Pengertian:
Keamanan
sistem informasi adalah Proteksi perlindungan atas sumber-sumber fisik dan
konseptual dari bahaya alam dan manusia yang meliputi data dan informasi.
Tujuan Keamanan Sistem Informasi
Untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi.
Untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi.
- Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan informasi.
- Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
- Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.
Dasar-dasar
Keamanan Informasi
Tujuan:
- Menjaga keamanan sumber-sumber informasi , disebut dengan Manajemen Pengamanan Informasi (information security management-ISM)
- Memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau pelanggaran keamanan, disebut dengan Manajemen Kelangsungan Bisnis (business continuity management-BCM).
Manajemen
Keamanan Informasi
1.
Manajemen keamanan informasi terdiri dari 4 tahap yaitu:
- Mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan;
- Mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut;
- Menetapkan kebijakan-kebijakan keamanan informasi; dan
- Melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan risiko keamanan informasi.
2. Ancaman dapat menimbulkan risiko yang harus dikontrol.
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan secara mendasar terhadap risiko keamanan yang dihadapi oleh
sumber-sumber informasi perusahaan.
3. Terdapat pilihan lain, yaitu standar keamanan informasi
atau benchmark. Benchmark menunjukkan model keamanan yang dianggap dan diyakini
pemerintah dan asosiasi sebagai program keamanan informasi yang baik.
Ancaman
Kemanan Sistem Informasi
1.
Ancaman terhadap keamanan informasi
berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki
potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan.
2.
Pada kenyataannya, ancaman dapat
bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau
berasal dari luar perusahaan. Ancaman dapat juga terjadi secara sengaja atau
tidak sengaja.
3.
Ancaman Internal dan Eksternal
a. Ancaman bersifat internal berasal dari para pegawai tetap, pegawai sementara, konsultan, kontraktor, dan rekan bisnis perusahaan
b. Survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan.
c. Ancaman dari dalam perusahaan mempunyai bahaya yang lebih serius dibandingkan yang dari luar perusahaan, karena kelompok internal memiliki pengetahuan yang lebih mengenai sistem di dalam perusahaan.
d. Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jika serangan terhadap keamanan terdeteksi.
e. Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
a. Ancaman bersifat internal berasal dari para pegawai tetap, pegawai sementara, konsultan, kontraktor, dan rekan bisnis perusahaan
b. Survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan.
c. Ancaman dari dalam perusahaan mempunyai bahaya yang lebih serius dibandingkan yang dari luar perusahaan, karena kelompok internal memiliki pengetahuan yang lebih mengenai sistem di dalam perusahaan.
d. Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jika serangan terhadap keamanan terdeteksi.
e. Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
4.
Ketidaksengajaan
dan Kesengajaan
a. Tidak semua ancaman berasal dari perbuatan yang disengaja
b. Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan.
a. Tidak semua ancaman berasal dari perbuatan yang disengaja
b. Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan.
Resiko
- Resiko keamanan informasi adalah hasil yang tidak
diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan
informasi.
- Semua risiko mewakili aktivitas-aktivitas yang tidak sah
atau di luar dari yang diperbolehkan perusahaan.
-
Aktivitas-aktivitas tersebut adalah:
1. Pengungkapan dan
pencurian informasi, Ketika database dan perpustakaan perangkat lunak dapat
diakses oleh orang yang tidak berhak. Misalnya, mata-mata industri dapat
memperoleh informasi kompetitif yang berharga dan penjahat komputer dapat
menggelapkan dana perusahaan
2. Penggunaan secara tidak sah, Penggunaan secara tidak sah
terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak
berhak menggunakannya, biasa disebut hacker. Misalnya, seorang hacker dapat
memperoleh akses terhadap sistem telepon dan melakukan hubungan telepon
interlokal secara tidak sah.
3.
Pengrusakan dan penolakan dan Modifikasi yang tidak dibenarkan.
