TUGAS 3 KEAMANAN SISTEM

“Makalah CIA Triad”

Disusun Oleh :

Eka Rahadi

1705003

D4 Rekayasa Perangkat Lunak

Politeknik Negeri Indramayu

2019
 PENDAHULUAN

Perkembangan internet yang semakin maju, membuat semua informasi kian hari semakin
mudah untuk didapatkan. Dewasa ini, kita terbiasa membagikan informasi tentang diri kita, apa
yang kita rasakan, aktifitas, keadaan yang sedang kita alami di media sosial seperti facebook,
twitter, instagram, dan youtube. Kita pun mulai terbiasa berbelanja secara online. Dengan adanya
marketplace online seperti tokopedia, bukalapak, lazada, dan lainnya. Marketplace semacam ini
menawarkan kemudahan dalam proses berbelanja dan variasi metode pembayaran yang
mengakibatkan perubahan gaya hidup pada sebagian besar masyarakat. Belum lagi adanya
teknologi yang disebut Internet of Things (IoT) yang membuat hampir semua benda sekarang ini
dapat dimonitor dan dikendalikan lewat internet.

Namun dengan segala kemudahan yang ditawarkan oleh internet, ada bahaya yang
mengancam seperti malware, pencurian data, percobaan hacking, dan masih banyak lagi.
Pertanyaannya adalah bagaimana kita menangani berbagai ancaman tersebut? Information
Security atau keamanan informasi adalah tentang memahami dan mengontrol ancaman terhadap
asset yang kita miliki dan lindungi. Jadi kita harus memahami fokus dasar keamanan informasi
terlebih dahulu. Dengan begitu, kita mungkin dapat mengeliminasi satu per satu ancaman yang
ada tersebut. Fokus dasar keamanan informasi disini maksudnya adalah hal apa saja yang harus
dicapai atau harus dilindungi dalam konteks keamanan informasi.

Seorang professional dalam bidang keamanan informasi akan berfokus untuk mencapai
dan melindungi confidentiality, integrity, dan availability (CIA). Ketiga hal tersebut merupakan
prinsip dasar pada keamanan informasi. Ketika kita ingin membangun sebuah sistem yang aman,
ketiga hal tersebutlah yang dijadikan sebagai acuan yang harus dicapai dan dilindungi.
1. Mengenal CIA (Confidentiality, Integrity, Availability)

Siapapun kita, apapun profesi kita, dan dimanapun kita berada sangat erat kaitannya
dengan teknologi informasi. Kehadiran internet dan perangkat teknologi pendukung membuat
sebagian besar orang-orang di dunia bekerja lebih praktis, cepat tanpa mengenal jarak.
Pertumbuhan internet dan penggunanya berkembang terus menerus. Kehadiran situs jejaring
sosial seperti Facebook, Google Plus, Twitter, Instagram, dan Foursquare mendorong
pertumbuhan pengguna internet di semesta ini. Berdasarkan fakta diatas , pernahkah
terbayangkan oleh kita apa yang akan terjadi apabila :

1. Data atau informasi privacy kita bisa dengan mudah didapatkan orang lain?
2. Data atau informasi yag kita miliki berubah tanpa seizin kita?
3. Atau tidak tersedianya data informasi yang kita butuhkan padahal kita memiliki wewenang
untuk mengakses dan mendapatkannya?

Kita tidak perlu takut terkait hal diatas, karena dalam jaringan komputer ada yang namanya
CIA (Confidentiality, Integrity, Availability).
 CIA atau yang lebih sering disebut CIA Triad merupakan salah satu aturan dasar dalam
menentukan keamanan suatu jaringan atau informasi. Parameter dalam CIA ini digunakan
untuk menentukan apakah suatu jaringan atau informasi dikatakan aman atau tidak. Akan tetapi
hingga saat ini masih terdapat beberapa perdebatan tentang aturan dasar ini, yakni
membandingkan CIA dengan Parkerian hexad (Confidentiality, Possession or Control,
Integrity, Authenticity, Availability and Utility).

Saking pentingnya ketiga komponen ini, William Stallings dalam bukunya

“Cryptography and Network Security Principles and Practices” menyebutnya dengan istilah
CIA Triad. Tentu saja istilah ini tidak ada hubungannya dengan CIA, organisasi intelijen
Amerika Serikat ataupun Triad, organisasi terlarang asal kawasan Timur Jauh.

