Boundary

Control

Agnes Advensia C, SE, M.Si, Akt

Boundary
Subsystem
Suatu subsistem yg
diciptakan sbg
penghubung orang
dengan sistem
komputer
Jenis Pengendalian
Boundary
1. Pengendalian
Kriptografi
2. Pengendalian Akses
Pengendalian
Kriptografi
Enkripsi
proses yang melakukan
perubahan sebuah kode
dari yang bisa dimengerti
(cleartext) menjadi kode
yang tidak bisa dimengerti
/ dibaca.
• Teknik enkripsi / pengkodean yang
digunakan dalam keamanan komputer
adalah CHEAPER
• Cheaper menggunakan suatu algoritma
yang dapat menkodekan seluruh aliran data
dari sebuah pesan menjadi Chryptogram
yang tidak dapat dimengerti
• Nomor kartu kredit, password
• Penting untuk data yang di-transmit dalam
jaringan
Proses Kriptografi
Contoh algoritma sederhana
Algoritma yang akan mengubah semua karakter menjadi
karakter nomor 3 setelahnya (karakter 3+).
Jika pesan asli (cleartext / plaintext) adalah ”KOTA” maka
algoritma akan mengubah:
huruf K ditambah 3 karakter menjadi N
huruf O ditambah 3 karakter menjadi R
huruf T ditambah 3 karakter menjadi W
huruf A ditambah 3 karakter menjadi D
Sehingga pesan menjadi bentuk ter-enkripsi (chipertext)
adalah NRWD.
Jenis Kriptografi
• Menggunakan 1 kunci
1. Kriptografi Kunci
• Share kunci
Privat / Kriptografi
• Kelemahan : kunci harus
Simetris dikirim kepada penerima
pesan
2. Kriptografi Kunci
Publik / Kriptografi
Asimetris
• Menggunakan 2 kunci : kunci publik & kunci privat
• Lebih aman
• Kelemahan : waktu proses lebih lama
3. Kriptografi Satu
Arah / Algoritma
Hash
Proses Hash
DIGITAL SIGNATURE
Pengendalian
Akses
Mekanisme Proses
Pengendalian Identifikasi

Akses
Proses
Otentifikasi

Proses
Otorisasi
 Tujuan pengendalian Akses

1. Authentic User
Objek yang dapat
digunakan untuk
Identifikasi &
Otentifikasi

• Informasi yang dapat

diingat
• Objek yang dimiliki

• Karakteristik personal
(Biometric)
Contoh kombinasi proses
identifikasi dan otentifikasi
Proses identifikasi : menggunakan user name
Proses otentifikasi : menggunakan password

Proses identifikasi : menggunakan kartu seperti kartu kredit,

kartu ATM
Proses otentifikasi : menggunakan PIN (Personal
Identification Number)
Kendala Penggunaan Password
1. Untuk mengingat password, pengguna menulis atau mencatat password
2. Pengguna memilih password yang mudah diingat, seperti nama baik nama
sendiri atau nama anggota keluarga, tanggal lahir.
3. Pengguna tidak mengganti password untuk waktu yang lama atau bahkan
tidak pernah mengganti sama sekali
4. Pengguna kurang menyadari krusialnya password
5. Pengguna memberitahukan password kepada teman atau kerabat
6. Mekanisme pengendalian yang tidak menyimpan password dalam bentuk
enkripsi
7. Password tidak diganti ketika pengguna sudah keluar dari organisasi
8. Password ditransmit via jaringan komunikasi dalam bentuk teks (clear text)
2. Authentic
Resources
Authetic Resource

Klasifikasi Sumber Contoh

Daya
Perangkat Keras Terminal, printer, processor,
disk, jaringan
Perangkat Lunak Program aplikasi

Data File, grup file, item-item data

3. Authentic Ways

• add
• edit
• delete
• retrieve
 Mekanisme untuk mengatur kewenangan
ACTION user (sumber daya dan tindakan yang
diperbolehkan untuk masing-masing
PRIVILEGES
user)

Resources Action Privileges

Perangkat Keras Batasan akses pada tiap terminal komputer

Perangkat Lunak Batasan akses pada tiap program aplikasi,

menu, sub menu
Data Batasan akses pada tiap file, data, grup data
ACTION PRIVILEGES PADA DATA