Ancaman Paling Terkenal – Virus
–Dalam dunia
komputer dikenal jenis perangkat lunak yang disebut "perangkat lunak
perusak" (malacious software atau malware),
terdiri dari program atau segmen kode yang menyerang sistem dan melakukan
fungsi perusakan. Terdapat banyak jenis perangkat lunak perusak selain virus,
di antaranya worm dan Trojan horses.
–Virus merupakan
program komputer yang memperbanyak diri sendiri dan menyimpan salinannya secara
otomatis pada program lainnya dan boot sectors.
–Worm tidak
memperbanyak diri sendiri, tetapi mengirim salinannya dengan menggunakan e-mail
–Trojan horses
juga tidak memperbanyak diri. Penyebaran dilakukan oleh pengguna secara tidak
disengaja.
Manajemen Resiko
– Di awal bab,
kita telah mengidentifikasi manajemen risiko sebagai satu dari dua strategi
untuk mendapatkan keamanan informasi.
–Ada empat langkah yang diambil dalam mendefmisikan risiko,
yaitu:
1. Identifikasi
aset-aset bisnis yang harus dilindungi dari resiko.
2. Kenali resiko
3. Tentukan
tingkat-tingkat dari dampak yang ditimbulkan risiko pada perusahaan.
4. Analisis
kelemahan-kelemahan perusahaan
–Suatu
pendekatan yang sistematik dapat diambil terhadap langkah 3 dan 4, yaitu
penentuan dampak dari risiko dan analisis kelemahan perusahaan.
–Tingkat kerusakan yang
ditimbulkan risiko dapat diklasifikasikan menjadi dampak parah, dampak
signifikan dan dampak minor.
–Untuk dampak
yang parah maupun yang signifikan, perlu dilakukan analisis kelemahan
perusahaan.
• Jika tingkat kelemahan tinggi, kontrol
harus diimplementasikan untuk menghapuskan atau menguranginya.
•Jika tingkat kelemahan sedang,
kontrol dapat diimplementasikan
•Jika tingkat
kelemahan rendah, maka kontrol yang ada harus dipertahankan.
–Untuk melengkapi
analisis risiko, hal-hal yang ditemukan dalam analisis harus didokumentasikan
dalam laporan. Untuk setiap risiko, isi laporan berisi informasi sbb:
1. Deskripsi
risiko
2. Sumberrisiko
3. Tingkat
kekuatan risiko
4. Kontrol yang
diterapkan terhadap risiko
5. Pemilik
risiko
6. Tindakan yang
direkomendasikan ntuk menangani risiko
7. Batasan waktu
yang direkomendasikan untuk menangani risiko.
8. Apa yang
telah dilakukan untuk mengurangi risiko tersebut.
Kebijakan Informasi Keamanan
–Kebijakan keamanan harus diimplementasikan untuk mengarahkan
keseluruh program, sbb:
• Fase
1-Inisiasi proyek. Pembentukan Tim yang akan bertugas untuk mengembangkan kebijakan
keamanan.
• Fase
2-Kebijakan Pengembangan.Tim proyek berkonsultasi dalam menentukan
persyaratan-persyaratan yang diperlukan.
• Fase 3-Konsultasi
dan Persetujuan. Tim proyek berkonsultasi dan menginformasikan hasil temuan
kepada para manajer.
• Fase
4-Kewaspadaan dan Pendidikan. Pelatihan kewaspadaan dan program pendidikan kebijakan di
unit organisasi.
• Fase
5-Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskan dimana
kebijakan tersebut diterapkan.
Kontrol Teknis
Kontrol teknis
adalah kontrol yang dibangun di dalam sistem oleh pengembang selama siklus
hidup pengembangan sistem. Auditor internal dalam tim proyek harus memasikan
bahwa kontrol telah disertakan sebagai bagian dari perancangan sistem. Sebagian
besar kontrol keamanan berdasarkan pada teknologi perangkat keras dan perangkat
lunak. Kontrol yang biasa dipakai saat ini adalah sebagai berikut:
1.Kontrol
terhadap akses
1. Kontrol Terhadap Akses
Landasan
keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidak
berwenang adalah kontrol terhadap akses.
