Professional Documents
Culture Documents
I. Pendahuluan
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia
jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import,
tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan
fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting).
Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan
return on investment dan mencari kesempatan bisnis. Semakin banyak informasi
perusahaan yang disimpan, dikelola dan disharing maka semakin besar pula resiko
terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak
diinginkan.
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya
menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam maupun luar.
Pendekatan — pendekatan yang dimulai oleh kalangan industri dicontoh dan
diperluas. Ketika pencegahan federal ini diimplementasikan, dua Hsu penting harus
diatasi
1. Isu yang pertama adalah keamanan versus hak — hak individu
2. Isu yang kedua adalah keamanan versus ketersediaan
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk
mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara
eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem
(system security) pun digunakan. Kini, cakupnya telah meluas hingga mencakup semua
jenis data—bukan hanya data di dalam komputer.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada
ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan
informasi serta metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur
Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar
kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga
integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan.
Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah
non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini
menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi.
Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang
melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua
pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah
disetujui, peraturan tersebut dapat diterapkan.
Sistem Access Control (sistem kontrol akses), mengendalikan/membatasi akses user
terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian
secara mobile-computing ataupun tele-networking.
Communication and Operations Management (manajemen komunikasi dan operasi),
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan
pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang
terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional.
Physical and Environmental Security (keamanan fisik dan lingkungan), membahas
keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/
kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian
data dalam media penyimpanan atau fasilitas informasi yang lain.
Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan
keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan
kontraktual melalui audit sistem secara berkala.
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko
dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia
(human error), sehingga mampu mengurangi human error dan manipulasi data dalam
pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai
security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam
lingkup kerja masing-masing.
Security Organization (organisasi keamanan), mengatur tentang keamanan secara
global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem
informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap
pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing).
Asset Classification and Control (klasifikasi dan kontrol aset), memberikan
perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi
yang ditentukan.
Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi
resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan
”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk
yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan
proses bisnis
ANCAMAN
Ancaman keamanan informasi ( information securty threat) adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan.
Tindakan Keeelakaan dan Disengaja
Tidak semua ancaman merupakan tindkan yang dilakukan dengan tujuan mencelakai.
Beberapa merupakan kecelakaan, yang disebabkan oleh orang — orang di dalam ataupun
di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk
mencegah ancaman yang disengaja, sistem keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.
JENIS ANCAMAN
Fungsi — fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut
berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya selain virus, terdapat pula
worm. Trojan horse, adware, dan spyware.
Program antispyware wring kali menyerang cookies, yaituffleteks kecil yang diletakkan
perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka.
Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di
kalangan beberapa pemasar. Solusi yang paling efektif yang memungkinkan adalah
menghalangi antispyware untuk menghapus cookies pihak pertama yang disimpan
perusahaan untuk pars pelanggannya, tapi hanya menghapus cookies pihak ketiga yang
diletakkan oleh perusahaan lain.
Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang — orang yang
seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
Sebagi contoh, mata — mata industri dapat memperoleh informasi mengenai kompetiosi
yang berharga, dan kriminal komputer dapat menyelundupkan dan perusahaan.
Penggunaan yang Tidak Terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang — orang yang biasanya tidak
berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh
kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagai
suatu tantangan yang haru diatasi.
Penghancuran yang Tidak Terotorisi dan Penolakan Layanan
Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga
menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini
penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut.
Modifikasi yang Tidak Terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa
perubahan dapat berlangsung tanpa disadari dan menyebabkan pengguna output sistem
tersebut mengambil keputusan yang salah.
PERSOALAN E-COMMERCE
E-commerce ( perdagangan elektronik ) telah memperkenalkan suatu permasalahan
keaman barn. Masalah in) bukanlah perlindungan data, informasi, dan peranti lunak , tap]
perlindungan dari pemalsuan kartu kredit. Menurut sebuah serve] yang dilakukan
oleh Gartner Group, pemalsuan kartu kredit 12 kall lebih sering terjadi untuk para paritel
e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan
mereka secara langsung.
