SISTEM INFORMASI MANAJEMEN Rangkuman Bab 9 “Keamanan Informasi” Fansisca Zagita Gunawan 31412141 Kelas : B1 UNIVERSITAS KRISTEN PETRA Jalan Siwalankerto 121-131 Surabaya
SISTEM INFORMASI MANAJEMEN
Rangkuman Bab 9
“Keamanan Informasi”
Fansisca Zagita Gunawan
31412141
Kelas : B1
UNIVERSITAS KRISTEN PETRA
Jalan Siwalankerto 121-131
Surabaya
Rangkuman Bab 9
“Keamanan Informasi”
PendahuluanSangatlah penting bagi semua organisasi untuk menjaga sumber
daya informasi agar aman. Keamanan informasi ditunjukkan untuk
mendapatkan kerahasiaan, ketersediaan, serta integritas pada
semua sumber daya informasi perusahaan, tidak hanya peranti
keras dan data. Manajemen keamanan informasi terdiri atas
perlindungan harian, inilah yang disebut manajemen keamanan
informasi (information security management – ISM). Sedangkan
persiapan-persiapan operasional setelah suatu bencana disebut
manajemen keberlangsungan bisnis (business continuity management –
BCM). Dalam menyusun strategi-strategi ISM terdapat dua
pendekatan, yaitu manajemen risiko dan kepatuhan tolok ukur.
Hal yang menjadi ancaman bagi semua organisasi ialah virus
komputer. Meskipun demikian, ada tiga jenis pengendalian yang
tersedia, yakni pengendalian teknis, pengendalian formal, dan
pengendalian informal. Pengendalian teknis terdiri atas
pembatas akses, firewell, kriptografi, dan pengendalian fisik.
Pengendalian format bersifat tertulis dan memiliki harapan
hidup jangka panjang. Sedangkan pengendalian informal
ditujukan untuk menjaga agar karyawan perusahaan memahami dan
mendukung kebijakan-kebijakan keamanan.
Manajemen keberlangsungan bisnis terdiri atas seperangkat
subrencana untuk menjaga keamanan karyawan,memungkinkan
keberlangsungan operasional dengan cara menyediakan fasilitas
komputer cadangan, dan melindungi catatan penting perusahaan.
Karena adanya model berbasis peranti lunak, seperti halnya
garis besar dan panduan dari pemerintahan sehingga perusahaan
yang tidak perlu memulai dari awal jika ingin mengembangkan
rencana kontinjensi baru.
Kebutuhan Organisasi akan Keamanan dan Pengendalian
Banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun
fisik agar aman dari ancaman dari dalam dan luar. Penjagaan
keamanan ini bertujuan untuk menghilangkan atau mengurangi
kemungkinan kerusakan atau penghancuran serta menyediakan
organisasi dengan kemampuan untuk melanjutkan kegiatan
operasional setelah terjadi gangguan. Hal ini telah diterapkan
oleh pemerintah federal Amerika Serikat melalui Patriot Act dan
Office of Homeland Security. Ketika pencegahan ini diimplementasikan,
terdapat dua isu penting yang harus diatasi, yaitu keamanan
versus hak-hak individu dan keamanan versus ketersediaan.
Kedua isu ini sangat menonjol pada bidang pelayanan medis. Isu
keamanan ini sulit untuk dipecahkan dan hal ini akan
mendapatkan perhatian yang lebih tinggi di masa depan.
Keamanan Informasi
Keamanan informasi mulai digunakan ketika pemerintah dan
kalangan industri mulai menyadari kebutuhan untuk mengamankan
sumber daya informasinya, khususnya pada perlindungan peranti
keras dan data. Namun perlindungan ini diperluas sehingga
perlindungan ini juga mencakup peranti lunak, fasilitas
komputer, dan personel. Keamanan informasi (information security)
digunakan untuk mendeskripsikan perlindungan baik peralatan
komputer dan nonkomputer, fasilitas, data, dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang. Contoh
peralatan yang menggunakan keamaanan informasi ini adalah
mesin fotokopi, mesin faks dan semua jenis media, termasuk
dokumen kertas.
Tujuan Keamanan Informasi
Keamanan informasi ini untuk mencapai 3 tujuan utama, yaitu:
Kerahasiaan, perusahaan berusaha untuk melindungi data
dan informasinya dari pengungkapan kepada orang-orang
yang tidak berwenang.
Ketersediaan, tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi sedia
bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
Integritas, semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang
direpresentasikannya.
