TUGAS MAKALAH KELOMPOK 1

INSPECTION DAN PROTECTION

Tugas ini ditunjukan untuk memenuhi Tugas Kelompok Mata Kuliah IT Security
Dosen Pengampu: Nurbojatmiko M.Kom

Disusun Oleh :

Isna Wirahmadayanti 11150930000016

Nadia Setinanda Pratami 11160930000006
Muhammad Evirustandi 11160930000011
Pandu Mahesa 11160930000017
Wahyu Wiryana 11160930000022
Frisky Fatiharshana Moraza 11160930000027

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019
 KATA PENGANTAR

Puji syukur kehadirat Allah SWT. atas rahmat dan karunia-Nya penulis dapat
menyelesaikan tugas pembuatan makalah ini tepat pada waktunya. Shalawat serta salam
tidak lupa selalu tercurahkan kepada junjungan Nabi Muhammad SAW.

Penulis menyusun makalah dengan judul “Inspection & Protection” atas dasar
memenuhi tugas kelompok mata kuliah IT Security yang dibimbing oleh dosen kami yaitu
Bapak Nurbojatmiko M.Kom. Kami berterima kasih atas waktu dan ilmu yang telah Bapak
berikan kepada kami.

Penulis sangat memahami keterbatasan dalam pengetahuan kami, oleh karena itu
penulis memohon maaf apabila terjadi kesalahan penulisan maupun kesalahpahaman dalam
makalah ini. Kritik dan saran yang membangun akan sangat kami hargai. Atas perhatiannya
kami ucapkan terima kasih.

Ciputat, 18 Maret 2019

Penulis
Daftar Isi
BAB I ...................................................................................................................................................... 4
PENDAHULUAN ................................................................................................................................. 4
1.1 Latar Belakang ...................................................................................................................... 4
1.2 Rumusan Masalah ................................................................................................................ 4
1.3 Tujuan Masalah .................................................................................................................... 4
1.4 Manfaat Penulisan ................................................................................................................ 5
1.5 Sistematika Penulisan ........................................................................................................... 5
BAB II .................................................................................................................................................... 6
PEMBAHASAN .................................................................................................................................... 6
2.1 Inspection ............................................................................................................................... 6
2.1.1 Resource Inventory ......................................................................................................... 6
2.1.2 Threat Assessment .......................................................................................................... 6
2.1.3 Identifying Vulnerabilities .............................................................................................. 8
2.1.4 Assigning Safeguards...................................................................................................... 8
2.2 Protection ............................................................................................................................... 9
2.2.1 Awareness ....................................................................................................................... 9
2.2.2 Access ........................................................................................................................... 10
2.2.3 Identification ................................................................................................................. 12
2.2.4 Authentication ............................................................................................................... 13
2.2.5 Authorization ................................................................................................................ 15
2.2.6 Availability ................................................................................................................... 16
2.2.7 Accuracy ....................................................................................................................... 17
2.2.8 Confidentiality .............................................................................................................. 18
2.2.9 Accountability ............................................................................................................... 20
2.2.10 Administration .............................................................................................................. 20
BAB III................................................................................................................................................. 21
PENUTUP............................................................................................................................................ 21
3.1 Kesimpulan .......................................................................................................................... 21
3.2 Saran .................................................................................................................................... 21
DAFTAR PUSTAKA ...................................................................................................................... 22
 BAB I

PENDAHULUAN
1.1 Latar Belakang
Teknologi Informasi sudah berkembang sangat pesat pada era sekarang. Dengan
pengembangan sistem yang semakin kompleks maka diperlukan keamanan sistem
informasi agar perlindungan informasi dan elemen elemennya termasuk system dan
perangkat kerasnya dapat terjaga dengan baik. Beberapa jenis ancaman yang dapat
mengganggu tujuan dari information security ini adalah kesalahan manusia, pelanggaran
yang disengaja seperti mengakses data seseorang dengan cara yang tidak sah, sabotase atau
vandalism, dan ancaman lainnya. Maka dari itu penting bagi pengembang untuk
mengetahui cara-cara untuk membangun IT Security pada suatu sistem.
1.2 Rumusan Masalah
1. Apa yang dimaksud dengan Inspection?
2. Apa yang dimaksud dengan Resource Inventory?
3. Apa yang dimaksud dengan Threat Assessment?
4. Apa yang dimaksud dengan Identifying Vulnerabilities?
5. Apa yang dimaksud dengan Assigning Safeguards?
6. Apa yang dimaksud dengan Protection?
7. Apa yang dimaksud dengan Awareness?
8. Apa yang dimaksud dengan Access?
9. Apa yang dimaksud dengan Identification?
10. Apa yang dimaksud dengan Authentication?
11. Apa yang dimaksud dengan Authorization?
12. Apa yang dimaksud dengan Availability?
13. Apa yang dimaksud dengan Accuracy?
14. Apa yang dimaksud dengan Confidentiality?
15. Apa yang dimaksud dengan Accountability?
16. Apa yang dimaksud dengan Administration?

