MODUL PERKULIAHAN
|
||||||||
|
||||||||
Sistem Informasi Manajemen
|
||||||||
|
||||||||
KEAMANAN INFORMASI
|
||||||||
|
|
|
|
|
|
|
||
|
Fakultas
|
Program Studi
|
Tatap Muka
|
Kode MK
|
Disusun Oleh
|
|
||
|
Ekonomi (FE)
|
Manajemen
|
10
|
|
|
|
||
Abstract
|
Kompetensi
|
|
|
Keamanan informasi
bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan
integrasi
|
Mahasiswa dapat
mengetahui dan memahami tentang Keamanan Sistem Informasi
|
1.
Pengantar Keamanan Informasi
Selain
itu keamanan sistem informasi bisa diartikan sebagai kebijakan,
prosedur, dan pengukuran
teknis yang digunakan untuk
mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap
sistem informasi. Sistem pengamanan terhadap teknologi
informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan
peralatan-peralatan untuk
mengamankan perangkat keras
dan lunak komputer,
jaringan komunikasi, dan data.
2.
Pentingnya Keamanan Sistem Informasi
Seringkali sulit
untuk membujuk management
perusahaan atau pemilik sistem informasi untuk melakukan
investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan
survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22%
yang menganggap keamanan sistem informasi sebagai komponen sangat penting
(“extremely important”). Mereka lebih mementingkan “reducing cost” dan
“improving competitiveness”
meskipun perbaikan sistem
informasi setelah dirusak justru dapat menelan biaya yang lebih
banyak.
Meskipun
sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan
uang (intangible), keamanan sebuah
sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur
dengan uang (tangible). Dengan adanya
ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya
investasi di bidang keamanan. Berikut ini adalah berapa contoh kerugian yang
timbul akibat kurangnya penerapan keamanan :
Hitung
kerugian apabila sistem informasi anda tidak bekerja selama 1jam, selama 1 hari,
1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server
Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat
menderita kerugian beberapa juta dolar.)
Hitung
kerugian apabila ada kesalahan informasi (data)
pada sistem informasi anda.
Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan
harga yang ada di toko anda.
Hitung
kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita
apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang
dibutuhkan untuk rekonstruksi data.
Apakah
nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan
bila sebuah bank
terkenal dengan rentannya pengamanan data-datanya, bolak-balik
terjadi security incidents. Tentunya banyak nasabah yang pindah
ke bank lain karena takut akan keamanan uangnya.
3.
Tujuan Keamanan Informasi
Keamanan informasi
bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan
integrasi.
a.
Kerahasiaan. Perusahaan
mencari cara untuk melindungi data dan informasinya dari penggunaan yang tidak
semestinya oleh orang-orang yang tidak memiliki otoritas menggunakannya. Sistem
informasi eksekutif, sistem informasi sumber daya manusia, dan sistem
pengolahan transaksi, seperti pembayaan gaji, piutang usaha, pembelian, dan
hutang usaha, adalah sistem-sistem yang terutama harus mendapat perhatian dalam
keamanan informasi.
b.
Ketersediaan. Tujuan
dibangunnya infrastruktur informasi perusahaan adalah supaya data dan informasi
perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk
menggunakannya. Tujuan ini khususnya penting bagi MIS, DSS, dan sistem
informasi organisasi.
c.
Integritas Seluruh
sistem informasi harus memberikan atau menyediakan gambaran yang akurat
mengenai sistem fisik yang mereka wakili.
Sistem informasi perusahaan
harus melindungi data dan informasinya dari tindakan penyalahgunaan, tapi tetap
menjamin tersedianya data dan informasi yang akurat untuk pengguna yang
pihak-pihak yang berhak terhadap data dan informasi tersebut.
4.
Pengelolaan Keamanan Informasi
Ketika cakupan
keamanan informasi meluas, maka pandangan mengenai tanggung jawab manajemen
juga turut meluas. tidak hanya diharapkan untuk menjaga keamanan sumber-sumber
informasi tetapi juga diharapkan untuk dapat tetap memelihara fungsi-fungsi
perusahaan setelah terjadi bencana atau pelanggaran keamanan.
