TEKNOLOGI INFORMASI
Banyak organisasi merasa sulit dan mahal untuk menangani keamanan informasi dengan cara
yang tepat.
Pertanyaan:
1. Apakah organisasi mampu menangani masalah keamanan informasi dengan cara yang
tepat?
2. Bagaimana menyelesaikan masalah keamanan informasi dalam organisasi tersebut.
PENJELASAN
Pertanyaan 1 dan 2, diarahkan bagaimana keamanan informasi dalam perspektif manusia.
Untuk mengelola orang, harus ada organisasi dan keamanan informasi ini adalah tema
utamanya.
SELAMAT BEKERJA.
Jawaban :
Setiap organisasi memiliki beberapa bentuk informasi yang sensitif, untuk melindungi informasi yang
bersifat sensitif seperti informasi pembayaran pelanggan, data karyawan atau informasi strategi bisnis
maka sangat penting untuk mengambil langkah-langkah untuk mengamankan data sensitif organisasi
dan memastikan bahwa informasi tersebut tidak pernah memasuki akses publik. Berikut ini adalah
langkah-langkah untuk mengamankan informasi sebuah organisasi :
Jika sebuah organisasi tidak mampu untuk membedakan secara benar antara informasi yang
bersifat sensitif dan non-sensitif maka tidak mungkin bisa mengamankan data yang penting.
Sebuah kode kebijakan data mampu menguraikan jenis data yang dianggap sensitif, dan
mampu menentukan proses yang ketat untuk mengidentifikasi, menangani dan mengamankan
berbagai jenis data.
Sebuah sistem klasifikasi data yang bertingkat dapat membantu untuk membedakan antara
informasi sensitif dan non-sensitif . Langkah-langkah keamanan diberlakukan untuk setiap
tingkat data, tingkat pertama yaitu data yang sangat sensitif yang dapat menyebabkan
kerusakan parah membutuhkan tingkat keamanan tertinggi dan akses diperbolehkan atas
dasar kebutuhan khusus. Tingkat ke-dua yaitu data cukup sensitif yang dapat menimbulkan
risiko yang relatif rendah membutuhkan kontrol keamanan yang lebih sedikit dan hak akses
internal. Dan tingkat yang ke-tiga yaitu data non-sensitif yang tidak menimbulkan risiko
untuk sebuah organisasi, dan membutuhkan keamanan yang sedikit atau tidak ada
pembatasan akses.
Penggunaan password yang lemah merupakan masalah yang sangat umum dan merupakan
salah satu keamanan yang secara signifikan dapat ditingkatkan dengan pelatihan dan
pengenalan berbagai aplikasi manajemen password. Kebanyakan pencurian data sensitif
disebabkan oleh segelintir kesalahan keamanan informasi dasar.
Penggunaan komputer atau perangkat pribadi merupakan bagian yang tak terpisahkan dari
kehidupan dan pekerjaan, selain membawa manfaat bagi produktivitas dan efektivitas biaya,
juga dapat mengamankan data sensitif dari akses yang tidak sah. Adalah tindakan yang tepat
untuk menggunakan komputer pribadi untuk mencegah data sensitif diakses dan disimpan
oleh orang lain yang tidak berhak.
Banyak hacker memilih untuk menargetkan pimpinan atau direksi , karena kemungkinan
besar direksi memiliki akses ke data aset yang bernilai tinggi. Direksi seringkali diberikan
otonomi yang lebih besar dan kebebasan bergerak melalui sistem yang sensitif yang mungkin
tidak mematuhi praktik keamanan yang sama seperti karyawan.Ssangat penting bahwa
praktik keamanan harus dipahami dan ditaati seluruh infrastruktur organisasi untuk mencegah
hacker dari mendapatkan akses yang mudah ke informasi sensitif melalui jalur ini.
Karyawan adalah aset keamanan yang paling berharga bagi perusahaan dalam menciptakan
budaya kesadaran keamanan yang dapat membantu karyawan mengidentifikasi masalah data,
dan juga membantu untuk mengidentifikasi kesalahan penyebaran informasi dan potensi
ancaman keamanan data. Di mana ada data sensitif maka terdapat upaya yang berbahaya dari
pihak ketiga untuk mencoba mencurinya. Tidak ada sistem keamanan sempurna sekalipun
dengan menerapkan langkah-langkah keamanan yang komprehensif dan juga kesadaran yang
tinggi. Melindungi organisasi dalam hal kehilangan data sensitif mengharuskan organisasi
untuk aktif mengembangkan rencana untuk menghindari pelanggaran keamanan informasi.
1) Efektifitas
2) Efisiensi
3) Kerahaasiaan
4) Integritas
5) Keberadaan
6) Kepatuhan
7) Keandalan
2) CIO (chief information officer) akan menunjuk sekelompok khusus pegawai sebagai bagian
keamanan sistem informasi perusahaan. (corporate information systems security officer-
CISSO), atau bagian penjamin informasi perusahaan (corporate information assurance officer-
CIAO).
1) Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi
dari orang yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya
privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan
ke pihak lain untuk keperluan tertentu (misalnya
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut.
2) Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas
untuk menggunakannya.
3) Integritas/ integrity.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja
“ditangkap” di tengah jalan, diubah isinya kemudian diteruskan ke alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi
dan digital signature, misalnya, dapat mengatasi masalah ini.
4) Autentikasi/ Authentication .
Berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli,
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang
dimaksud, atau server yang dihubungi adalah betul-betul server yang asli.
Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah
ditujukan kepada server atau mesin.
5) Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya
berhubungan dengan klasifikasi data (public, private, confidential, top secret) dan user
(guest, admin, top manager) mekanisme authentication dan juga privacy.
6) Non-repudiation
Menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan
sistem informasi akan terus meningkat dikarenakan beberapa hal:
a. Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin
meningkat.
b. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan
lebih banyak operator dan administrator yang handal.
c. Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program
(source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang
keamanan.
d. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan
komputer yang global seperti internet..
e. Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus
dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
f. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak
pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
g. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi
menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang
tertentu, karena jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian
bagi pemilik informasi itu sendiri.
1 Sniffing
Memanfaatkan metode broadcasting dalam LAN, membengkokkan aturan Ethernet,
membuat network interface bekerja dalam mode promiscuousn. Cara pencegahan
dengan pendeteksian sniffer (local & remote) dan penggunaan kriptografi
2. Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang
memiliki hak akses yang valid, Spoofer mencoba mencari data dari user yang sah
agar bisa masuk ke dalam sistem. Pada saat ini, penyerang sudah mendapatkan
username & password yang sah untuk bisa masuk ke server
3. Man-in-the-middle
Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi
dengan pihak yang semestinya (client mengira sedang berhubungan dengan server,
demikian pula sebaliknya)
4. Menebak password
- Dilakukan secara sistematis dengan teknik brute-force atau dictionary ( mencoba
semua kemungkinan password )
- Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang
memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dan sebagainya)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem
yang dapat mengganggu keseimbangan sistem informasi. Ancaman tersebut berasal
dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk
menyebabkan kerusakan pada sumber-sumber informasi perusahaan. Dan pada
kenyataannya, ancaman dapat terjadi dari internal, eksternal perusahaan serta terjadi
secara sengaja atau tidak sengaja Berdasarkan hasil survey menemukan 49%
kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah
dan diperkirakan 81 %
kejahatan komputer dilakukan oleh pegawai perusahaan. Hal ini dikarenakan
ancaman dari intern perusahaan memiliki bahaya yang lebih serius dibandingkan yang
berasal dari luar perusahaan dan untuk kontrol mengatasinya/ menghadapi ancaman
internal dimaksudkan dengan memprediksi gangguan keamanan yang mungkin
terjadi. Sementara untuk kontrol ancaman yang besumber dari eksternal perusahaan
baru muncul/ mulai bekerja jika serangan terhadap keamanan terdeteksi. Namum
demikian tidak semuanya ancaman berasal dari perbuatan yang disengaja,
kebanyakan diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal
dari orang di dalam maupun luar perusahaan.
Timbulnya ancaman sistem informasi juga dimungkinkan oleh kemungkin timbul dari
kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1) Ancaman Alam
- Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,badai,
pencairan salju
- Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
- Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
2) Ancaman Manusia
3) Ancaman Lingkungan
Menurut sifatnya ancaman terhadap sistem informasi terdiri dari ancaman aktif.
Ancaman aktif dapat berupa penyelewengan aktivitas, penyalahgunaan kartu kredit,
kecurangan dan kejahatan komputer, pengaksesan oleh orang yang tidak berhak,
sabotase maupun perogram yang jahil, contoh virus,torjan,cacing,bom waktu dan lain-
lain. Sedangkan ancaman pasif berupa kesalahan manusia, kegagalan sistem
maupun bencana alam dan politik. Besar kecilnya suatu ancaman dari sumber
ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di
klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari
ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut
memiliki probabilitas serangan yang beragam baik
dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi
yang mengakibatkan sistem informasi mengalami mall function.
