BAB II
PEMBAHASAN
A.
KEBUTUHAN
ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia
masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh
sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari
ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya
memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang
viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes.
Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan
keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan
kerusakan atau penghancuran serta menyediakan organisasi dengnan kemampuan
untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
Pendekatan-pendekatan
yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan
federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana
versus hak-hak individu dan keamaan versus ketersediaan.
B.
KEAMANAN
INFORMASI
Saat
pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada
perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah
keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan
komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan
pihak-pihak yang tidak berwenang.
Tujuan
Keamanan Informasi
Keamanan informasi ditujuakn untuk mencapai tiga
tujuan utama yakni:
a.
Kerahasiaan. Perusahaan berusaha
untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak
berwenang.
b.
Ketersediaan. Tujuan dari
infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi
pihak-pihak yang memiliki wewenang untuk menggunakannya.
c.
Integritas. Semua sistem informasi
harus memberikan representasi akurat atas sistem fisik yang
direpresentasikannya.
C.
MANAJEMEN
KEAMANAN INFORMASI
Pada bentuknya yang paling dasar,
manajemen keamanan informasi terdiri atas empat tahap yakni:
a. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
b. Mendefenisikan
risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c. Menentukan kebijakan
keamanan informasi
d. Mengimplementasikan
pengendalian untuk mengatasi risiko-risiko tersebut.
Istilah
manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini
dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan
risiko yang dihadapinya.
Tolak
ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang
disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini
ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan
komponen-komponen program keamanan informais yang baik menurut otoritas
tersebut.
Ketika
perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur
(benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri
telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman
serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
B.
ANCAMAN
Ancaman
Keamanan Informasi (Information Security Threat) merupakan orang, organisasi,
mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta
eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman internal bukan hanya mencakup karyawan
perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra
bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman
eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki
produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang
dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang
disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas
program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu
system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system.
Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut
berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a.
Virus. Adalah program komputer yang
dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program-program dan boot sector lain
b.
Worm. Program yang tidak dapat
mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan
salinannya melalui e-mail
c.
Trojan Horse. Program yang tidak
dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan
sebagai perangkat
d.
Adware. Program yang memunculkan
pesan-pesan iklan yang mengganggu
e.
Spyware. Program yang mengumpulkan
data dari mesin pengguna
C.
RISIKO
Risiko Keamanan Informasi (Information Security Risk)
didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran
keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili
tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi
empat jenis yaitu:
a.
Pengungkapan Informsi yang tidak
terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti
lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya
adalah hilangnya informasi atau uang.
b.
Penggunaan yang tidak terotorisasi.
Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya
tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c.
Penghancuran yang tidak terotorisasi
dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan
tersebut tidak berfungsi.
d.
Modifikasi yang terotorisasi.
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan
yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output
sistem tersebut mengambil keputusan yang salah.
D.
MANAJEMEN
RISIKO (MANAGEMENT RISK) DAN KEBIJAKAN
KEAMANAN INFORMASI
Manajemen Risiko merupakan satu dari dua strategi
untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara
mengendalikan atau menghilangkan risiko atau mengurangi dampaknya.
Pendefenisian risiko terdiri atas empat langkah :
1.
Identifikasi aset-aset bisnis yang
harus dilindungi dari risiko
2.
Menyadari risikonya
3.
Menentukan tingkatan dampak pada
perusahaan jika risiko benar-benar terjadi
4.
Menganalisis kelemahan perusahaan
tersebut
Tabel Tingkat Dampak dan Kelemahan
Dampak Parah
|
Dampak Signifikan
|
Dampak Minor
|
|
Kelemahan Tingkat Tinggi
|
Melaksanakan analisis kelemahan. Harus meningkatkan
pengendalian
|
Melaksanakan analisis kelemahan. Harus meningkatkan
pengendalian
|
Analisis kelemahan tidak dibutuhkan
|
Kelemahan Tingkat Menengah
|
Melaksanakan analisis kelemahan. Sebaiknya
meningkatkan pengendalian.
|
Melaksanakan analisis kelemahan. Sebaiknya
meningkatkan pengendalian.
|
Analisis kelemahan tidak dibutuhkan
|
Kelemahan Tingkat Rendah
|
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
|
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
|
Analisis kelemahan tidak dibutuhkan
|
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
1.
dampak yang parah (severe impact)
yang membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan
tersebut untuk berfungsi
2.
dampak signifikan (significant
impact) yang menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan
tersebut tetap selamat
3.
dampak minor (minor impact) yang
menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari-hari.
Setelah analisis risiko
diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis
risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai
tiap-tiap risiko:
1.
diskripsi risiko
2.
sumber risiko
3.
tingginya tingkat risiko
4.
pengendalian yang diterapkan pada
risiko tersebut
5.
para pemilik risiko tersebut
6.
tindakan yang direkomendasikan untuk
mengatasi risiko
7.
jangka waktu yang direkomendasikan
untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut,
laporan harus diselesaikan dengan cara menambahkan bagian akhir :
8.
apa yang telah dilaksanakan untuk
mengatasi risiko tersebut
Suatu kebijakan keamanan harus diterapkan untuk
mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan
pendekatan yang bertahap, diantaranya:
a.
