Senin, 13 November 2017

Keamanan Sistem Informasi

Keamanan sistem informasi �

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).

Sehingga masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap penting. Apa bila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.

Survey Information Week (USA) terhadap 1.271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. Ini membuktikan bahwa kesadaran akan masalah keamanan masih rendah.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan  hanya  boleh  diakses  oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat  menimbulkan  kerugian  bagi  pemilik  informasi. Sebagai  contoh, banyak  informasi  dalam  sebuah  perusahaan  yang  hanya  diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya  informasi  tentang  produk  yang  sedang  dalam  development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

Definisi
Keamanan sistem informasi adalah segala betuk mekanisme yang harus dijalankan dalam sebuah sistem yang ditujukan agar sistem tersebut terhindar dari segala ancaman yang membahayakan. Dalam hal ini, keamanannya melingkupi keamanan data/informasi dan keamanan pelaku sistem (user).

Beberapa bentuk serangan terhadap keamanan sistem informasi, diantaranya:

  1. Interruption
    Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
  2. Interception
    Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
  3. Modification
    Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari website dengan pesan-pesan yang merugikan pemilik web site.
  4. Fabrication
    Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan computer.

Berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut. Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah utama yaitu :
  1. Threats (Ancaman) atas sistem dan 
  2. Vulnerability (Kelemahan) atas sistem
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :
  1. Efektifitas 
  2. Efisiensi 
  3. Kerahaasiaan 
  4. Integritas 
  5. Keberadaan (availability) 
  6. Kepatuhan (compliance) 
  7. Keandalan (reliability)

Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
  1. Akses kontrol sistem yang digunakan
  2. Telekomunikasi dan jaringan yang dipakai
  3. Manajemen praktis yang di pakai
  4. Pengembangan sistem aplikasi yang digunakan
  5. Cryptographs yang diterapkan
  6. Arsitektur dari sistem informasi yang diterapkan
  7. Pengoperasian yang ada
  8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
  9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
  10. Tata letak fisik dari sistem yang ada


A. Threats (Ancaman) atas Sistem
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan siatem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari tiga hal utama, yaitu: ancaman alam, manusia dan lingkungan.
  1. Ancaman alam
    Ancaman dari alam dikategorikan menjadi:
    a. Ancaman air, seperti: banjir, tsunami, kelembaban tinggi, badai, pencairan salju
    b. Ancaman tanah, seperti: longsor, gempa bumi, gunung meletus
    c. Ancaman alam lain, seperti: kebakaran hutan, petir, tornado, angin ribut, dll.
    d. Ancaman manusia
  2. Ancaman dari manusia dikategorikan menjadi:
    a. Malicious code Malicious code adalah kode jahat/perusak atau disingkat malcodes, didefinisikan sebagai semua macam program, makro atau script (sekumpulan perintah-perintah) yang dapat diesekusi dan dibuat dengan tujuan untuk merusak sistem computer. Contoh: Trojan horses, virus, worm, dll.

    b. Social engineering Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan computer yaitu manusia, dimana setiap sistem memerlukan adanya interaksi manusia.

    c. Hacking dan Cracking Hacking dan cracking adalah bentuk aktifitas terhadap jaringan komputer maupun jaringan internet. Hacking adalah usaha untuk memasuki sebuah jaringan dengan maksud mengeksplorasi ataupun mencari kelemahan sistem jaringan secara ilegal. Pelaku hacking disebut hacker. Hacker dapat melakukan aktivitas penyusupan ke sebuah sistem komputer atau jaringan dengan tujuan merusak sistem tersebut, menerobos program komputer milik orang, mengubah program, memecahkan masalah software maupun hardware, mengakses server kemudian mengacak-acak website yang ada di server itu, dan lain sebagianya. Sedangkan cracking adalah usaha memasuki sebuah jaringan secara illegal dengan maksud mencuri, mengubah, atau menghancurkan file atau data yang disimpan di komputer-komputer yang ada di jaringan tersebut. Pelaku cracking disebut cracker. Cracker merupakan hacker yang melakukan aktivitas hacking untuk tujuan kejahatan. Cracker mengintip simpanan para nasabah di berbagai bank atau pusat data sensitif lainnya untuk keuntungan diri sendiri. Meski sama-sama menerobos keamanan komputer orang lain, hacker lebih fokus pada prosesnya. Sedangkan cracker lebih fokus untuk menikmati hasilnya.

    d. Penyuapan, pengkopian tanpa ijin, perusakan e. Peledakan, surat kaleng, perang informasi f. Ancaman lingkungan
  3. Ancaman lingkungan dapat dikategorikan sebagai berikut:
    a. Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
    b. Polusi
    c. Efek bahan kimia, seperti: obat pembunuh serangga, semprotan anti api, dll
    d. Kebocoran (misal kebocoran AC, atap bocor karena hujan)

Setiap ancaman tersebut memiliki probabilitas serangan yang beragam, baik dapat terprediksi maupun tidak dapat terprediksi, seperti gempa bumi yang dapat mengakibatkan sistem informasi mengalami mall-function. Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, dapat diminimalisir dengan baik apabila kita dapat melakukan analisis situasi dengan tepat.

B. Vulnerability (Kelemahan) atas sistem
Kelemahan adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada, sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.

Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki. Contoh yang mungkin terjadi: setting VPN yang tidak diikuti oleh penerapan NAT. VPN merupakan singkatan dari Virtual Private Network, yaitu sebuah koneksi private melalui jaringan publik (dalam hal ini internet).

NAT (Network Address Translation) adalah sebuah router yang menggantikan fasilitas sumber atau alamat IP tujuan dari paket IP karena melewati jalur router. Hal ini paling sering digunakan untuk mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik. Alamat IP (Internal Protocol) adalah deretan angka biner yang dipakai sebagai alamat identifikasi untuk tiap komputer host dalam jaringan internet, yang berfungsi menyampaikan paket data ke alamat yang tepat.

Keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.

    Choose :
  • OR
  • To comment
Tidak ada komentar:
Write komentar