1.3 Tujuan Masalah

1. Untuk mengetahui pengertian Inspection.
2. Untuk mengetahui pengertian Resource Inventory.
3. Untuk mengetahui pengertian Threat Assessment.
4. Untuk mengetahui pengertian Identifying Vulnerabilities.
 5. Untuk mengetahui pengertian Assigning Safeguards.
6. Untuk mengetahui pengertian Protection.
7. Untuk mengetahui pengertian Awareness.
8. Untuk mengetahui pengertian Access.
9. Untuk mengetahui pengertian Identification.
10. Untuk mengetahui pengertian Authentication.
11. Untuk mengetahui pengertian Authorization.
12. Untuk mengetahui pengertian Availability.
13. Untuk mengetahui pengertian Accuracy.
14. Untuk mengetahui pengertian Confidentiality.
15. Untuk mengetahui pengertian Accountability.
16. Untuk mengetahui pengertian Administration.

1.4 Manfaat Penulisan

Penulisan Makalah IT Security ini dibuat untuk menambah pemahaman kita mengenai
definisi dan konsep dari pembagian Inspection dan Protection.

1.5 Sistematika Penulisan

Sistematika penulisan ini adalah sebagai berikut :

BAB I: PENDAHULUAN

Dalam bab ini penulis menjelaskan tentang latar belakang dalam penulisan, serta
sistematika penulisan.

BAB II: PEMBAHASAN

Dalam bab ini penulis mengemukakan tentang konsep dasar pemahaman pendekatan utama
dari Inspection dan Protection.

BAB III: PENUTUP

Dalam bab ini penulis memberikan kesimpulan dan saran serta meminta suatu kritikan jika
ada suatu kesalahan dalam penulisan.
 BAB II

PEMBAHASAN
2.1 Inspection
2.1.1 Resource Inventory

Resource (sumber daya) adalah sesuatu yang memiliki nilai bagi organisasi, yang jika
hilang atau rusak akan menyebabkan kerugian bagi organisasi secara keseluruhan. Sumber
daya lebih dari sekadar asset, mereka termasuk karyawan, infrastruktur, hubungan dengan
pelanggan atau mitra, dan reputasi perusahaan (Lin, 2005).

Semua sumber daya memiliki persyaratan keamanan yang bervariasi tergantung pada
pentingnya sumber daya tertentu. Namun sebelum langkah-langkah kemanan yang tepat
diterapkan, sumber daya perusahaan harus diidentifikasi dan nilai serta biayanya bagi
perusahaan jika diungkapkan atau dihancurkan. Investigasi lengkap perusahaan harus
dilakukan untuk mengetahui apa yang perlu dilindungi perusahaan.

Identifikasi Sumber daya (identifying resource) langkah pertama adalah

mengidentifikasi sumber daya informasi organisasi. Ini akan menentukan ruang lingkup
evaluasi keamanan. Berbagai asset dan proses keamanan yang terkait dengan setiap sistem
individu harus diidentifikasi dan didefinisikan dengan jelas.

2.1.2 Threat Assessment

Ancaman ssuatu objek, orang atau entitas lain yang mewakili bahaya kosntan terhadap
suatu asset. Threat Assessment adalah pemeriksaan pada sesuatu yang berbahaya untuk menilai
potensinya kepada dampak organisasi.

The Computer Security Institute (CSI) Computer crime and security survey adalah studi
yang representative. Studi CSI 2009 menemukan bahwa 64% organisasi yang merespon survei
tersebut menderita infeksi malware, dengan hanya 14% yang mengindikasikan penetrasi sistem
oleh orang luar. Organisasi melaporkan kerugian sebesar $234.244 per responden, turun dari
tertinggi sepanjang masa lebih dari $3juta pada tahun 2001. Angka-angka tersebut merupakan
puncaknya (Whitman & Mathod, 2012).
 NO Kategori Ancaman Contoh
1 Kompromi terhadap Privacy, Copyright dll
kekayaan intelektual
2 Software attacks Virus, Penolakan layanan dll
3 Kesalahan atau kegagalan Kecelekaan dan kesalahan
manusia pegawai
4 Pemerasan Informasi Pemerasan (Blackmail),
Pengungkapan informasi
5 Sabotase atau vandalisme Penghancuran sistem atau
informasi
6 Kegagalan atau kesalahan Kegagalan peralatan
perangkat keras

Deliberate software attack (Serangan Perangkat lunak yang disengaja)

Serangan perangkat lunak yang disengaja terjadi ketika sesorang individu atau
kelompok merancang dan menyebarkan perangkat lunak untuk menyerang suatu sistem.
Sebagian besar perangkat lunak ini disebut sebagai malicious code atau malware(Conklin &
White, 2012).

Virus : virus computer terdiri dari segmen kode yang melakukan tindakan jahat dengan
menggunakan mesin replikasi sel sendiri untuk menyebarkan serangan diluar target awal.

Worms: dinamai cacing pita dalam novel John Brunner The Shockwave Rider, worm adalah
program jahat yang meriplikasi dirinya sendiri terus-menerus tanpa memerlukan lingkungan
program yang lain. Worms dapat terus mereplikasi diri mereka sendiri sampai mereka
memenuhi sumber daya yang tersedia, seperti memori, ruang hard drive dan bandwidth
jaringan.