Manajemen Keamanan Informasi
Manajemen tidak hanya diharapkan untuk menjaga agar sumber
daya informasi aman, namun juga diharapkan untuk menjaga
perusahaan tersebut agar tetap berfungsi setelah suatu bencana
atau jebolnya sistem keamanan. Manajemen keamanan informasi
(information security management – ISM) merupakan aktivitas untuk
menjaga agar sumber daya informasi tetap aman. Sedangkan
manajemen keberlangsungan bisnis (business continuity management –
BCM) merupakan aktivitas untuk menjaga agar perusahaan dan
sumber daya informasinya tetap berfungsi setelah adanya
bencana.
CIO adalah orang yang tepat untuk memikul tanggung jawab atas
keamanan informasi. Biasanya organisasi akan mempekerjakan
sesorang yang memberi perhatian penuh terhadap aktivitas ini.
Sedangkan direktur keamanan sistem informasi perusahaan
(corporate information system security officer-CISSO) digunakan untuk
individu di dalam organisasi dan biasanya anggota dari unit
sistem informasi, yang bertanggung jawab atas keamanan sistem
informasi perusahaan tersebut. Direktur assurance informasi
perusahaan (corporate information assurance officer –CIAO) yang akan
melapor kepada CEO dan mengelola unti penjagaan informasi.
CIAO harus mendapatkan serangkaian sertifikasi keamanan dan
memiliki pengalaman minimum 10 tahun dalam mengelola suatu
fasilitas keamanan informasi.
Manajemen Keamanan Informasi
Manajemen keamanan informasi terdiri dari empat tahap, yaitu:
mengidentifikasi ancaman yang dapat menyerang sumber daya
informasi perusahaan, mendefinisikan risiko yang dapat
disebabkan oleh ancaman-ancaman tersebut, menentukan kebijakan
keamanan informasi, dan mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut. Ancaman menghasilkan risiko
yang harus dikendalikan. Oleh karena itu, manajemen risiko (risk
management) dibuat untuk menggambarkan pendekatan ini dimana
tingkat keamanan sumber daya informasi perusahaan dibandingkan
dengan risiko yang dihadapi. Selain manajemen risiko, masih
ada pilihan lain untuk merumuskan kebijakan keamanan
informasi, yaitu tolok ukur keamanan informasi. Tolok ukur
(benchmark) adalah tingkat kinerja yang disarankan. Sedangkan
tolok ukur keamanan informasi (information security benchmark) adalah
tingkat keamanan yang disarankan yang dalam keadaan normal
harus menawarkan perlindungan yang cukup terhadap gangguan
yang tidak terorientasi. Standar dan tolok ukur ini ditentukan
oleh pemerintah dan asosiasi industri. Tolok ukur ini akan
mencerminkan komponen-komponen program keamanan informasi yang
baik menurut otoritas-otoritas tersebut. Pendekatan ini
disebut kepatuhan terhadap tolok ukur (benchmark compliance).
Ancaman
Ancaman keamanan informasi (information security threat) adalah orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi
untuk membahayakan sumber daya informasi perusahaan. Ancaman
ini dapat bersifat internal dan eksternal, serta dapat
bersifat tidak disengaja maupun disengaja.
Ancaman Internal dan Eksternal
Ancaman internal tidak hanya menyangkut karyawan perusahaan,
tetapi juga pekerja temporer, konsultan, kontraktor, dan mitra
bisnis perusahaan tersebut. Ancaman internal diperkirakan akan
menghasilkan kerusakan yang secara potensial lebih serius
daripada ancaman eksternal karena pengetahuan ancaman internal
yang lebih medalam akan sistem tersebut.
Tindakan Kecelakaan dan Disengaja
Tidak semua ancaman merupakan tindakan disengaja, beberapa
merupakan kecelakaan yang disebabkan oleh orang-orang di dalam
atau di luar perusahaan. Keamanan informasi harus ditujukan
untuk mencegah ancaman yang disengaja. Sistem keamanan juga
harus mengeliminasi atau mnegurangi kemungkinan terjadinya
kerusakan yang disebabkan kecelakaan.
Jenis Ancaman
Jenis peranti lunak yang berbahaya (Malicious Software-Malware)
adalah virus. Malicious Software-Malware ini terdiri atas program-
program lengkap atau segmen-segmen kode yang dapat menyerang
suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan
oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus
file atau menyebabkan sistem tersebut berhenti. Selain virus,
masih ada beberapa jenis peranti lunak berbahaya, yaitu: worm,
Trojan horse, adware, dan spyware.
