BAB 10. SOP DAN AUDIT KEAMANAN - …  · Web viewPengaturan Keamanan Dalam Sistem. Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan keamanan yang matang berdasarkan

TUGAS RESUME 4

BAB 10. SOP DAN AUDIT KEAMANAN

Nama : Syifa Mutiara Sari

Kelas : 4KA23

Npm : 16115784

Dosen : Kurniawan B. Prianto, SKOM., SH, MM.

Mata Kuliah : Sistem Keamanan Teknologi Informasi

BAB 10. SOP DAN AUDIT KEAMANAN

1. Pengaturan Keamanan Dalam Sistem

Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan

keamanan yang matang berdasarkan prosedur dan kebijakan dalam keamanan jaringan.

Perencanaan tersebut akan membantu dalam hal-hal berikut ini:

Menentukan data atau informasi apa saja yang harus dilindungi

Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya

Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah

yang diperlukan untuk melindungi bagian tersebut

1.1 Metode Keamanan Jaringan

Ada 3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni sebagai

berikut:

Internal Password Authentication

Server-based password authentication

Firewall dan Routing Control

Menggunakan metode enkripsi

Pemonitoran terjadwal terhadap jaringan

1.2 Password

Untuk melakukan pengujian terhadap password yang dibuat. Ada utilitas yang

dapat digunakan untuk mengetes kehandalan password, yaitu dengan menggunakan

software seperti avior yang bertujuan untuk melakukan brute-force password.

Kewenangan akses bagi user lain dalam satu perusahaan perlu didokumentasikan, hal

ini dilakukan untuk memenuhi kebutuhan klien. Kewenangan user selain

administrator antara lain adalah memasukkan data-data terbaru sesuai dengan tujuan

tertentu untuk memenuhi kebutuhan klien.

1.3 Metode Enkripsi

DES : mekanisme enkripsi data yang sangat popular dan banyak digunakan.

Ada banyak implementasi perangkat lunak maupun perangkat keras DES.

DES melakukan transformasi informasi dalam bentuk plain text ke dalam

bentuk data terenkripsi yang disebut dengan ciphertext melalui algoritma

khusus dan seed value yang disebut dengan kunci. Bila kunci tersebut

diketahui oleh penerima, maka dapat dilakukan proses konversi dari ciphertext

ke dalam bentuk aslinya.

PGP (Pretty Good Privacy) : PGP dibuat oleh Phil Zimmerman, menyediakan

bentuk proteksi kriptografi yang sebelumnya belum ada. PGP digunakan

untuk melindungi file, email, dan dokumen-dokumen yang mempunyai tanda

digital dan tersedia dalam versi komersial mapun freeware.

SSL : SSL singkatan dari Secure Socket Layer adalah metode enkripsi yang

dikembangkan oleh Netscape untuk keamanan Internet. SSL mendukung

beberapa protokol enkripsi yang berbeda, dan menyediakan autentifikasi

client dan server. SSL beroperasi pada layer transport, membuat sebuah kanal

data yang terenskripsi sehingga aman, dan dapat mengenkrip berbagai tipe

data. Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah secure

site untuk menampilkan sebuah secure document dengan Communicator.

SSH : SSH adalah program yang menyediakan koneksi terenkripsi pada saat

melakukan login ke suatu remote system.

1.4 Monitor Jaringan

Ancaman pada jaringan yang perlu dimonitoring dan diwaspadai oleh

administrator jaringan antara lain adalah sebagai berikut:

Program perusak seperti virus, trojan, worm, dsb.

Denial of service

Scanning

MAC Address

IP Address

Selain NS Auditor :

GFI Network Server Monitoring

MRTG

Selain perangkat lunak, perangkat keras pun perlu dilakukan monitoring. Hal apakah

yang perlu diperhatikan dalam monitoring perangkat keras antara lain adalah sebagai

berikut:

Waktu respon perangkat keras

Kompatibilitas dengan perangkat lunak

1.5 Intrusion Detection System (IDS)

Intrusion Detection System (IDS) adalah sebuah sistem untuk mendeteksi

penyalahgunaan jaringan dan sumber daya komputer. IDS memiliki sejumlah sensor

yang digunakan untuk mendeteksi penyusupan. Contoh sensor meliputi:

Sebuah sensor untuk memonitor TCP request

Log file monitor

File integrity checker

IDS memiliki diagram blok yang terdiri dari 3 buah modul, sebagai berikut:

Modul sensor (sensor modul) Modul analisis (analyzer modul)

Modul basis data (database modul)

Sistem IDS bertanggung jawab untuk mengumpulkan dara-data dari sensor dan

kemudian menganalisisnya untuk diberikan kepada administrator keamanan jaringan.

Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada jaringan

2. Analisa Resiko

Analisa resiko digunakan untuk memberi gambaran biaya perlindungan

keamanan, mendukung proses pengambilan keputusan yg berhubungan dengan

konfigurasi HW dan desain sistem SW, membantu perusahaan untuk fokus pada

penyediaan sumber daya keamanan, menentukan aset tambahan (orang, HW, SW,

infrastruktur, layanan), memperkirakan aset mana yang rawan terhadap ancaman,

memperkirakan resiko apa yang akan terjadi terhadap aset, menentukan solusi untuk

mengatasi resiko dengan penerapan sejumlah kendali.

Pendekatan Analisa Resiko:

Kuantitatif: pendekatan nilai finansial

Kualitatif: menggunakan tingkatan kualitatif

Bisa dilakukan secara bersama atau terpisah (pertimbangan waktu dan biaya).

2.1 4 Resppon Terhadap Resiko

Avoidance: pencegahan terjadinya resiko

Transfer: pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi

Mitigation: pengurangan probabilitas terjadinya resiko dan/atau pengurangan

nilai resiko

Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency

Plan

3. Pengembangan Audit Keamanan Dalam Sistem Komputer

3.1 Audit

Asosiasi akuntansi Amerika mendefinisikan auditing sebagai sebuah proses

sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai

pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan

tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan,

serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Auditing membutuhkan pendekatan langkah per langkah yang dibentuk dengan

perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.

Keterlibatan audit yaitu mengumpulkan, meninjau, dan mendokumentasikan bukti

audit.

3.2 Tujuan Audit

Berdasarkan According Institute of Internal Auditors (IIA), tujuan dari audit

internal adalah untuk mengevaluasi kecukupan dan efektifitas sistem pengendalian

internal perusahaan. Juga menetapkan keluasan dari pelaksanaan tanggung jawab

yang benar-benar dilakukan.

3.3 Standar Audit

Kelima standar lingkup audit IIA memberikan garis besar atas tanggung jawab

auditor internal :

1) Melakukan tinjauan atas keandalan dan integritas informasi operasional dan

keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan

dilaporkan.

2) Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan

operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang

berlaku.

3) Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi

keberadaan aset tersebut.

4) Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan

efisien mereka digunakan.

5) Melakukan tinjauan atas operasional dan program perusahaan, untuk

menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah

mereka dapat memenuhi tujuan-tujuan mereka.

3.4 KERANGKA UNTUKAUDIT KEAMANAN KOMPUTER

Jenis-jenis Kesalahan dan Penipuan:

Pencurian atau kerusakan yang tidak disengaja atashardware dan file

Kehilangan, pencurian, atau akses tidak sah ke program, file data, dan sumber

daya sistem lainnya

Modifikasi atau penggunaan secara tidak sah program dan file data

Jenis-jenis Prosedur Pengendalian :

Rencana keamanan/perlindungan informasi

Pembatasan atas akses secara fisik ke perlengkapan komputer

Pengendalian penyimpanan dan pengiriman data seperti enkripsi

Prosedur perlindungan dari virus

Menggunakan firewall

Rencana pemulihan dari bencana

Pemeliharaan pencegahan

Asuransi sistem informasi

Prosedur Audit:Tinjauan atas Sistem

Menginspeksi lokasi komputer

Wawancara dengan personil sistem informasi mengenai prosedur keamanan

Meninjau kebijakan dan prosedur

Memeriksa kebijakan asuransi apabila terjadi bencana atas sistem informasi

Memeriksa daftar akses sistem

Memeriksa rencana pemulihan dari bencana

Prosedur Audit: Uji Pengendalian

Mengamati prosedur akses ke lokasi komputer

Memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut

berfungsi seperti dengan yang diharapkan

Menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka

ditangani dengan benar

Memeriksa berbagai uji yang sebelumnya telah dilaksanakan

Pengendalian Pengimbang:

Kebijakan yang baik dalam hal personalia

Penggunaan pengendalian secara efektif

Pemisahan pekerjaan yang tidak boleh disatukan

REFERENSI:

http://reza_chan.staff.gunadarma.ac.id/Downloads/files/57884/P11+-+SOP+

%26+Audit.pdf (Diakses 23 Oktober 2018)

http://dewi_anggraini.staff.gunadarma.ac.id/Downloads/files/46078/SOP+

%26+Audit+2.pdf (Diakses 23 Oktober 2018)