Intruders (Penyusup) : Tindakan tanpa senagaja mengakses sistem computer dan jaringan
tanpa otoritas umumnya disebut sebagai peretasan, dengan individu yang melakukan kegiatan
ini disebut sebagai peretas. Istilah peretasan juga berlaku untuk tindakan melebihi otoritas
seseorang dalam suatu sistem.
 2.1.3 Identifying Vulnerabilities
Sebuah kerentanan didefinisikan sebagai “cacat dalam suatu sistem, aplikasi
atau layanan yang memungkinkan seorang penyerang untuk menghindari kontrol
keamanan dan memanipulasi sistem dengan cara pengembang tidak pernah
dimaksudkan” (Hu et al., 2016). penilaian kerentanan bertujuan untuk menguji sistem
komputer, jaringan, atau aplikasi untuk mengidentifikasi, mengukur, dan peringkat
kerentanan dalam sistem untuk mitigasi sistematis

Sistem komputer memiliki kerentanan, seperti otentikasi yang lemah,

kurangnya kontrol akses, kesalahan dalam program, sumber daya yang terbatas atau
tidak cukup, dan perlindungan fisik yang tidak memadai. Dipasangkan dengan serangan
yang kredibel, masing-masing kerentanan ini dapat memungkinkan membahayakan
kerahasiaan, integritas, atau ketersediaan. Setiap vektor serangan berusaha untuk
mengeksploitasi kerentanan tertentu (Conklin & White, 2012).

Saat ini ada banyak alat yang secara otomatis menilai kerentanan dalam
berbagai sistem . Di antaranya, Nessus diakui sebagai standar emas antara komunitas
keamanan informasi. Nessus adalah perangkat lunak tingkat perusahaan scalable
dengan lebih dari 80.000 pengguna plugin dikonfigurasi dirancang untuk menguji
kerentanan untuk berbagai perangkat dan aplikasi. Misalnya, Nessus dapat memindai
port, mengidentifikasi masalah aplikasi web, menemukan identitasnya OS / software,
dan upaya bawaan unpatched. Nessus mengkategorikan setiap kerentanan dalam batas
risiko yang berbeda ( 'Kritis', 'High', 'Sedang', 'rendah', dan 'Tidak') berdasarkan standar
terbuka industri umum Vulnerability Scoring System (CVSS) .(Williams, Mcmahon,
Samtani, Patton, & Chen, 2017).

2.1.4 Assigning Safeguards

Safeguard didefinisikan sebagai mekanisme atau prosedur apa pun yang dirancang
untuk mengurangi dampak ancaman sebelum dapat terjadi (Kim & Leem, 2005).

Menemukan strategi keamanan TI yang tepat dengan menerapkan perlindungan

keamanan yang tepat adalah tugas yang menantang. Banyak organisasi mencoba mengatasi
masalah ini dengan memperoleh sertifikat keamanan TI dari organisasi standar yang diakui.
Namun, dalam banyak kasus persyaratannya terlalu sulit untuk dipenuhi, terutama oleh
organisasi yang lebih kecil. Organisasi yang memiliki minat pada keamanan tetapi tidak
mempunyai sertifikat, menghadapi tantangan dalam memilih perlindungan yang sesuai dari
standar yang diberikan. Untuk mengatasi masalah ini, diusulkan model optimasi kuat untuk
menentukan konfigurasi upaya perlindungan yang optimal dengan menggabungkan beberapa
skenario ancaman, solusi yang diperoleh dapat mengatasi ancaman keamanan yang tidak pasti
(Schilling, 2017).

Probabilitas ancaman yang tepat atau kerugian finansial yang diperkirakan tidak
dibutuhkan untuk memutuskan perlindungan mana yang harus dilaksanakan. Mengetahui
ancaman mana yang lebih kritis sudah cukup untuk mengalokasikan perlindungan secara
efektif. Efektif, dalam konteks ini, berarti bahwa perlindungan dipilih sedemikian rupa
sehingga dampak gabungannya pada pengurangan ancaman keamanan
dimaksimalkan(Schilling & Wernes, 2016).

Prinsip perlindungan keamanan informasi adalah prinsip privasi informasi utama yang
terkandung dalam setiap langkah, kerangka kerja, dan pedoman undang-undang privasi.
Prinsip ini mengharuskan pengontrol data untuk menggunakan tingkat perlindungan yang
memadai sebelum memproses informasi pribadi. Prinsip perlindungan keamanan dalam privasi
informasi berfokus pada pencapaian tingkat ‘wajar ’atau‘ ‘memadai’ untuk informasi pribadi
orang perorangan. Orang perseorangan yng dimaksud ialah pelanggan, karyawan, pengusaha,
dan pemangku kepentingan lainnya. Penghancuran media fisik yang tidak benar yang berisi
informasi pribadi dan penghapusan informasi pribadi dari repositori melanggar prinsip
perlindungan keamanan(Dayarathna, 2009).

Perencanaan keamanan informasi menguraikan implementasi perlindungan yang

diidentifikasi selama penilaian risiko, baik pada level tinggi dan level detail. Perlindungan ini
harus mengurangi risiko ke tingkat yang dapat diterima. Kesadaran keamanan dan program
pelatihan harus mendukung upaya perlindungan, karena kurangnya kesadaran dan praktik
keamanan yang buruk oleh personel berpotensi mengurangi efektivitas upaya perlindungan
(Eloff & Eloff, 2005).

2.2 Protection
2.2.1 Awareness

Untuk mencapai keamanan Sistem Informasi, kebijakan keamanan informasi

dan program Pendidikan, Pelatihan dan Kesadaran Keamanan adalah tindakan non-
teknis untuk mencegah pelanggaran keamanan oleh karyawan (Lebek, Uffen,
Neumann, Hohler, & Breitner, 2014). Kesadaran keamanan informasi telah
dipromosikan sebagai cara untuk mengurangi risiko keamanan di sejumlah area
ancaman (Allam, Flowerday, & Flowerday, 2014). Mengikuti faktor-faktor yang harus
dihasilkan dari menyikapi tingkat kesadaran dalam suatu organisasi (Allam et al.,
2014):

• Pengetahuan: apa yang diketahui orang

• Sikap: apa yang dipikirkan orang
• Perilaku: apa yang dilakukan orang
Kurangnya kesadaran akan kontrol keamanan adalah hambatan utama bagi tata
kelola keamanan sistem informasi yang efektif (Mishra, Caputo, Leone, Kohun, &
Draus, 2014). Contoh tentang kurangnya kesadaran keamanan orang termasuk;
menelusuri situs web yang tidak aman, mengunduh perangkat lunak yang
mencurigakan, berbagi kata sandi di antara keluarga dan teman sebaya, dan
menggunakan jaringan nirkabel rumah yang tidak terlindungi (Asanka, Arachchilage,
& Love, 2014). Sayangnya, sebagian besar pengguna komputer memiliki kesadaran
keamanan yang kurang karena kurangnya pendidikan, kesadaran, profesionalisme dan
pelatihan (Asanka et al., 2014). Menciptakan kesadaran tentang masalah keamanan
adalah langkah penting dalam program keamanan keseluruhan organisasi. Kesadaran
tentang kerentanan keamanan dapat secara efektif diciptakan melalui modul pendidikan
dan pelatihan yang tepat dalam suatu organisasi (Mishra et al., 2014).

2.2.2 Access

Akses dapat berarti tindakan memasuki atau menggunakan. Dalam bidang

keamanan akses kontrol adalah akses pembatasan selektif ke suatau tempat atau sumber
daya lainnya. Definisi akses kontrol biasanya merujuk pada praktek pembatasan pintu
masuk ke suatu properti, bangunan, atau ruangan hanya untuk orang yang berwenang.
Sedangkan izin untuk mengakses suatu sumber daya disebut otorisasi. Sebuah sistem
akses kontrol akan menentukan:

 Siapa saja yang diperbolehkan masuk atau keluar?

 Di mana mereka diizinkan untuk keluar atau masuk?
 Kapan mereka diizinkan untuk masuk atau keluar?
Akses Kontrol Fisik

( Gope & Amin, 2018) Kerangka kerja kontrol akses berdasarkan kebijakan
RBAC dan MAC, yang akan bermanfaat bagi pusat layanan kesehatan untuk mengatur
akses data pasien. Kontrol akses berbasis peran (RBA), dirancang untuk
menyederhanakan administrasi keamanan dengan memperkenalkan abstraksi 'peran'
antara prinsip-prinsip (subjek) dan hak istimewa (objek).

Akses kontrol secara fisik biasanya diberikan pada petugas khusus seperti
penjaga keamanan. Umumnya ada pagar atau pintu untuk menghindari akses kontrol
fisik dari pihak yang tidak berkepentingan. Kontrol akses secara fisik dapat dicapai oleh
manusia melalui cara mekanis seperti kunci atau melalui sarana teknologi yang disebut
sistem akses kontrol. Hak akses hanya bagi yang berkepentingan ini sangat berguna
untuk melindungi aset properti bila didukung dengan kamera CCTV.

Akses Kontrol Elektronik

Kontrol akses elektronik biasanya menggunakan komputer untuk memecahkan

keterbatasan pada kunci mekanik dan tradisional. Berbagai macam hak akses dapat
digunakan untuk menggantikan kunci mekanik. Ketika akses disetujui maka pintu akan
terbuka pada waktu yang telah ditentukan dan transaksi tersebut akan dicatat oleh
sistem. Ketika akses ditolak, pintu akan tetap terkunci dan usaha untuk mengakses
tersebut juga akan dicatat. Sistem ini juga dapat membunyikan alarm jika pintu dibuka
paksa atau dibiarkan terbuka terlalu lama.

Sistem Operasi Akses Kontrol

Ketika suatu usaha untuk mengakses diberikan kepada pembaca, maka pembaca
akan mengirimkan informasi tersebut yang biasanya berupa nomor ke panel kontrol.
Kemudian panel kontrol akan membandingkan nomor tersebut dengan daftar kontrol
akses yang sudah tersimpan, menyetujui atau menolak permintaan, dan mengirimkan
log transaksi ke database. Ketika suatu akses ditolak karena tidak cocok dengan daftar
maka pintu akan tetap terkunci. Jika ada kecocokan antara nomor dan daftar kontrol
akses maka panel kontrol akan mengoperasikan relay untuk membuka pintu. Panel
kontrol juga mengabaikan sinyal pintu yang terbuka untuk mencegah alarm berbunyi.
Biasanya pembaca juga akan memberikan umpan balik seperti lampu LED merah yang
berkedip untuk akses ditolak dan lampu hijau untuk akses yang disetujui.
 (Cui, Zhong, Tang, & Zhang, 2016) Protokol baru bernama FACP berdasarkan
tanda tangan berbasis atribut untuk akses pelestarian privasi kontrol dalam jaringan
sensor nirkabel multi-pengguna pemilik tunggal. Protokol ini dapat mewujudkan
kunjungan yang dibayar pengguna, kontrol akses dan perlindungan privasi pengguna.

2.2.3 Identification

Identifikasi adalah proses pemberian ID komputer ke pengguna tertentu, komputer,

perangkat jaringan, atau proses komputer. Proses identifikasi adalah biasanya dilakukan hanya
sekali, ketika ID pengguna dikeluarkan untuk pengguna tertentu. Pengguna identifikasi
memungkinkan otentikasi dan otorisasi untuk membentuk dasar untuk akuntabilitas. Untuk
tujuan akuntabilitas, ID pengguna tidak boleh dibagikan, dan untuk tujuan keamanan, mereka
tidak boleh deskriptif fungsi pekerjaan

Sistem identifikasi telah menjadi mode kunci pemerintahan dalam tahun-tahun awal
abad kedua puluh satu 'klaim Lyon dan Bennett (2008: 3) dalam kata-kata pembuka teks paling
rumit tentang hal ini (Bennett dan Lyon, 2008). Torpey (2000) menunjukkan bahwa paspor
mewakili dimensi baru dari modernisasi, monopolisasi negara terhadap regulasi pemerintah.
Lebih lanjut (2008) dan penulis lain mengklaim bahwa pengidentifikasi dan token lain, dan
sistem informasi di dalam mana mereka bekerja, lebih jauh daripada mengatur pergerakan dan
semakin mengatur identifikasi dan pengenal.

Otoritas Identifikasi Unik India (UIDAI) saat ini melekat pada Komisi Perencanaan.
Chairmanisenya Nandan Nilekani, mantan kepala kisah sukses IT India, Infosys. Nilekani
memiliki pengangkatan tingkat Kabinet, dan ada Komite Kabinet di UIDAI.

Teknologi identifikasi adalah komponen penting dari komunikasi tepercaya dalam IoT.
Agar dapat dipercaya, komunikasi harus terjadi hanya antara node yang dimaksud dalam
jaringan. Identifikasi objek dan pengguna yang konsisten dan unik diperlukan untuk
memastikan perangkat berkomunikasi hanya dengan target yang dituju, dan tidak terkena
serangan pihak ketiga, kebocoran data, atau komunikasi dengan perangkat dan pengguna yang
tidak diinginkan. 'Identitymanagement' menjelaskan teknologi identifikasi yang menetapkan,
mengelola, atau memverifikasi identitas unik tersebut untuk membangun dan mempertahankan
kepercayaan dalam komunikasi antara objek IoT dan pengguna. Manajemen Identity
memungkinkan sumber daya (objek pelacakan) dan penemuan layanan (komunikasi dan akses
ke data).
 2.2.4 Authentication

Otentikasi adalah proses pengikatan ID tertentu ke koneksi komputer tertentu. Dua item
perlu disajikan untuk menyebabkan pengikatan ini terjadi pada ID pengguna, dan beberapa
"rahasia" untuk membuktikan bahwa pengguna adalah pemilik sah kredensial. Secara historis,
tiga kategori rahasia digunakan untuk mengotentikasi identitas pengguna: apa yang diketahui
pengguna, apa yang dimiliki pengguna, dan apa pengguna itu. Hari ini kategori tambahan
digunakan: apa yang dilakukan pengguna

Authentication atau Otentikasi dapat dilakukan berdasarkan pada satu atau kombinasi
item-item berikut :

 Sesuatu yang diketahui pengguna (misalnya, kata sandi, nomor identifikasi

pribadi (PIN), jawaban rahasia, pola).
 Sesuatu yang dimiliki pengguna (misalnya, kartu pintar , Kartu ID, token
keamanan, token perangkat lunak, smartphone).
 Sesuatu yang dilakukan atau dilakukan pengguna (mis. Sidik jari, wajah,
iris, gaya berjalan) Yang terakhir dikenal sebagai biometrik. Sebagai
premis, perlu mempertimbangkan bahwa kata sandi dapat dilupakan atau
disambar oleh orang jahat; benda fisik seperti lencana dan dokumen ID
dapat hilang atau dicuri. Biometrik hampir tidak dapat dicuri, dan proses
pemalsuan jauh lebih rumit (mis., Operasi plastik). Sistem pengenalan
biometrik terbaru juga menanamkan mekanisme untuk mengenali biometrik
hidup (deteksi langsung) dan palsu (deteksi serangan presentasi).

Gambar Level Otentikasi

 Level keamanan sistem otentikasi:

1. Sesuatu yang diketahui pengguna;

2. Sesuatu yang dimiliki pengguna;
3. Sesuatu yang diketahui pengguna dan sesuatu yang dimiliki pengguna;
4. Sesuatu yang dilakukan atau dilakukan pengguna;
5. Sesuatu yang pengguna miliki dan sesuatu yang dilakukan atau
dilakukan pengguna;
6. Sesuatu yang diketahui pengguna dan sesuatu yang dilakukan atau
dilakukan pengguna;
7. Sesuatu yang diketahui pengguna, sesuatu yang dimiliki, dan sesuatu
yang dilakukan atau dilakukan pengguna.

Kebutuhan Keamanan

Dibandingkan dengan pembaca RFID tradisional dalam sistem otentikasi,

perangkat yang mendukung NFC membuat pembacaan pesan menjadi lebih mudah.
Namun, perangkat tersebut juga membawa beberapa masalah keamanan. Di satu sisi,
ia dapat menangani peristiwa secara real-time dan melakukan proses lebih cepat dan
lebih efisien. Di sisi lain, meskipun komunikasi jarak pendek meningkatkan properti
privasi, jaringan IoT seluler masih mengarah pada banyak tantangan keamanan. Dalam
sistem otentikasi yang tidak aman, penyerang dapat berinteraksi dengan tag untuk
mengungkap identitasnya dan kemudian menyimpulkan sifat produk yang dilampirkan.
Serangan yang lebih lemah juga dapat membahayakan privasi. Sementara itu, beberapa
serangan khas, seperti serangan DoS, serangan replay, serangan pemalsuan, mungkin
ada dalam sistem.

Dalam sistem otentikasi aman, persyaratan berikut ini sering dipertimbangkan :

 Tag Anonimitas: Identitas tag harus dilindungi selama transmisi di saluran.

 Mencegah Serangan Putar Ulang: Sekalipun penyerang bisa mendapatkan
pesan sah yang dikirim dari tag ke pembaca, data tidak dapat dikirim
berulang kali untuk mengelabui server otentikasi. Cegah Serangan Denial
of Service: Bahkan jika penyerang mengirim banyak pesan otentikasi untuk
melumpuhkan sistem, sistem otentikasi masih dapat menyediakan layanan.
  Saling Otentikasi: Masing-masing pihak dalam sistem dapat mengonfirmasi
bahwa pihak-pihak lain dilegitimasi.
 Privasi pengguna: Sekalipun penyerang bisa mendapatkan informasi sah
yang dikirim dari tag ke pembaca, identitas tag dan informasi pribadi
lainnya tetap rahasia.
 Cegah Manusia dalam Serangan Tengah: Sekalipun penyerang dapat
mengendus transportasi data dalam saluran komunikasi, mereka tidak dapat
memperoleh informasi yang berguna setelah analisis.

Gambar Contoh Otentikasi di jaringan IoT seluler

2.2.5 Authorization

Otorisasi adalah proses perijinan atau menolak akses ke sumber daya tertentu.
Setelah identitas dikonfirmasi melalui otentikasi, tindakan tertentu dapat disahkan atau
ditolak. Banyak jenis skema otorisasi yang digunakan, tetapi tujuannya adalah sama:
menentukan apakah pengguna tertentu yang telah diidentifikasi memiliki izin untuk
objek tertentu atau sumber daya yang diminta. Fungsi ini sering merupakan bagian dari
sistem operasi dan transparan kepada pengguna. (Conklin & White, 2012)

Pemisahan tugas, dari identifikasi untuk otentikasi untuk otorisasi, memiliki

beberapa keunggulan. Banyak metode yang dapat digunakan untuk melakukan setiap
tugas, dan pada banyak sistem beberapa metode yang secara bersamaan hadir untuk
setiap tugas. Pemisahan tugas-tugas ini menjadi elemen-elemen individual
memungkinkan kombinasi dari implementasi untuk bekerja sama. Setiap sistem atau
sumber daya, baik itu hardware (router atau workstation) atau komponen perangkat
lunak (sistem database), yang membutuhkan otorisasi dapat menggunakan metode
 otorisasi sendiri setelah otentikasi telah terjadi. Hal ini membuat untuk aplikasi yang
efisien dan konsisten dari prinsip-prinsip ini.

Daftar ini biasanya merupakan matriks ACL atau akses kontrol. Secara umum,
otorisasi dapat ditangani di salah satu dari tiga cara:

 Otorisasi untuk setiap pengguna dikonfirmasi, di mana sistem melakukan proses

otentikasi untuk memverifikasi setiap entitas dan kemudian memberikan akses ke
sumber daya untuk hanya entitas itu. Ini dengan cepat menjadi proses yang
kompleks dan sumber daya intensif dalam sistem komputer.
 Otorisasi untuk anggota kelompok, di mana sistem cocok entitas dikonfirmasi ke
daftar keanggotaan kelompok, dan kemudian memberikan akses ke sumber daya
berdasarkan hak akses kelompok. Ini adalah metode otorisasi yang paling umum.
 Otorisasi di beberapa sistem, di mana otentikasi pusat dan sistem otorisasi
memverifikasi entitas identitas dan hibah itu set kredensial. Kredensial

Otorisasi (kadang-kadang disebut tiket otorisasi) yang dikeluarkan oleh

authenticator dan dihormati oleh banyak atau semua sistem dalam domain otentikasi.
Kadang-kadang disebut single sign-on (SSO) atau dikurangi sign-on, kredensial
otorisasi menjadi lebih umum dan sering diaktifkan menggunakan struktur direktori
bersama seperti Lightweight Directory Access Protocol (LDAP) (Whitman &
Mathod, 2012).

2.2.6 Availability

Ketersediaan (availability) menggambarkan kebutuhan data untuk dapat diakses,

dipahami, dan diproses secara tepat waktu. Ketika kerahasiaan membahas non-pengungkapan
kepada entitas yang tidak sah, ketersediaan membutuhkan pengungkapan yang eksplisit dan
penuh kepada entitas yang berwenang — di mana perbedaan antara entitas yang berwenang
dan yang tidak diotorisasi biasanya membutuhkan langkah-langkah integritas. Ketersediaan
(availability hanya dapat direalisasikan dengan menambahkan redundansi ke sistem, mis.
dengan cara menyimpan banyak salinan dari data yang sama di lokasi penyimpanan yang
berbeda (Mir, Dar, Quadri, & Beig, 2011).