Virus adalah program komputer yang dapat mereplikasi dirinya
sendiri tanpa dapat diamati oleh si pengguna dan menempelkan
salinan dirinya pada program-program dan boot sector lain. Worm
adalah program yang tidak dapat mereplikasikan dirinya sendiri
di dalam sistem, tapi dapat menyebarkan salinannya melalui e-
mail. Trojan horse adalah program yang tidak dapat mereplikasi
atau mendistribusikan dirinya sendiri, tetapi disebarkan
sebagai perangkat. Ketika perangkat tersebut digunakan,
perangkat itu akan menghasilkan perubahan-perubahan yang tidak
diinginkan dalam fungsionalitas sistem tersebut. Sedangkan,
adware adalah program yang memunculkan pesan-pesan iklan yang
mengganggu. Spyware adalah program yang mengumpulkan data dari
mesin pengguna. Pada saat ini yang paling terkenal ialah adware
dan spyware. Pada tahun 2005, karena ancaman ini sehingga
Microsoft memutuskan untuk memasuki perang antispyware.
Risiko
Risiko keamanan informasi (Information Security Risk) adalah potensi
output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh ancaman keamanan informasi. Semua risiko
mewakili tindakan yang tidak terotorisasi. Risiko-risiko
seperti ini dibagi menjadi empat jenis yaitu:
Pengungkapan Informasi yang Tidak Terotorisasi dan
Pencurian
Ketika suatu basis data dan perpustakaan peranti lunak
tersedia bagi orang-orang yang seharusnya tidak berhak
memilki akses, hasilnya adalah hilangnya informasi atau
atau uang. Contohnya, mata-mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga dan kriminal
komputer dapat menyeludupkan dana perusahaan.
Pengungkapan yang Tidak Terotorisasi
Penggunaan yang tidak terotorisasi terjadi pada saat
orang-orang yang biasanya tidak berhak menggunakan sumber
daya perusahaan mampu melakukan hal tersebut. Contohnya
adalah hacker yang memandang keamanan informasi sebagai
suatu tantangan yang harus diatasi.
Penghancuran yang Tidak Terotorisasi dan Penolakan
Layanan
Seseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak sehingga menyebabkan operasional
komputer perusahaan tersebut tidak berfungsi dengan
memasuki jaringan perusahaan dan menggunakan sumber daya
perusahaan, seperti e-mail.
Modifikasi yang Tidak Terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan. Beberapa perubahan dapat
berlangsung tanpa disadari dan hal ini akan menyebabkan
para pengguna output mengambil keputusan yang salah.
Contohny adalah perubahan nilai pada catatan akademis
seorang siswa.
Persoalan E-commerce
E-comerce (perdagangan elektronik) telah memperkenalkan suatu
permasalahan keamanan baru, yaitu perlindungan dari pemalsuan
kartu kredit. Untuk mengatasi masalah ini, perusahaan-
perusahaan kartu kredit yang utama telah mengimplementasikan
program yang ditujukan secara khusus untuk keamanan kartu
kredit e-commerce.
Kartu Kredit “Sekali Pakai”
Karena banyaknya konsumen yang mengkhawatirkan pemalsuan kartu
kredit dari penggunaan internet, maka pada september 2000,
American Express mengumumkan sebuah kartu kredit “sekali
pakai”. Kartu sekali pakai ini bekerja dengan cara berikut:
saat pemegang kartu ingin membeli sesuatu secara online, ia
akan memperoleh angka yang acak dari situs web perusahaan
kartu kredit tersebut. Angka inilah, bukan nomor kartu kredit
pelanggan, yang diberikan kepada pedagang e-commerce, yang
kemudian melaporkannya ke perusahaan kartu kredit untuk
pembayaran. Meskipun American Express telah meluncurkan kartu
kredit ini, namun American Express tidak melanjutkannya
melainkan sistem ini diikuti oleh perusahaan kartu kredit
lain.
Praktik Keamanan yang Diwajibkan oleh Visa
Visa mengumumkan 10 praktik terkait keamanan yang diharapkan
perusahaan ini untuk diikuti oleh para peritelnya. Peritel
yang memilih untuk tidak mengikuti praktik ini akan menghadapi
denda, kehilangan keanggotaan dalam program Visa, atau
pembatasan penjualan dengan Visa. Oleh karena itu, peritel
harus:
1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan enkripsi pada data yang di simpan.
4. Melakukan enkripsi pada data yang di kirimkan.
5. Menggunakan dan memperbarui peranti lunak antivirus.
6. Membatasi akses data kepada orang-orang yang ingin tahu.
7. Memberikan ID unik kepada setiap orang yang memilikikemudahan mengakses data.
8. Memantau akses data dengan ID unik.
9. Tidak menggunakan kata sandi default yang disediakan olehvendor.
10.Secara teratur menguji sistem keamanan.
Selain itu, peritel juga harus mengikuti e praktik umum yang
diidentifikasi oleh Visa dalam mendapatkan keamanan informasi
untuk semua aktivitas. Tiga praktik umum tersebut, ialah:
Menyaring karyawan yang memiliki akses terhadap data.