Aktivitas-aktivitas yang berhubungan dengan pengamanan sumber daya informasi
disebut dengan Manajemen Pengamanan Informasi (information security
management-ISM), sedangkan kegiatan pengamanan sumber daya informasi
perusahaan setelah terjadi bencana disebut Manajemen Kelangsungan Bisnis (business
continuity management-BCM).
Kepala bagian
informasi (chief information officer-CIO) adalah orang yang bertanggung
jawab terhadap keamanan informasi perusahaan, tetapi biasanya CIO akan menunjuk
sekelompok khusus pegawai yang dapat bekerja penuh waktu untuk menangani
masalah-masalah yang berkaitan dengan keamanan informasi perusahaan dalam
operasionalnya sehari-hari. Pegawai yang berada dalam organisasi ini disebut disebut
juga bagian keamanan sistem informasi perusahaan. (corporate information
systems security officer-CISSO). Akan tetapi, kini telah terjadi
pergeseran dalam perusahaan untuk menempatkan keamanan informasi perusahaan
pada tingkat yang lebih tinggi dengan cara membentuk bagian penjamin
informasi perusahaan (corporate information assurance officer-CIAO). CIAO
harus mengelola unit penjamin informasi dan melaporkannya kepada dewan
direksi. Seperti yang telah diperkirakan sebelumnya, CIAO harus memiliki sertifikasi
pengamanan lengkap dengan pengalaman minimal 10 tahun untuk dapat mengelola
fasilitas keamanan informasi suatu perusahaan.
5.
Manajemen Keamanan Informasi
Dalam bentuk yang
paling dasar, manajemen keamanan informasi terdiri dari 4 tahap yaitu: mengidentifikasi
ancaman yang dapat menyerang sumber informasi perusahaan;
mengidentifikasi resiko yang mungkin ditimbulkan oleh ancaman tersebut;
menetapkan kebijakan-kebijakan keamanan informasi; dan melaksanakan pengawasan
terhadap hal-hal yang berhubungan dengan resiko keamanan informasi. Ancaman dapat
menimbulkan resiko yang harus dikontrol. Istilah manajemen resiko (risk
management) dibuat untuk menggambarkan pendekatan secara
mendasar terhadap resiko keamanan yang dihadapi oleh sumber-sumber informasi
perusahaan.
Terdapat pilihan lain
untuk memformulasikan kebijakan tentang keamanan informasi perusahaan. Pilihan
tersebut menjadi populer pada tahun-tahun belakangan ini dengan kemunculan
standar keamanan informasi atau benchmark. Benchmark merupakan salah satu
tingkat kinerja yang diharapkan dapat dicapai dalam keamanan informasi
perusahaan. Benchmark keamanan informasi merupakan suatu tingkat
keamanan yang disarankan untuk perusahaan yang berada dalam keamanan normal.
Tingkat keamanan ini berupa perlindungan yang wajar dan dapat diterima terhadap
gangguan dari luar perusahaan. Baik standar maupun benchmark keamanan,
keduanya ditentukan oleh pemerintah dan asosiasi industri serta menunjukkan
model keamanan yang dianggap dan diyakini pemerintah sebagai program keamanan
informasi yang baik. Ketika sebuah perusahaan menggunakan pendekatan ini maka
disebut pelaksanaan benchmark (benchmark compliance)
|
Pelaksanaan benchmark
dilakukan perusahaan dengan asumsi bahwa pemerintah dan asosiasi industri
telah mempertimbangkan dengan baik mengenai ancaman-ancaman dan resiko yang
mungkin terjadi pada perusahaan dan benchmark dianggap dapat memberikan
perlindungan yang baik. Gambar di atas menunjukkan pelaksanaan pendekatan benchmark.
6.
