Tugas ini ditunjukan untuk memenuhi Tugas Kelompok Mata Kuliah IT Security
Dosen Pengampu: Nurbojatmiko M.Kom
Disusun Oleh :
JAKARTA
2019
KATA PENGANTAR
Puji syukur kehadirat Allah SWT. atas rahmat dan karunia-Nya penulis dapat
menyelesaikan tugas pembuatan makalah ini tepat pada waktunya. Shalawat serta salam
tidak lupa selalu tercurahkan kepada junjungan Nabi Muhammad SAW.
Penulis menyusun makalah dengan judul “Inspection & Protection” atas dasar
memenuhi tugas kelompok mata kuliah IT Security yang dibimbing oleh dosen kami yaitu
Bapak Nurbojatmiko M.Kom. Kami berterima kasih atas waktu dan ilmu yang telah Bapak
berikan kepada kami.
Penulis sangat memahami keterbatasan dalam pengetahuan kami, oleh karena itu
penulis memohon maaf apabila terjadi kesalahan penulisan maupun kesalahpahaman dalam
makalah ini. Kritik dan saran yang membangun akan sangat kami hargai. Atas perhatiannya
kami ucapkan terima kasih.
Penulis
Daftar Isi
BAB I ...................................................................................................................................................... 4
PENDAHULUAN ................................................................................................................................. 4
1.1 Latar Belakang ...................................................................................................................... 4
1.2 Rumusan Masalah ................................................................................................................ 4
1.3 Tujuan Masalah .................................................................................................................... 4
1.4 Manfaat Penulisan ................................................................................................................ 5
1.5 Sistematika Penulisan ........................................................................................................... 5
BAB II .................................................................................................................................................... 6
PEMBAHASAN .................................................................................................................................... 6
2.1 Inspection ............................................................................................................................... 6
2.1.1 Resource Inventory ......................................................................................................... 6
2.1.2 Threat Assessment .......................................................................................................... 6
2.1.3 Identifying Vulnerabilities .............................................................................................. 8
2.1.4 Assigning Safeguards...................................................................................................... 8
2.2 Protection ............................................................................................................................... 9
2.2.1 Awareness ....................................................................................................................... 9
2.2.2 Access ........................................................................................................................... 10
2.2.3 Identification ................................................................................................................. 12
2.2.4 Authentication ............................................................................................................... 13
2.2.5 Authorization ................................................................................................................ 15
2.2.6 Availability ................................................................................................................... 16
2.2.7 Accuracy ....................................................................................................................... 17
2.2.8 Confidentiality .............................................................................................................. 18
2.2.9 Accountability ............................................................................................................... 20
2.2.10 Administration .............................................................................................................. 20
BAB III................................................................................................................................................. 21
PENUTUP............................................................................................................................................ 21
3.1 Kesimpulan .......................................................................................................................... 21
3.2 Saran .................................................................................................................................... 21
DAFTAR PUSTAKA ...................................................................................................................... 22
BAB I
PENDAHULUAN
1.1 Latar Belakang
Teknologi Informasi sudah berkembang sangat pesat pada era sekarang. Dengan
pengembangan sistem yang semakin kompleks maka diperlukan keamanan sistem
informasi agar perlindungan informasi dan elemen elemennya termasuk system dan
perangkat kerasnya dapat terjaga dengan baik. Beberapa jenis ancaman yang dapat
mengganggu tujuan dari information security ini adalah kesalahan manusia, pelanggaran
yang disengaja seperti mengakses data seseorang dengan cara yang tidak sah, sabotase atau
vandalism, dan ancaman lainnya. Maka dari itu penting bagi pengembang untuk
mengetahui cara-cara untuk membangun IT Security pada suatu sistem.
