P. 1
KEAMANAN INFORMASI

KEAMANAN INFORMASI

|Views: 2,112|Likes:
Published by halim_godak

More info:

Categories:Types, Resumes & CVs
Published by: halim_godak on Jan 21, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

01/14/2013

pdf

text

original

KEAMANAN INFORMASI I.

Pendahuluan Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting). Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan disharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam maupun luar. Pendekatan — pendekatan yang dimulai oleh kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan, dua Hsu penting harus diatasi 1. Isu yang pertama adalah keamanan versus hak — hak individu 2. Isu yang kedua adalah keamanan versus ketersediaan KEAMANAN INFORMASI Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem (system security) pun digunakan. Kini, cakupnya telah meluas hingga mencakup semua jenis data—bukan hanya data di dalam komputer. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan. Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini

menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan. Sistem Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Communication and Operations Management (manajemen komunikasi dan operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui audit sistem secara berkala. Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing. Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan proses bisnis Tujuan Keamanan Informasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama : kerahasian, ketersadiaan, dan integritas. • Kerahasiaan. Perusahaan berusaha untuk melindungi data informasinya dari pengungkapan kepada orang — orang yang tidak berwenang. • Ketersediaan. Tujuan dari infrakstruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak — pihak yang memiliki wewenang untukmenggunakannya.

Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direprentasikannya.

Manajemen Keamanan Informasi Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( information security managemen —ISM), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis ( business continuity management — BCM). MANAJEMEN KEAMANAN INFORMASI Manajemen informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan risiko yang dapat disebabkan oleh ancaman — ancaman tersebut; menentukan kehyakan keamanan informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko — risiko tersebut . Tolak ukur keamanan informasi ( information security benghmark ) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. ANCAMAN Ancaman keamanan informasi ( information securty threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Tindakan Keeelakaan dan Disengaja Tidak semua ancaman merupakan tindkan yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang — orang di dalam ataupun di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan. JENIS ANCAMAN Fungsi — fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya selain virus, terdapat pula worm. Trojan horse, adware, dan spyware. Program antispyware wring kali menyerang cookies, yaituffleteks kecil yang diletakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasar. Solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang disimpan perusahaan untuk pars pelanggannya, tapi hanya menghapus cookies pihak ketiga yang diletakkan oleh perusahaan lain. Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang — orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Sebagi contoh, mata — mata industri dapat memperoleh informasi mengenai kompetiosi

yang berharga, dan kriminal komputer dapat menyelundupkan dan perusahaan. Penggunaan yang Tidak Terotorisasi Penggunaan yang tidak terotorisasi terjadi ketika orang — orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang haru diatasi. Penghancuran yang Tidak Terotorisi dan Penolakan Layanan Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut. Modifikasi yang Tidak Terotorisasi Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan pengguna output sistem tersebut mengambil keputusan yang salah. PERSOALAN E-COMMERCE E-commerce ( perdagangan elektronik ) telah memperkenalkan suatu permasalahan keaman barn. Masalah in) bukanlah perlindungan data, informasi, dan peranti lunak , tap] perlindungan dari pemalsuan kartu kredit. Menurut sebuah serve] yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kall lebih sering terjadi untuk para paritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. MANAJEMEN RISIKO Manajemen risiko diidentifikasi sebagai sate dari dua strategi untuk mencapai keamanan informasi. 1. Identifikasi aset – aset bisnis yang hares dilindungi dari risiko 2. Menyadari risikonya 3. menentukan tingkatan dampak pada perusahaan jika risiko benar – benar terjadi 4. menganallsis kelemahan perusahaan tersebut Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah ( severe impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi; dampak signifikan ( significant impact), menyebabkan kerusakandan biaya yang signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor ( minor impact), memnyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari – hari. PENGENDALIAN Pengendalian ( control) adalah mekanisme yang diterapkan balk untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadl. PENGENDALIAN TEKNIS Pengendalian teknis ( technical control) adalah pengendalian yang menjadi sate di dalam sistem dan di beat oleh para penyusun sistem selama mass siklus penyusunan sistem.