TUGAS RESUME 4

BAB 11 & 12 : PERMASALAHAN TREND DAN KEDEPAN

Nama : Syifa Mutiara Sari

Kelas : 4KA23

Npm : 16115784

Dosen : Kurniawan B. Prianto, SKOM., SH, MM

Mata Kuliah : Sistem Keamanan Teknologi Informasi

BAB 11 & 12 : PENGAMANAN WEB BROWSER

1. Digital Rights Management

Digital Right Management (DRM) system adalah istilah yang digunakan untuk

mengatur data digital dan memproteksinya dari user yang tidak mempunyai hak akses.

DRM dapat berasal dari banyak bentuk antara lain:

Dokumen

Gambar

Musik

Video

dan sebagainya

Data digital ini selanjutnya oleh pemiliknya diamankan agar hanya orang-orang

tertentu saja yang dapat mengaksesnya. Penerapan DRM dapat melibatkan banyak

metode bahkan setiap vendor besar seperti Sony, Microsoft, Apple, dan Adobe

mempunyai mekanisme sendiri. Sebagai contoh, Microsoft menerapkan DRM pada

produk Windows Media, Operating System Windows dan Microsoft Office.

1.2 Metadata

Beberapa metode untuk menerapkan DRM pada data digital dengan memasukkan

informasi tertentu pada bentuk metadata kedalam data tersebut. Informasi metadata

biasanya meliputi nama, informasi account atau e-mail. Metadata juga diterapkan

pada data komersial contohnya Apple’s iTunes yang meletakan data DRM yang

dimasukkan kedalam MPEG standard metadata.

1.3 Membangun DRM

Sistem DRM dibangun dengan menyatukan teknologi keamanan dalam satu bundel

system end-to-end yang melayani kepentingan dan kebutuhan pemilik, distributor,

pengguna dan pihak terkait lainnya. Dalam membangun DRM diperlukan dua

arsitektur kritis yang perlu dipertimbangkan. Pertama adalah arsitektur fungsional

yang melingkupi modul atau komponen tingkat tinggi yang secara bersama-sama

akan membentuk system end-to-end. Kedua adalah aristektur informasi yang

melingkupi pemodelan entitas-entitas dalam DRM dan hubungan antara entitas-

entitas tersebut.

Arsitektur Fungsional Kerangka kerja keseluruhan DRM dapat dimodelkan dalam

tiga area bahasan:

Intellectual Propierty (IP) Asset Creation and Capture: yakni suatu cara untuk

mengelola pembuatan/kreasi suatu konten sedemikian hingga mudah untuk diperjual-

belikan.

IP Asset Management: yakni suatu cara untuk mengelola dan memperjual-belikan

konten. Termasuk di dalamnya menerima suatu konten dari creator/pembuat kedalam

suatu sistem manajemen asset.

IP Asset Usage: yakni bsuatu cara untuk mengelola penggunaan konten pada saat

pertama kali diperjual-belikan. Termasuk di dalamnya mendukung kendala-kendala

yang terjadi pada perdagangan konten dalam suatu system desktop /software tertentu.

Arsitektur Informasi Arsitektur ini berhubungan dengan bagaimana cara agar entitas-

entitas yang ada dibuat modelnya dalam kerangka kerja keseluruhan DRM berikut

hubungan/relasi di antaranya. Bahasan yang penting mengenai kebutuhan yang

diperlukan untuk membangun model Informasi DRM yakni:

o Pemodelan entitas- entitas

o Pengidentifikasi dan Pemaparan entitas- entitas

o Pengekspresian pernyataan hakhak.

Setiap dokumen elektronik yang telah dibuat dan ingin memproteksi informasi

didalamnya maka dokumen elektronik tersebut dapat dilakukan proses DRM. Proses

ini melibatkan enkripsi berbasis Cryptography yang mempunyai public key dan

private key. Sistem yang menghasilkan public dan private key dapat berperan sebagai

license server. Secara umum, implementasi aplikasi yang menerapkan DRM dapat

menggunakan pendekatan arsitektur client-server. Server disini menyediakan servis

untuk melayani:

Menghasilkan public dan private key setiap dokumen elektronik yang akan

diterapkan DRM

Menghasilkan license yang berisi informasi hak apa saja dapat ditujukan pada

dokumen tersebut

Menyimpan semua data DRM setiap dokumen. Dalam hal ini dilakukan pada

bagian database server Semua komponen yang terlibat dimasukkan ke dalam

domain direktori yang sama sehingga sistem authentikasi dan authorisasi

dapat dikontrol secara terpusat.