1.2 Rumusan Masalah
1. Apa yang dimaksud dengan Inspection?
2. Apa yang dimaksud dengan Resource Inventory?
3. Apa yang dimaksud dengan Threat Assessment?
4. Apa yang dimaksud dengan Identifying Vulnerabilities?
5. Apa yang dimaksud dengan Assigning Safeguards?
6. Apa yang dimaksud dengan Protection?
7. Apa yang dimaksud dengan Awareness?
8. Apa yang dimaksud dengan Access?
9. Apa yang dimaksud dengan Identification?
10. Apa yang dimaksud dengan Authentication?
11. Apa yang dimaksud dengan Authorization?
12. Apa yang dimaksud dengan Availability?
13. Apa yang dimaksud dengan Accuracy?
14. Apa yang dimaksud dengan Confidentiality?
15. Apa yang dimaksud dengan Accountability?
16. Apa yang dimaksud dengan Administration?
BAB I: PENDAHULUAN
Dalam bab ini penulis menjelaskan tentang latar belakang dalam penulisan, serta
sistematika penulisan.
Dalam bab ini penulis mengemukakan tentang konsep dasar pemahaman pendekatan utama
dari Inspection dan Protection.
Dalam bab ini penulis memberikan kesimpulan dan saran serta meminta suatu kritikan jika
ada suatu kesalahan dalam penulisan.
BAB II
PEMBAHASAN
2.1 Inspection
2.1.1 Resource Inventory
Resource (sumber daya) adalah sesuatu yang memiliki nilai bagi organisasi, yang jika
hilang atau rusak akan menyebabkan kerugian bagi organisasi secara keseluruhan. Sumber
daya lebih dari sekadar asset, mereka termasuk karyawan, infrastruktur, hubungan dengan
pelanggan atau mitra, dan reputasi perusahaan (Lin, 2005).
Semua sumber daya memiliki persyaratan keamanan yang bervariasi tergantung pada
pentingnya sumber daya tertentu. Namun sebelum langkah-langkah kemanan yang tepat
diterapkan, sumber daya perusahaan harus diidentifikasi dan nilai serta biayanya bagi
perusahaan jika diungkapkan atau dihancurkan. Investigasi lengkap perusahaan harus
dilakukan untuk mengetahui apa yang perlu dilindungi perusahaan.
Ancaman ssuatu objek, orang atau entitas lain yang mewakili bahaya kosntan terhadap
suatu asset. Threat Assessment adalah pemeriksaan pada sesuatu yang berbahaya untuk menilai
potensinya kepada dampak organisasi.
The Computer Security Institute (CSI) Computer crime and security survey adalah studi
yang representative. Studi CSI 2009 menemukan bahwa 64% organisasi yang merespon survei
tersebut menderita infeksi malware, dengan hanya 14% yang mengindikasikan penetrasi sistem
oleh orang luar. Organisasi melaporkan kerugian sebesar $234.244 per responden, turun dari
tertinggi sepanjang masa lebih dari $3juta pada tahun 2001. Angka-angka tersebut merupakan
puncaknya (Whitman & Mathod, 2012).
NO Kategori Ancaman Contoh
1 Kompromi terhadap Privacy, Copyright dll
kekayaan intelektual
2 Software attacks Virus, Penolakan layanan dll
3 Kesalahan atau kegagalan Kecelekaan dan kesalahan
manusia pegawai
4 Pemerasan Informasi Pemerasan (Blackmail),
Pengungkapan informasi
5 Sabotase atau vandalisme Penghancuran sistem atau
informasi
6 Kegagalan atau kesalahan Kegagalan peralatan
perangkat keras
Serangan perangkat lunak yang disengaja terjadi ketika sesorang individu atau
kelompok merancang dan menyebarkan perangkat lunak untuk menyerang suatu sistem.
Sebagian besar perangkat lunak ini disebut sebagai malicious code atau malware(Conklin &
White, 2012).
Virus : virus computer terdiri dari segmen kode yang melakukan tindakan jahat dengan
menggunakan mesin replikasi sel sendiri untuk menyebarkan serangan diluar target awal.