Pengendalian Akses Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang – orang yang tidak diotorisasi adalah pengendalian akses. Penggabungan langkah – langkah ini menjadi sistem keamanan 1. Identifikasi pengguna. Para pengguna pertama – lama meng] dent) fikas 1 diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata Sandi. 2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. 3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna tertentu. Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber da ya informasi yang terdapat di dalam batasan file pengendalian akses. Pencataan audit yang berbasis komputer ter-us dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu Berta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan. Sistem Deteksi Gangguan Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sehelion memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang balk adalah peranti lunak proteksi virus ( virus protection software) yang telah terbukti efektif elawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengi dent] fikasi pesan pembawa virus dan memperingatkan si pengguna. Firewall Menurut Ehab S. Al-Shaer and Hazem H. Hamed, kebijakan keamanan firewall adalah daftar aturan yang telah ditentukan untuk menetapkan tindakan yang harus dilakukan pada paket-paket jaringan berdasar pada kondisi-kondisi penyaringan khusus. Kebijakan seharusnya menentukan segala sesuatu dari penggunaan yang dapat diterima untuk merespon skenario di mana suatu gangguan keamanan terjadi. Suatu kebijakan firewall berbeda dari kebijakan keamanan informasi, sejauh ini penggambaran sederhananya adalah bagaimana kebijakan keamanan informasi akan diterapkan oleh firewall dan dihubungkan dengan mekanisme keamanan. Tanpa suatu kebijakan firewall, organisasi dan administrator seolah-olah terbang dalam kegelapan, sehingga firewall menjadi kompleks dan rumit untuk dikelola, dan gangguan keamanan dapat terjadi sehari-hari. Tanpa suatu kebijakan untuk memandu penerapan dan administrasi firewall, maka firewall itu sendiri dapat juga mendatangkan suatu masalah keamanan. Oleh karena itu, dirasa sangat penting untuk membuat kebijakan keamanan firewall sebelum memasang firewall pada sistem jaringan suatu organisasi. Pada bagian ini akan diuraikan langkah-langkah untuk membuat suatu kebijakan keamanan firewall dan kemudian dilanjutkan dengan sebuah contoh. Ini berisi rekomendasi untuk pengujian dan pembaharuan (updating) kebijakan secara periodik.

Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan Internet. Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi ( sirkuit ) dari pada router. Pendekatan ini memungkinkan tingkat otentikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Pengendalian Kriptografis Data dan informasi yang tersimpan dan di transmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang menggunakan proses. — proses matematika. Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi yang berkelanjutan, penggunaannya diharapkan untuk meningkat di dalam batasan peraturan pemerintah. MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA Kebijakan ini dapat di boat berdasarkan identifikasi ancaman dan risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang di harapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang membuat perusahaan dan sistemnya mampu berfungsi secara efektif MANAJEMEN KEBERLANGSUNGAN BISNIS Aktivitas yang ditunjukan untuk menentukan operasioanal setelah terjadi gangguan sisteminformasi disebut dengan manajemen keberlangsungan bisnis ( business continuity management — BCM ). Pada tahun — tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana ( disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi ( contigencypian ), menjadi populer. Rencana Catatan Penting Catatan penting ( vital records) perusahaan adalah dokumen kertas, mikroform, dan media penyimpanan optis dan magnetis yang penting untuk menentukan bisnis perusahaan tersebut. Rencana catatan penting ( vital records plan ) menentukan cara bagaimana catatan penting tersebut harus dilindungio. Selain menjaga catatan tersebut di sites komputer, salinan cadangan harus disimpan di lokasi yang terpencil. Semuajems catatan dapat secara fisik dipindahkan kelokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik

KESIMPULAN Kebijakan keamanan merupakan langkah kritis pertama dalam rangka mengamankan jaringan organisasi. Kebijakan keamanan merupakan suatu dokumen tertulis sehingga seharusnya mudah untuk dibaca. Dokumen ini menyatakan sumber daya mana saja yang harus diamankan serta dalam kondisi yang bagaimana agar akses dapat diizinkan atau ditolak. Dalam pembuatan kebijakan keamanan supaya hasilnya baik diperlukan manajemen kebijakan keamanan firewall yang terdiri dari analisis resiko dan langkah-langkah dalam pembuatan kebijakan keamanan firewall. Hasil dari analisa ini meliputi sebuah daftar aplikasi-aplikasi dan bagaimana aplikasi-aplikasi tersebut akan diamankan. Firewall merupakan alat bantu teknis yang digunakan untuk menerapkan kebijakan keamanan. Dengan suatu kebijakan yang didefinisikan dengan jelas, maka organisasi akan mampu mengetahui dengan tepat siapa yang akan menjaga perangkat firewall serta perubahan seperti apa saja yang diperkenankan. Aturan-aturan yang secara acak ditambahkan dan diganti tanpa melalui suatu perencanaan yang matang, hasilnya dapat berupa konfigurasi perangkat yang kurang efektif.

DAFTAR PUSTAKA Ehab S. Al-Shaer and Hazem H. Hamed, Modeling and Management of Firewall Policies, DePaul University: 2004

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->