Ancaman
Ancaman terhadap
keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian
yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi
perusahaan. Ketika kita berpikir tentang ancaman terhadap keamanan informasi,
maka kita juga akan berpikir tentang aktivitas-aktivitas yang sengaja dilakukan
individu-individu dan kelompok-kelompok di luar perusahaan.
Pada kenyataannya,
ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun
eksternal atau berasal dari luar perusahaan. Ancaman dapat juga terjadi secara
sengaja atau tidak sengaja. Gambar di bawah
memperlihatkan tujuan-tujuan keamanan informasi dan bagaimana tujuan
tersebut sesuai dengan 4 tipe resiko yang dihadapi.
Ancaman bersifat
internal tidak hanya berasal dari para pegawai tetap perusahaan tetapi dapat
juga berasal dari para pegawai sementara, konsultan, kontraktor, dan rekan
bisnis perusahaan
Survey
yang dilakukan oleh suatu Institut Keamanan
Komputer menemukan bahwa 49% responden menyatakan mengalami kejadian yang
membahayakan keamanan informasi ternyata dilakukan pengguna yang sah dan
diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan.
Ancaman yang berasal
dari dalam perusahaan diperkirakan mempunyai bahaya yang lebih serius
dibandingkan ancaman yang berasal dari luar perusahaan, karena individu dan
kelompok internal memiliki pengetahuan yang lebih mengenai sistem yang ada di
dalam perusahaan tersebut.
Kontrol yang dibuat
untuk menghadapi ancaman eksternal biasanya baru mulai bekerja jika serangan
terhadap keamanan terdeteksi. Sedangkan kontrol untuk menghadapi ancaman
internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
b.
Ketidaksengajaan
dan Kesengajaan
Tidak semua ancaman
berasal dari perbuatan yang disengaja dengan maksud untuk menimbulkan kerugian.
Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal
dari orang di dalam maupun luar perusahaan. Dengan adanya hal seperti ini, maka
keamanan informasi harus ditujukan tidak hanya untuk mengatasi ancaman yang
timbul karena kesengajaan tetapi juga harus mampu mengurangi bahkan
menghilangkan faktor-faktor yang dapat menimbulkan ancaman yang tidak disengaja
terhadap keamanan perusahaan.
7.
Resiko
Kita menetapkan suatu
resiko keamanan informasi sebagai hasil yang tidak diinginkan akibat
terjadinya ancaman dan gangguan terhadap keamanan informasi. Semua resiko
mewakili aktivitas-aktivitas yang tidak sah atau di luar dari yang diperbolehkan
perusahaan. Aktivitas-aktivitas tersebut adalah: pengungkapan dan pencurian
informasi, penggunaan secara tidak sah, pengrusakan dan penolakan dan
modifikasi yang tidak dibenarkan.
a.
Pengungkapan
dan Pencurian
Ketika database dan
perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak, maka
dapat mengakibatkan hilangnya informasi dan uang. Sebagai contoh, mata-mata
industri dapat memperoleh informasi kompetitif yang berharga dan penjahat
komputer dapat menggelapkan dana perusahaan.
b.
Penggunaan
Secara Tidak Sah
Penggunaan secara
tidak sah terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang
tidak berhak menggunakannya. Ciri-ciri penjahat komputer yang memiliki
kemampuan mengakses informasi secara tidak sah termasuk diantaranya adalah hacker.
Hacker biasanya menganggap informasi keamanan suatu instansi atau
perusahaan sebagai suatu tantangan. Sebagai contoh, seorang hacker dapat
menerobos jaringan komputer suatu perusahaan, memperoleh akses terhadap sistem
telepon kemudian menggunakannya untuk melakukan hubungan telepon interlokal
secara tidak sah.
c.
Pengrusakan
Secara Tidak Sah dan Penolakan Pelayanan
Individu dapat
merusak atau menghancurkan perangkat keras atau perangkat lunak, yang
menyebabkan berhentinya operasi komputer perusahaan. Hal tersebut dapat
dilakukan oleh penjahat komputer tanpa mereka harus berada di lokasi
perusahaan. Mereka dapat masuk ke dalam jaringan komputer dari terminal
komputer yang berada jauh dari lokasi pusat dan menyebabkan kerusakan fisik,
seperti kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada
printer, dan tidak berfungsinya keyboard.
d.