10.2. RESIKO
Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat
beberapa kriteria yang perlu diperhatikan dalam masalah keamanan sistem informasi
yang dikenal dengan 10 domain, yaitu :
1) Akses kontrol sistem yang digunakan
2) Telekomunikasi dan jaringan yang dipakai
3) Manajemen praktis yang di pakai
4) Pengembangan sistem aplikasi yang digunakan
5) Cryptographs yang diterapkan
6) Arsitektur dari sistem informasi yang diterapkan
7) Pengoperasian yang ada
8) Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9) Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10) Tata letak fisik dari sistem yang ada
10.3. PENGENDALIAN
Pengendalian yang dimaksud adalah sejauh mana pengendalian keamanan sistem
informasi memiliki peran dalam mencegah dan mendeteksi adanya kesalahan-
kesalahan . Kontrol-kontrol untuk pengamanan sistem informasi antara lain:
1) Kontrol Administratif
Kontrol ini mencakup hal-hal berikut:
a. Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem
informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam
organisasi.
b. Supervisi terhadap para pegawai, termasuk pula cara melakukan kontrol kalau
pegawai melakukan penyimpangan terhadap yang diharapkan.
c. Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang
dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram
harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar
tidak memberikan kesempatan untuk melakukan
kecurangan.
3) Kontrol Operasi
Termasuk dalam kontrol ini:
- Pembatasan akan akses terhadap data
- Kontrol terhadap personel pengoperasi
- Kontrol terhadap peralatan
- Kontrol terhadap penyimpanan arsip
- Pengendalian terhadap virus
- Proteksi fisik terhadap pusat data
- Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya
banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
4) Proteksi Fisik terhadap Pusat Data Faktor lingkungan yang menyangkut suhu,
kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu
diperhatikan dengan benar.
o Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka
komponen cadangan atau kembarannya segera mengambil alih peran komponen
yang rusak
o catu daya, toleransi kegagalan pada catu daya diatasi melalui UPS.
c.Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via
Internet) dapat dicegah dengan menggunakan firewall. Firewall dapat berupa program
ataupun perangkat keras yang memblokir akses dari luar intranet.
d.Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi
berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik
sniffer. Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya
informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak
b.Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi
berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik
sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya
informasi tersebut dikodekan dalam bentuk
yang hanya bisa dibaca oleh yang berhak
c.Studi tentang cara mengubah suatu informasi kedalam bentuk yang tak dapat dibaca
oleh orang lain dikenal dengan istilah kriptografi. Adapun
d.sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks
asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan
enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut
dekrpisi.
Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut
kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang
menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan
menggunakan kunci privat dan kunci publik.
10)Kontrol Aplikasi
Merupakan kontrol yang diwujudkan secara sesifik dalam suatu aplikasi SI. Wilayah
yang dicakup oleh kontrol ini meliputi:
- Kontrol Masukan
- Kontrol Pemrosesan
- Kontrol Keluaran
- Kontrol Basis Data
- Kontrol Telekomunikasi
1) Keamanan level 1
Meliputi database, data security, keamanan dari PC itu sendiri, device, dan
application.
2) Keamanan level 2
Keamanan Network security. Komputer yang terhubung dengan jaringan sangat
rawan dalam masalah keamanan, oleh karena itu keamanan level 2 harus dirancang
supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan
data tersebut.
3) Keamanan level 3
Menyangkut information security, keamanan informasi yang kadang kala tidak
begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau
menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut
diketahui oleh orang yang tidak bertanggung jawab.
Cara mendeteksi suatu serangan atau kebocoran sistem Terdiri dari 4 faktor yang
merupakan cara untuk mencegah terjadinya serangan atau kebocoran sistem :
1) Desain sistem
Desain sistem yang baik tidak meninggalkan celah-celah yang memungkinkan
terjadinya penyusupan setelah sistem tersebut siap dijalankan.
3) Manajemen
Pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak lepas dari
bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan good
practice standard seperti Standard Operating Procedure (SOP) haruslah diterapkan
di samping memikirkan hal teknologinya.
4) Manusia (Administrator)
Manusia adalah salah satu fakor yang sangat penting, tetapi sering kali dilupakan
dalam pengembangan teknologi informasi dan dan sistem keamanan.
1) Keamanan fisik
Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi
hal-hal yang tidak dikehendaki.
2) Kunci Komputer
Banyak case PC modern menyertakan atribut penguncian. Biasanya berupa soket
pada bagian depan case yang memungkinkan kita memutar kunci yang disertakan ke
posisi terkunci atau tidak.
3) Keamanan BIOS
Untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten
komputer kita.
2) Analisis Resiko
Menyangkut identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial
yang bisa mengakibatkan suatu sistem dirugikan.
3) Perlindungan
Melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses
yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada
suatu server yang sudah dilindungi oleh firewall.
4) Alat
alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam
hal keamanan karena tool yang digunakan harus benar-benar aman.
5) Prioritas
Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus
membayar harga baik dari segi material maupun non material. Suatu jaringan
komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang
mendukung suatu sistem keamanan. Upaya melindungi sisstem informasi perlu
ditindak lanjuti melalui pendekatan dari keamanan dan pada umumnya yang
digunakan, antara lain: