Anda di halaman 1dari 4

MODUL 10

SISTEM INFORMASI MANAJEMEN1

Keamanan Sistem

Pendahuluan

Berdasarkan survey Information Week (USA) : Dari 1271 manajer sistem atau network,
hanya 22 % yang menganggap keamanan sistem informasi sebagai komponen penting.
Dengan demikian kesadaran akan masalah kemanan masih rendah. Bagaimana untuk
membujuk manajemen guna melakukan investasi dibidang keamanan sistem informasi ?
Hal tersebut membutuhkan justifikasi yang memadai sehingga manajemen memandang
perlunya investment infrastruktur keamanan. Selama ini, manajemen memandang hal
tersebut sebagai cost, bukan sebagai investasi perusahaan.

Berdasarkan beberapa pengaduan yang ada selama ini, diperoleh keadaan statistik
mengenai munculnya kejadian yang terkait dengan keamanan sistem informasi. Angka
pasti sulit ditampilkan karena kendala bisnis. Negative publicity. Kejahatan komputer
yang terdeteksi kurang dari 15 %, dan hanya 10 % dari angka tersebut yang dilaporkan.
(FBI National Computer Crime Squad, 1996)

Keamanan system mengacu pada perlidungan terhadap semua sumber daya informasi
perusahaan dari ancaman oleh pihak pihak yang tidak berwenang. Perusahaan
menerapkan suatu program keamanan system yang efektif dengan pertama-tama
mengindentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan
perlindungan yang diperlukan.

Tujuan keamanan

Keamanan system dimaksudkan untuk mencapai tiga tujuan utama, yaitu :


• Kerahasiaan
Perusahaan berusaha untuk melindungi data dan informasi dari orang yang
tidak berhak.
• Ketersediaan
Tersedianya data dan informasi bagi mereka yang berwenang untuk
menggunakannya
• Integritas
Semua subsistem harus menyediakan gambaran akurat dari system fisik yang
diwakilinya

Kejahatan Komputer

Pada awalnya istilah kejahatan maya (cyber crime) = kejahatan komputer (computer
crime). Kejahatan Komputer dirumuskan sebagai perbuatan melawan hukum yang
dilakukan dengan memakai komputer sebagai sarana/alat atau komputer sebagai objek,
baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

Beberapa Kejahatan Komputer :


a. Unauthorized Access to Computer Sistem and Service
Kejahatan yang dilakukan dengan memasuki/ menyusup ke dalam suatu sistem
jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari
pemilik sistem jaringan komputer yang dimasukinya.

Sistem Informasi Manajemen1 / Modul ke-10 Hal.1


b. Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke internet
tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar
hukum atau mengganggu ketertiban umum.
c. Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting
yang tersimpan sebagai scriptless document melalui internet.

d. Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan
kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan
komputer (computer network sistem) pihak sasaran.
e. Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau
penghancuran terhadap suatu data, program komputer atau sistem jaringan
komputer yang terhubung dengan internet.
f. Offense Against Intellectual Property
Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak
lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu
situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang
ternyata merupakan rahasia dagang orang lain dan sebagainya.
g. Infringements of Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang
sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan
seseorang pada formulir data pribadi yang tersimpan secara computerized, yang
apabila diketahui oleh orang lain akan dapat merugikan korban secara materil
maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau
penyakit tersembunyi dan sebagainya.

Klasifikasi Keamanan
Sistem Informasi

Menurut David Icove :


• Keamanan yang bersifat fisik (physical security);
• Keamanan yang berhubungan dengan orang (personel security);
• Keamanan dari data dan media serta teknik komunikasi;
• Keamanan dalam operasi.

