Monday, June 29, 2015

Keamanan Informasi





MODUL PERKULIAHAN





Sistem Informasi Manajemen





KEAMANAN INFORMASI









Fakultas
Program Studi
Tatap Muka
Kode MK
Disusun Oleh


Ekonomi (FE)
Manajemen
10




Abstract
Kompetensi


Keamanan informasi bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi

Mahasiswa dapat mengetahui dan memahami tentang Keamanan Sistem Informasi



1.      Pengantar Keamanan Informasi

Selain itu keamanan sistem informasi bisa diartikan sebagai  kebijakan,   prosedur,   dan   pengukuran   teknis   yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian,  atau  kerusakan  fisik  terhadap  sistem  informasi.  Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan    teknik-teknik    dan    peralatan-peralatan    untuk mengamankan   perangkat   keras   dan   lunak   komputer,   jaringan komunikasi, dan data.

2.      Pentingnya Keamanan Sistem Informasi

Seringkali  sulit  untuk  membujuk  management  perusahaan  atau  pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness”  meskipun  perbaikan  sistem  informasi  setelah  dirusak justru dapat menelan biaya yang lebih banyak.
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang  (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang  (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kerugian yang timbul akibat kurangnya penerapan keamanan :
Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1jam, selama  1 hari,  1 minggu, dan  1 bulan.  (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
Hitung kerugian apabila  ada  kesalahan informasi  (data)  pada  sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.
Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi?  Bayangkan  bila  sebuah  bank  terkenal  dengan  rentannya pengamanan   data-datanya,   bolak-balik   terjadi   security   incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.

3.      Tujuan Keamanan Informasi

Keamanan informasi bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi.
a.    Kerahasiaan. Perusahaan mencari cara untuk melindungi data dan informasinya dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas menggunakannya. Sistem informasi eksekutif, sistem informasi sumber daya manusia, dan sistem pengolahan transaksi, seperti pembayaan gaji, piutang usaha, pembelian, dan hutang usaha, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan informasi.
b.    Ketersediaan. Tujuan dibangunnya infrastruktur informasi perusahaan adalah supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya. Tujuan ini khususnya penting bagi MIS, DSS, dan sistem informasi organisasi.
c.    Integritas Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.
Sistem informasi perusahaan harus melindungi data dan informasinya dari tindakan penyalahgunaan, tapi tetap menjamin tersedianya data dan informasi yang akurat untuk pengguna yang pihak-pihak yang berhak terhadap data dan informasi tersebut.

4.      Pengelolaan Keamanan Informasi

Ketika cakupan keamanan informasi meluas, maka pandangan mengenai tanggung jawab manajemen juga turut meluas. tidak hanya diharapkan untuk menjaga keamanan sumber-sumber informasi tetapi juga diharapkan untuk dapat tetap memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau pelanggaran keamanan. Aktivitas-aktivitas yang berhubungan dengan pengamanan sumber daya informasi disebut dengan Manajemen Pengamanan Informasi (information security management-ISM), sedangkan kegiatan pengamanan sumber daya informasi perusahaan setelah terjadi bencana disebut Manajemen Kelangsungan Bisnis (business continuity management-BCM).
Kepala bagian informasi (chief information officer-CIO) adalah orang yang bertanggung jawab terhadap keamanan informasi perusahaan, tetapi biasanya CIO akan menunjuk sekelompok khusus pegawai yang dapat bekerja penuh waktu untuk menangani masalah-masalah yang berkaitan dengan keamanan informasi perusahaan dalam operasionalnya sehari-hari. Pegawai yang berada dalam organisasi ini disebut disebut juga bagian keamanan sistem informasi perusahaan. (corporate information systems security officer-CISSO). Akan tetapi, kini telah terjadi pergeseran dalam perusahaan untuk menempatkan keamanan informasi perusahaan pada tingkat yang lebih tinggi dengan cara membentuk bagian penjamin informasi perusahaan (corporate information assurance officer-CIAO). CIAO harus mengelola unit penjamin informasi dan melaporkannya kepada dewan direksi. Seperti yang telah diperkirakan sebelumnya, CIAO harus memiliki sertifikasi pengamanan lengkap dengan pengalaman minimal 10 tahun untuk dapat mengelola fasilitas keamanan informasi suatu perusahaan.

