keamanan informasi

BAB 9

“ KEAMANAN INFORMASI “

A.1 Pengertian Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu kemananan sistem informasi dapat diartikan sebagai kebijakan,prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi.

A.2 Pentingnya Keamanan Sistem Informasi

Seringkali  sulit  untuk  membujuk  management  perusahaan  atau  pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”).

   Keamanan Informasi

Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggungjawab. Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu perusahaan. Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi. Akan tetapi, masalah keamanan ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.

Jaringan komputer seperti LAN(Local Area Network) dan internet, memungkinkan untuk menyediakan informasi secara cepat.Hal ini menjadi salah satu alasan perusahaan mulai berbondong-bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.

 Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:

1.        Kerahasiaan

2.        Ketersediaan

3.        Integritas

Ancaman Virus

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah sebuah program komputer  yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration. Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut :

a.    Virus

Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Dilihat dari cara kerjanya, virus dapat dikelompokkan sebagai berikut:

ü  Overwriting Virus , ü  Prepending Virus  , ü  Appending Virus , ü  File Infector Virus

ü  Boot Sector Virus , ü  Multipartite Virus , ü  Macro Virus

Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya.

b.   Worms

Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer.

c.  Trojan Horse

Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain: ü  Remote Access Trojan , ü  Password Sending Trojan , ü  Keylogger , ü  Destructive Trojan , ü  FTP Trojan , ü  Software Detection Killer , ü  Proxy Trojan .

Ancaman Keamanan Sistem Informasi

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) . STRIDE merupakan singkatan dari:

1.      Spoofing

2.      Tampering

3.      Repudiation

4.      Information disclosure

5.      Denial of service

6.      Elevation of priviledge

 Risiko

Risiko keamanan informasi (information security risk) adalah potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian

1.       Penggunaan yang Tidak Terotorisasi

Terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.

2.       Penghancuran yang Tidak Terotorisasi dan Penolakan Layanan

Seseorang dapat merusak atau menghancurkan peranti lunak maupun peranti keras, sehingga menyebabkan operasional komputer tidak berfungsi.

3.        Modifikasi yang Tidak Terotorisasi

Perubahan dapat dilakukan pada data, informasi dan peranti lunak perusahaan dan tanpa disadari menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

PERSOALAN E-COMMERCE

Menurut survei Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce. Untuk itu, perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan program yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.

Kartu Kredit “Sekali Pakai”

Berkerja dengan cara: saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Praktik Keamanan yang Diwajibkan oleh Visa

Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh para peritelnya.

1.       Memasang dan memelihara firewall

2.       Memperbarui keamanan

3.       Melakukan enkripsi pada data yang disimpan

4.       Melakukan enkripsi pada data yang dikirim

5.       Menggunakan dan memperbarui peranti lunak antivirus

6.       Membatasi akses data pada orang-orang yang ingin tahu

7.       Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data

8.       Memantau akses data dengan ID unik

9.       Tidak menggunakan kata sandi default yang disediakan oleh vendor

10.   Scara teratur menguji sistem keamanan

Selain itu, Visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas, bukan hanya yang berhubungan dengan e-commerce.

1.      Menyaring karyawan yang memiliki akses terhadap data

2.      Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam keadaan tidak aman

3.      Menghancurkan data jika tidak dibutuhkan lagi

MANAJEMEN RESIKO

Pendefinisian resiko ada 4 langkah:

1.      Identifikasi asset-aset bisnis yang harus dilindungi dari resiko

2.      Menyadari resikonya

3.      Menentukan tingkatan dampak pada perusahaan jika resiko benar-benar terjadi

4.      Menganalisis kelemahan perusahaan tersebut

Tingkat keparahan dampak dapat diklasifikasikan menjadi:

1.      Dampak yang Parah (serve impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan untuk berfungsi.

2.      Dampak Signifikan (significant impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat.

3.      Dampak Minor (minor impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari.

Setelah analisis resiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis resiko. Isi laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap resiko:

1.      Deskripsi Resiko

2.      Sumber Resiko

3.      Tingginya Tingkat Resiko

4.      Pengendalian yang Diterapkan pada Resiko

5.      (Para) Pemilik Resiko

6.      Tindakan yang Direkomendasikan Untuk Mengatasi Resiko

7.      Jangka Waktu yang Direkomendasikan Untuk Mengatasi Resiko

8.      Apa yang Telah Dilaksanakan Untuk Mengatasi Resiko

KEBIJAKAN KEAMANAN INFORMASI

Kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program.Ada 5 fase implementasi kebijakan keamanan.

1.      Fase I – Inisiasi Proyek. Tim yang menyusun kebijakan keamanan dibentuk.

2.      Fase II – Penyusunan Kebijakan. Tim proyek berkonsultasi dengan semua pihak yang berminta dan terpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru tersebut.

3.      Fase III – Konsultasi dan Persetujuan. Tim proyek berkonsultasi dengan  manajemen untuk memberitahukan semuanya sampai saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.

4.      Fase IV – Kesadaran dan Edukasi. Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit organisasi.

5.      Fase V – Penyebarluasan Kebijakan. Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi di mana kebijakan tersebut dapat diterapkan.

