termasuk perangkat pribadi yang digunakan untuk
kepentingan kedinasan dan mengakses jaringan kemenkeu
JanganmenggunakanRemovable Media (misal, DVD , HDDexternal atau
USB) yang tidakdiketahuipemiliknyakeperangkatpengguna
19
PENGGUNAAN KATA SANDI
(PASSWORD)
1.Gunakan kata sandi
dengan kriteria:
Minimal 8 karakter
Kombinasi: huruf kapital, huruf
kecil dan angka (0 –9)
Contoh: Kbr7MizU2.Ganti kata sandi secara berkala, maksimal dalam
waktu 180hari atau dalam hal kata sandi diketahui
orang lain
4.Ubah kata sandi yang telah diberikan oleh Unit TIK
Eselon I pada saat pertama kali diberikan
LAKUKAN
3.Menjaga kerahasiaan Kata Sandi
JANGAN LAKUKAN
PENGGUNAAN KATA SANDI (PASSWORD)
1.Menggunakan kata sandi yangmengandung:
3. Berbagi kata sandi
-Nama diri/kerabat-Tanggal lahir
-Alamat rumah
-Jabatan kerja
-Lokasi kerja -Hal pribadi lainnya
2.Menggunakan kata sandi yang mudah ditebak, misalnya Jakarta, Kemenkeu,
P@ssw0rd
4. Menggunakan Akun dan Kata Sandi milik Pengguna lain;
-baik sebagian atau seutuhnya nama akun
Hal-hal yang dilarang dalam penggunaan kata sandi, antara lain:
20
6.Menuliskan Kata Sandi dimanapun dan/atau menyimpan Kata
Sandi dalam berkas elektronik pada setiap sistem komputer
(termasuk perangkat mobile computingatau sejenisnya);
7.Membuat Kata Sandi yang sama pada Sistem TIK di lingkungan Kementerian
Keuangan dengan Kata Sandi yang digunakan dalam Akun di luar Sistem TIK milik
Kementerian Keuangan
8.Mengaktifkan fitur “remember password” pada browserinternet
PENGELOLAAN KATA SANDI (PASSWORD)
JANGAN LAKUKAN
PENGGUNAAN INTRANET DAN INTERNET
•Menggunakan fasilitas akses Intranet dan Internet secara bijak
sesuai dengan tugas, fungsi, dan wewenang;
•Menggunakan fasilitas akses Intranet dan Internet sesuai norma
hukum dan etika yang berlaku;
•Menyampaikanpendapatyangbermuatanujarankebencian
terhadapPancasila,Undang-UndangDasarRepublikIndonesia
Tahun1945,BhinnekaTunggalIka,NegaraKesatuanRepublik
Indonesia(NKRI),Pemerintah,danSuku,Agama,Ras,danAntar
Golongan(SARA)
•Mengirimkandan/ataumempublikasikankontenyangberisi
perjudian,pornografi,keasusilaan,ancaman,penghinaan,
pemerasan,dan/ataupencemarannamabaikoranglainatau
digunakanuntukmengemukanpandangandanpendapatpribadi
(positifmaupunnegatif)terhadapsesamapegawai,pimpinan,
mitra,danpihaklainyangterkaitdenganKementerianKeuangan
•Melewatiketentuanpembatasanhakaksesinternet
•MemberikanpendapatpribadimengatasnamakanKemenkeu
21
•Menyebarkanberitabohongdanmenyesatkanyang
mengakibatkankerugianbagiindividumaupunKementerian
Keuangan
•Menggunakanperangkatlunakyangdapatmengelabuisistem
pengendalian/pembatasanaksesInternet
•Melakukankegiatanyangdapatmenimbulkangangguanterhadap
SistemTIKUnitdilingkunganKementerianKeuanganantaralain
menggunakantunnelingtools,mengakseslamanyangberpotensi
mengandungvirus,mengakses videostreaming yang
membutuhkanbandwidthbesar
•Mengunggah,mengunduh,menjalankansoftwareberlisensimilik
KemenkeuatauPihakKetigamanapununtukkeperluandiluar
kedinasan
•Mengungkapkan/menyebarkaninformasimilikKemenkeuyang
bersifatsensitif(terbatas,rahasia,dansangatrahasia)
PENGGUNAAN INTRANET DAN INTERNET
•MenggunakanHAKIpihaklaintanpapersetujuanmelaluifasilitas
internetKemenkeu
•Mengakses, mengunggah, mengunduh, dan/atau mempublikasikan
situs-situs yang tidak menunjang kedinasan;
•Melakukankegiatan yang dapat merusak/mencoreng nama baik
individu maupun Kementerian Keuangan melalui fasilitas akses
Intranet atau Internet;
PENGGUNAAN INTRANET DAN INTERNET
22
Data penggunaan akses internet Kemenkeu
(per minggu)
Top Applications by Bandwidth
Data penggunaan akses internet Kemenkeu
(per minggu)
Top Applications by Sessions
23
PENGGUNAANEMAIL
Menjagakerahasiaandankeamananemail
miliknya
Menggunakan email Kemenkeuhanya untuk
kepentingan kedinasan secara bijak sesuai dengan
tugas, fungsi, dan wewenang;
Waspadaattachmentdan emaildariorang asing
Verifikasiemailkepadapengirimnya
Hapusemailspam/junk
Waspadaterhadapvirus
Pastikan identitas individu dan organisasi penerima
email sebelum mengirimkan informasi kedinasan
Gunakane-dropbox kemenkeu untuk pengiriman
file dengan ukuran besar
HubungiService Desk Pusintek / PIC TIK masing-
masing unitjikaadahalyang mencurigakan,
seperti email spam, pishing, dll
PENGGUNAANEMAIL
Mengirimemail yang berisi ancaman, penghinaan,
pencemarannamabaik
Menyampaikanpendapatkepihaklain dengan
mengatasnamakanKementerianKeuanganmelaluiemail
Menggunakanemail Kemenkeuuntukmailing list, forum
diskusiatausosial media untuk kepentingan pribadi.