Worms: dinamai cacing pita dalam novel John Brunner The Shockwave Rider, worm adalah
program jahat yang meriplikasi dirinya sendiri terus-menerus tanpa memerlukan lingkungan
program yang lain. Worms dapat terus mereplikasi diri mereka sendiri sampai mereka
memenuhi sumber daya yang tersedia, seperti memori, ruang hard drive dan bandwidth
jaringan.
Intruders (Penyusup) : Tindakan tanpa senagaja mengakses sistem computer dan jaringan
tanpa otoritas umumnya disebut sebagai peretasan, dengan individu yang melakukan kegiatan
ini disebut sebagai peretas. Istilah peretasan juga berlaku untuk tindakan melebihi otoritas
seseorang dalam suatu sistem.
2.1.3 Identifying Vulnerabilities
Sebuah kerentanan didefinisikan sebagai “cacat dalam suatu sistem, aplikasi
atau layanan yang memungkinkan seorang penyerang untuk menghindari kontrol
keamanan dan memanipulasi sistem dengan cara pengembang tidak pernah
dimaksudkan” (Hu et al., 2016). penilaian kerentanan bertujuan untuk menguji sistem
komputer, jaringan, atau aplikasi untuk mengidentifikasi, mengukur, dan peringkat
kerentanan dalam sistem untuk mitigasi sistematis
Saat ini ada banyak alat yang secara otomatis menilai kerentanan dalam
berbagai sistem . Di antaranya, Nessus diakui sebagai standar emas antara komunitas
keamanan informasi. Nessus adalah perangkat lunak tingkat perusahaan scalable
dengan lebih dari 80.000 pengguna plugin dikonfigurasi dirancang untuk menguji
kerentanan untuk berbagai perangkat dan aplikasi. Misalnya, Nessus dapat memindai
port, mengidentifikasi masalah aplikasi web, menemukan identitasnya OS / software,
dan upaya bawaan unpatched. Nessus mengkategorikan setiap kerentanan dalam batas
risiko yang berbeda ( 'Kritis', 'High', 'Sedang', 'rendah', dan 'Tidak') berdasarkan standar
terbuka industri umum Vulnerability Scoring System (CVSS) .(Williams, Mcmahon,
Samtani, Patton, & Chen, 2017).
Safeguard didefinisikan sebagai mekanisme atau prosedur apa pun yang dirancang
untuk mengurangi dampak ancaman sebelum dapat terjadi (Kim & Leem, 2005).
Probabilitas ancaman yang tepat atau kerugian finansial yang diperkirakan tidak
dibutuhkan untuk memutuskan perlindungan mana yang harus dilaksanakan. Mengetahui
ancaman mana yang lebih kritis sudah cukup untuk mengalokasikan perlindungan secara
efektif. Efektif, dalam konteks ini, berarti bahwa perlindungan dipilih sedemikian rupa
sehingga dampak gabungannya pada pengurangan ancaman keamanan
dimaksimalkan(Schilling & Wernes, 2016).
Prinsip perlindungan keamanan informasi adalah prinsip privasi informasi utama yang
terkandung dalam setiap langkah, kerangka kerja, dan pedoman undang-undang privasi.
Prinsip ini mengharuskan pengontrol data untuk menggunakan tingkat perlindungan yang
memadai sebelum memproses informasi pribadi. Prinsip perlindungan keamanan dalam privasi
informasi berfokus pada pencapaian tingkat ‘wajar ’atau‘ ‘memadai’ untuk informasi pribadi
orang perorangan. Orang perseorangan yng dimaksud ialah pelanggan, karyawan, pengusaha,
dan pemangku kepentingan lainnya. Penghancuran media fisik yang tidak benar yang berisi
informasi pribadi dan penghapusan informasi pribadi dari repositori melanggar prinsip
perlindungan keamanan(Dayarathna, 2009).