Modifikasi
Secara Tidak Sah
Perubahan dapat
dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa
perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output
system menerima informasi yang salah dan membuat keputusan yang salah. Tipe
modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh
perangkat lunak yang menyebabkan kerusakan, biasanya dikelompokkan sebagai
virus.
8.
Ancaman Paling Terkenal – Virus
Semua orang pernah
mendengar tentang virus komputer. Dalam dunia komputer virus adalah salah satu
contoh dari jenis perangkat lunak yang disebut "perangkat lunak
perusak" (malacious software atau malware). Perangkat
lunak perusak atau malware, terdiri dari program-program yang lengkap
atau segmen-segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi
yang tidak diinginkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat
menghapus data-data atau file dan menyebabkan kegagalan pada sistem.
Terdapat banyak jenis perangkat lunak perusak selain virus, di antaranya worm
dan Trojan horses yang juga mendapat banyak perhatian.
Virus
merupakan program komputer yang dapat
memperbanyak diri dengan sendirinya tanpa sepengetahuan pengguna dan menyimpan
salinannya secara otomatis pada program lainnya dan boot sectors. Worm
tidak dapat memperbanyak diri sendiri dalam sebuah sistem seperti yang
dapat dilakukan oleh virus, tetapi dapat mengirim salinannya dengan menggunakan
e-mail Trojan horses juga tidak dapat memperbanyak diri atau
menyebar secara otomatis. Penyebaran dilakukan oleh pengguna secara tidak
disengaja. Ketika digunakan trojan horse dapat menimbulkan perubahan yang tidak
diinginkan dalam fungsional sistem komputer yang diserangnya.
9.
Manajemen Resiko
Di awal bab, kita
telah mengidentifikasi manajemen resiko sebagai satu dari dua strategi untuk
mendapatkan keamanan informasi. Landasannya dapat dikelola agar dapat
dikendalikan secara tepat dan proporsional, sehingga pengaruh-pengaruh resiko
dapat dikurangi bahkan dihilangkan. Ada empat langkah yang diambil dalam mendefinisikan
resiko, yaitu:
1)
Identifikasi aset-aset
bisnis yang harus dilindungi dari resiko.
2)
Kenali resiko
3)
Tentukan tingkat-tingkat dari
dampak yang ditimbulkan resiko pada perusahaan.
4)
Analisis kelemahan-kelemahan
perusahaan
Suatu pendekatan yang
sistematik dapat diambil terhadap langkah 3 dan 4, yaitu penentuan dampak dari
resiko dan analisis kelemahan perusahaan.
Tingkat kerusakan yang
ditimbulkan resiko dapat diklasifikasikan menjadi dampak parah (menghentikan
bisnis perusahaan atau mengurangi kemampuan operasional perusahaan), dampak signifikan
(menyebabkan kerusakan signifikan dan merugikan tetapi perusahaan masih
dapat bertahan) dan dampak minor (menyebabkan gangguan tertentu pada
operasional harian perusahaan). Baik untuk dampak yang parah maupun dampak yang
signifikan, perlu dilakukan analisis kelemahan perusahaan. Jika analisis
menunjukkan tingkat kelemahan yang tinggi (kelemahan substansial yang ada pada
sistem) kontrol harus diimplementasikan untuk menghapuskan atau
menguranginya. Jika tingkat kelemahan perusahaan sedang atau menengah, kontrol
dapat diimplementasikan dan jika tingkat kelemahan rendah (sistem dikonstruksi
dengan baik dan beroperasi secara benar), maka kontrol yang ada harus dipertahankan.
