KEAMANAN INFORMASI

I. Pendahuluan
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia
jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import,
tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan
fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting).
Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan
return on investment dan mencari kesempatan bisnis. Semakin banyak informasi
perusahaan yang disimpan, dikelola dan disharing maka semakin besar pula resiko
terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak
diinginkan.
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya
menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam maupun luar.
Pendekatan — pendekatan yang dimulai oleh kalangan industri dicontoh dan
diperluas. Ketika pencegahan federal ini diimplementasikan, dua Hsu penting harus
diatasi
1. Isu yang pertama adalah keamanan versus hak — hak individu
2. Isu yang kedua adalah keamanan versus ketersediaan

KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk
mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara
eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem
(system security) pun digunakan. Kini, cakupnya telah meluas hingga mencakup semua
jenis data—bukan hanya data di dalam komputer.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada
ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan
informasi serta metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur
Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar
kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga
integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan.
Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah
non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini
menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi.
Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang
melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua
pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah
disetujui, peraturan tersebut dapat diterapkan.
Sistem Access Control (sistem kontrol akses), mengendalikan/membatasi akses user
terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian
secara mobile-computing ataupun tele-networking.
Communication and Operations Management (manajemen komunikasi dan operasi),
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan
pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang
terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional.
Physical and Environmental Security (keamanan fisik dan lingkungan), membahas
keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/
kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian
data dalam media penyimpanan atau fasilitas informasi yang lain.
Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan
keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan
kontraktual melalui audit sistem secara berkala.
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko
dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia
(human error), sehingga mampu mengurangi human error dan manipulasi data dalam
pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai
security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam
lingkup kerja masing-masing.
Security Organization (organisasi keamanan), mengatur tentang keamanan secara
global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem
informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap
pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing).
Asset Classification and Control (klasifikasi dan kontrol aset), memberikan
perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi
yang ditentukan.
Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi
resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan
”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk
yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan
proses bisnis

Tujuan Keamanan Informasi

Keamanan informasi ditujukan untuk mencapai tiga tujuan utama : kerahasian,
ketersadiaan, dan integritas.
• Kerahasiaan. Perusahaan berusaha untuk melindungi data informasinya dari
pengungkapan kepada orang — orang yang tidak berwenang.
• Ketersediaan. Tujuan dari infrakstruktur informasi perusahaan adalah
menyediakan data dan informasi sedia bagi pihak — pihak yang memiliki
wewenang untukmenggunakannya.
 • Integritas. Semua sistem informasi harus memberikan representasi akurat atas
sistem fisik yang direprentasikannya.

Manajemen Keamanan Informasi

Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi ( information security managemen —ISM), sedangkan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis ( business continuity
management — BCM).

MANAJEMEN KEAMANAN INFORMASI

Manajemen informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan; mendefinisikan risiko yang dapat
disebabkan oleh ancaman — ancaman tersebut; menentukan kehyakan keamanan
informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko — risiko
tersebut .
Tolak ukur keamanan informasi ( information security benghmark ) adalah tingkat
keamanan yang disarankan yang dalam keadaan normal harus menawarkan
perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

ANCAMAN
Ancaman keamanan informasi ( information securty threat) adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan.
Tindakan Keeelakaan dan Disengaja
Tidak semua ancaman merupakan tindkan yang dilakukan dengan tujuan mencelakai.
Beberapa merupakan kecelakaan, yang disebabkan oleh orang — orang di dalam ataupun
di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk
mencegah ancaman yang disengaja, sistem keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.
JENIS ANCAMAN
Fungsi — fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut
berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya selain virus, terdapat pula
worm. Trojan horse, adware, dan spyware.
Program antispyware wring kali menyerang cookies, yaituffleteks kecil yang diletakkan
perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka.
Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di
kalangan beberapa pemasar. Solusi yang paling efektif yang memungkinkan adalah
menghalangi antispyware untuk menghapus cookies pihak pertama yang disimpan
perusahaan untuk pars pelanggannya, tapi hanya menghapus cookies pihak ketiga yang
diletakkan oleh perusahaan lain.
Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang — orang yang
seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
Sebagi contoh, mata — mata industri dapat memperoleh informasi mengenai kompetiosi
yang berharga, dan kriminal komputer dapat menyelundupkan dan perusahaan.
Penggunaan yang Tidak Terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang — orang yang biasanya tidak
berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh
kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagai
suatu tantangan yang haru diatasi.
Penghancuran yang Tidak Terotorisi dan Penolakan Layanan
Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga
menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini
penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut.
Modifikasi yang Tidak Terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa
perubahan dapat berlangsung tanpa disadari dan menyebabkan pengguna output sistem
tersebut mengambil keputusan yang salah.

