PENDAHULUAN
* Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah "Information-based-society".
* Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).
* Survey information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.
* Kesadaran akan masalah keamanan masih rendah!
* 1988, keamanan sistem main sendmail dieksploitasi oleh Robert Tapan Morris sehingga melumpuhkan sistem Internet. Kegiatan ini dapat diklasifikasikan sebagai "denail of service attack". Diperkirakan biaya yang digunakan untuk memperbaiki dan hal lainnya mencapai $100juta. Akan tetapi di tahun 1990 Morris dihukum dan hanya didenda $10.000.
* 10 Maret 1997, seorang hacker dari massachusetts berhasil mematikan sistem telekomunikasi sebuah airport lokal (Worcester, Mass) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendak mandarat.
Jumlah Kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi akan sangat meningkat, kemudian ada beberapa hal diantara lain.
1. Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi serta jaringan komputer semakin meningkat
2. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. padahal mencari operator dan administrator yang mempunyai skill baik atau handal sangat sulit.
Apakah semua yang kita bahas aman???
* Sangat sulit untuk mencapai kata aman 100%
* Ada timbal balik diantara kenyamanan dan keamanan
Definisi Keamanan Komputer dari Garfinkel & Spafford ialah Komputer bisa dibilang aman jika mempunyai perangkat lunak yang dinginkan atau dalam artian memiliki kualitas baik tidak mudah terjangkit virus atau hal lainnya.
G.J. Simons, keamanan suatu informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau paling tidak, mendeteksi. Adanya penipuan disebuah sistem yang berbasis informasi, dimana informasinya tidak memiliki arti fisik dll.
Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan besar adanya virus, cracker maupun hacker dll, karena berbicara mengenai keamanan informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut. Serta jika kita berbicara tentang keamanan, saya ada dua poin penting yaitu.
1. Threats (Ancaman) terhadap sebuah sistem
2. Vulnerability (Kelemahan) pada sistem
Adapun masalah tersebut pada gilirannnya berdampak kepada 7 aspek utama pada sistem yaitu:
1. Efektif
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Keberadaan
6. Kepatuhan
7. Keandalan
Untuk keamanan yang perlu diperhatikan juga ialah keamanan sistem informasi yang membutuhkan 10 hal keamanan yang dibutuhkan, yaitu.
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang dipakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Penerapan sistem yang dimiliki
8. Perancangan bisnis (BCP) dan Pemulihan bencana (DRP)
9. Kebutuhan hukum dan bentuk investasi serta kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
OK guys,,, sudah mulai pusing belum?? saya sebagai penulis aja sudah mulai puyeng JRG hhe, kita lanjutkan ke laptop lagi ya, membahas masalah ancaman.
ANCAMAN (Threats)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat menggangu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu:
1. Ancaman Alam (Mis; Banjir, Tsunami, badai dll)
2. Ancaman Manusia (Mis; Hacking, Malicious code, Teroris, Perusakan sistem)
3. Ancaman Lingkungan (Mis; Tegangan listrik, Polusi, Kebocoran A/C, atap bocor dll)
KELEMAHAN (Vurnerability)
Merupakan kelemahan dari suatu sistem yang mengakibatkan timbulnya kesalahan atau pelanggaran dari desain dan penetapan prosedur dan membuat ruang untuk pelaku untuk merusak atau memasuki suatu sistem. (Mis; Settingan firewall yang membuka telnet sehingga dapat diakses dari luar, atau setting VPN yang tidak diikuti penerapan kerberos dan NAT)
Pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu.
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadi ancaman dan menimbulakn kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menajdi upnormal.