Ketersediaan Informasi berarti bahwa Informasi yang diminta atau dibutuhkan oleh
pengguna yang berwenang harus selalu tersedia. Ini berarti bahwa sistem komputasi yang
digunakan untuk menyimpan dan memproses Informasi, kontrol keamanan yang digunakan
untuk melindunginya, dan saluran komunikasi yang digunakan untuk mengangkutnya harus
bekerja dengan benar (Mir et al., 2011). Ketersediaan memiliki tiga komponen (Mir et al.,
2011), yaitu :

1. Reliabilitas: Reliabilitas adalah probabilitas sistem yang menjalankan tujuannya

secara memadai untuk periode waktu yang dimaksudkan dalam kondisi operasi yang
dihadapi. Jika sistem tidak dapat diandalkan, tidak ada gunanya memiliki sistem.
Pengguna tidak ingin bergantung pada sistem yang tidak dapat dipercaya untuk
secara konsisten menjalankan permintaan pengguna.
2. Aksesibilitas: Aksesibilitas adalah "sejauh mana suatu sistem dapat digunakan oleh
sebanyak mungkin orang tanpa modifikasi". Ada beberapa kebijakan kontrol akses,
seperti Mandatory Access Control (MAC) dan Discretionary Access Control
(DAC) yang didukung dengan layanan kontrol akses seperti Role Based Access
Control (RBAC)
3. Ketepatan waktu: Ketepatan waktu adalah kemampuan untuk mengakses
Informasi dan Layanan secara tepat waktu. Ini adalah responsif sistem atau sumber
daya terhadap permintaan pengguna. Ketersediaan Informasi sebagian besar
diukur oleh jumlah waktu yang sumber daya informasi sedang proses atau tidak
(uptime dan downtime). Pengguna dan organisasi sama-sama menginginkan
respons instan terhadap permintaan mereka; tanpa Ketersediaan Informasi yang
baik, keinginan itu mungkin tidak terpenuhi secara memadai.
2.2.7 Accuracy

Keakuratan informasi yang hendak disampaikan bergantung pada dua hal.

Pertama adalah bagaimana penyampaian informasi yang bisa dalam bentuk tertulis atau
pun lisan. Proses yang terjadi adalah encoding pesan dari sumber menjadi sebuah
informasi yang hendak disampaikan. Kedua adalah proses penerimaan informasi.
Penerima informasi akan menerjemahkan pesan (decoding) yang akan menimbulkan
reaksi terhadap pesan/informasi. Dalam kebanyakan kasus, kehilangan informasi yang
disebabkan oleh encoding dapat menyebabkan ketidaktepatan (Chen, Liu, & Zhang,
2014).
 Gambar Proses Komunikasi

Dengan konsep yang hampir sama pengiriman informasi digital menggunakan

teknik kriptograi. Keamanan dari sebuah pengiriman informasi bisa dipenuhi dengan
teknik kriptografi. Dengan menggabungkan teknik-teknik dari kriptografi,
pembelajaran mesin, dapat dibuat pengaturan di mana akurasi dan keamanan dicapai,
dengan tetap mempertahankan tingkat hasil yang tinggi (Dowlin, Gilad-bachrach,
Laine, Wernsing, & Com, 2016).

Gambar Basic Cryptography Illustration

2.2.8 Confidentiality

Secara singkat sama dengan arti katanya yaitu kerahasian. Kerahasian dalam hal
ini adalah informasi yang kita miliki pada sistem/database kita, adalah hal yang rahasia
dan pengguna atau orang yang tidak berkepentingan tidak dapat melihat/mengaksesnya.
Atau dengan kata lain, hanya pihak yang berhak dan berwenang saja yang dapat
mengakses informasi tersebut. Untuk itu kebanyakan organisasi umumnya
mengklasifikasikan informasi/data untuk mengakomodir tercapainya confidentiality.
Klasifikasinya yaitu internal use only (hanya digunakan di lingkungan internal
perusahaan), public (biasanya disebarkan melaui website atau media sosial
perusahaan), dan confidential (sangat rahasia, contohnya data-data terkait planning,
finansial, business process, dll).

Ancaman yang muncul dari pihak yang tidak berkepentingan terhadap

aspek confidentiality antara lain:

 Password strength (lemahnya password yang digunakan, sehingga mudah

ditebak ataupun di-bruteforce)
 Malware (masuknya virus yang dapat membuat backdoor ke sistem ataupun
mengumpulkan informasi pengguna)
 Social engineering (lemahnya security awareness pengguna dimana mudah
sekali untuk ‘dibohongi’ oleh attacker, yang biasanya adalah orang yang
sudah dikenalnya).
Cara yang umum digunakan untuk menjamin tercapainya
aspek confidentiality adalah dengan menerapkan enkripsi. Enkripsi merupakan sebuah
teknik untuk mengubah file/data/informasi dari bentuk yang dapat dimengerti
(plaintext) menjadi bentuk yang tidak dapat dimengerti (ciphertext), sehingga
membuat attacker sulit untuk mendapatkan informasi yang mereka butuhkan. Enkripsi
harus dilakukan pada level media penyimpanan dan transmisi data. (Su, Shen, & Zhang,
2018) Berkenaan dengan kerahasiaan, yang ditingkatkan tidak hanya kompleksitas
enkripsi yang lebih tinggi, tetapi juga dengan pengacakan alamat data. Strategi
perlindungan yang telah dibuat dapat memberikan kerahasiaan dan perlindungan
integritas yang jauh lebih tinggi dengan overhead memori minimum dan latensi.