2.2 Protection
2.2.1 Awareness
2.2.2 Access
( Gope & Amin, 2018) Kerangka kerja kontrol akses berdasarkan kebijakan
RBAC dan MAC, yang akan bermanfaat bagi pusat layanan kesehatan untuk mengatur
akses data pasien. Kontrol akses berbasis peran (RBA), dirancang untuk
menyederhanakan administrasi keamanan dengan memperkenalkan abstraksi 'peran'
antara prinsip-prinsip (subjek) dan hak istimewa (objek).
Akses kontrol secara fisik biasanya diberikan pada petugas khusus seperti
penjaga keamanan. Umumnya ada pagar atau pintu untuk menghindari akses kontrol
fisik dari pihak yang tidak berkepentingan. Kontrol akses secara fisik dapat dicapai oleh
manusia melalui cara mekanis seperti kunci atau melalui sarana teknologi yang disebut
sistem akses kontrol. Hak akses hanya bagi yang berkepentingan ini sangat berguna
untuk melindungi aset properti bila didukung dengan kamera CCTV.
Ketika suatu usaha untuk mengakses diberikan kepada pembaca, maka pembaca
akan mengirimkan informasi tersebut yang biasanya berupa nomor ke panel kontrol.
Kemudian panel kontrol akan membandingkan nomor tersebut dengan daftar kontrol
akses yang sudah tersimpan, menyetujui atau menolak permintaan, dan mengirimkan
log transaksi ke database. Ketika suatu akses ditolak karena tidak cocok dengan daftar
maka pintu akan tetap terkunci. Jika ada kecocokan antara nomor dan daftar kontrol
akses maka panel kontrol akan mengoperasikan relay untuk membuka pintu. Panel
kontrol juga mengabaikan sinyal pintu yang terbuka untuk mencegah alarm berbunyi.
Biasanya pembaca juga akan memberikan umpan balik seperti lampu LED merah yang
berkedip untuk akses ditolak dan lampu hijau untuk akses yang disetujui.
(Cui, Zhong, Tang, & Zhang, 2016) Protokol baru bernama FACP berdasarkan
tanda tangan berbasis atribut untuk akses pelestarian privasi kontrol dalam jaringan
sensor nirkabel multi-pengguna pemilik tunggal. Protokol ini dapat mewujudkan
kunjungan yang dibayar pengguna, kontrol akses dan perlindungan privasi pengguna.
2.2.3 Identification
Sistem identifikasi telah menjadi mode kunci pemerintahan dalam tahun-tahun awal
abad kedua puluh satu 'klaim Lyon dan Bennett (2008: 3) dalam kata-kata pembuka teks paling
rumit tentang hal ini (Bennett dan Lyon, 2008). Torpey (2000) menunjukkan bahwa paspor
mewakili dimensi baru dari modernisasi, monopolisasi negara terhadap regulasi pemerintah.
Lebih lanjut (2008) dan penulis lain mengklaim bahwa pengidentifikasi dan token lain, dan
sistem informasi di dalam mana mereka bekerja, lebih jauh daripada mengatur pergerakan dan
semakin mengatur identifikasi dan pengenal.
Otoritas Identifikasi Unik India (UIDAI) saat ini melekat pada Komisi Perencanaan.
Chairmanisenya Nandan Nilekani, mantan kepala kisah sukses IT India, Infosys. Nilekani
memiliki pengangkatan tingkat Kabinet, dan ada Komite Kabinet di UIDAI.
Teknologi identifikasi adalah komponen penting dari komunikasi tepercaya dalam IoT.
Agar dapat dipercaya, komunikasi harus terjadi hanya antara node yang dimaksud dalam
jaringan. Identifikasi objek dan pengguna yang konsisten dan unik diperlukan untuk
memastikan perangkat berkomunikasi hanya dengan target yang dituju, dan tidak terkena
serangan pihak ketiga, kebocoran data, atau komunikasi dengan perangkat dan pengguna yang
tidak diinginkan. 'Identitymanagement' menjelaskan teknologi identifikasi yang menetapkan,
mengelola, atau memverifikasi identitas unik tersebut untuk membangun dan mempertahankan
kepercayaan dalam komunikasi antara objek IoT dan pengguna. Manajemen Identity
memungkinkan sumber daya (objek pelacakan) dan penemuan layanan (komunikasi dan akses
ke data).
2.2.4 Authentication
Otentikasi adalah proses pengikatan ID tertentu ke koneksi komputer tertentu. Dua item
perlu disajikan untuk menyebabkan pengikatan ini terjadi pada ID pengguna, dan beberapa
"rahasia" untuk membuktikan bahwa pengguna adalah pemilik sah kredensial. Secara historis,
tiga kategori rahasia digunakan untuk mengotentikasi identitas pengguna: apa yang diketahui
pengguna, apa yang dimiliki pengguna, dan apa pengguna itu. Hari ini kategori tambahan
digunakan: apa yang dilakukan pengguna
Authentication atau Otentikasi dapat dilakukan berdasarkan pada satu atau kombinasi
item-item berikut :
Kebutuhan Keamanan
2.2.5 Authorization
Otorisasi adalah proses perijinan atau menolak akses ke sumber daya tertentu.
Setelah identitas dikonfirmasi melalui otentikasi, tindakan tertentu dapat disahkan atau
ditolak. Banyak jenis skema otorisasi yang digunakan, tetapi tujuannya adalah sama:
menentukan apakah pengguna tertentu yang telah diidentifikasi memiliki izin untuk
objek tertentu atau sumber daya yang diminta. Fungsi ini sering merupakan bagian dari
sistem operasi dan transparan kepada pengguna. (Conklin & White, 2012)
Daftar ini biasanya merupakan matriks ACL atau akses kontrol. Secara umum,
otorisasi dapat ditangani di salah satu dari tiga cara:
2.2.6 Availability
Ketersediaan Informasi berarti bahwa Informasi yang diminta atau dibutuhkan oleh
pengguna yang berwenang harus selalu tersedia. Ini berarti bahwa sistem komputasi yang
digunakan untuk menyimpan dan memproses Informasi, kontrol keamanan yang digunakan
untuk melindunginya, dan saluran komunikasi yang digunakan untuk mengangkutnya harus
bekerja dengan benar (Mir et al., 2011). Ketersediaan memiliki tiga komponen (Mir et al.,
2011), yaitu :
2.2.8 Confidentiality
Secara singkat sama dengan arti katanya yaitu kerahasian. Kerahasian dalam hal
ini adalah informasi yang kita miliki pada sistem/database kita, adalah hal yang rahasia
dan pengguna atau orang yang tidak berkepentingan tidak dapat melihat/mengaksesnya.
Atau dengan kata lain, hanya pihak yang berhak dan berwenang saja yang dapat
mengakses informasi tersebut. Untuk itu kebanyakan organisasi umumnya
mengklasifikasikan informasi/data untuk mengakomodir tercapainya confidentiality.
Klasifikasinya yaitu internal use only (hanya digunakan di lingkungan internal
perusahaan), public (biasanya disebarkan melaui website atau media sosial
perusahaan), dan confidential (sangat rahasia, contohnya data-data terkait planning,
finansial, business process, dll).
Embedded System atau system tertanam juga secara luas terancam oleh berbagai
serangan perangkat keras dan serangan perangkat lunak. Serangan-serangan ini
mengancam kerahasiaan data, integritas data dan ketersediaan sistem sistem tertanam,
privasi dan keamanan properti pengguna terancam dan aplikasi di beberapa area sensitif
keamanan juga dibatasi. (Kurskii & Proklov, 2016) Salah satu upaya peningkatan
kerahasiaan (keamanan) dari data yang ditransfer dan pemantauan integritas data dalam
saluran fisik.
2.2.9 Accountability
Sistem log catatan tertentu informasi, seperti upaya akses gagal dan modifikasi
sistem. Log memiliki banyak kegunaan, seperti deteksi intrusi, menentukan akar
penyebab kegagalan sistem, atau hanya pelacakan penggunaan sumber daya tertentu.