5.      Manajemen Keamanan Informasi

Dalam bentuk yang paling dasar, manajemen keamanan informasi terdiri dari 4 tahap yaitu: mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan; mengidentifikasi resiko yang mungkin ditimbulkan oleh ancaman tersebut; menetapkan kebijakan-kebijakan keamanan informasi; dan melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan resiko keamanan informasi. Ancaman dapat menimbulkan resiko yang harus dikontrol. Istilah manajemen resiko (risk management) dibuat untuk menggambarkan pendekatan secara mendasar terhadap resiko keamanan yang dihadapi oleh sumber-sumber informasi perusahaan.
Terdapat pilihan lain untuk memformulasikan kebijakan tentang keamanan informasi perusahaan. Pilihan tersebut menjadi populer pada tahun-tahun belakangan ini dengan kemunculan standar keamanan informasi atau benchmark. Benchmark merupakan salah satu tingkat kinerja yang diharapkan dapat dicapai dalam keamanan informasi perusahaan. Benchmark keamanan informasi merupakan suatu tingkat keamanan yang disarankan untuk perusahaan yang berada dalam keamanan normal. Tingkat keamanan ini berupa perlindungan yang wajar dan dapat diterima terhadap gangguan dari luar perusahaan. Baik standar maupun benchmark keamanan, keduanya ditentukan oleh pemerintah dan asosiasi industri serta menunjukkan model keamanan yang dianggap dan diyakini pemerintah sebagai program keamanan informasi yang baik. Ketika sebuah perusahaan menggunakan pendekatan ini maka disebut pelaksanaan benchmark (benchmark compliance)
A. Manajemen Resiko
 
Pelaksanaan benchmark dilakukan perusahaan dengan asumsi bahwa pemerintah dan asosiasi industri telah mempertimbangkan dengan baik mengenai ancaman-ancaman dan resiko yang mungkin terjadi pada perusahaan dan benchmark dianggap dapat memberikan perlindungan yang baik. Gambar di atas menunjukkan pelaksanaan pendekatan benchmark.

6.   Ancaman

Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan. Ketika kita berpikir tentang ancaman terhadap keamanan informasi, maka kita juga akan berpikir tentang aktivitas-aktivitas yang sengaja dilakukan individu-individu dan kelompok-kelompok di luar perusahaan.
Pada kenyataannya, ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman dapat juga terjadi secara sengaja atau tidak sengaja. Gambar di bawah  memperlihatkan tujuan-tujuan keamanan informasi dan bagaimana tujuan tersebut sesuai dengan 4 tipe resiko yang dihadapi.
Text Box:

Ancaman bersifat internal tidak hanya berasal dari para pegawai tetap perusahaan tetapi dapat juga berasal dari para pegawai sementara, konsultan, kontraktor, dan rekan bisnis perusahaan
Survey yang dilakukan oleh suatu Institut Keamanan Komputer menemukan bahwa 49% responden menyatakan mengalami kejadian yang membahayakan keamanan informasi ternyata dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan.
Ancaman yang berasal dari dalam perusahaan diperkirakan mempunyai bahaya yang lebih serius dibandingkan ancaman yang berasal dari luar perusahaan, karena individu dan kelompok internal memiliki pengetahuan yang lebih mengenai sistem yang ada di dalam perusahaan tersebut.
Kontrol yang dibuat untuk menghadapi ancaman eksternal biasanya baru mulai bekerja jika serangan terhadap keamanan terdeteksi. Sedangkan kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
b.    Ketidaksengajaan dan Kesengajaan
Tidak semua ancaman berasal dari perbuatan yang disengaja dengan maksud untuk menimbulkan kerugian. Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan. Dengan adanya hal seperti ini, maka keamanan informasi harus ditujukan tidak hanya untuk mengatasi ancaman yang timbul karena kesengajaan tetapi juga harus mampu mengurangi bahkan menghilangkan faktor-faktor yang dapat menimbulkan ancaman yang tidak disengaja terhadap keamanan perusahaan.