Tidak meninggalkan data (disket, kertas, dan lain-lain)atau komputer dalam keadaan tidak aman.
Menghancurkan data jika tidak dibutuhkan lagi.
Praktik-praktik keamanan yang diwajibkan ini ditingkatkan
lagi melalui Program Pengamanan Informasi Pemegang Kartu
(Cardholder information Security Program-CISP). CISP ini ditujukan
pada peritel dengan tujuan untuk menjaga data pemegang
kartu. Tujuan ini dicapai melalui penempatan pembatasan-
pembatasan pada peritel mengenai data yang dapat disimpan
setelah Visa menyetujui suatu transaksi. Nomor rekening
pemegang kartu, nama dan tanggal kedaluwarsa kartu tesebut
yang hanya bisa menjadi data yang dapat disimpan.
Manajemen Risiko
Manajemen Risiko adalah satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara
mengendalikan atau menghilangkan risiko atau mengurangi
dampaknya. Pendefinisian risiko terdiri atas empat langkah,
yaitu: pertama, identifikasi asset-aset bisnis yang harus
dilindungi dari risiko. Kedua, menyadari risikonya. Ketiga,
menentukan tingkatan dampak pada perusahaan jika risiko benar-
benar terjadi. Keempat, menganalisis kelemahan perusahaan
tersebut. Pendekatan yang sistematis dapat dilakukan pada
langkah ketiga dan keempat. Tabel 9.1 mengilustrasikan
pilihan-pilihan ini.
Tabel 9.1 Tingkat Dampak dan Kelemahan Menentukan Pengendalian
Dampak Parah Dampak Signifikan Dampak Minor
Kelemahan Tingkat Tinggi
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian.
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian.
Analisis kelemahan tidak dibutuhkan.
Kelemahan Tingkat Menengah
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Analisis kelemahan tidak dibutuhkan.
Kelemahan Tingkat Rendah
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
Analisis kelemahan tidak dibutuhkan.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
Dampak yang parah (severe impact), dampak yang membuat
perusahaan bangkrut atau sangat membatasi kemampuan
perusahaan tersebut untuk berfungsi.
Dampak signifikan (significant impact), dampak yang
menyebabkan kerusakan dan biaya yang signifikan, tetapi
perusahaan tersebut akan selamat.
Dampak minor (minor impact), dampak yang menyebabkan
kerusakan yang mirip dengan yang terjadi dalam
operasional sehari-hari.
Meskipun risiko parah ataupun signifikan, analisis kelemahan
harus dilaksanakan. Setelah analisis risiko diselesainkan,
hasil temuan sebaiknya didokumentasikan dalam laporan
analisis resiko. Isi dari laporan mengenai tiap-tiap risiko,
sebaiknya mencakup informasi deskripsi risiko, sumber
risiko, tingginya tingkat risiko, pengendalian yang
diterapkan pada risiko tersebut, para pemilik risiko
tersebut, tindakan yang direkomendasikan untuk mengatasi
risiko, dan jangka waktu yang direkomendasikan untuk
mengatasi risiko. Jika perusahaan telah mengatasi risiko
tersebut, laporan harus diselesaikan dengan cara menabahkan
bagian akhir, yaitu menambahkan apa yang telah dilaksanakan
untuk mengatasi risiko tersebut.
Kebijakan Keamanan Informasi
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan
keseluruhan program. Agar perusahaan dapat menerapkan
kebijakan keamanannya, maka perusahaan tersebut harus
mengikuti pendekatan yang bertahap, yakni:
Fase 1-Inisiasi Proyek, pada fase ini akan dibentuk
sebuah tim yang menyusun kebijakan keamanan untuk
mengawas proyek kebijakan keamanan tersebut.
Fase 2-Penyusunan Kebijakan, pada tahap ini tim proyek
berkonsultasi dengan semua pihak yang berminat dan
terpengaruh oleh proyek ini untuk menentukan kebutuhan
kebijakan baru tersebut.
Fase 3-Konsultasi dan persetujuan, tahap ini tim proyek
akan berkonsultasi dengan manajemen untuk memeberitahukan
temuannya untuk mendapatkan pandangan mengenai berbagai
persyaratan kebijakan.
Fase 4-Kesadaran dan edukasi, tahap ini akan dilaksanakan
program pelatihan kesadaran dan edukasi kebijakan dalam
unit-unit organisasi.
Fase 5-Penyebarluasan Kebijakan, pada tahap ini kebijakan
keamanan ini disebarluaskan ke seluruh unit organisasi
dimana kebijakan tersebut dapat diterapkan.
Kebijakan terpisah dikembangkan untuk:
Keamanan sistem informasi
Pengendalian akses sistem
Keamanan personel
Keamanan lingkungan dan fisik
Keamanan komunikasi data
Klasifikasi informasi
Perencanaan kelangsungan usaha
Akuntabilitas manajemen
Kebijakan terpisah ini akan diberitahukan kepada karyawan
dalam bentuk tulisan dan melalui program pelatihan dan
edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat
diimplementasikan.
PengendalianPengendalian (control) adalah mekanisme yang diterapkan baik
untuk melindungi perusahaan dari risiko atau untuk
meminimalkan dampak risiko tersebut pada perusahaan jika
risiko tersebut terjadi. Pengendalian terbagi menjadi tiga
kategori, yaitu teknis, formal, dan informal.
Pengendalian TeknisPengendalian teknis (technical control) adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh para penyususn
sistem selama masa siklus penyusunan sistem. Pengendalian ini
melibatkan seorang auditor internal di dalam tim proyek.
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi
peranti keras dan lunak.
Pengendalian Akses
Pengendalian akses adalah dasar untuk keamanan melawan ancaman
yang dilakukan oleh orang-orang yang tidak diotorisasi. Alasan
dari dasar ini ialah jika orang yang tidak diotorisasi tidak
diizinkan mendapatkan akses terhadap sumber daya informasi,
maka pengrusakan tidak dapat dilakukan. Pengendalian akses
ini dilakukan melalui tiga tahap, yaitu:
1. Identifikasi pengguna, para pengguna mengidentifikasi
diri mereka dengan cara memberikan sesuatu yang mereka
ketahui, contohnya kata sandi, nomor telepon atau titik
masuk jaringan.
2. Otentikasi pengguna, pada tahap ini para pengguna
memverifikasi hak akses dengan cara memberikan sesuatu
yang mereka miliki, seperti smart card atau tanda tertentu
atau chip identifikasi.
3. Otorisasi pengguna, pada tahap ini seseorang bisa
mendapatkan otorisasi untuk memasuki tingkat atau derajat
penggunaan tertentu.
Identifikasi dan autentikasi memanfaatkan profil pengguna (user
profile) atau deskripsi pengguna yang terotorisasi. Otorisasi
memanfaatkan file pengendalian akses (access control file) yang
menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah pengguna memenuhi tiga syarat fungsi tersebut, mereka
dapat menggunakan sumber daya informasi yang terdapat di dalam
batasan file pengendalian akses.
Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali
upaya pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan. Contohnya, peranti lunak proteksi virus
(virus protection software) yang terbukti efektif melawan virus yang
terkirim melalui e-mail. Tidak hanya itu saja, tetapi contoh
deteksi pengganggu yang lain adalah peranti lunak yang
ditujukan untuk mengidentifikasi calon penggangu sebelum
memiliki kesempatan untuk membahayakan. Peralatan prediksi
ancaman dari dalam (insider threat prediction tool) telah disusun
sehingga dapat mempertimbangkan karakteristik seperti posisi
seseorang di dalam perusahaan, akses ke dalam data yang
sensitive, kemampuan untuk mengubah komponen peranti keras,
jenis aplikasi yang digunakan, file yang dimiliki, dan penggunaan
protocol jaringan tertentu.
Firewall
Salah satu pendekatan keamanan adalah secara fisik memisahkan
situs Web perusahaan dengan jaringan internal perusahaan yang
berisikan data sensitive dan sistem informasi. Tidak hanya
itu, tetapi juga bisa dengan menyediakan kata sandi kepada
mitra dagang yang memungkinkannya memasuki jaringan internal
dari internet. Pendekatan lain yang juga bisa digunakan ialah
membangun dinding perlindungan atau firewall. Firewall berfungsi
sebagai penyaring aliran data dan penghalang yang membatasi
aliran data ke dan dari perusahaan tersebut dan internet.
Konsep firewall adalah dibuatnya suatu pengaman untuk semua
computer pada jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing computer. Ada beberapa perusahaan
yang menawarkan peranti lunak antivirus seperti McAfee. Firewall
dibagi 3 jenis, yaitu
Firewall penyaring paket
Router adalah alat jaringan yang mengarahkan aliran lalu
lintas jaringan. Jika Router diposisikan antara internet
dan jaringan internal, Router tersebut dapat berlaku
sebagai firewall. Router dilengkapi dengan table data alamat-
alamat IP yang menggambarkan kebijakan penyaringan.
