Konsep Keamanan Informasi

Pengertian
• Merupakan aktivitas untuk menjaga agar sumber daya informasi tetap
aman
• Manajemen tidak hanya diharapkan untuk menjaga sumber daya
informasi aman, namun juga diharapkan untuk menjaga perusahaan
tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya
sistem keamanan
tahapan keamanan manajemen informasi :
• Mengidentifikasi ancaman yang dapat menyerang sumber daya
informasi perusahaan.
• Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman
tersebut.
• Menentukan kebijakan keamanan informasi.
• Mengimplementasikan pengendalian untuk mengatasi risiko-risiko
tersebut
Strategi Manajemen Keamanan Informasi :
• Manajemen Risiko (Risk Management)
• Dibuat Untuk menggambarkan pendekatan dimana tingkat keamanan
sumber daya informasi perusahaan dibandingkan dengan risiko yang
dihadapinya.
• Tolak Ukur
• Adalah tingkat keamanan yang disarankan dalam keadaan normal
harus memberikan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi.
Ancaman Keamanan Informasi
• Ancaman Internal
• Ancaman internal bukan hanya mencakup karyawan perusahaan,
tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra
bisnis perusahaan tersebut.
• Ancaman Eksternal
• Misalnya perusahaan lain yang memiliki produk yang sama dengan
produk perusahaan kita atau disebut juga pesaing usaha.
Jenis- Jenis Ancaman:
• Virus
• Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si
pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
• Worm
• Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat
menyebarkan salinannya melalui e-mail
• Trojan Horse
• Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan
sebagai perangkat
• Adware
• Program yang memunculkan pesan-pesan yang mengganggu
• Spyware
• Program yang mengumpulkan data dari mesin pengguna
Serangan-serangan dalam Keamanan Informasi
• 1. Serangan untuk mendapatkan akses
• Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
• Teknik mencoba semua kemungkinan password
• Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama anak,
tanggal lahir
• 2. Serangan untuk melakukan modifikasi
• Setelah melakukan serangan akses biasanya melakukan sesuatu
pengubahan untuk mendapatkan keuntungan. Contoh:
• Merubah nilai
• Penghapusan data hutang di bank
• 3. Serangan untuk menghambat penyediaan layanan
• Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah
atau pengaruh luas dan kuat untuk mengakses sebuah informasi.
Misal:
• Mengganggu aplikasi
• Mengganggu system
• Mengganggu jaringan
Aspek keamanan sistem informasi
• Authentication : agar penerima informasi dapat memastikan keaslian
pesan tersebut datang dari orang yang dimintai informasi.
• Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat
dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang
tidak berhak dalam perjalanan informasi tersebut.
• Authority : Informasi yang berada pada sistem jaringan tidak dapat
dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
• Confidentiality : merupakan usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses.
• Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).
Aspek ancaman keamanan komputer atau
keamanan sistem informasi
• Interruption : informasi dan data yang ada dalam sistem komputer dirusak
dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak
ada lagi.
• Interception : Informasi yang ada disadap atau orang yang tidak berhak
mendapatkan akses ke komputer dimana informasi tersebut disimpan.
• Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas
informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
• Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang
ada sehingga orang yang menerima informasi tersebut menyangka
informasi tersebut berasal dari orang yang dikehendaki oleh si penerima
informasi tersebut.
Metodologi Keamanan Sistem Informasi
• Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari
komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka
data-data bahkan hardware komputer sendiri tidak dapat diamankan.
• Keamanan level 1 : terdiri dari database, data security, keamanan dari PC
itu sendiri, device, dan application. Contohnya : jika kita ingin database
aman, maka kita harus memperhatikan dahulu apakah application yang
dipakai untuk membuat desain database tersebut merupakan application
yang sudah diakui keamanannya seperti oracle. Selain itu kita harus
memperhatikan sisi lain yaitu data security. Data security adalah cara
mendesain database tersebut. Device security adalah alat-alat apa yang
dipakai supaya keamanan dari komputer terjaga. Computer security adalah
keamanan fisik dari orang-orang yang tidak berhak mengakses komputer
tempat datadase tersebut disimpan.
• Keamanan level 2 : adalah network security. Komputer yang terhubung
dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu
keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan,
akses ilegal yang dapat merusak keamanan data tersebut.
• Keamanan level 3 : adalah information security. Keamanan informasi yang
kadang kala tidak begitu dipedulikan oleh administrator seperti
memberikan password ke teman, atau menuliskannya dikertas, maka bisa
menjadi sesuatu yang fatal jika informasi tersebut diketahui oleh orang
yang tidak bertanggung jawab.
• Keamanan level 4 : merupakan keamanan secara keseluruhan dari
komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis
keamanan untuk level 4 sudah aman
Cara mendeteksi suatu serangan atau
kebocoran sistem
• Desain sistem : desain sistem yang baik tidak meninggalkan celah-celah yang
memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.
• Aplikasi yang Dipakai : aplikasi yang dipakai sudah diperiksa dengan seksama untuk
mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses
tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah mendapatkan
kepercayaan dari banyak orang.
• Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak
lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan
good practice standard seperti Standard Operating Procedure (SOP) haruslah diterapkan
di samping memikirkan hal teknologinya.
• Manusia (Administrator) : manusia adalah salah satu fakor yang sangat penting, tetapi
sering kali dilupakan dalam pengembangan teknologi informasi dan dan sistem
keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan pengguna
malah menuliskannya pada kertas yang ditempelkan di dekat komputer. Oleh karena itu,
penyusunan kebijakan keamanan faktor manusia dan budaya setempat haruslah sangat
diperhatikan.
Langkah keamanan sistem informasi
• Aset : Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai
implementasi keamanan komputer. Contohnya: ketika mendesain sebuah website e-commerce
yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting,
seperti pengamanan nama, alamat, ataupun nomor kartu kredit.
• Analisis Resiko : adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang
potensial yang bisa mengakibatkan suatu sistem dirugikan.
• Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu
suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada
suatu server yang sudah dilindungi oleh firewall.
• Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal
keamanan karena tool yang digunakan harus benar-benar aman.
• Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus
membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada
tahap awal harus diamankan dengan firewall atau lainnya yang mendukung suatu sistem
keamanan.
Strategi dan taktik keamanan sistem informasi
• Keamanan fisik : lapisan yang sangat mendasar pada keamanan sistem informasi
adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem.
Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
• Kunci Komputer : banyak case PC modern menyertakan atribut penguncian.
Biasanya berupa soket pada bagian depan case yang memungkinkan kita
memutar kunci yang disertakan ke posisi terkunsi atau tidak.
• Keamanan BIOS : BIOS adalah software tingkat terendah yang mengonfigurasi
atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah
orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer
kita.
• Mendeteksi Gangguan Keamanan Fisik : hal pertama yang harus diperhatikan
adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat
dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-
upgrade SO, menukar hardware dan sejenisnya.