7.   Resiko

Kita menetapkan suatu resiko keamanan informasi sebagai hasil yang tidak diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan informasi. Semua resiko mewakili aktivitas-aktivitas yang tidak sah atau di luar dari yang diperbolehkan perusahaan. Aktivitas-aktivitas tersebut adalah: pengungkapan dan pencurian informasi, penggunaan secara tidak sah, pengrusakan dan penolakan dan modifikasi yang tidak dibenarkan.

a.    Pengungkapan dan Pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak, maka dapat mengakibatkan hilangnya informasi dan uang. Sebagai contoh, mata-mata industri dapat memperoleh informasi kompetitif yang berharga dan penjahat komputer dapat menggelapkan dana perusahaan.

b.    Penggunaan Secara Tidak Sah
Penggunaan secara tidak sah terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak menggunakannya. Ciri-ciri penjahat komputer yang memiliki kemampuan mengakses informasi secara tidak sah termasuk diantaranya adalah hacker. Hacker biasanya menganggap informasi keamanan suatu instansi atau perusahaan sebagai suatu tantangan. Sebagai contoh, seorang hacker dapat menerobos jaringan komputer suatu perusahaan, memperoleh akses terhadap sistem telepon kemudian menggunakannya untuk melakukan hubungan telepon interlokal secara tidak sah.

c.    Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan
Individu dapat merusak atau menghancurkan perangkat keras atau perangkat lunak, yang menyebabkan berhentinya operasi komputer perusahaan. Hal tersebut dapat dilakukan oleh penjahat komputer tanpa mereka harus berada di lokasi perusahaan. Mereka dapat masuk ke dalam jaringan komputer dari terminal komputer yang berada jauh dari lokasi pusat dan menyebabkan kerusakan fisik, seperti kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada printer, dan tidak berfungsinya keyboard.

d.    Modifikasi Secara Tidak Sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system menerima informasi yang salah dan membuat keputusan yang salah. Tipe modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan kerusakan, biasanya dikelompokkan sebagai virus.

8.      Ancaman Paling Terkenal – Virus

Semua orang pernah mendengar tentang virus komputer. Dalam dunia komputer virus adalah salah satu contoh dari jenis perangkat lunak yang disebut "perangkat lunak perusak" (malacious software atau malware). Perangkat lunak perusak atau malware, terdiri dari program-program yang lengkap atau segmen-segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi yang tidak diinginkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus data-data atau file dan menyebabkan kegagalan pada sistem. Terdapat banyak jenis perangkat lunak perusak selain virus, di antaranya worm dan Trojan horses yang juga mendapat banyak perhatian.
Virus merupakan program komputer yang dapat memperbanyak diri dengan sendirinya tanpa sepengetahuan pengguna dan menyimpan salinannya secara otomatis pada program lainnya dan boot sectors. Worm tidak dapat memperbanyak diri sendiri dalam sebuah sistem seperti yang dapat dilakukan oleh virus, tetapi dapat mengirim salinannya dengan menggunakan e-mail Trojan horses juga tidak dapat memperbanyak diri atau menyebar secara otomatis. Penyebaran dilakukan oleh pengguna secara tidak disengaja. Ketika digunakan trojan horse dapat menimbulkan perubahan yang tidak diinginkan dalam fungsional sistem komputer yang diserangnya.