Alamat IP (IP address) adalah serangkaian empat angka
(masing-masing dari 0 ke 255) yang secara unik
mengidentifikasi masing-masing computer yang terhubung
dengan internet. Salah satu keterbatasan router adalah
hanya merupakan titik tunggal keamanan sehingga jika hacker
dapat melampauinya perusahaan tersebut bisa mendapatkan
masalah. “IP spoofing” yaitu cara yang digunakan pembajak
untuk menipu tabel akses router.
Firewall tingkat sirkuit
Salah satu peningkatan keamanan dari router adalah firewall
tingkat sirkuit yang terpasang antara internet dan
jaringan perusahaan tapi lebih dekat dengan medium
komunikasi (sirkuit) daripada router. Pendekatan ini
memungkinkan tingkat otentikasi dan penyaringan yang
tinggi, jauh lebih tinggi dibandingkan router. Namun,
keterbatasan dari titik tunggal tetap berlaku.
Firewall tingkat aplikasi
Firewall ini berlokasi antara router dan computer yang
menjalankan aplikasi tersebut. Firewall jenis ini cenderung
untuk mengurangi akses ke sumber daya.
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat
dilindungi dari pengungkapan yang tidak terotorisasi dengan
kriptografi, yaitu penggunaan kode yang menggunakan proses-
proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam
jaringan.
Pengendalian kriptografi semakin popular karena e-commerce dan
produk khusus yang ditujukan untuk meningkatkan keamanan e-
commerce telah dirancang. Salah satunya adalah SET (Secure
Electronic Transanctions), yang melakukan pemeriksaan keamanan
menggunakan tanda tangan digital. Tidak hanya itu, tetapi
perhatian yang cukup besar juga terjadi pada enkripsi yang
dilakukan pemerintah, yang mengkhawatirkan pengodean tersebut
dapat digunakan untuk menutupi aktivitas kriminalitas atau
terorisme. Pembatasan telah dikenakan kepada pengguna
enkripsi, contohnya pembatasan pada ekspor bukan pembatasan
pada impor. Dengan meningkatnya popularitas e-commerce dan
perkembangan teknologi enkripsi yang berkelanjutan,
penggunanya diharapkan untuk meningkat di dalam batasan
peraturan pemerintah.
Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih, yang
dibuka dengan cetakan telapak tangan, cetak suara dan kamera
pengintai serta alat penjaga keamanan.
Meletakkan Pengendalian Teknis pada Tempatnya
Dari pengendalian teknis ini, kita bisa melihat bahwa
teknologi telah banyak digunakan untuk mengamankan informasi.
Pengendalian teknis dikenal sebagai pengendalian yang terbaik
untuk keamanan.
Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,
dokumentasi prosedur dan praktik yang diharapkan, dan
pengawasan serta pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan
untuk berlaku dalam jangka panjang. Dalam pengendalian ini,
manajemen puncak harus berpartisipasi secara aktif dalam
menentukan dan memberlakukan persetujuan universal.
Pengendalian InformalPengendalian informal mencakup program-program pelatihan dan
edukasi serta program pembangunan manajemen. Pengendalian ini
ditunjukan untuk menjaga agar para karyawan perusahaan
memahami serta mendukung program keamanan tersebut.
Mencapai Tingkat Pengendalian yang Tepat
Pengendalian teknis, formal,dan informal akan memakan biaya
karena pengendalian ini bukan praktik bisnis yang baik untuk
menghabiskan lebih banyak uang pada pengendalian dibandingkan
biaya yang diharapkan dari resiko yang akan terjadi, maka
pengendalian harus ditetapkan pada tingkatan yang sesuai.
Dengan demikian, keputusan untuk mengendalikan dibuat
berdasarkan biaya versus keuntungan, tetapi dalam beberapa
industri terdapat pula pertimbangan-pertimbangan lain.
Contohnya, melakukan manajemen risiko untuk ATM, pengendalian
harus membuat sistem aman tanpa mengurangi kenyamanan
pelanggan.
Dukungan Pemerintah dan Industri
Beberapa organisasi pemerintah dan internasional telah
menentukan standar-standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standar ini berbentuk tolak ukur, yang
telah diidentifikasi sebelumnya sebagai penyedia strategi
alternatif untuk manajemen resiko. Beberapa pihak penentu
standar pada saat ini menggunakan istilah baseline (dasar),
tidak menggunakan istilah benchmark (tolak ukur). Organisasi
tidak diwajibkan mengikuti standar ini. Namun, standar ini
ditujukan untuk memberikan bantuan kepada perusahaan dalam
menentukan tingkat target keamanan. Contohnya, BS7799 milik
Inggris, BSI IT Baseline Protection Manual, COBIT, GASSP, ISF
Standard of Good Practice. Tidak ada satupun dari standar-
standar ini yang menawarkan cakupan yang menyeluruh dari
masalah ini. Tetapi jika standar-standar ini disatukan maka
akan menjadi dasar yang baik untuk perusahaan dalam menetukan
kebijakan keamanan informasinya sendiri yang mendukung budaya
organisasi tersebut.
Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah
menentukan standar dan menetapkan peraturan yang ditujukan
untuk menanggapi masalah pentingnya keamanan informasi yang
makin meningkat, terutama setelah peristiwa 9/11 dan semakin
meluasnya internet serta peluang terjadinya kejahatan
komputer. Beberapa diantaranya, ialah: Standar Keamanan
Komputer Pemerintah Amerika Serikat dan Undang-Undang
Antiterorisme, Kejahatan, dan Keamanan Inggris (ATSCA) 2001.
Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan diberikan melalui
dua produk, yaitu: CIS Benchmark dan CSI Scoring tools.
Sertifikat Profesional
Mulai tahun 1960-an, profesi TI mulai menawarkan program
sertifikasi. Tiga contoh dari program-program ini, ialah:
Asosiasi Audit Sistem dan Pengendalian
Program sertifikasi keamanan yang pertama adalah Certified
Information System Auditor, yang ditawarkan oleh Information Systems
Audit and Control Association (ISACA).
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional
The Certification Information System Security Professional (CISPP)
ditawarkan oleh ISC (International Information System Security
Certification Consortium). Sertifikasi CISSP memberi bukti bahwa
pemegangnya memiliki keahlian dalam keamanan informasi
yang mencakup topik seperti, pengendalian akses,
kriptografi, arsitektur keamanan, keamanan internet, dan
praktik manajemen keamanan.
Institut SANS
Institut SANS (SysAdmin, Audit, Network, Security) menawarkan
sertifikasi melalui Global Information Assurance Certification
Program miliknya, yang mencakup mata kuliah seperti Audit
Keamanan IT dan Intisari Pengendalian, serta Penulisan
dan Pemeriksaan Kebijakan Keamanan.
Meletakkan Manajemen Keamanan Informasi Pada
Tempatnya
Perusahaan harus mencanangkan kebijakan manajemen keamanan
informasi sebelum menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkan identifikasi ancaman dan risiko
ataupun berdasarkan panduan yang diberikan oleh pemerintah dan
asosiasi industri. Perusahaan harus menggabungkan 3
pengendalian untuk menawarkan tingkat keamanan yang diinginkan
pada batasan biaya yang telah ditentukan dan disesuaikan
dengan pertimbangan lain yang mebuat perusahaan dan sistemnya
mmpu berfungsi secara efektif.
Manajemen Keberlangsungan Bisnis
Aktivitas yang ditujukan untuk menentukan operasional setelah
terjadi gangguan sistem informasi disebut dengan manajemen
keberlangsungan Bisnis (business continuity management-BCM).
Aktifitas ini disebut perencanaan besar (disaster planning), namun
istilah yang lebih positif dan populer ialah perencanaan
kontinjensi (contingency plan). Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi (contingency plan), yang
merupakan dokumen tertulis formal yang menyebutkan secara
detail tindakan-tindakan yang harus dilakukan jika terjadi
gangguan,atau ancaman gangguan pada operasi komputasi
perusahaan.
Banyak perusahaan menemukan bahwa dibandingkan mengandalkan
satu rencana kontijensi besar, pendekatan yang terbaik ialah
merancang beberapa subrencana yang menjawab beberapa
kontinjensi yang spesifik dan subrencana tersebut mencakup:
Rencana Darurat (emergency plan)
menyebutkan cara-cara yang akan menjaga keamanan karyawan
jika bencana terjadi. Cara-cara ini mencakup sistem
alarm, prosedur evakuasi, dan sistem pemadaman api.
Rencana Cadangan (backup plan)
Perusahaan harus mengatur agar fasilitas komputer
cadangan tersedia seandainya fasilitas yang biasa hancur
atau rusak sehingga tidak dapat digunakan. Pengaturan ini
merupakan bagian dari rencana cadangan. Cadangan dapat
diperoleh melalui kombinasi redundansi, keberagaman, dan
mobilitas.
Rencana Catatan Penting
Catatan penting (vital records) perusahaan adalah dokumen
kertas, mikroform, dan media penyimpanan optis dan
magnetis yang penting untuk meneruskan bisnis perusahaan
tersebut. Rencana Catatan Penting (vital records plan)
menentukan cara bagaimana catatan penting tersebut harus
dilindungi. Selain itu, salinan cadangan harus disimpan
di lokasi yang terpencil. Semua jenis catatan dapat
secara fisik dipindahkan ke lokasi terpencil tersebut,
namun catatan komputer dapat ditransmisikan secara
elektronik.