Kebijakan Terpisah Dikembangkan Untuk:

1.      Keamanan sistem informasi

2.      Pengendalian akses sistem

3.      Keamanan personel

4.      Keamanan lingkungan dan fisik

5.      Keamanan komunikasi data

6.      Klasifikasi informasi

7.      Perencanaan kelangsungan usaha

8.      Akuntabilitas manajemen

Kebijakan ini diberitahukan kepada karyawan sebaiknya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah itu, pengendalian dapat diimplementasikan.

PENGENDALIAN

Pengendalian (Control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.

Pengendalian dibagi menjadi 3 kategori:

1.      PENGENDALIAN TEKNIS

Technical Control adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem salama masa siklus penyusunan sistem.

Pengendalian Akses

Pengendalian akses dilakukan melalui proses 3 tahap yang mencakup:

1.      Identifikasi Pengguna. Mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misal kata sandi.

2.      Autentikasi Pengguna. Memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, smartcard atau tanda tertentu atau chip identifikasi.

3.      Otorisasi Pengguna. Dapat memperoleh otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu.

Sistem Deteksi Gangguan

Mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. salah satu contoh yang baik adalah peranti lunak proteksi virus.

Firewall

Pendekatan ketiga adalah membangun dinding pelindung. Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.

Tiga jenis firewall:

1.      Firewall Penyaring Paket.

2.      Firewall Tingkat Sirkuit.

3.      Firewall Tingkat Aplikasi.

PENGENDALIAN KRIPTOGRAFIS

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.

Pengendalian Fisik

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.

2.      PENGENDALIAN FORMAL

Mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serat pencegahan perilaku yang berbeda dari panduan yang berlaku.

3.      PENGENDALIAN INFORMAL

Mencakup program pelatihan dan edukasi serta program pembangunan manajemen.

MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT

Ketiga jenis pengendalian  tersebut mengharuskan biaya. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industri terdapat pula pertimbangan-pertimbangan lain.

DUKUNGAN PEMERINTAH DAN INDUSTRI

Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa pihak penentu standar menggunakan istilah Baseline (dasar) dan bukannya benchmark.

STANDAR INDUSTRI

The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman, dalam 2 bentuk: CIS Benchmark (dengan cara menerapkan pengendalian khusus teknologi) dan CIS Scoring Tools (untuk menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem).

SERTIFIKASI PROFESIONAL

Profesi TI menawarkan program sertifikasi.

Ada 3 contoh:

1.      Asosiasi Audit Sistem dan Pengendalian

2.      Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional

3.      Institut SANS

MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA

Kebijakan ini dibuat berdasarkan identifikasi ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri.

MANAJEMEN KEBERLANGSUNGAN BISNIS

Elemen penting dalam perencanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan pada operasi komputasi. Terdapat subrencana yang umum:

1.      Rencana Darurat. Menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.

2.      Rencana Cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak bisa digunakan.

Cadangan dapat diperoleh melalu:

·         Redundansi. Peranti keras, peranti lunak, dan data diduplikasi.

·         Keberagaman. Sumber daya informasi tidak dipasang di tempat yang sama.

·         Mobilitas. Membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar.

3.      Rencana Catatan Penting

Adalah dokumen kertas, microform dan media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan. Rencana catatan penting menentukan bagaimana catatan penting tersebut harus dilindungi.

TANYA JAWAB

1.      Terdapat 4 risiko yang sudah dijelaskan, lalu bagaimana cara menanggulani risiko yang ada tersebut?

Di dalam perusahaan yaitu bagian keamanan informasi selalu ada seorang CIAO yang mmerupakan direktur keamanan informasi yang bertugas untuk menjaga sistem informasi perusahaan agar tetap aman, selain itu CIAO beserta unit yang lain harus siap mengahadapi atau menanggulani risiko yang diterima oleh perusahaan. Selain itu tujuan dari keamanan informasi adalah integritas, kerahasiaan, dan ketersediaan. Sehingga dengan adanya hal tersebut maka risiko apapun akan bisa diatasi dan bisa terselesaikan dengan CIAO yang sudah ditetapkan oleh perusahaan.

2.      Apakah perbedaan dari keamanan informasi dengan keamanan sistem?

Keamanan sistem meliputi perlindungan peranti keras dan data, sedangkan keamanan informasi digunakan untuk mendeskripsikan perlindungan peralatan komputer maupun nonkomputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

3.      Apa kelebihan dari pengendalian kriptografis?

Kelebihan dari kriptografis yaitu data dan informasi dienskripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan, jika seseorang yang tidak memiliki otorisasi memperoleh akses, enskripsi tersebut akan membuat data dan informasi yang dimaskud tidak berarti apa-apa. Selain itu kelebihan dari kriptografis yaitu dalam pengendalian ini menggunakan kode yang melalui proses matematika, jadi untuk kerahasiaan ataupun keamanan kriptografis lebih baik dari yang lain.

4.      Bagaimana cara mengatasi IP spoofing?

Memasang filter di router dengan memanfaatkan ingress dan engress filtering pada router merupakan langkah pertama dalam mempertahankan diri dari spoofing. Selain itu juga memanfaatkan ACL (acces control list) untuk memblok alamat IP privat dalam jaringan untuk downstream. Selain itu cara lain yaitu dengan menambahkan bug pada sistem keamanan, karena dengan adanya bug sebanyak apapun hacker yang akan mengambil data maka akan terakses atau tersaring dengan bug tersebut

KESIMPULAN

            Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM). Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.

            Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.

Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : teknis, formal dan informal.