Membukaemail/attachmentdariorang asingyang
terindikasidapatmengancamkeamananinformasi
Mengiriminformasipribadikepadapihak yang tidak
dikenal
Mengiriminformasikedinasankepadapihakyang tidak
berkepentingan
Mengirimemailberantaiatauemailhoax
Mengirimemail atasnamapenggunalain.
24
PENGGUNAANWI-FI
•Memperhatikanketentuanpenggunaanintranetdaninternet
dilingkungankementerianKeuangan
•PastikanmenggunakanSSIDyangdisediakanoleh
KementerianKeuanganjikaberadadiareaKementerian
Keuangan
•TidakmemancarkanSSIDlaindariperangkatStandaloneWifi,
Handphone,halinidapatmengurangikualitassinyalyang
dipancarkanolehSSIDyangdikelolaUnitTIK.
•JanganterhubungdenganSSIDyangtidakdikenal.Jikadalam
keadaaanmendesak,hal-halyangperludiperhatikansaat
menggunakanfreewifianataralain:
–Tidakmengaksesaplikasisensitifmisalnyaaplikasi
kedinasanataumobilebanking
–Janganmenginputdatarahasia(password,pinakunbank,
loginadministrator,dll)padasembarangsitus
–Gunakanlayanankeamanandasarsepertiantivirus
Etika Bermedia Sosial
Berikutinihimbauanpenyebarluasaninformasimelalui
mediasosialkhususnyaterkaitkeamananinformasi:
1.Menjagakerahasiaanyangmenyangkutkebijakan
negara,memberikaninformasisecarabenardantidak
menyesatkankepadapihaklainyangmemerlukan
informasiterkaitkepentingankedinasan.
2.Tidakmenyalahgunakaninformasiinternnegarauntuk
mendapatataumencarikeuntunganataumanfaatbagi
dirisendiriatauuntukoranglain.
3.Memastikanbahwainformasiyangdisebarluaskanjelas
sumbernya,dapatdipastikankebenarannyadantidak
mengandungunsurkebohongan.
Sesuai dengan SE MenPAN-RB Nomor 137 Tahun 2018
25
Etika Bermedia Sosial
BerikutinihimbauanetikabermediasosialterkaitKeamanan
Informasi:
1.Melakukanpengaturanprivasi(identitasdanunggahan)di
berbagaiplatformmediasosialuntukmenjagakeamanan
informasi
2.Membukamediasosialsecaraberkalauntukmemastikanakun
mediasosialtidakdisalahgunakan
3.Hindarimembagiidentitaspribadisepertialamatlengkap,no
telepon,emailpribadi/kantor,atautanggallahir.Jikadiperlukan
lakukankomunikasiprivatdalamsaluranterpercaya
4.Tidakmenggunakanalamatemailkantoruntukmendaftarmedia
sosialkecualiuntukkeperluanresmikantor
5.Segerakomunikasikanketimterkaitsambilberupaya
mengamankankembaliakseskeakunmediasosialandajika
kehilanganakseskeakunmediasosial
Sesuai dengan SE MenKeu No 16 Tahun 2018
PERANGKATLUNAKBERLISENSI
Gunakan softwareyang
direkomendasikan oleh Unit TIK
Gunakan softwaremilik Kemenkeu
untuk kedinasan
Pastikan membaca dan memahami
EndUser License Agreementuntuk
pemasangansoftware
Menghubungi PIC TIK untuk
instalasi software
Menginstaldan menggunakan software
yang tidak direkomendasikan
MenggunakansoftwareKemenkeuuntuk
kepentinganpribadi
26
Softwareyang tidakdirekomendasikan pada
perangkatpengguna
No Klasifikasi Contoh
1Perangkatlunakyang melanggarhakcipta
(bajakandancracking)
Bajakan: Nitro Pro, Corel, Photosop
(tidak berlisensi)
Cracking: KMSpico, IDM crack
2Perangkatlunakyang tidakmendukungkedinasanGame, Chat(Snapchat, Discord)
3Perangkatlunakyang digunakanuntukaktifitas
hacking/ exploit celahkeamanan
network scan, Angry IP,Advanced IP
Scanner, nexpose, wireshark, Nmap,
metasploit,dll