 Confidentiality (kerahasiaan) menjaga informasi dari orang-orang yang tidak berhak.

 Integrity (integritas) menjaga informasi dari pengubahan yang tidak sah.
 Availability (ketersediaan) menjaga agar informasi tersebut tersedia untuk diakses.

Nah, selain CIA Triad, terdapat beberapa komponen lain yang masih terkait dengan
keamanan informasi, di antaranya Authenticity dan Accountability. Authenticity
(keotentikan) menekankan pada identifikasi pihak mana yang merupakan sumber informasi.
Sementara Accountability (akuntabilitas) merujuk pada bagaimana melacak asal informasi dan
bagaimana entitas pemilik informasi tersebut dapat diidentifikasi.

Kelima hal di atas merupakan komponen yang berbeda namun sangat berkaitan. Masing-
masing memiliki perangkat cyber security yang berbeda untuk menangkal gangguan atas
keamanannya. Untuk melindungi confidentiality digunakanlah berbagai teknik enkripsi.
Sementara itu untuk menjamin integrity, digunakanlah fungsi hash. Availability umumnya
dicapai dengan berbagai metode filtering seperti yang diaplikasikan pada firewall maupun
packet filtering lainnya. Untuk authenticity dikenal istilah MAC (message authentication code),
yang merupakan gabungan antara fungsi hash dengan enkripsi asimetris yang menggunakan 2
 kunci (privat dan publik) dan tandatangan digital. Sementara itu accountability dapat dicapai
dengan metode digital certificate yang ditandatangani oleh CA (certificate authority).

2. Teknologi Yang Digunakan CIA Dalam Keamanan Sistem

 Confidentiality
Merupakan aspek dalam keamanan jaringan yang membatasi akses terhadap
informasi, dimana hanya orang-orang yang telah mendapatkan izin yang bisa mengakses
informasi tertentu. Hal ini untuk mencegah bocornya informasi ke orang-orang yang
tidak bertanggung jawab. Seperti yang kita ketahui, pada masa sekarang ini, informasi
merupakan hal yang sangat berharga, contohnya nomor kartu kredit, informasi personal,
account bank, dll. Informasi-informasi seperti itu harus dijaga kerahasiaannya agar tidak
bisa digunakan dengan sembarangan oleh orang lain.

Salah satu komponen penting dalam menjaga confidentiality suatu informasi

adalah dengan enkripsi. Enkripsi bisa digunakan untuk menjamin bahwa hanya orang
yang tepat yang bisa membaca (mendekripsi) informasi yang dikirimkan. Salah satu
contoh enkripsi yang cukup sering digunakan adalah SSL/TLS, suatu protokol security
untuk berkomunikasi lewat internet.

Contoh teknologi Confidentiality yag diterapkan dalam cyber security adalah

a) Teknologi Kriptografi
Kriptografi ini adalah suatu cara untuk mengubah data menjadi bentuk lain
(enkripsi) atau istilah awamnya adalah mengubah menjadi kode rahasia atau
bentuk sandi-sandi yang sulit untuk dipecahkan (dekripsi). Yang bisa
memecahkan kode ini hanya si pemilik data dan si penerima yang valid atau yang
benar-benar berhak atas data itu. Kriptografi bertujuan menjaga kerahasiaan
informasi yang terkandung dalam data sehingga informasi tersebut tidak dapat
diketahui oleh pihak yang tidak sah.
 b) Otorisasi (Authorization) Ketat
Authorization adalah proses pengecekan wewenang user, mana saja hak-
hak akses yang diizinkan serta yang tidak diizinkan untuk user. Proses ini
dilakukan oleh server dengan cara mengecek hak-hak akses user tersimpan di
dalam database. Setelah hak aksesnya diketahui, kemudian server akan
menyerahkan hak-hak tersebut kepada user sehingga user telah dapat mengakses
resource yang ada didalam jaringan. Tingkat keamanan dari mekanisme otorisasi
bergantung kepada tingkat kerahasiaan data yang diinginkan.