Derajat Dampak
dan Kelemahan Yang Terukur oleh Kontrol
|
|||
|
Dampak
Parah
|
Dampak
Signifikan
|
Dampak
Minor
|
Tingkat
Kelemahan Tinggi
|
Melakukan analisis
kelemahan. Harus meningkatkan control
|
Melakukan analisis
kelemahan. Harus meningkatkan kontrol
|
Analsis kelemahan tidak
penting dilakukan
|
Tingkat
Kelemahan Sedang
|
Melakukan analisis
kelemahan. Harus meningkatkan control
|
Melakukan analisis
kelemahan. Harus meningkatkan kontrol
|
Analsis kelemahan tidak
penting dilakukan
|
Tingkat
Kelemahan Rendah
|
Melakukan analisis
kelemahan. Kontrol dipertahankan
|
Melakukan analisis
kelemahan. Kontrol dipertahankan
|
Analsis kelemahan tidak
penting dilakukan
|
Untuk
melengkapi analisis resiko, hal-hal yang ditemukan
dalam analisis harus didokumentasikan dalam laporan analisis resiko. Untuk
setiap resiko, isi laporan harus menyertakan informasi sebagai berikut
1)
Deskripsi resiko
2)
Sumberresiko
3)
Tingkat kekuatan resiko
4)
Kontrol yang diterapkan
terhadap resiko
5)
Pemilik resiko
6)
Tindakan yang
direkomendasikan ntuk menangani resiko
7)
Batasan waktu yang
direkomendasikan untuk menangani resiko.
8) Apa
yang telah dilakukan untuk mengurangi resiko tersebut.
10.
Kebijakan Informasi Keamanan
Tanpa melihat apakah
perusahaan mengikuti manajemen resiko atau strategi pelaksanaan benchmark, kebijakan
keamanan harus diimplementasikan untuk mengarahkan keseluruh program.
Perusahaan dapat
menerapkan kebijakan keamanannya dengan mengikuti pendekatan sbb:
• Fase
1-Inisiasi proyek Tim yang akan bertugas
mengembangkan kebijakan keamanan dibentuk. Jika anggota SC-SIM perusahaan tidak
mampu merumuskan proyek kebijakan keamanan, dapat dibentuk SC khusus. Termasuk
kedalam anggota SC khusus diantaranya para manager di area-area dimana
kebijakan keamanan akan diterapkan.
• Fase
2-Kebijakan Pengembangan Tim proyek berkonsultasi
dengan pihak-pihak yang terlibat dan berpengaruh dalam menentukan
persyaratan-persyaratan yang diperlukan untuk kebijakan yang baru.
• Fase
3-Konsultasi dan Persetujuan Tim proyek berkonsultasi dan
menginformasikan kepada para manajer mengenai hasil temuan hingga saat ini dan
meminta pandangan-pandangannya terhadap persyaratan kebijakan yang diperlukan.
• Fase
4-Kewaspadaan dan Pendidikan Pelatihan kewaspadaan dan
program pendidikan kebijakan diselenggarakan pada unit organisasi. Peserta
pelatihan terdiri dari anggota proyek, wakil-wakil dari berbagai depatemen
dalam perusahaan, seperti departemen IT dan HR dan konsultan dari luar
perusahaan.
• Fase
5-Penyebarluasan Kebijakan Kebijakan keamanan
disebarluaskan melalui unit-unit organisasi dimana kebijakan tersebut
diterapkan. Idealnya, unit-unit manajer mengadakan rapat dengan para karyawan
untuk memastikan bahwa mereka mengerti mengenai kebijakan tersebut dan merasa terikat
untuk mematuhinya.
Kebijakan lainnya
yang berbeda dikembangkan untuk:
·
Keamanan sistem informasi
·
Sistem akses pengendalian
·
Keamanan pribadi
·
Keamanan fisik dan
lingkungan
·
Keamanan telekomunikasi
·
Klasifikasi informasi
·
Rencana bisnis yang
berkesinambungan
·
Akuntabilitas manajemen.
Kebijakan ini
didistribusikan kepada para karyawan terutama dalam bentuk tertulis, juga
melalui program pelatihan dan pendidikan. Bila kebijakan telah yang ditetapkan,
kontrol dapat diimplementasikan.
11.
Kontrol Teknis
Adalah kontrol yang
dibangun di dalam sistem oleh pengembang selama siklus hidup pengembangan
sistem. Auditor internal dalam tim proyek harus memasikan bahwa kontrol telah
disertakan sebagai bagian dari perancangan sistem. Sebagian besar kontrol
keamanan berdasarkan pada teknologi perangkat keras dan perangkat lunak.
Kontrol yang biasa dipakai saat ini adalah sebagai berikut:
a.
Kontrol
Terhadap Akses
Landasan keamanan
untuk melawan ancaman yang timbul dari orang-orang yang tidak berwenang adalah
kontrol terhadap akses. Dasar pemikirannya cukup sederhana, yaitu jika
orang-orang yang tidak berwenang ditolak aksesnya terhadap sumber daya
informasi, maka kejahatan tidak bisa dilakukan.
Kontrol terhadap
akses dilakukan melalui tiga tahap yaitu identifikasi pengguna, pengesahan
pengguna dan otorisasi pengguna. Penggabungan langkah-langkah ini ke dalam
sistem keamanan ditunjukan dalam Gambar di atas
1). Pengenalan otomatis pengguna Para
pengguna mengidentifikasi diri mereka menggunakan sesuatu yang mereka kenali
sebelumnya, misalnya password. Identifikasi dapat juga menggunakan
lokasi pengguna seperti nomor telepon atau lokasi di mana pengguna
memasuki jaringan (network entry point).
2). Pembuktian
otomatis pengguna proses identifikasi telah dilakukan,
pengguna akan memverifikasi atau mengesahkan hak mereka terhadap akses
menggunakan fasilitas yang dimilikinya, seperti kartu cerdas (smart
card), chip identifikasi, dan penanda lainnya. Pembuktian pengguna dapat
juga dilakukan dengan sesuatu yang menunjukkan diri pengguna itu sendiri, seperti
tanda tangan, suara atau pola bicara.
3). Pengesahan otomatis pengguna Bila
proses identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi
untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu. Sebagai
contoh, seorang pengguna diberi hak hanya untuk membaca suatu file sementara
pengguna lainnya diperbolehkan mengubah file tersebut
Pengenalan dan
pembuktian dibuat berdasarkan profil pengguna atau deskripsi tentang
pengguna sedangkan pengesahan dibuat berdasarkan file kontrol akses yang
menentukan tingkat akses yang dapat diberikan pada masing-masing pengguna.
Saat pengguna telah
memenuhi ketiga fungsi kontrol akses, mereka dapat menggunakan sumber daya
informasi dalam batas-batas yang diberikan kontrol akses. Satu audit log akan
dikelola dalam semua aktivitas kontrol akses, seperti tanggal dan waktu, dan
pengenalan terminal yang nantinya akan digunakan untuk menyiapkan laporan
keamanan.
-
Sistem
Deteksi Gangguan
Logika dasar dari
sistem deteksi gangguan adalah bagaimana mengenali usaha-usaha yang bertujuan
mengganggu keamanan sebelum sebelum usaha tersebut menjadi nyata dan
menimbulkan kerusakan. Salah satu contohnya adalah perangkat lunak proteksi
virus (virus protection software), yang telah terbukti efektif
melawan virus yang ditularkan melalui e-mail. Perangkat lunak ini akan
mengidentifikasi pesan pembawa virus dan memperingatkan pengguna. Perangkat
lunak harus selalu diperbaharui atau di-up date agar tetap efektif untuk
melawan virus yang baru.
Contoh yang lain
tentang deteksi terhadap gangguan adalah perangkat lunak yang diarahkan untuk
mengidentifikasi pengganggu potensial sebelum penggangu tersebut memiliki
kesempatan untuk menimbulkan kerusakan. Alat untuk memprediksi ancaman dari
dalam perusahaaan telah dikembangkan dengan mempertimbangkan berbagai
karakteristik, seperti posisi pegawai di perusahaan, akses terhadap data-data
penting, kemampuan untuk mengubah komponen perangkat keras, jenis aplikasi yang
digunakan, file yang dimiliki dan pemakaian protokol-protokol jaringan
tertentu. Output, seperti profilers, sebagian bersifat
kuantitatif, dapat menggolongkan ancaman bersifat internal dalam beberapa
kategori sebagai berikut: ancaman yang disengaja, ancaman yang tidak disengaja,
hal-hal yang mencurigakan, dan hal-hal yang tidak membahayakan keamanan.