MANAJEMEN RISIKO
Manajemen risiko diidentifikasi sebagai sate dari dua strategi untuk mencapai keamanan
informasi.
1. Identifikasi aset – aset bisnis yang hares dilindungi dari risiko
2. Menyadari risikonya
3. menentukan tingkatan dampak pada perusahaan jika risiko benar – benar terjadi
4. menganallsis kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah ( severe
impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan
perusahaan tersebut untuk berfungsi; dampak signifikan ( significant impact),
menyebabkan kerusakandan biaya yang signifikan, tetapi perusahaan tersebut akan
selamat; atau dampak minor ( minor impact), memnyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari – hari.
PENGENDALIAN
Pengendalian ( control) adalah mekanisme yang diterapkan balk untuk melindungi
perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada
perusahaan jika risiko tersebut terjadl.
PENGENDALIAN TEKNIS
Pengendalian teknis ( technical control) adalah pengendalian yang menjadi sate di
dalam sistem dan di beat oleh para penyusun sistem selama mass siklus penyusunan
sistem.
Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang – orang yang
tidak diotorisasi adalah pengendalian akses.
Penggabungan langkah – langkah ini menjadi sistem keamanan
1. Identifikasi pengguna. Para pengguna pertama – lama meng] dent) fikas 1 diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
Sandi.
2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna
memverifikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti smart card atau tanda tertentu atau chip identifikasi.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat
atau derajat pengguna tertentu.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka
dapat menggunakan sumber da ya informasi yang terdapat di dalam batasan file
pengendalian akses. Pencataan audit yang berbasis komputer ter-us dilakukan pada
semua aktivitas pengendalian akses, seperti tanggal dan waktu Berta identifikasi
terminal, dan digunakan untuk mempersiapkan laporan keuangan.
Firewall
Menurut Ehab S. Al-Shaer and Hazem H. Hamed, kebijakan keamanan firewall
adalah daftar aturan yang telah ditentukan untuk menetapkan tindakan yang harus
dilakukan pada paket-paket jaringan berdasar pada kondisi-kondisi penyaringan khusus.
Kebijakan seharusnya menentukan segala sesuatu dari penggunaan yang dapat
diterima untuk merespon skenario di mana suatu gangguan keamanan terjadi. Suatu
kebijakan firewall berbeda dari kebijakan keamanan informasi, sejauh ini penggambaran
sederhananya adalah bagaimana kebijakan keamanan informasi akan diterapkan oleh
firewall dan dihubungkan dengan mekanisme keamanan.
Tanpa suatu kebijakan firewall, organisasi dan administrator seolah-olah terbang
dalam kegelapan, sehingga firewall menjadi kompleks dan rumit untuk dikelola, dan
gangguan keamanan dapat terjadi sehari-hari. Tanpa suatu kebijakan untuk memandu
penerapan dan administrasi firewall, maka firewall itu sendiri dapat juga mendatangkan
suatu masalah keamanan. Oleh karena itu, dirasa sangat penting untuk membuat
kebijakan keamanan firewall sebelum memasang firewall pada sistem jaringan suatu
organisasi.
Pada bagian ini akan diuraikan langkah-langkah untuk membuat suatu kebijakan
keamanan firewall dan kemudian dilanjutkan dengan sebuah contoh. Ini berisi
rekomendasi untuk pengujian dan pembaharuan (updating) kebijakan secara periodik.
Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke
dan dari perusahaan tersebut dan Internet.
Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang
terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium
komunikasi ( sirkuit ) dari pada router. Pendekatan ini memungkinkan tingkat otentikasi
dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router.
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan di transmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang
menggunakan proses. — proses matematika.
Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi
yang berkelanjutan, penggunaannya diharapkan untuk meningkat di dalam batasan
peraturan pemerintah.