9.      Manajemen Resiko

Di awal bab, kita telah mengidentifikasi manajemen resiko sebagai satu dari dua strategi untuk mendapatkan keamanan informasi. Landasannya dapat dikelola agar dapat dikendalikan secara tepat dan proporsional, sehingga pengaruh-pengaruh resiko dapat dikurangi bahkan dihilangkan. Ada empat langkah yang diambil dalam mendefinisikan resiko, yaitu:
1)    Identifikasi aset-aset bisnis yang harus dilindungi dari resiko.
2)    Kenali resiko
3)    Tentukan tingkat-tingkat dari dampak yang ditimbulkan resiko pada perusahaan.
4)    Analisis kelemahan-kelemahan perusahaan
Suatu pendekatan yang sistematik dapat diambil terhadap langkah 3 dan 4, yaitu penentuan dampak dari resiko dan analisis kelemahan perusahaan.
Tingkat kerusakan yang ditimbulkan resiko dapat diklasifikasikan menjadi dampak parah (menghentikan bisnis perusahaan atau mengurangi kemampuan operasional perusahaan), dampak signifikan (menyebabkan kerusakan signifikan dan merugikan tetapi perusahaan masih dapat bertahan) dan dampak minor (menyebabkan gangguan tertentu pada operasional harian perusahaan). Baik untuk dampak yang parah maupun dampak yang signifikan, perlu dilakukan analisis kelemahan perusahaan. Jika analisis menunjukkan tingkat kelemahan yang tinggi (kelemahan substansial yang ada pada sistem) kontrol harus diimplementasikan untuk menghapuskan atau menguranginya. Jika tingkat kelemahan perusahaan sedang atau menengah, kontrol dapat diimplementasikan dan jika tingkat kelemahan rendah (sistem dikonstruksi dengan baik dan beroperasi secara benar), maka kontrol yang ada harus dipertahankan.


Derajat Dampak dan Kelemahan Yang Terukur oleh Kontrol

Dampak Parah
Dampak Signifikan
Dampak Minor
Tingkat Kelemahan Tinggi
Melakukan analisis kelemahan. Harus meningkatkan control
Melakukan analisis kelemahan. Harus meningkatkan kontrol
Analsis kelemahan tidak penting dilakukan
Tingkat Kelemahan Sedang
Melakukan analisis kelemahan. Harus meningkatkan control
Melakukan analisis kelemahan. Harus meningkatkan kontrol
Analsis kelemahan tidak penting dilakukan
Tingkat Kelemahan Rendah
Melakukan analisis kelemahan. Kontrol dipertahankan
Melakukan analisis kelemahan. Kontrol dipertahankan
Analsis kelemahan tidak penting dilakukan

Untuk melengkapi analisis resiko, hal-hal yang ditemukan dalam analisis harus didokumentasikan dalam laporan analisis resiko. Untuk setiap resiko, isi laporan harus menyertakan informasi sebagai berikut
1)    Deskripsi resiko
2)    Sumberresiko 
3)    Tingkat kekuatan resiko
4)    Kontrol yang diterapkan terhadap resiko 
5)    Pemilik resiko
6)    Tindakan yang direkomendasikan ntuk menangani resiko
7)    Batasan waktu yang direkomendasikan untuk menangani resiko. 
8)    Apa yang telah dilakukan untuk mengurangi resiko tersebut.