 Integrity
Integrity merujuk kepada tingkat kepercayaan terhadap suatu informasi, kepecayaan
dalam hal ini mencakup akurasi dan konsistensi terhadap informasi yang ada. Oleh karena
itu perlu adanya proteksi terhadap suatu informasi dari modifikasi oleh pihak-pihak yang
tidak diizinkan. Mekanisme proteksi integrity dapat dibagi menjadi dua, yakni: mekanisme
priventif (kontrol akses untuk menghalangi terjadinya modifikasi data oleh orang luar) dan
mekanisme detektif, yang berguna untuk mendeteksi modifikasi yang dilakukan orang luar
saat mekanisme priventif gagal melakukan fungsinya.

Integrity dapat dicapai dengan:

 menerapkan strong encryption pada media penyimpanan dan transmisi data.

 menerapkan strong authentication dan validation pada setiap akses file/akun
login/action yang diterapkan. Authentication dan validation dilakukan untuk
menjamin legalitas dari akses yang dilakukan.
 menerapkan access control yang ketat ke sistem, yaitu setiap akun yang ada
harus dibatasi hak aksesnya. Misal tidak semua memiliki hak akses untuk
mengedit, lainnya hanya bisa melihat saja.

Contoh mudah dan umum dari rusaknya integrity terkait keamanan

informasi adalah pada proses pengiriman email.
 Alice mengirimkan email ke Bob. Namun ketika email dikirim, di tengah jalan
Eve meng-intercept email tersebut dan mengganti isi emailnya kemudian baru
diteruskan ke Bob. Bob akan mengira bahwa email tersebut benar dari Alice
padahal isinya telah terlebih dahulu dirubah oleh Eve. Hal tersebut
menunjukkan aspek integrity dari email yang dikirim oleh Alice telah
hilang/rusak.

 Availability
Konsep availability dari suatu informasi berarti bahwa informasi tersebut selalu
tersedia ketika dibutuhkan bagi orang-orang yang memiliki izin terhadap informasi
tersebut. Sehingga ketika dibutuhkan oleh user, data/informasi dapat dengan cepat
diakses dan digunakan. Salah satu serangan terhadap availability suatu informasi yang
paling dikenal adalah Distributed Denial of Service (DDoS). Tujuan utama dari DDOS
attack adalah untuk memenuhi resourse yang disediakan untuk user, sehingga user tidak
bisa mengakses informasi yang seharusnya bisa didapatkan. Selain itu, faktor kelalaian
manusia dapat juga mengakibatkan berkurangnya availability dan secara tidak langsung
berdampak pada triad yang lain. Faktor lainnya adalah faktor bencana alam, meskipun
jarang terjadi akan tetapi dampak yang diakibatkan kadang lumayan besar. Salah satu
cara untuk menjamin availability suatu informasi adalah dengan cara backup. Backup
yang dilakukan secara berkala dapat meminimalisir dampak yang ditimbulkan.
Sedangkan untuk data-data yang sifatnya sangat penting, perlu adanya suatu server
cadangan atau skema proteksi lainnya yang menjamin bahwa data-data tersebut akan
selalu tersedia meskipun terdapat beberapa gangguan.

Adapula dalam bidang keamanan jaringan di Indonesia, informasi jaringan

telekomunikasi yang berbasis internet dijaga oleh suatu badan yakni Indonesia Security
Incident Response Team of Internet Infrastructure/Coordination Center atau Id-
SIRTII/CC. Tugas utama dari Id-SIRTII/CC ini adalah melakukan sosialisasi dengan
pihak terkait tentang IT security.
 Untuk memastikan tercapainya aspek availability, organisasi perusahaan bisa
menerapkan:

 disaster recovery plan (memiliki cadangan baik tempat dan resource, apabila terjadi
bencana pada sistem)
 redundant hardware (misal memiliki banyak power supply)
 RAID (salah satu cara untuk menanggulangi disk failure)
 data backup (rutin melakukan backup data)

Untuk contoh dari rusaknya aspek availability sistem baru-baru ini adalah steam,
platform distribusi game digital terbesar di dunia, tidak bisa diakses atau
mengalami server down oleh serangan Distributed Denial of Service (DDoS). Padahal
pada waktu tersebut steam sedang dibanjiri pengunjung karena sedang mengadakan
winter sale.

Demikian 3 prinsip dasar pada keamanan informasi. Ketiganya (confidentiality, integrity,

availability) harus tercapai dan terlindungi untuk menciptakan suatu sistem yang bisa dibilang
aman walaupun kenyataannya tidak ada sistem yang benar-benar aman.