Meletakkan Manajemen Keberlangsungan Bisnis Pada
Tempatnya
Manajemen keberlangsungan bisnis merupakan salah satu bidang
penggunaan komputer, dimana kita dapat melihat perkembangan
besar. Pada akhir 1980, hanya sedikit perusahaan yang memiliki
rencana seperti ini, sehingga banyak upaya telah dilakukan
untuk merencanakan perencanaan kontinjensi, dan banyak
informasi serta bantuan telah tersedia. Tidak hanya itu, ada
juga rencana dalam paket sehingga perusahaan dapat
mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer
TAMP memasarkan Sistem Pemulihan Bencana (Disaster Recovery System-
DRS) yang mencakup sistem manajemen basis data, instruksi, dan
perangkat yang dapat digunakan untuk mempersiapkan rencana
pemulihan. Panduan dan garis besar tersedia bagi perusahaan
untuk digunakan sebagai titik awal atau tolok ukur. Panduan
ini dapat diperoleh dari
WWW.DIR.STATE.TX.US/SECURITY/CONTINUITY/INDEX.HTM.
Pertanyaan
1. Hal apa yang termasuk dalam keamanan informasi yang tidaktermasuk dalam keamanan sistem?
2. Sebutkan tiga tujuan keamanan informasi.
Kerahasiaan, perusahaan berusaha untuk melindungi
data dan informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang.
Ketersediaan, tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
Integritas, semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang
direpresentasikannya.
3. Keamanan informasi dibagi menjadi dua jenis upaya. Apasajakah dua jenis upaya ini?
Manajemen keamanan informasi (information security
management – ISM) merupakan aktivitas untuk menjaga
agar sumber daya informasi tetap aman.
Manajemen keberlangsungan bisnis (business continuity
management –BCM) merupakan aktivitas untuk menjaga
agar perusahaan dan sumber daya informasinya tetap
berfungsi setelah adanya bencana.
4. Apakah perbedaan antara manajemen risiko dan kepatuhanterhadap tolok ukur?
Manajemen risiko (risk management) dibuat untuk
menggambarkan pendekatan dimana tingkat keamanan sumber
daya informasi perusahaan dibandingkan dengan risiko yang
dihadapi. Sedangkan kepatuhan terhadap tolok ukur
(benchmark compliance) adalah pendekatan dimana dapat
diasumsikan bahwa pemerintah dan otoritas industri telah
melakukan pekerjaan yang baik dalam mempertimbangkan
berbagai ancaman serta risiko dan tolok ukur tersebut
menawarkan perlindungan yang baik.
5. Jelaskan mengapa ancaman internal harus lebih ditakutidibandingkan ancaman eksternal.
6. Sebutkan lima contoh malware.
7. Risiko jenis khusus apakah yang harus diatasi sistem e-commerce?
8. Apa sajakah empat tahap manajemen risiko?
9. Bedakan antara dampak parah dan dampak signifikan denganancaman.
10.Apakah yang menjadi bagian akhir dari laporan analisisrisiko? Kapankah bagian ini dipersiapkan?
11.Sebutkan lima fase kebijakan keamanan informasi.
12.Sebutkan tiga jenis pengendalian dasar.
13.Bagaimanakah cara pengguna melewati pemeriksaanindentifikasi pengguna? Pemeriksaan autentikasi pengguna?Pemeriksaan otorisasi pengguna?
14.Jenis ancaman apa yang dapat diatasi dengan firewall?
15.Apakah jenis firewall yang paling efektif? Apakah kelemahandari firewall jenis ini?
16.Apa saja kelebihan kriptografi?
17.Apakah perbedaan antara pengendalian formal dan informal?
18.Jenis-jenis rencana apa saja yang termasuk dalamperencanaan kontinjensi?
19.Sumber daya fisik apakah yang dilindungi oleh rencanadarurat?
20.Sebutkan tiga pendekatan cadangan sistem.
21.Apakah perbedaan antara hot site dan cold site?
TOPIK DISKUSI
1. Figur 9.1 menunjukkan kebijakan keamanan yang ditentukan
setelah ancaman dan risiko didefinisikan. Jelaskan
mengapa kebijakan tersebut harus ditentukan terlebih
dahulu.
2. Apa sajakah karakteristik karyawan yang dapat mewakili
ancaman dari dalam?
3. Garis besar dari laporan yang harus disiapkan pada akhir
analisis risiko menyebutkan “(para) pemilik risiko.”
Apakah yang dimaksud dengan “memiliki” risiko? Siapakah
yang dapat menjadi contoh seorang pemilik?
4. Mengapa kita tidak mengandalkan kriptografi saja, dan
tidak perlu mengkhawatirkan pembatasan akses?