4Perangkatlunakyang sudahtidakdisupportWindowsXP, Windows Server 2003,
Windows Server 2008, Windows 7, dll
5Perangkatlunakygdigunakanuntukremote
access
Ultra VNC, Teamviewer, RemotePC,
Hotspot Shield, VNC viewer, VNC server,
TightVNC, dll
6Perangkat lunak yang digunakan untuk upload
dan download secara ilegal
uTorrent, dll
7Perangkatlunakyang digunakanuntuk
mendukungkoneksiprivatyang tidak sah
FlyVPN, Profixier, SoftetherVPNClient,
Open VPN, Tor, Proxifier, dllSumber: Hasil Audit ITJEN
INSIDEN KEAMANAN INFORMASI
Mencatatsemuarincianpentinggangguandengansegera, seperti
jenispelanggaran, jeniskerusakan, pesanpada layar, atauanomali
sistem
SegeramelaporkangangguankeService Desk, PIC TIK masing-masing
unit, atau Petugas Keamanan Informasi(KI) masing-masing unit
Petugas KI berkoordinasi dengan Gov-CSIRT Indonesia (BSSN) dalam
menangani gangguan keamanan informasi
Membicarakaninsidenkeamanandengansiapapun di luarorganisasi
maupun di tempat umum
Menghambatataumencegahpegawai lain melaporkaninsiden
keamanan informasi
Contoh usaha penerobosan yang perlu diwaspadai Pengguna, antara lain:
-Ransomware
-Phising
-Social Engineering
27
Ransomwareadalahsalah satubentuk
malwaredenganmetodologicryptovirology,
yang mengancamuntukmenyebarkandata
ataumembloksemuaakseskedalamdata
tersebutjikapemilikdata tidakmemberikan
sejumlahuangtebusan.
RANSOMWARE
Langkah-langkah Pencegahan & Penanganan:
•Janganmenginstallsoftwaretidak
berlisensi/softwaredarisumberyang tidak
terpercaya.
•Janganmengunduhattachmentdari
pengirimyang tidakdikenal.
•Pembatasan akses sharing folder
•Lakukanbackupsecaraberkala
•Putuskan jaringan perangkat yang terindikasi
ransomware
•Laporkan kepada Service Desk dan PIC TIK
masing-masing unit
Phisingadalahsuatumetodeyangdigunakanhackeruntuk
mencuripassworddengancaramengelabuitarget
menggunakanfakeformloginpadasituspalsuyang
menyerupaisitusaslinya.
Berikut adalah contoh phising dengan menggunakan fake
form login dengan situs yang menyerupai situs asli:
Situsinternet bankingBCA, http://www.klikbca.com, seperti:
–kilkbca.com
–clikbca.com
–klickbca.com
–klikbac.com
–wwwklikbca.com
PHISING
28
Contoh phising melalui linkyang dikirimkan
melalui email
Pencegahan dan Penanganan Phising
1.Pastikanmengakseshalaman websiteyangbenar.Periksatanda
keamanan(gambarGembokterkunci)untukmemastikan website
yangdiaksesadalahbenar.Tandatersebutakanmemberikan
informasipemilikwebsiteyangsebenarnya.
2.Janganpernahmembukahalamandari linkyangdikirimkanmelalui
surat,email,smsataumedialainyangsumbernyatidakjelas.
3.Jagaselalukerahasiaanuserid,password,sertadatapribadilain.
Janganpernahmemberikanataumemasukkandatatersebutke
programaplikasiyangtidakterpercaya.
4.Pastikanmenggunakanmediakomputeryangaman,tidakdari
tempatpublikataumedialainyangkeamanantransaksinyatidak
terjamin.
5.LaporkankepadaUnitTIKatauServiceDeskKementerianKeuangan
jikamenemukanhalamanwebsiteyangterindikasipishing.
29
Social Engineering
•Socialengineeringadalahkegiatanuntuk
mendapatkaninformasirahasia/penting
dengancaramenipupemilikinformasi
tersebut
•Socialengineeringmengkonsentrasikandiri
padarantaiterlemahsistemjaringan
komputer,yaituMANUSIA.