1.4 DRM Server

DRM Server merupakan bagian terpenting untuk melakukan proses DRM pada

suatu dokumen elektronik. Komponen ini bertanggung jawab mengatur dokumen

elektronik yang akan diamankan termasuk manajemen cryptography key. Komponen

DRM Server meliputi:

DRM Server berbasis Web Service

DRM Database Server

Directory Service

CA Server

1.5 Privacy Engineering (PE)

Dalam bagian ini akan dibahas mengenai beberapa aspek yang berkaitan dengan

bagaimana privacy engineering diperlukan untuk memberikan solusi atas masalah

yang biasa dihadapi oleh DRM konvensional, namun terbih dahulu akan dijelaskan

aspek dasar/latarbelakang dari penggunaan PE. Aspek dasar/latar belakang PE Latar

belakang digunakannya PE sebagai suatu jawaban atas apa yang muncul dalam

transaksi bisnis yang berbasis Internet atau distribusi kontent dengan pasar yang

massal yang secara spesifik dibentuk oleh DRM. Sebagai contoh, suatu model

distribusi yang tidak menggunakan DRM, misalkan pada transaksi dasar, dimana

pengguna mendownload suatu produk digital dari situs web (disebut situs) distributor;

transaksi tersebut bisa atau tidak melibatkan pembayaran, dan apabila melibatkan,

maka pengguna akan menggunakan kartu kredit atau informasi pribadi lainnya yang

memungkinkan proses pembayaran terlaksana yang pada akhirnya pengguna

mendapatkan produk digital tersebut dan menggunakan sesuai yang dia inginkan.

Ada dua hal utama dari transaksi tersebut yang dapat menjadi ancaman dari sisi

privacy pengguna:

Pertama (yang merupakan tipikal dari kebanyakan perdagangan berbasis

Web), aktifitas Web-nya terawasi (misal, cookies client, log server, dll).

Kedua, yakni, data kartu kredit atau pembayaran lainnya dapat diketahui pihak

lain.

Namun kedua ancaman tersebut tidak ada kaitannya dengan konten itu sendiri.

Mengacu pada contoh kasus di atas, DRM diperlukan pada saat pasca download

terjadi, yakni pada setelah konten tersebut sudah berpindah tangan, dari pemilik ke

distributor ke pembeli/pengguna akhir. Strategi DRM Ada beberapa strategi DRM

yang berbeda-beda, baik model atau efek bagi privacy penggunanya.

1.6 Kesimpulan

Seiring dengan kemajuan teknologi baik peranghkat keras maupun lunak di era

distribusi berbasis Internet,DRM adalah suatu konsep yang diperlukan untuk

melengkapi transaksi komersial dan menjamin hak-hak stakeholder terpenuhi atau

menutupi celah yang tidak dapat ditutupi oleh kryptograpi dalam perlindungan hak

suatu konten digital. Namun DRM sendiri memerlukan suatu pendekatan, metode dan

teknik tertentu dalam melaksanakan tuga memberikan perlindungan atas hak-hak

stakeholder. Privacy engineering (PE) merupakan salah satu pendekatan agar DRM

dapat bekerja secara maksimal. Namun sekali lagi DRM dengan PE-nya tidak

menjamin sempurna alias 100% bahwa hak-hak stakeholder. Namun disisi lain, DRM

mempunyai kelemahan-kelemahan yang disebutkan oleh penentanngnya, karena

dianggap malah melanggar hak pengguna untuk mendapatkan informasi seluas-

luasnya, tanpa ada batasan yang mengekang. PE dalam DRM juga memerlukan

kesadaran bagi para stakeholder atau pihak terkait agar tidak sewenangwenang

menyalahgunakan hak masingmasing.

REFRENSI:

https://media.neliti.com/media/publications/131004-ID-digital-rights-management-

sebagai-solusi.pdf (Diakses 23 Oktober 2018)

http://didi.staff.gunadarma.ac.id/Publications/files/432/

PrivacyEngineeringdalamSistemDigitalRightManajemen.pdf (Diakses 23 Oktober

2018)

http://file.upi.edu/Direktori/FPMIPA/PRODI._ILMU_KOMPUTER/

196603252001121-MUNIR/Artikel_TIK/

Dampak_Teknologi_Informasi_dan_Komunikasi_dalam_Pendidikan.pdf (Diakses 23

Oktober 2018)