10.           Kebijakan Informasi Keamanan

Tanpa melihat apakah perusahaan mengikuti manajemen resiko atau strategi pelaksanaan benchmark, kebijakan keamanan harus diimplementasikan untuk mengarahkan keseluruh program.
Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan sbb:
•    Fase 1-Inisiasi proyek Tim yang akan bertugas mengembangkan kebijakan keamanan dibentuk. Jika anggota SC-SIM perusahaan tidak mampu merumuskan proyek kebijakan keamanan, dapat dibentuk SC khusus. Termasuk kedalam anggota SC khusus diantaranya para manager di area-area dimana kebijakan keamanan akan diterapkan.
•    Fase 2-Kebijakan Pengembangan Tim proyek berkonsultasi dengan pihak-pihak yang terlibat dan berpengaruh dalam menentukan persyaratan-persyaratan yang diperlukan untuk kebijakan yang baru.
•    Fase 3-Konsultasi dan Persetujuan Tim proyek berkonsultasi dan menginformasikan kepada para manajer mengenai hasil temuan hingga saat ini dan meminta pandangan-pandangannya terhadap persyaratan kebijakan yang diperlukan.
•    Fase 4-Kewaspadaan dan Pendidikan Pelatihan kewaspadaan dan program pendidikan kebijakan diselenggarakan pada unit organisasi. Peserta pelatihan terdiri dari anggota proyek, wakil-wakil dari berbagai depatemen dalam perusahaan, seperti departemen IT dan HR dan konsultan dari luar perusahaan.
•    Fase 5-Penyebarluasan Kebijakan Kebijakan keamanan disebarluaskan melalui unit-unit organisasi dimana kebijakan tersebut diterapkan. Idealnya, unit-unit manajer mengadakan rapat dengan para karyawan untuk memastikan bahwa mereka mengerti mengenai kebijakan tersebut dan merasa terikat untuk mematuhinya.
Kebijakan lainnya yang berbeda dikembangkan untuk:
·         Keamanan sistem informasi
·         Sistem akses pengendalian
·         Keamanan pribadi
·         Keamanan fisik dan lingkungan
·         Keamanan telekomunikasi
·         Klasifikasi informasi
·         Rencana bisnis yang berkesinambungan
·         Akuntabilitas manajemen.
Kebijakan ini didistribusikan kepada para karyawan terutama dalam bentuk tertulis, juga melalui program pelatihan dan pendidikan. Bila kebijakan telah yang ditetapkan, kontrol dapat diimplementasikan.

11.   Kontrol Teknis

Adalah kontrol yang dibangun di dalam sistem oleh pengembang selama siklus hidup pengembangan sistem. Auditor internal dalam tim proyek harus memasikan bahwa kontrol telah disertakan sebagai bagian dari perancangan sistem. Sebagian besar kontrol keamanan berdasarkan pada teknologi perangkat keras dan perangkat lunak. Kontrol yang biasa dipakai saat ini adalah sebagai berikut:

a.    Kontrol Terhadap Akses
Landasan keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidak berwenang adalah kontrol terhadap akses. Dasar pemikirannya cukup sederhana, yaitu jika orang-orang yang tidak berwenang ditolak aksesnya terhadap sumber daya informasi, maka kejahatan tidak bisa dilakukan.
Kontrol terhadap akses dilakukan melalui tiga tahap yaitu identifikasi pengguna, pengesahan pengguna dan otorisasi pengguna. Penggabungan langkah-langkah ini ke dalam sistem keamanan ditunjukan dalam Gambar di atas
1). Pengenalan otomatis pengguna Para pengguna mengidentifikasi diri mereka menggunakan sesuatu yang mereka kenali sebelumnya, misalnya password. Identifikasi dapat juga menggunakan lokasi pengguna seperti nomor telepon atau lokasi di mana pengguna memasuki jaringan (network entry point).
2). Pembuktian otomatis pengguna proses identifikasi telah dilakukan, pengguna akan memverifikasi atau mengesahkan hak mereka terhadap akses menggunakan fasilitas yang dimilikinya, seperti kartu cerdas (smart card), chip identifikasi, dan penanda lainnya. Pembuktian pengguna dapat juga dilakukan dengan sesuatu yang menunjukkan diri pengguna itu sendiri, seperti tanda tangan, suara atau pola bicara.
3). Pengesahan otomatis pengguna Bila proses identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu. Sebagai contoh, seorang pengguna diberi hak hanya untuk membaca suatu file sementara pengguna lainnya diperbolehkan mengubah file tersebut
Pengenalan dan pembuktian dibuat berdasarkan profil pengguna atau deskripsi tentang pengguna sedangkan pengesahan dibuat berdasarkan file kontrol akses yang menentukan tingkat akses yang dapat diberikan pada masing-masing pengguna.
Saat pengguna telah memenuhi ketiga fungsi kontrol akses, mereka dapat menggunakan sumber daya informasi dalam batas-batas yang diberikan kontrol akses. Satu audit log akan dikelola dalam semua aktivitas kontrol akses, seperti tanggal dan waktu, dan pengenalan terminal yang nantinya akan digunakan untuk menyiapkan laporan keamanan.