PERSOALAN E-COMMERCE
E-commerce ( perdagangan elektronik ) telah memperkenalkan suatu permasalahan
keaman barn. Masalah in) bukanlah perlindungan data, informasi, dan peranti lunak , tap]
perlindungan dari pemalsuan kartu kredit. Menurut sebuah serve] yang dilakukan
oleh Gartner Group, pemalsuan kartu kredit 12 kall lebih sering terjadi untuk para paritel
e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan
mereka secara langsung.

MANAJEMEN RISIKO
Manajemen risiko diidentifikasi sebagai sate dari dua strategi untuk mencapai keamanan
informasi.
1. Identifikasi aset – aset bisnis yang hares dilindungi dari risiko
2. Menyadari risikonya
3. menentukan tingkatan dampak pada perusahaan jika risiko benar – benar terjadi
4. menganallsis kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah ( severe
impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan
perusahaan tersebut untuk berfungsi; dampak signifikan ( significant impact),
menyebabkan kerusakandan biaya yang signifikan, tetapi perusahaan tersebut akan
selamat; atau dampak minor ( minor impact), memnyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari – hari.

PENGENDALIAN
Pengendalian ( control) adalah mekanisme yang diterapkan balk untuk melindungi
perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada
perusahaan jika risiko tersebut terjadl.
PENGENDALIAN TEKNIS
Pengendalian teknis ( technical control) adalah pengendalian yang menjadi sate di
dalam sistem dan di beat oleh para penyusun sistem selama mass siklus penyusunan
sistem.
Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang – orang yang
tidak diotorisasi adalah pengendalian akses.
Penggabungan langkah – langkah ini menjadi sistem keamanan
1. Identifikasi pengguna. Para pengguna pertama – lama meng] dent) fikas 1 diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
Sandi.
2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna
memverifikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti smart card atau tanda tertentu atau chip identifikasi.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat
atau derajat pengguna tertentu.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka
dapat menggunakan sumber da ya informasi yang terdapat di dalam batasan file
pengendalian akses. Pencataan audit yang berbasis komputer ter-us dilakukan pada
semua aktivitas pengendalian akses, seperti tanggal dan waktu Berta identifikasi
terminal, dan digunakan untuk mempersiapkan laporan keuangan.

Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sehelion memiliki kesempatan untuk melakukan perusakan. Salah satu
contoh yang balk adalah peranti lunak proteksi virus ( virus protection software) yang
telah terbukti efektif elawan virus yang terkirim melalui e-mail. Peranti lunak
tersebut mengi dent] fikasi pesan pembawa virus dan memperingatkan si pengguna.