Berdasarkan Fungsinya :

a. Network security; Fokus pada saluran pembawa informasi;


b. Application security; Fokus pada aplikasinya sendiri;
c. Computer security; Fokus kepada keamanan dari komputer (end sistem)

Pengendalian Akses

Pengendalian Akses dicapai melalui suatu proses tiga langkah yang mencakup
identifikasi pemakai, pembuktian keaslian pemakai, dan otorisasi pemakai.
1. Identifikasi pemakai ( user identification )
2. Pembuktian keaslian pemakai ( user authentification )
3. Otorisasi Pemakai ( user authorization )

Sistem Informasi Manajemen1 / Modul ke-10 Hal.2


Pelayanan dari Keamanan Sistem

a. Privacy / confidentiality;
Proteksi data [pribadi] yang senstif:
Nama, ttl, agama, hobby, penyakit yang pernah diderita, status perkawinan.
Data pelanggan;
Sangat sensitif dalam e-commerce, dan healthcare.
Serangan : sniffer.
b. Integrity;
Informasi tidak berubah tanpa izin (tampered, altered, modified)
Serangan : spoof, virus, trojan horse.

c. Authentication;
Menyakinkan keaslian data, sumber data, orang yang mengakses data, server
yang digunakan. Dfasilitasi dengan penggunaan digital signature, biometrics;
Serangan : password palsu.
d. Availability;
Informasi harus dapat tersedia ketika dibutuhkan.
Serangan : Denial of service (DoS) attack, dalam bentuk antara lain Server dibuat
hang, down, atau crash.
e. Non-repudiation;
Tidak dapat menyangkal (telah melakukan transaksi) :
- Menggunakan digital signature
- Perlu pengaturan masalaha hukum

f. Access control.
Mekanisme untuk mengatur siapa boleh melakukan apa :
- Biasanya menggunakan password
- Adanya kelas / klasifikasi

Dasar-dasar Keamanan Sistem Informasi

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar
aman. Crypto berarti secret (rahasia) dan graphy berarti tulisan (writing). Sebuah
algoritma kriptografik disebut cipher, merupakan persamaan matematik yang digunakan
untuk proses enkripti dan dekripsi.
Enkripsi (encryption) adalah : Proses untuk mengamankan sebuah pesan
(plaintext) menjadi pesan yang tersembunyi (chipertext); disebut pula enchiper. Proses
untuk mengubah chipertext menjadi plaintext disebut Dekripsi (decryption) atau
dechiper. Cryptanalysist adalah seni dan ilmu untuk memecahkan ciphertext tanpa
bantuan kunci. Cryptology : gabungan dari chryptography dan cryptanalysis

Penguji Keamanan Sistem

Administrator dari sistem informasi membutuhkan automated tools yang membantu


menguji atau mengevaluasi keamanan sistemnya.
Misalkan :
a.
Crack,
Untuk menduga atau memecahkan password dengan menggunakan
sebuah/beberapa kamus secara brute force cracking (mengenkripsi sebuah kata dari

Sistem Informasi Manajemen1 / Modul ke-10 Hal.3


kamus, bandingkan hasil enkripsi dengan password yang ingin dipecahkan, terus
menerus sampai terpecahkan). Juga memiliki program heuristic.
b. Land & latierra,
Program yang dapat membuat sistem windows 95/NT menjadi macet (hang, lock
up), dengan mengirimkan sebuah paket yang sudah di-spoofed sehingga seolah-olah
berasal dari mesin yang sama.
c. Ping-o-death
Sebuah program (ping) yang dapat meng-crash-kan windows 95/NT dan
beberapa versi UNIX
d. Winuke,
Program untuk memacetkan sistem berbasis windows

Sistem Pemantau Jaringan

Network monitoring digunakan untuk mengetahui adanya lubang keamanan, antara lain :
mampu mendeteksi orang yang tidak berhak mengakses server dalam sistem internal,
dan lokasi akses dari tempat lain serta usaha-usaha untuk melumpuhkan sistem dengan
mengirimkan paket yang jumlahnya berlebihan (denial of service attack - DoS). NM
biasanya menggunakan protokol SNMP (simple network monitoring protocol).

Contoh program NM antara lain :


• Etherboy (windows), Etherman (unix)
• HP Openview (windows)
• Packetboy (windows), Packetman (unix)
• SNMP Collector (windows)
• Webboy (windows)
• Iptraf
• Netwatch
• Ntop (memantau proses di sistem unix)
• Trafshow (menunjukkan traffic antar host dalam bentuk text-mode.

Sistem Informasi Manajemen1 / Modul ke-10 Hal.4