2.2.10 Administration
PENUTUP
3.1 Kesimpulan
IT Security atau yang biasa disebut dengan keamanan komputer adalah
keamanan informasi yang diterapkan kepada komputer dan jaringannya. Upaya ini
dilakukan untuk mengamankan kinerja dan proses komputer. Inspection dan Protection
adalah bagian dari IT Security. Inspection terdiri dari resource inventory, threat
assessment, indetfying vulnerabilities dan assigning safeguard. Protection terdiri dari
awareness, access, identification, authentication, authorization, availability, accuracy,
confidentialy, accountability, dan administration.
3.2 Saran
Penulis memahami masih banyak kekurangan dalam makalah ini, maka dari itu
dibutuhkan referensi dari berbagai buku dan jurnal.
DAFTAR PUSTAKA
Allam, S., Flowerday, S. V, & Flowerday, E. (2014). Smartphone information security awareness : A
victim of operational pressures ScienceDirect Smartphone information security awareness : A
victim of operational pressures 5. Computers & Security, 42(March 2018), 56–65.
https://doi.org/10.1016/j.cose.2014.01.005
Asanka, N., Arachchilage, G., & Love, S. (2014). Computers in Human Behavior Security awareness
of computer users : A phishing threat avoidance perspective, 38, 2010–2012.
Chen, K., Liu, P., & Zhang, Y. (2014). Achieving Accuracy and Scalability Simultaneously in
Detecting Application Clones on Android Markets.
Conklin, W. A., & White, G. (2012). Principle of Computer Security.
Dayarathna, R. (2009). The principle of security safeguards: Unauthorized activities,” Comput. Law
Secur, 25, 165–172.
Dowlin, N., Gilad-bachrach, R., Laine, K., Wernsing, J., & Com, M. (2016). CryptoNets : Applying
Neural Networks to Encrypted Data with High Throughput and Accuracy.
Eloff, J. H. P., & Eloff, M. M. (2005). Information security architecture. Comput. Fraud Secur, 10–
16.
Hu, Y., Sulek, D., Carella, A., Cox, J., Frame, A., Cipriano, K., & Wang, H. (2016). Employing
Miniaturized Computers for Distributed Vulnerability Assessment, 57–61.
Kim, S., & Leem, C. . (2005). Security of the internet-based instant messenger: Risks and safeguards.
Internet Res, 15, 88–98.
Lebek, B., Uffen, J., Neumann, M., Hohler, B., & Breitner, M. H. (2014). Information security
awareness and behavior: a theory-based literature review Benedikt. Management Research
Review, 37(12), 1049–1092.
Lin, T. (2005). Sensor Data Aggregation for Resource Inventory Applications, 2369–2374.
Mir, S. Q., Dar, M., Quadri, S. M. K., & Beig, B. M. (2011). Information Availability: Components,
Threats and Protection Mechanisms. J. Glob. Res. Comput. Sci, 2, 21–26.
Mishra, S., Caputo, D. J., Leone, G. j, Kohun, F. G., & Draus, P. J. (2014). The Role Of Awareness
And Communications In Information Security Management: A Health Care Information
Systems Perspective. International Journal of Management & Information Systems, 18(2), 139–
148.
Nyikes, Z., Nemeth, Z., & Kerti, A. (2016). The electronic information security aspects of the
administration system, 2010, 327–332.
Schilling, A. (2017). Robust Optimization of IT Security Safeguards Using Standard Security Data.
Operations Research Proceedings, 333–339.
Schilling, A., & Wernes, B. (2016). Optimal selection of IT security safeguards from an existing
knowledge base. Eur. J. Oper, 248, 318–327.
Whitman, M. E., & Mathod, H. J. (2012). Principles of Information Security.
Williams, R., Mcmahon, E., Samtani, S., Patton, M., & Chen, H. (2017). Identifying Vulnerabilities of
Consumer Internet of Things ( IoT ) Devices : A Scalable Approach, 179–181.