Batasan Contoh

Pada FILE Kasir tidak dapat akses data karyawan

Pada RECORD Kepala cabang dapat membaca data

karyawan termasuk gajinya tetapi hanya
karyawan kantor cabangnya

Pada FIELD Karyawan dapat melihat data karyawan

kecuali data gaji
MATRIKS PENGENDALIAN AKSES

Fungsi User User Priveleges

ID Password Hardware Apllication Action
Cashier Didi ******* POS (point Sales Input (add)
of sale)
terminal
Chief of Caca ******* POS (point Sales Edit,
Cahier of sale) Delete
terminal
Accounting Lala ******* Accounting All Retrieve
terminal (read)
Memorial Input
Journal
 Social Engineering
 Social Engineering adalah sebuah teknik pendekatan yang memanfaatkan aspek-
aspek sosial di dunia komputer dan internet.
 Teknik ini biasanya digunakan untuk mendapatkan data-data pribadi seseorang
untuk keperluan yang negatif seperti pencurian rekening bank, pencurian
password, pencurian akun-akun tertentu atau kejahatan teknologi yang
berpotensi lainnya.
 Memanfaatkan unsur “manusiawi”
‼ Never let prople follow you into the restricted area
‼ Never log in for someone else on a computer, especially if you have
administrative access
‼ Never give sensitive information over the phone or through e-mail
‼ Never share password or user Ids
‼ Be cautions of enyone you do not know is trying to gain access through you
https://www.youtube.com/watch?v=D7BZkubZOFY
Kebijakan Discretionary
Pengendalian
Akses Mandatory
Fokus Auditor
Menilai mekanisme
pengendalian akses dalam
menjamin keamanan akses dan
menjamin integritas data

EKSISTENSI

KONSISTENSI
ANTAR MEKANISME
PENGENDALIAN

EFEKTIVITAS
PERSONAL IDENTIFICATION
NUMBER

otentifikasi
Daur Hidup PIN
Derived PIN
Akun  kriptografi  PIN
• tidak perlu disimpan
• jika user lupa harus ganti akun

PEMBUATA Random PIN

N PIN Kombinasi nomor acak
• perlu penyimpanan
• jika user lupa tidak perlu ganti akun

Customer-Selected
PIN
Dibuat oleh user  lemah

Pengendalian harus diterapkan di sepanjang daur hidup PIN

Daur Hidup PIN

Umumnya dengan surat

DISTRIBUS
I PIN kepada
PELANGG Pengiriman PIN terpisah
AN dengan KARTU

Pengendalian harus diterapkan di sepanjang daur hidup PIN

Daur Hidup PIN

Maksimal kesempatan user

memasukkan PIN :
VALIDA • toleransi bagi user jika lupa PIN
SI PIN • risiko : peluang untuk trial  maka
PIN jangan terlalu pendek

Kartu dimusnahkan Kartu ditarik

atau dikembalikan oleh mesin
kepada user ?

Pengendalian harus diterapkan di sepanjang daur hidup PIN

Daur Hidup PIN

Transmisi Dilakukan enkripsi sebelum PIN

pin ditransmisikan

pemrosesan Enkripsi  dekripsi  pembandingan

PIN dengan data PIN (sebaiknya dlm format
enkripsi)

Pengendalian harus diterapkan di sepanjang daur hidup PIN

Daur Hidup PIN

Penyimpana Simpan dlm format enkripsi (irreversable

atau reversable encryption)
n PIN

Dilakukan oleh user

pengubahan Pada sistem bersama (interchange system)
PIN hanya dpt dilakukan di sistem institusi

Pengendalian harus diterapkan di sepanjang daur hidup PIN

Daur Hidup PIN

penggantian • Jika user lupa

PIN • Jika PIN bocor

Terminasi • Jika pelanggan menutup rekening

PIN • Seluruh jejak PIN dalam sistem harus

dihapus

Pengendalian harus diterapkan di sepanjang daur hidup PIN

 PLASTIC CARD

Permintaan kartu Penyiapan kartu

Penggunaan kartu
Penerbitan kartu

Pengembalian &
Pemusnahan
kartu
 Systems Recovery Plan
• Rencana tindakan pemulihan sistem
• Diperlukan sebagai antisipasi risiko
kegagalan sistem (sistem down, bencana
alam)
 Jejak Audit (Audit Trail)
Operation Audit
Accounting Audit Trail
•Identitas user yg akan akses
Trail
•Otentifikasi yg dilakukan
•Sumber daya yg diminta
•Action privileges yg diminta
•Identitas terminal
•Waktu (mulai & berakhir)
•Jlh usaha sign on
•Sumber daya yg diberi/ditolak
•Action privileges yg diberi/ ditolak