Keamanan Sistem Informasi : Sebuah Tinjauan.
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer.
Siklus Hidup Sistem Kemanan Informasi
Fase Siklus Hidup Tujuan
Analisis Sistem Analisis krentanan sistem dalam arti ancaman yang relevan dan ekposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontigensi untuk mengendalikan ekposur kerugian yang teridentifikasi.
Implementasi Sisem Menerapkan ukuran keamanan seperti yang telah di desain.
Operasi,evaluasi dan pengendalian sistem Mengoperasikan sistem dan mekaniser efektivitas dan efesiensi. Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada.
Sistem Keamanan Informasi Dalam Organisasi
Fase Siklus Hidup Laporan kepada Dewan Direksi
Analisis Sistem Sebuah ringkasan terkait dengan semua ekposur kerugian yang relevan.
Desain sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem kemanan secara lengkap.
Implementasi sistem, operasi,evaluasi,dan pengendalian sistem. Mengungkapkan secara spesifik kinerja sistm kemanan,termasuk kerugian dan pelanggaran kemanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem kemanan.
Menganaliis Kerentanan dan Ancaman
Pendekatan kuantitatif untuk meaksir resiko menghitung setiap ekposur kerugian sebagai hasil kali baiaya kerugian setiap item ekposur dengan kemungkinan terjadinya ekposur tersebut.Manfaat terbesar dari analisis semacam ini adalah ia dapat mnunjukkan bahwa ancaman yang paling mungkin terjadi bukanlah ncaman dengan ekposur kerugian terbesar. Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir ekposur kerugian.
Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya ekposur tersebut merupakan hal yang sulit.Yang kedua, mengestimasi kemugnkinan terjadinya suatu kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Pdenyerang yang sangat suka resiko mungkin akan bersedia menerima risiko sangat besar untuk mendapatkan sedikit upah.
Metode kedua yang dapa digunakan untuk menaksir resiko kemanan komputer adalah pendekatan kulitatif. Bai pendekatan kulitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan mengkombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis ekpusur kerugian tersebut harus mencakup are berikut ini :
• Interupsi bisnis
• Kerugaian perangkat lunak
• Kerugian data
• Kerugian Perangkat keras
• Kerugian fasilitas
• Kerugian jasa dan personel
Kerentanan dan Ancaman
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman, yaitu : ancaman aktif dan ancaman pasif.
Tingkat Keseriusan Kecurangan Sistem Informasi
Masalh kejahatan kerah putih merupakan masalah yang serius. Hal ini terjadi karena di sebgian esar kasus, kecurangan yang terdeteksi jatang diajukan ke meja hijau karena bisa membuat publik mengetahui kelemahan pengendalian internal perusahaan manajer enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
National Commision on Fradulant Reprting (Treaday Commision) mengaitkan kecurangan manajemen dengan kejahtan komputer. Kecurangan manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu investor dan kreditur melalui pelaporan keuangan yang menyesatkan. Memang bisa manajemen melakukan kesalahan lain yang memliki potensi untuk merugikan karyaan atau investir, namun biasanya istilah kecurangan manajemen mengacu pada manipulasi laporan keuangan.
Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi.
Tiga kelompok individu- personel sistem, pegguna, dan penyusup- memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut diatas. Personel sistem, kerap kali merupakan ancaman potensial karena mereka diberi berbagai keengan akses terhadap data dan program yang sensitif. Pengguna, disisi lain, hanya diberi akses terbatas (sempit) tetapi mereka masih memiliki cara untuk melakukankecurangan. Penyusup, tdak diberi akses sama sekali, tetapi mereka serign merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada perusahaan.
Personel Sistem Komputer
Personel Pemeliharaan Sistem
Personel pemeliharaan sistem menginstal perangkat keras dan perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak. Dalam banyak kasus, individu-individu ini harus memiliki akses keamanan level tinggi utnuk dapat menyelesaikan pekerjaan mereka.
Programmer
Programer sistem sering menulis program utnuk memodifikasi dan memperluas sistem operasi jaringan. Individu-individu semacam ini biasanya diberi account dengan kewenangan akses universal ke semua file perusahaan.
Operator
Jaringan individu aygn mengamati dan memonitor operasi komputer dan jaringan komunikasi disebut operator jaringan.
Personel Administrasi Sistem Informasi
Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya.Administrasi account memiliki kemampuan utnuk menciptakan accoutn fiktif atau utnuk memberi password pada accoutn yang sama.
Karyawan Pengendali Data
Mereka yang bertanggung jawab terhadap penginputan datake dalam komputer disebut karyaan pengendali data.
Pengguna
Banyak pengguna memiliki akses data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal merupakan penyusup (intruder). Penyusup yang menyerang sistem informasi sebgai sebuah kesenangan dan tantangan dikenal dengan nama hacker.