Embedded System atau system tertanam juga secara luas terancam oleh berbagai
serangan perangkat keras dan serangan perangkat lunak. Serangan-serangan ini
mengancam kerahasiaan data, integritas data dan ketersediaan sistem sistem tertanam,
privasi dan keamanan properti pengguna terancam dan aplikasi di beberapa area sensitif
keamanan juga dibatasi. (Kurskii & Proklov, 2016) Salah satu upaya peningkatan
kerahasiaan (keamanan) dari data yang ditransfer dan pemantauan integritas data dalam
saluran fisik.
2.2.9 Accountability

Accountability juga dikenal sebagai auditability, memastikan bahwa semua

tindakan pada sistem-resmi atau tidak sah-dapat dikaitkan dengan identitas
dikonfirmasi. Akuntabilitas yang paling sering dilakukan dengan cara sistem log dan
jurnal database, dan audit catatan ini.

Sistem log catatan tertentu informasi, seperti upaya akses gagal dan modifikasi
sistem. Log memiliki banyak kegunaan, seperti deteksi intrusi, menentukan akar
penyebab kegagalan sistem, atau hanya pelacakan penggunaan sumber daya tertentu.

2.2.10 Administration

Administrasi digambarkan sebagai elemen keamanan informasi (Nyikes,

Nemeth, & Kerti, 2016). Administrasi, oleh karena itu, memenuhi peran perlindungan
dokumen dalam keamanan administrasi, yang membentuk bagian dari keamanan
informasi. Keamanan administratif mencakup langkah-langkah organisasi,
pengendalian dan peraturan yang diambil untuk memastikan perlindungan, dan
prosedur pelatihan yang terkait dengan keamanan (Nyikes et al., 2016).
 BAB III

PENUTUP
3.1 Kesimpulan
IT Security atau yang biasa disebut dengan keamanan komputer adalah
keamanan informasi yang diterapkan kepada komputer dan jaringannya. Upaya ini
dilakukan untuk mengamankan kinerja dan proses komputer. Inspection dan Protection
adalah bagian dari IT Security. Inspection terdiri dari resource inventory, threat
assessment, indetfying vulnerabilities dan assigning safeguard. Protection terdiri dari
awareness, access, identification, authentication, authorization, availability, accuracy,
confidentialy, accountability, dan administration.
3.2 Saran
Penulis memahami masih banyak kekurangan dalam makalah ini, maka dari itu
dibutuhkan referensi dari berbagai buku dan jurnal.
DAFTAR PUSTAKA

Allam, S., Flowerday, S. V, & Flowerday, E. (2014). Smartphone information security awareness : A
victim of operational pressures ScienceDirect Smartphone information security awareness : A
victim of operational pressures 5. Computers & Security, 42(March 2018), 56–65.
https://doi.org/10.1016/j.cose.2014.01.005
Asanka, N., Arachchilage, G., & Love, S. (2014). Computers in Human Behavior Security awareness
of computer users : A phishing threat avoidance perspective, 38, 2010–2012.
Chen, K., Liu, P., & Zhang, Y. (2014). Achieving Accuracy and Scalability Simultaneously in
Detecting Application Clones on Android Markets.
Conklin, W. A., & White, G. (2012). Principle of Computer Security.
Dayarathna, R. (2009). The principle of security safeguards: Unauthorized activities,” Comput. Law
Secur, 25, 165–172.
Dowlin, N., Gilad-bachrach, R., Laine, K., Wernsing, J., & Com, M. (2016). CryptoNets : Applying
Neural Networks to Encrypted Data with High Throughput and Accuracy.
Eloff, J. H. P., & Eloff, M. M. (2005). Information security architecture. Comput. Fraud Secur, 10–
16.
Hu, Y., Sulek, D., Carella, A., Cox, J., Frame, A., Cipriano, K., & Wang, H. (2016). Employing
Miniaturized Computers for Distributed Vulnerability Assessment, 57–61.
Kim, S., & Leem, C. . (2005). Security of the internet-based instant messenger: Risks and safeguards.
Internet Res, 15, 88–98.
Lebek, B., Uffen, J., Neumann, M., Hohler, B., & Breitner, M. H. (2014). Information security
awareness and behavior: a theory-based literature review Benedikt. Management Research
Review, 37(12), 1049–1092.
Lin, T. (2005). Sensor Data Aggregation for Resource Inventory Applications, 2369–2374.
Mir, S. Q., Dar, M., Quadri, S. M. K., & Beig, B. M. (2011). Information Availability: Components,
Threats and Protection Mechanisms. J. Glob. Res. Comput. Sci, 2, 21–26.
Mishra, S., Caputo, D. J., Leone, G. j, Kohun, F. G., & Draus, P. J. (2014). The Role Of Awareness
And Communications In Information Security Management: A Health Care Information
Systems Perspective. International Journal of Management & Information Systems, 18(2), 139–
148.
Nyikes, Z., Nemeth, Z., & Kerti, A. (2016). The electronic information security aspects of the
administration system, 2010, 327–332.
Schilling, A. (2017). Robust Optimization of IT Security Safeguards Using Standard Security Data.
Operations Research Proceedings, 333–339.
Schilling, A., & Wernes, B. (2016). Optimal selection of IT security safeguards from an existing
knowledge base. Eur. J. Oper, 248, 318–327.
Whitman, M. E., & Mathod, H. J. (2012). Principles of Information Security.
Williams, R., Mcmahon, E., Samtani, S., Patton, M., & Chen, H. (2017). Identifying Vulnerabilities of
Consumer Internet of Things ( IoT ) Devices : A Scalable Approach, 179–181.