Sumber daya komputer
berhadapan dengan resiko saat dihubungkan dengan jaringan. Jenis jaringan dan
banyaknya pengguna yang menggunakan jaringan untuk mengakses komputer Anda menentukan
tingkat resiko yang Anda hadapi.
Satu pendekatan
terhadap keamanan adalah secara fisik memisahkan situs Web perusahaan dari
jaringan internal perusahaan yang berisi sistem informasi dan data-data
sensitif. Pendekatan lainnya adalah menyediakan password khusus bagi para rekan
bisnis yang memungkinkan mereka masuk ke jaringan internal perusahaan melalui
internet. Pendekatan ketiga adalah membangun dinding pelindung yang disebut firewall.
Firewall
bertindak sebagai suatu saringan dan
penghalang yang membatasi aliran data dari internet masuk dan keluar
perusahaan. Konsep yang menjadi latar belakang firewall adalah membangun satu
pengaman untuk seluruh komputer yang ada di jaringan perusahaan, bukan seperti
pengaman lainnya yang diterapkan secara terpisah pada setiap komputer. Ada
beberapa perusahaan yang memproduksi perangkat lunak antivirus (seperti McAfee
di www.mcafee. com dan Norton pada www.norton.com) termasuk perangkat lunak
firewall yang biasanya diberikan secara cuma-cuma ketika kita membeli perangkat
lunak antivirus lainnya. ; Ada tiga jenis firewall, yaitu packet-filtering,
circuit-level, dan aplication level.
-
Packet-Filtering
Firewall
Firewall penyaring
adalah Satu perangkat yang biasanya disertakan ke dalam jaringan adalah router,
yang mengatur arus lalu lintas dalam jaringan. Ketika router ditempatkan
antara internet dan jaringan internal, router dapat bertindak sebagai
suatu firewall. Router dilengkapi dengan tabel data alamat IP yang
mencerminkan berlakunya kebijakan penyaringan untuk keamanan sumber daya
informasi perusahaan. Untuk setiap transmisi, router akan mengakses
tabel dan hanya mengijinkan jenis pesan tertentu yang berasal dari lokasi
internet tertentu yang dapat masuk ke dalam jaringan. Alamat IP adalah kumpulan
yang terdiri dari empat angka dari 0 sampai 255, yang secara unik dapat
mengidentifikasi setiap komputer yang terhubung ke Internet. Satu kelemahan router
adalah bahwa router ini merupakan satu-satunya titik yang digunakan
untuk menjaga keamanan, sehingga jika ada hacker yang dapat menerobos
router ini, maka perusahaan akan berada dalam masalah. Metoda yang biasa
digunakan hacker untuk menerobos router adalah
"mengelabui" alamat IP sehingga router membuat kesalahan saat
mengakses table.
-
Circuit-Level
Firewall
Satu tingkat diatas router
adalah circuit-level firewall atau
firewall tingkat sirkuit yang di-install antara Internet dan
jaringan perusahaan. Dibandingkan router, sirkuit lebih cenderung pada
media komunikasi. Pendekatan ini memungkinkan penyaringan dan pengesahan dalam
jumlah besar, tetapi tetap memiliki kelemahan, seperti router sebagai
sistem keamanan yang berpusat pada satu titik.
-
Application-Level
Firewall
Firewall tingkat
aplikasi ini ditempatkan antara router dan komputer yang melakukan
aplikasi. Dengan cara ini, pemeriksaan keamanan secara penuh dapat dilakukan.