Unnoticed Intruder
Sorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat datayang sensitif di dalam komputer personal yang sedang tidak ada orangnya.
Wiretapper
Jaringan ini rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder dan sepotong kabel) ayng memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
Piggybacker
Salah satu jenis penyadapan yang paling canggih piggybacking.
Impersonating
Intruder impersonating adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan seragam karyaan atau servis.
Eavesdroppers CRT (cathode-ray-tubes)
Standar yang banyak digunakan di unit display video menghasilkan interferensi elektromagnetik pada satu frekuensi ayng dapat ditangkap dengan seperangkat televisi sederhana.
Ancaman Aktif pada Sistem Informasi
Berikut ini akan didiskusikan enam metode yagn dapat digunakan utnuk melakukan kecurangan sistem informasi.
Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahan mengenai cara operasi sistem komputer.
Mengubah Program
menugbah program mngkn merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya pengguaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oelh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan utnuk mendeteksi adanya perubahan dalam program.
Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang mengakses program dengan mengabaikan jalur keamanan program tersebut.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara utnuk memotong (bypass) proses normal untuk mengiputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang di tuai.
Pencurian Data
Pencurian data penting merupakan salah satu masalah yang cukup dalam dunia bisnis hari ini. Dalam industri dengan tingkat persaingan merupakan salah satu informasi yang cukup diburu.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutn suatu perushaan. Karyaan tidak puas, khususnya yang teah dipecat, biasanya merupakan pelaku sabotase utama. Koda troya merupakan sebuah program yang destruktif yang berkamuflase seolah-olah ia merupakan program yang legal. Worm merupakan satu jensi virus yang menyebarkan dirinya melalui jaringan kmputer. Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat, termasuk bom logika, kuda troya dan worm. Bentuk sabotase yang lain adalah serangan denial-of-service.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang menggunakan sumber daya kmputer organisasi untuk kepentingan pribadi.
Sistem Keamanan Sistem Informasi
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran kemanan dan perencanaan kontigensi. Ukuran keamanan fokus pada pendeteksian ancaman. Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak dapat dicegah tanpa pengembangan suatu sistem yang sangat aman.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Filosofi Manajemen dan Gaya Operasi
Aktivitas pertamana dan terpenting dalam keamanan sistem adalah menciptakan moral yang itngi dalam suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan.Tujuan pendidikan keamanan adalah agar satiap karyawan memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu dimonoitor.
Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi dibawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi pencatatan akuntasi tradisional. Tetapi juga berbagai fungsi komputasi.
Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus berkonsultasi secara berkala dengan auditor ekternal dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamanan komputer.
Metode Pembagian Otoritas dan Tanggung Jawab
Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait denan penggunaan dan pertanggungjawaban semua sumber daya sistem komputer dan informasi. Pengendalian anggran penting dalam lingkungan komputer karena ada kecenderungan dibanyak perusahaan untuk emngeluarkan biaya terlalu banyak dalam teknologi infomasi.
Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memnuhi kebutuhan yang terus berubah.Kebijakan dan prosedur keamanan harus diuji kesesuaianya dan keefektifannya. Sistem semestinya “ditantang” secara berkala dengan transaksi dipotesis.
Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotai pekerjaan, vakasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang penting. Semestinya juga jika memungkinkan, ada pemisahan tugas terkait dengan akses ke file-file akuntansi yang penting. Rotasi pekerjaan dan vakasi wajib harus diterapkan ke semua personel sistem yang memiliki akses ke file yang sensitive. Praktik personalia terkait dengan perekrutan dan pemecatan karyawan juga merupakan hal yang penting. Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati0hati karena karyawan yang di-PHK sebagai pelaku utama dalam kasus sebotase.
Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi lokal, dan negara bagian. Penting juga untuk mengimplementasikan kebijakan internal yang terdokumtasi dengan baik untuk mencegah pembajakan perangkat lunak.Pembajakan perangkat lunak adalah penggandaan dan pendistrubusian ilegal hak cipta perangkat lunak.
Pengendalian Ancaman Aktif
Cara utama mencegah ancaman aktif terkait dengan kucuranang dan sabotase adalah engan menerapkan tahap-tahap pengendalian akses. Filosofi di balik pendekatan berlapis untuk pengendalian akses melobatkan pembangunana banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran potensial mereka.Tiga tahap yang dapat digunakkan adalah pengendalian akses lokasi, pengendalian akses sistem, dana pengendalian akses file. Langkah pertama membangun pengendalian akses adalah mengelompokkan semua data dan peralatan sesuai dengan tingkat kepentingan kerentanan data dan pertalatan tersebut.