-        Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah bagaimana mengenali usaha-usaha yang bertujuan mengganggu keamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan. Salah satu contohnya adalah perangkat lunak proteksi virus (virus protection software), yang telah terbukti efektif melawan virus yang ditularkan melalui e-mail. Perangkat lunak ini akan mengidentifikasi pesan pembawa virus dan memperingatkan pengguna. Perangkat lunak harus selalu diperbaharui atau di-up date agar tetap efektif untuk melawan virus yang baru.
Contoh yang lain tentang deteksi terhadap gangguan adalah perangkat lunak yang diarahkan untuk mengidentifikasi pengganggu potensial sebelum penggangu tersebut memiliki kesempatan untuk menimbulkan kerusakan. Alat untuk memprediksi ancaman dari dalam perusahaaan telah dikembangkan dengan mempertimbangkan berbagai karakteristik, seperti posisi pegawai di perusahaan, akses terhadap data-data penting, kemampuan untuk mengubah komponen perangkat keras, jenis aplikasi yang digunakan, file yang dimiliki dan pemakaian protokol-protokol jaringan tertentu. Output, seperti profilers, sebagian bersifat kuantitatif, dapat menggolongkan ancaman bersifat internal dalam beberapa kategori sebagai berikut: ancaman yang disengaja, ancaman yang tidak disengaja, hal-hal yang mencurigakan, dan hal-hal yang tidak membahayakan keamanan.


Sumber daya komputer berhadapan dengan resiko saat dihubungkan dengan jaringan. Jenis jaringan dan banyaknya pengguna yang menggunakan jaringan untuk mengakses komputer Anda menentukan tingkat resiko yang Anda hadapi.
Satu pendekatan terhadap keamanan adalah secara fisik memisahkan situs Web perusahaan dari jaringan internal perusahaan yang berisi sistem informasi dan data-data sensitif. Pendekatan lainnya adalah menyediakan password khusus bagi para rekan bisnis yang memungkinkan mereka masuk ke jaringan internal perusahaan melalui internet. Pendekatan ketiga adalah membangun dinding pelindung yang disebut firewall.
Firewall bertindak sebagai suatu saringan dan penghalang yang membatasi aliran data dari internet masuk dan keluar perusahaan. Konsep yang menjadi latar belakang firewall adalah membangun satu pengaman untuk seluruh komputer yang ada di jaringan perusahaan, bukan seperti pengaman lainnya yang diterapkan secara terpisah pada setiap komputer. Ada beberapa perusahaan yang memproduksi perangkat lunak antivirus (seperti McAfee di www.mcafee. com dan Norton pada www.norton.com) termasuk perangkat lunak firewall yang biasanya diberikan secara cuma-cuma ketika kita membeli perangkat lunak antivirus lainnya. ; Ada tiga jenis firewall, yaitu packet-filtering, circuit-level, dan aplication level.

-        Packet-Filtering Firewall
Firewall penyaring adalah Satu perangkat yang biasanya disertakan ke dalam jaringan adalah router, yang mengatur arus lalu lintas dalam jaringan. Ketika router ditempatkan antara internet dan jaringan internal, router dapat bertindak sebagai suatu firewall. Router dilengkapi dengan tabel data alamat IP yang mencerminkan berlakunya kebijakan penyaringan untuk keamanan sumber daya informasi perusahaan. Untuk setiap transmisi, router akan mengakses tabel dan hanya mengijinkan jenis pesan tertentu yang berasal dari lokasi internet tertentu yang dapat masuk ke dalam jaringan. Alamat IP adalah kumpulan yang terdiri dari empat angka dari 0 sampai 255, yang secara unik dapat mengidentifikasi setiap komputer yang terhubung ke Internet. Satu kelemahan router adalah bahwa router ini merupakan satu-satunya titik yang digunakan untuk menjaga keamanan, sehingga jika ada hacker yang dapat menerobos router ini, maka perusahaan akan berada dalam masalah. Metoda yang biasa digunakan hacker untuk menerobos router adalah "mengelabui" alamat IP sehingga router membuat kesalahan saat mengakses table.