Firewall
Menurut Ehab S. Al-Shaer and Hazem H. Hamed, kebijakan keamanan firewall
adalah daftar aturan yang telah ditentukan untuk menetapkan tindakan yang harus
dilakukan pada paket-paket jaringan berdasar pada kondisi-kondisi penyaringan khusus.
Kebijakan seharusnya menentukan segala sesuatu dari penggunaan yang dapat
diterima untuk merespon skenario di mana suatu gangguan keamanan terjadi. Suatu
kebijakan firewall berbeda dari kebijakan keamanan informasi, sejauh ini penggambaran
sederhananya adalah bagaimana kebijakan keamanan informasi akan diterapkan oleh
firewall dan dihubungkan dengan mekanisme keamanan.
Tanpa suatu kebijakan firewall, organisasi dan administrator seolah-olah terbang
dalam kegelapan, sehingga firewall menjadi kompleks dan rumit untuk dikelola, dan
gangguan keamanan dapat terjadi sehari-hari. Tanpa suatu kebijakan untuk memandu
penerapan dan administrasi firewall, maka firewall itu sendiri dapat juga mendatangkan
suatu masalah keamanan. Oleh karena itu, dirasa sangat penting untuk membuat
kebijakan keamanan firewall sebelum memasang firewall pada sistem jaringan suatu
organisasi.
Pada bagian ini akan diuraikan langkah-langkah untuk membuat suatu kebijakan
keamanan firewall dan kemudian dilanjutkan dengan sebuah contoh. Ini berisi
rekomendasi untuk pengujian dan pembaharuan (updating) kebijakan secara periodik.
 Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke
dan dari perusahaan tersebut dan Internet.
Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang
terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium
komunikasi ( sirkuit ) dari pada router. Pendekatan ini memungkinkan tingkat otentikasi
dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router.

Pengendalian Kriptografis
Data dan informasi yang tersimpan dan di transmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang
menggunakan proses. — proses matematika.
Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi
yang berkelanjutan, penggunaannya diharapkan untuk meningkat di dalam batasan
peraturan pemerintah.

MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA

TEMPATNYA
Kebijakan ini dapat di boat berdasarkan identifikasi ancaman dan risiko ataupun
berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri. Perusahaan
harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal
yang di harapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan
biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang membuat
perusahaan dan sistemnya mampu berfungsi secara efektif

MANAJEMEN KEBERLANGSUNGAN BISNIS

Aktivitas yang ditunjukan untuk menentukan operasioanal setelah terjadi gangguan
sisteminformasi disebut dengan manajemen keberlangsungan bisnis ( business continuity
management — BCM ). Pada tahun — tahun awal penggunaan komputer, aktivitas ini
disebut perencanaan bencana ( disaster planning), namun istilah yang lebih positif,
perencanaan kontinjensi ( contigencypian ), menjadi populer.
Rencana Catatan Penting
Catatan penting ( vital records) perusahaan adalah dokumen kertas, mikroform, dan
media penyimpanan optis dan magnetis yang penting untuk menentukan bisnis
perusahaan tersebut. Rencana catatan penting ( vital records plan ) menentukan cara
bagaimana catatan penting tersebut harus dilindungio. Selain menjaga catatan tersebut di
sites komputer, salinan cadangan harus disimpan di lokasi yang terpencil. Semuajems
catatan dapat secara fisik dipindahkan kelokasi terpencil tersebut, namun catatan
komputer dapat ditransmisikan secara elektronik
KESIMPULAN
Kebijakan keamanan merupakan langkah kritis pertama dalam rangka mengamankan
jaringan organisasi. Kebijakan keamanan merupakan suatu dokumen tertulis sehingga
seharusnya mudah untuk dibaca. Dokumen ini menyatakan sumber daya mana saja yang
harus diamankan serta dalam kondisi yang bagaimana agar akses dapat diizinkan atau
ditolak.
Dalam pembuatan kebijakan keamanan supaya hasilnya baik diperlukan manajemen
kebijakan keamanan firewall yang terdiri dari analisis resiko dan langkah-langkah dalam
pembuatan kebijakan keamanan firewall. Hasil dari analisa ini meliputi sebuah daftar
aplikasi-aplikasi dan bagaimana aplikasi-aplikasi tersebut akan diamankan.
Firewall merupakan alat bantu teknis yang digunakan untuk menerapkan kebijakan
keamanan. Dengan suatu kebijakan yang didefinisikan dengan jelas, maka organisasi
akan mampu mengetahui dengan tepat siapa yang akan menjaga perangkat firewall serta
perubahan seperti apa saja yang diperkenankan. Aturan-aturan yang secara acak
ditambahkan dan diganti tanpa melalui suatu perencanaan yang matang, hasilnya dapat
berupa konfigurasi perangkat yang kurang efektif.
 DAFTAR PUSTAKA

Ehab S. Al-Shaer and Hazem H. Hamed, Modeling and Management of Firewall

Policies, DePaul University: 2004