Kontrol terhadap
akses dilakukan melalui tiga tahap, sbb:
1. Pengenalan
otomatis pengguna Para pengguna mengidentifikasi diri mereka meng gunakan
sesuatu yang mereka kenali sebelumnya, misalnya password.
2. Pembuktian
otomatis pengguna proses identifikasi telah dilakukan, pengguna akan
memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti kartu
cerdas (smart card), chip identifikasi, dll.
3. Pengesahan otomatis pengguna Bila proses
identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi untuk
melakukan akses dengan tingkat-tingkat penggunaan tertentu.
2. Sistem
deteksi gangguan
–Logika
dasar dari sistem deteksi gangguan adalah bagaimana mengenali potensi pengganggu
keamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan
kerusakan. Contohnya adalah perangkat lunak proteksi virus (virus
protection software).
–Contoh yang lain tentang deteksi
terhadap gangguan adalah perangkat lunak yang diarahkan untuk mengidentifikasi
pengganggu potensial sebelum penggangu tersebut memiliki kesempatan untuk
menimbulkan kerusakan. Alat untuk memprediksi ancaman dari dalam perusahaaan
telah dikembangkan dengan mempertimbangkan berbagai karakteristik, seperti
posisi pegawai di perusahaan, akses terhadap data-data penting, kemampuan untuk
mengubah komponen perangkat keras, jenis aplikasi yang digunakan, file yang
dimiliki dan pemakaian protokol-protokol jaringan tertentu.
3. Firewalls
–Firewall
bertindak sebagai suatu saringan dan penghalang yang membatasi aliran
data dari internet masuk dan keluar perusahaan. Konsep yang menjadi latar
belakang firewall adalah membangun satu pengaman untuk seluruh komputer yang
ada di jaringan perusahaan. Ada tiga jenis firewall, yaitu packet-filtering,
circuit-level, dan aplication level.
–PACKET-FILTERING
FIREWALL. Firewall penyaring adalah Satu perangkat yang biasanya disertakan
ke dalam jaringan adalah router. Kelemahan router adalah bahwa router
ini merupakan satu-satunya titik yang digunakan untuk menjaga keamanan.
–CIRCUIT-LEVEL
FIREWALL. Satu tingkat diatas router adalah circuit-level
firewall atau firewall tingkat sirkuit yang di-install antara
Internet dan jaringan perusahaan, tetapi tetap memiliki kelemahan sebagai
sistem keamanan yang berpusat pada satu titik.
–APPLICATION-LEVEL FIREWALL. Firewall
tingkat aplikasi ini ditempatkan antara router dan komputer yang
melakukan aplikasi. Dengan cara ini, pemeriksaan keamanan secara penuh dapat dilakukan.
Firewall aplikasi adalah firewall yang paling efektif, tetap firewall ini
cenderung mengurangi akses terhadap sumber daya dan merepotkan programer
4. Kontrol
kriptografi
–Penyimpanan
dan transmisi data dapat dilindungi dari pemakaian secara ilegal melalui kriptografi.
Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses
matematika, sehingga pemakai ilegal hanya akan mendapatkan data berbentuk kode
yang tidak dapat dibaca.
–Kriptografi
meningkat popularitasnya sejalan dengan perkembangan penggunaan e-commerce, dan
protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan.
Salah satunya adalah SET (Secure Electronic Transactions/Pengaman
Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda
tangan digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan
dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit.
–Dengan meningkatnya popularitas e-commerce
dan pengembangan teknologi enkripsi yang berkesinambungan, penggunaan
enkripsi diperkirakan akan meningkat walaupun ada pembatasan-pembatasan yang
dilakukan pemerintah.