-        Circuit-Level Firewall
Satu tingkat diatas router adalah circuit-level firewall atau firewall tingkat sirkuit yang di-install antara Internet dan jaringan perusahaan. Dibandingkan router, sirkuit lebih cenderung pada media komunikasi. Pendekatan ini memungkinkan penyaringan dan pengesahan dalam jumlah besar, tetapi tetap memiliki kelemahan, seperti router sebagai sistem keamanan yang berpusat pada satu titik.

-        Application-Level Firewall
Firewall tingkat aplikasi ini ditempatkan antara router dan komputer yang melakukan aplikasi. Dengan cara ini, pemeriksaan keamanan secara penuh dapat dilakukan. Setelah permintaan terhadap akses disahkan oleh jaringan otorisasi pada tingkat Firewall sirkuit dan jaringan otorisasi tingkat penyaring, aplikasi akan meminta informasi pengesahan lebih lanjut seperti password sekunder, konfirmasi identitas, bahkan memeriksa apakah permintaan akses dilakukan saat jam kantor atau bukan. Firewall aplikasi adalah firewall yang paling efektif, tetap firewall ini cenderung mengurangi akses terhadap sumber daya. Kendala lainnya adalah programer jaringan harus menulis kode program spesiflk untuk setiap aplikasi dan harus mengubah kode tersebut bila aplikasi ditambah, dihapus, atau dimodifikasi.

b.    Kontrol Kriptografi (Cryptographic Control)
Penyimpanan dan transmisi data dan informasi dapat dilindungi dari pemakaian secara ilegal melalui kriptografi. Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses matematika. Data dan informasi dapat diubah kedalam bentuk kode, baik saat berada dalam akses secara ilegal, maka orang tersebut hanya akan mendapatkan data dan informasi berbentuk kode yang tidak dapat dibaca sehingga mencegahnya dari penyalahgunaan.
Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan e-commerce, dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan diberikan kepada peserta transaksi e-commerce, pelanggan, pedagang, dan perwakilan lembaga keuangan. Tanda tangan rangkap digunakan untuk lebih meningkatkan keamanan. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit.
Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan, penggunaan enkripsi diperkirakan akan meningkat walaupun ada pembatasan-pembatasan yang dilakukan pemerintah.

c.    Kontrol Fisik
Langkah pencegahan pertama terhadap gangguan ilegal dari luar adalah mengunci pintu ruang komputer. Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih, yang hanya dapat dibuka dengan sidik jari dan pengenalan suara. Selanjutnya pengawasan menggunakan kamera dan menempatkan petugas keamanan. Perusahaan dapat meminimalisasi pengawasan fisik dengan menempatkan pusat komputernya di lokasi yang jauh dari kota besar dan pemukiman penduduk dan jauh dari daerah yang rawan terhadap bencana alam seperti gempa bumi, banjir, dan badai.

Kontrol formal meliputi penetapan kode, dokumentasi prosedur dan penerapannya, serta monitoring dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah ditetapkan. Kontrol bersifat formal artinya manajemen perusahaan menyediakan waktu tertentu untuk melaksanakannya, hasilnya didokumentasikan secara tertulis dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang berharga.
Ada kesepakatan universal bahwa jika kontrol formal ingin lebih efektif, maka manajemen tingkat atas harus mengambil peran aktif dalam penetapan dan penerapannya.

e.     Kontrol Informal
Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para pegawai memahami misi dan tujuan perusahaan, mengadakan program pendidikan dan pelatihan serta program pengembangan manajemen. Kontrol ini ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung program keamanan tersebut.

Daftar Pustaka :
Mcleod Jr, Raymond, George P Schell.(2007). Management Information Systems.(10th
Edition). USA: Pearson Prentice Hall.
Ibisa. 2011. Keamanan Sistem Informasi. Yogyakarta: CV Andi Offset

Rahardjo, Budi. 2005. Keamanan Sistem Informasi Berbasis Internet. Bandung: PT. Insan Indonesia

No comments:

Post a Comment