Fase 1, Inisiasi Proyek. Membentuk
sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
b.
Fase 2, Penyusunan Kebijakan.
Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
c.
Fase 3, Konsultasi dan persetujuan.
Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai
persyaratan kebijakan.
d.
Fase 4, Kesadaran dan edukasi.
Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit
organisasi.
e.
Fase 5, Penyebarluasan Kebijakan.
Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan
tersebut dapat diterapkan.
Kebijakan Keamanan yang Terpisah
dikembangkan untuk
a.
Keamanan Sistem Informasi
b.
Pengendalian Akses Sistem
c.
Keamanan Personel
d.
Keamanan Lingkungan Fisik
e.
Keamanan Komunikasi data
f.
Klasifikasi Informasi
g.
Perencanaan Kelangsungan Usaha
h.
Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan,
biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi.
Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
E.
PENGENDALIAN
Pengendalian (control) adalah mekanisme yang
diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan
dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.
Engendalian dibagi menjadi tiga kategori, yaitu :
1.
Pengendalian Teknis
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam
system dan dibuat oleh para penyusun system selam masa siklus penyusunan
system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal
didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar
pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
a.
Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan
oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya
sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses
terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap
yang mencakup:
·
Identifikasi
pengguna. Para pengguna pertama-tama mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon
atau titik masuk jaringan.
·
Autentifikasi
pengguna. Setelah identifkasi awal telah dilakukan, para
pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan
dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda
tangan atau suara atau pola suara.
·
Otorisasi
pengguna. Setelah pemeriksaan identifikasi dan autentifikasi
dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat
atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat
mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat
saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
b.
System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik
adalah peranti lunak proteksi virus (virus protection software) yang
telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus
dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti
lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum
memiliki kesempatan untuk membahayakan. Peralatan
prediksi ancaman dari dalam (insider
threat prediction tool) telah disusun sedemikian rupa sehingga dapat
mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan,
akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti
keras, jenis aplikasi yang digunakan,
file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil
pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat
mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan,
mencurigakan, dan tidak berbahaya.
c.
Firewall
Sumber daya komputer selalu berada dalam resiko jika
terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik
memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang
berisikan data sensitive dan system informasi. Cara lain adalah menyediakan
kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal
dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung
atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi
aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman
untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah
untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak
antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang
memberikan peranti lunak firewall
tanpa biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
·
Firewall
Penyaring Paket. Router adalah
alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, maka router dapat berlaku sebagai firewall. Router
dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan
penyaringan. Untuk masing-masing transmisi, router
mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari
beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat
angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi
masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker
dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang
digunakan untuk pembajak untuk menipu router.
·
Firewall
Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara Internet dan
jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit)
daripada router. Pendekatan ini
memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih
tinggi dibandingkan router. Namun,
keterbatasan dari titik tunggal keamanan tetap berlaku.
·
Firewall
Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan
penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan
diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi
(tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket),
aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti
menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan
memeriksa apakah permintaan tersebut berlangsung
selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall
ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah
seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing
aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus,
dimodifikasi.
d.
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi,
yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan
kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses
enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti
apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan
untuk meningkatkan keamanan e-commerce
telah dirancang. Salah satunya adalah SET (Secure
Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan
tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang
dapat berpartisispasi dalam transaksi e-commerce
– pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya
digunakan menggantikan nomor kartu kredit.
e.
Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak
terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir,
dan badai.
f.
Meletakkan Pengendalian Teknis Pada
Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis
ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan
untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik
untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan
kombinasi yang dianggap menawarkan pengaman yang paling realisitis.
2.
Pengendalian Formal
Pengendalian formal mencakup penentuan cara
berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan
serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian
ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat
berlaku dalam jangka panjang.
3.
Pengendalian Informal
Pengendalian informal mencakup program-program
pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini
ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
BAB III
PENUTUP
Dalam
dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman
dari ancaman baik dari dalam atau dari luar. Istilah keamanan sistem digunakan
untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer,
fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang. Aktivitas untuk menjaga agar sumber daya informasi tetap aman
disebut manajemen keamanan informasi (information security management – ISM ),
sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya
tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis
(bussiness continuity management – BCM). Istilah manajemen risiko (risk
management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan
sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Ancaman
Keamanan Informasi (Information Security Threat) merupakan orang, organisasi,
mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta
eksternal dan bersifat disengaja dan tidak disengaja.
Risiko Keamanan Informasi
(Information Security Risk) didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. E-Commerce
memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah
perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari
pemalsuan kartu kredit. Pengendalian
(control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan
dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika
resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
teknis, formal dan informal.
DAFTAR
PUSTAKA
Reymond, MC Leod.
2009. Sistem Informasi Manajemen. Salemba Empat
http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-keamanan.html
http://www.academia.edu/9760290/keamanan_sistem_informasi
http://kumpulanmakalahsim.blogspot.co.id/2014/05/keamanan-informasi.html
Tidak ada komentar:
Posting Komentar