5. Kontrol fisik
–Langkah
pencegahan pertama terhadap gangguan ilegal dari luar adalah mengunci pintu
ruang komputer.
–Pencegahan
selanjutnya yaitu menggunakan kunci yang lebih canggih, yang hanya dapat dibuka
dengan sidik jari dan pengenalan suara.
–Selanjutnya
pengawasan menggunakan kamera dan menempatkan petugas keamanan.
–Perusahaan dapat meminimalisasi
pengawasan fisik dengan menempatkan pusat komputernya di lokasi yang jauh dari
kota besar dan pemukiman penduduk dan jauh dari daerah yang rawan terhadap
bencana alam seperti gempa bumi, banjir, dan badai
2.
Kontrol Formal
–Kontrol
formal meliputi penetapan kode, dokumentasi prosedur dan penerapannya, serta monitoring
dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah
ditetapkan.
–Kontrol
bersifat formal artinya manajemen perusahaan menyediakan waktu tertentu untuk
melaksanakannya, hasilnya didokumentasikan secara tertulis dan dalam jangka
waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang
berharga.
–Ada kesepakatan universal bahwa jika
kontrol formal ingin lebih efektif, maka manajemen tingkat atas harus mengambil
peran aktif dalam penetapan dan penerapannya.
3. Kontrol Informal
–Pengawasan informal meliputi aktivitas-aktivitas seperti
menanamkan etika kepercayaan perusahaan terhadap pegawainya, memastikan bahwa
para pegawai memahami misi dan tujuan perusahaan, mengadakan program pendidikan
dan pelatihan serta program pengembangan manajemen.
–Kontrol ini
ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung
program keamanan tersebut.
Bantuan Pemerintah dan Industri
–Beberapa dari
standar berbentuk benchmark sebagai salah satu strategi dalam manajemen
risiko. Ada juga standar yang menggunakan istilah baseline.
–Pemerintah tidak mengharuskan perusahaan dan organisasi
mengikuti standar, tapi lebih cenderung menyediakan bantuan dan arahan bila
perusahaan akan menentukan tingkat keamanan yang ingin dicapai. Beberapa contoh
standar adalah sebagai berikut:
•United
Kingdom's BS 7799. Standar yang dikeluarkan oleh negara Inggris
•BSI IT
Baseline Protection Manual, pendekatan baseline diikuti juga oleh German
Bundesamt Fur Sicherheit in der Information technik (BSI).
•COBIT. Kontrol
COBIT dikeluarkan oleh ISACAF (Information Systems Audit and Control
Association & Foundation).
•GASSP. GASSP
adalah singkatan dari Generally Accepted System Security Principles.
Dibuat oleh Lembaga Penelitian Nasional Amerika Serikat.
•GMITS. GMITS
atau The Guidelines for the Management of IT Security. Produk dari Joint
Technical Committee dari ISO (International Standards Organization).
•ISF Standard of Good Practise. The Information
Security Forum Standard of Good Practice
Manajemen Keberlangsungan Bisnis (BCM)
–Aktivitas yang
dilakukan untuk melanjutkan operasional perusahaan setelah terjadinya gangguan
dan bencana terhadap sistem informasi disebut Manajemen Keberlangsungan
Bisnis (Business Continuity Manajemen-BCM).
–Awalnya
aktivitas ini disebut sebagai disaster planning atau perencanan
ketika terjadi bencana. Istilah ini diperhalus menjadi contingency
planning atau perencanaan terhadap hal-hal di luar dugaan dan
perkiraan..
–Perusahaan
telah menemukan bahwa pendekatan dengan cara memilah dan mengembangkan rencana
menjadi sub-rencana dimana setiap sub-rencana diarahkan pada satu topik
tertentu, lebih baik dibandingkan dengan pendekatan contingency planning yang
bersifat menyeluruh. Yang termasuk sub-rencana rencana di antaranya:
1. rencana darurat,
2.rencana back up, dan
3.rencana
pencatatan kejadian-kejadian penting.