3. Pendekatan Corrctive yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal.
PENGENDALIAN KEAMANAN SISTEM INFORMASI
Kontrol-kontrol untuk pengamanan sistem informasi antara lain:
1. Kontrol Administrasi
2. Kontrol Pengembangan dan pemeliharaan
3. Kontrol Operasi
4. Proteksi fisik terhadap pusat data
5. Kontrol perangkat keras
6. Kontrol akses terhadap sistem komputer
7. Kontrol terhadap akses informas
8. Kontrol terhadap bencana
9. Kontrol terhadap perlindungan terakhir
10. Kontrol Aplikasi
Kontrol Administrasi
Kontrol yang dimaksudkan untuk menjamin seluruh kerangka kontrol yang dilaksanakan sepenuhnya dalam sebuah organisasi berdasarkan prosedur-prosedur yang jelas, kontrol ini mencakup hal-hal berikut:
1. Mempublikasikan kebijakan kontrol serta membuat pengendalian sistem informasi oleh organisasi.
2. Prosedur yang bersifat formal serta standar pengoperasiannya dan dilaksanakan dengan tegas, termasuk pengembangan sistem, misalnya prosedur untuk backup, pemulihan data, menejemen pengarsipan data
3. Perekrutan pegawai secara berhati-hati dan teliti.
4. Supervisi terhadap para pegawai.
5. Pembatasan hak akses, atau pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap.
Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk menjaga yang satu ini ialah peran auditor sangat dibutuhkan dalam sistem informasi sangatlah penting. Auditor sistem informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan sistem serta mengendalikan sistem.
Kontrol Operasi
Ialah kontrol yang beroperasi sesuai dengan yang diharapkan, termasuk dalam kontrol ini.
1. Pembatasan akses terhadap data
2. Kontrol terhadap personel pengoperasian
3. Kontrol terhadap peralatan
4. Kontrol terhadap penyimpanan arsip
5. Pengendalian terhadap virus (Preventif, Detektif, Korektif)
Proteksi Fisik Terhadap Pusat Data
1. Untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data
2. Faktor lingkungan yang menyangkut suhu, kebersihan, kelembapan udara, bahasa banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
Kontrol Perangkat Keras
1. Untuk mengatasi kegagalan sistem komputer, cterkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan)
2. Pada sistem ini, jika komponen mengalami kegagalan maka cadangan akan mem backup data tersebut
Kontrol Akses Terhadap Sistem Komputer
1. Pembatasan hak akses terhadap sistem, setiap pemakai akan diberi otoritas yaitu password
2. Teknologi yang lebih canggih menggunakan sifat-sifat biologis dari manusia yang unik, mis; sidik jari, retina mata untuk hak akses kunci/ password
Kontrol Terhadap Akses Informasi
1. Mengubah suatu informasi kedalam bentuk lain, ialah kriptografi. Jadi proses nya ini mengubah teks asli menjadi enskripsi, agar susah di salah gunakan.
2. Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebutt kriptografi kunci publik, bingung? so.. jadi misalnya begini, Seseorang bernama 'M' mengirimkan pesan ke seseorang bernama 'N', ia menggunakan kunci publik 'N' dan kemudian 'N' melakukan dekripsi dengan menggunakan kunci privat 'N'.
Kontrol Terhadap Bencana
Zwass (1998) meberikan beberapa cara atau tips pemulihan (recovery) dalam 4 komponen.
1. Rencana darurat (Emergency Plan)
2. Rencana Cadangan (Backup Plan)
3. Rencana Pemulihan (Recovery Plan)
4. Rencana Pengujian (Test Plan)
Kontrol Terhadap Perlindungan Terakhir
1. Asuransi
Kontrol Aplikasi
1. Kontrol Masukan
2. Kontrol Pemrosesan
3. Kontrol Keluaran
4. Kontrol Basis Data
5. Kontrol Telekomunikasi
Kesimpulan
Jadi Guys.. untuk kesimpulan dari pembelajaran diatas ialah, bagaimana cara kita untuk selalu bersiap siaga akan datangnya segala tindakan yang tidak kita inginkan serta mencegahnya. Dalam keamanan sistem informasi tidak dilihat hanya dari kacamata timbulnya seperti serangan virus, mallware, spyware dll. akan tetapi dilihat dari berbagai aspek yang sudah kita baca bersama diatas dan dalam sistem itu sendiri.
blognya keren..
BalasHapusMy blog
bang share link materi 2 nya juga donk
BalasHapus