Pengendalian Akses Lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Pemisahan secara fisik harus diterapkan khususnya untuk menjaga perangkat keras area penginputan data, perpustakan data, dan jaringan komunikasi.
Pengendalian Akses Sistem
Pengendalian akses sistem merupakan suatuu pengendalian dalam bantuk perangkat lunak yang didesain utnuk mencegah penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian akses sistem adalah untuk mengecek keabsahan pengguna dengan menggunakan sarana sperti ID pengguna, password, alamat internet protocol (IP) dan perangkat keras.
Pengendalain Akses File
Lapis terkahir dari pengendalian akses diterapkan pada level file. Pengendalian akses file mencegah akses ilegal ke data dan file program. Pengendalian akses file yang paling fundamental adalah pemmbuatan ptunjuk dan prosedur legal untuk emngakses dan mengubah file.
Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ancaman semacam ini dapat berupa pengendalian previntif maupun korektif.
Sistem Toleransi Kesalahan
Sebagian besar metode yang digunakan utnuk menangani kegagaln komponen sistem adalah pengawasan dan redundancy. Jika slah satu sistem gagal, bagian yang redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini disebut sistem toleransi kesalahan. Toleransi kesalahan dapat diterpakan dapa lima level: pada jaringan komunikasi, pada prosessor CPU, pada DASD, pada jaringan listrik, dan pada transaksi individual.
Memperbaiki kesalahan : Backup File
Ada tiga jenis backup: backup penuh, backup incremental, backup diferensial. Backup penih membuat backup semua file yang ada dalam suatu disk.
Keamanan Internet.
Kerentanan terkait dengan finternet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Sistem operasi atatu konfigurasi sistem operasi
2. Web-server atau konfigurasi web server
3. Jaringan privat atau konfigurasi jaringan privat
4. Berbagai program server
5. Prosedur keamanan secara umum.
Setiap jenis kerentanan ini akan didiskusikan pada bagian berikut.
Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan dalam keamanan sistem operasi juga menjadi keamanan web server. Masalahnya tidak ada sistem operasi yang bebas dari serangan hacker. Hacker selalu menemukan kelemahan baru didalam sistem operasi.Bahkan, sistem operasi yang baru saja diperbaiki bisa gagal jika tidak dikonfigurasi dengan semestinya.
Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan informasi dan pembaharuan perihal konfigurasi web server. Keamanan web server dapat menurun tajam akibat kesalahan konfigurasi. Salah satu konfigurasi yang paling umum adalah area konfigurasi pemberian akses direktori dan file terkait dengan program yang dapat dieksekusi. Oleh karena itu, hak menulis dan hak eksekusi tidak boleh diberikan pada satu direktori yang sama. Salah satu cara yang digunakan oleh hacker untuk menyerang komputer melalui komputer yang lain adalah dengan mengirim surat elektronik yang disertai program kuda troya (dalam bentuk attachment) ke komputer perantara tersebut.
Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga server-server yang lain, saperti FTP server(untuk mentransfer file dari dan ke komputer lain), e-mail server dan remote control server (yang memungkinkan komputer yang loasinya jauh mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan server merupakan satu tambahan risiko. Ada kalanya FTP server lebih tidak aman dibandingkan web server. Secara umum, hampir semua program server memiliki kemampuan built in utnuk memberi hak akses kepada pengguna-pengguna di lokasi yang berbeda.
Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang terpenting. Mengamankan file log merupakan isu yang penting karena hacker sering berusaha “ menutupi jejak lacak mereka” dengan mengubah file log. Salah satu cara yang dapat digunakan untuk mengamanankan file log adalah dengan menuliskan log ke komputer. Terakhir mengenai firewall, firewall biasanya dignakan untuk membaasi akses masuk ke suatu jaringan komputer. Firewall juga dapat digunakan untuk menahan atau membatasi akses ke luar oleh program tertentu atau server tertentu.
Pengelolaan Risiko Bencana
Bencana bisa saja terjadi. Hancurnya WTC di kota new york merupakan salah satu contoh dari bencana yang tidak diharapkan yang secara serius telah mengiterupsi jalannya aktivitas bisnis.
Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal risko akibat suatu bencana. Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakkan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting.
Perencanaan Kontigensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertingi di dalam perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen senior dan penetapan komite perancanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut.
Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya yang penting haru teridentifikasi. Sumber daya yang pentin gini mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya manusia.
Daftar Prioritas Pemulihan Dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun perusahaan memiliki perencanaan yang baik.
Strategi dan Prosedur Pemulihan
Pusat Respons Darurat pada saat bencana terjadi, semua wewenang pengolahan data dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi daruraut individu-individu ini memimpin jalannya perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang memang ditetapan sebelummya. Prosedur Eskalasi. Prosedur menyatakan kondisi sperti apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya bencana.