Setelah permintaan terhadap akses disahkan oleh jaringan otorisasi pada tingkat
Firewall sirkuit dan jaringan otorisasi tingkat penyaring, aplikasi akan
meminta informasi pengesahan lebih lanjut seperti password sekunder,
konfirmasi identitas, bahkan memeriksa apakah permintaan akses dilakukan saat
jam kantor atau bukan. Firewall aplikasi adalah firewall yang paling efektif,
tetap firewall ini cenderung mengurangi akses terhadap sumber daya. Kendala lainnya
adalah programer jaringan harus menulis kode program spesiflk untuk setiap
aplikasi dan harus mengubah kode tersebut bila aplikasi ditambah, dihapus, atau
dimodifikasi.
b.
Kontrol
Kriptografi (Cryptographic Control)
Penyimpanan dan
transmisi data dan informasi dapat dilindungi dari pemakaian secara ilegal
melalui kriptografi. Kriptografi adalah penyusunan dan penggunaan kode
dengan proses-proses matematika. Data dan informasi dapat diubah kedalam bentuk
kode, baik saat berada dalam akses secara ilegal, maka orang tersebut hanya
akan mendapatkan data dan informasi berbentuk kode yang tidak dapat dibaca
sehingga mencegahnya dari penyalahgunaan.
Kriptografi meningkat
popularitasnya sejalan dengan perkembangan penggunaan e-commerce, dan
protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan.
Salah satunya adalah SET (Secure Electronic Transactions/Pengaman
Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda
tangan digital. Tanda tangan diberikan kepada peserta transaksi e-commerce, pelanggan,
pedagang, dan perwakilan lembaga keuangan. Tanda tangan rangkap digunakan untuk
lebih meningkatkan keamanan. Penggunaan tanda tangan rangkap ini lebih efektif
dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu
kredit.
Dengan meningkatnya
popularitas e-commerce dan pengembangan teknologi enkripsi yang
berkesinambungan, penggunaan enkripsi diperkirakan akan meningkat walaupun ada
pembatasan-pembatasan yang dilakukan pemerintah.
c.
Kontrol
Fisik
Langkah pencegahan
pertama terhadap gangguan ilegal dari luar adalah mengunci pintu ruang
komputer. Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih,
yang hanya dapat dibuka dengan sidik jari dan pengenalan suara. Selanjutnya
pengawasan menggunakan kamera dan menempatkan petugas keamanan. Perusahaan
dapat meminimalisasi pengawasan fisik dengan menempatkan pusat komputernya di
lokasi yang jauh dari kota besar dan pemukiman penduduk dan jauh dari daerah
yang rawan terhadap bencana alam seperti gempa bumi, banjir, dan badai.
Kontrol formal
meliputi penetapan kode, dokumentasi prosedur dan penerapannya, serta monitoring
dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah
ditetapkan. Kontrol bersifat formal artinya manajemen perusahaan menyediakan
waktu tertentu untuk melaksanakannya, hasilnya didokumentasikan secara tertulis
dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris
perusahaan yang berharga.
Ada kesepakatan
universal bahwa jika kontrol formal ingin lebih efektif, maka manajemen tingkat
atas harus mengambil peran aktif dalam penetapan dan penerapannya.
Pengawasan informal
meliputi aktivitas-aktivitas seperti menanamkan etika kepercayaan perusahaan
terhadap pegawainya, memastikan bahwa para pegawai memahami misi dan tujuan
perusahaan, mengadakan program pendidikan dan pelatihan serta program
pengembangan manajemen. Kontrol ini ditujukan untuk memastikan bahwa pegawai
perusahaan memahami dan mendukung program keamanan tersebut.
Daftar Pustaka :
Mcleod Jr, Raymond,
George P Schell.(2007). Management Information Systems.(10th
Edition). USA:
Pearson Prentice Hall.
Ibisa. 2011. Keamanan
Sistem Informasi. Yogyakarta: CV Andi Offset
Rahardjo, Budi. 2005.
Keamanan Sistem Informasi Berbasis Internet. Bandung: PT. Insan Indonesia
No comments:
Post a Comment