BAB 9
Keamanan Informasi
Pendahuluan
Semua organisasi memiliki kebutuhan untuk
menjaga agar sumber daya informasi mereka aman. Kalangan industry telah lama
menyadari kebutuhan untuk menjaga keamanan dari para criminal computer, dan
sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara
untuk memerangi terorisme. Ketika organisasi organisasi ini
Keamanan
informasi ditujukan untuk mendapat kan kerahasiaan ketersediaan, serta
intergritas pada semua sumber daya informasi perusahaan bukan hanya peranti
keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian,
yang disebut manajemen keamanan informasi (information security – ism) dan persiapan persiapan operasional setelah suatu
bencana, yang disebut dengan manajemen keberlangsungan bisnis (business
continuity management – BCM).
Ada tiga jenis
pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan akses,
firewall, cryptography, dan pengendalian fisik. Pengendalian formal bersifat
tertulis dan memiliki harapan hidup jangka panjang. Pengendalian informal di
tujukan untuk menjaga agar para karyawan perusahaan memahami dan mendukung
kebijakan kebijakan keamanan.
KEBUTUHAN ORGANISASI
AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi
semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang
bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar.
Pemerintah federal
amerika serikat sekarang menerapkan pencegahan dan pengadilan yang serupa,
melalui otoritas patriot Act (undang undang patriot) dan office of homeland
security (dinas keamanan dalam negri).
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industry mulai
menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian
nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka
istilah kemanan sistem (system security) pun digunakan. Focus sempit ini
kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data, namun
juga peranti lunak, fasilitas computer, dan personel. Kini, cakupannya telah
meluas hingga mencakup semua jenis data – bukan hanya data didalam computer.
Istilah kemanan informasi (information security) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas,
data, dan informasi dari penyalah gunaan pihak pihak yang tidak berwenang.
Definisi yang luas ini mencakup peralatan seperti mesin fotocopy dan mesin fax
serta semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan
Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama :
kerahasiaan, ketersediaan, dan integritas.
-
Kerahasiaan. Perusahaan berusaha untuk melindungi data
dan informasinya dari pengungkapan kepada orang orang yang tidak berwenang.
-
Ketersediaan. Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi sedia bagi pihak pihak yang
memiliki wewenang untuk menggunakannya Integritas. Semua sistem informasi harus memberikan
referentasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan
Informasi
Manajemen
tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun
juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebol nya sistem keamanan. Aktivitas untuk menjaga agar
sumber daya informasi tetap aman disebut manajemen kemanan informasi
(information security management – ISM),
CIO adalah orang
yang tepat untuk memikul tanggung jawab atas keamanan informasi, namun
kebanyakan organisasi mulai menunjuk orang orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini.
MANAJEMEN KEAMANAN
INFORMASI
•
Pada bentuknya yang paling
dasar, manajemen kemanan informasi terdiri atas empat tahap : mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan
resiko yang dapat disebabkan oleh ancaman ancaman tersebut; menentukan kebijakan
keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi
resiko resiko tersebut.Tolak ukur (benchmark) adalah tingkat kinerja yang
disarankan. Seperti
halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung
jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya
informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar
tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas
untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan
informasi ( informatian security management – ISM ).
ANCAMAN
Ancaman
keamanan informasi (information security threat) adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahagiakan sumber daya
informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi,
adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau
beberapa orang diluar perusahaan tersebut yang melakukan tindakan yang
disengaja. Pada kenyataanya, ancaman dapat bersifat internal serta eksternal,
dan dapat bersifat tidak disengaja maupun disengaja.
Ancaman Internal dan
Eksternal
Ancaman internal mencakup bukan hanya
karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan
bahkan mitra bisnis perusahaan tersebut. Survey yang dilakukan oleh computer
security institute menemukan bahwa 49% koresponden menghadapi insiden keamanan
yang disebabkan oleh tindakan para pengguna yang sah; proporsi kejahatan
computer yang dilakukan oleh karyawan diperkirakan mencapai 81%.
Tindakan Kecelakaan
dan Disengaja
Tidak semua ancaman merupakan tindakan
disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan, yang disebabkan oleh orang orang didalam ataupun diluar perusahaan.
Sama halnya dimana keamanan informasi harus ditujukan untuk mencegah ancaman
yang disengaja, sistem keamanan harus mengeliminasi atau mengurangi kemungkinan
terjadi nya kerusakan yang disebabkan terjadinya kecelakaan.
JENIS ANCAMAN
Semua orang pernah mendengar mengenai virus
computer. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang
menyandang nama peranti lunak yang berbahaya (malicious software) malicious
software, atau malware terdiri atas program program lengkap atau segmen segmen
kode yang dapat menyerang suatu sistem dan melakukan fungsi fungsi yang tidak
diharapkan oleh pemilik sistem. Fungsi fungsi tersebut dapat menghapus file
atau menyebabkan sistem tersebut
berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus,
terdapat pula worm, Trojan horse, adware, dan spyware.
Virus adalah
program computer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program program dan boot
sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya
sendiri didalam sistem, tapi dapat menyebarkan salinan nya melalui email.
Trojan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan
dirinya sendiri; si pengguna menyebarkannya sebagai suatu perangkat.
RISIKO
Risiko
keamanan informasi (information security risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko risiko seperti ini dibagi menjadi 4 jenis : pengungkapan informasi yang
tidak terotorisasi dan pencurian, penggangguan yang tidak terotorisasi,
penghancuran yang tidak terotorisasi dan penolakan layanan, serta modifikasi
yang tidak terotorisasi.
Pengungkapan
Informasi yang Tidak Terotorisasi dan Pencurian
Ketika suatu
basis data dan perpustakaan peranti lunak tersedia bagi orang orang yang
seharusnya tidak berhak memiliki akses, hasilnya adalah hilang nya informasi
atau uang. Sebagai contoh, mata mata industry dapat memperoleh informasi
mengenai kompetisi yang berharga, dan criminal computer dapat menyelundupkan
dana perusahaan.
Penggunaan yang Tidak
Terotorisasi
Penggunaan yang tidak terotorisasi terjadi
ketika orang orang yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut. Contoh kejahatan computer tipe ini
adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang
harus diatasi. Hacker misalnya, dapat memasuki jaringan computer sebuah
perusahaan, mendapatkan akses kedalam sistem telepon, dan melakukan sambungan
telepon jarak jauh tanpa otorisasi.
Penghancuran yang
Tidak Terotorisasi dan Penolakan Layanan
Seseorang dapat merusak atau menghancurkan
peranti keras atau peranti lunak, sehingga menyebabkan operasional computer
perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat computer bahkan
tidak harus berada di lokasi fisik tersebut.
Modifikasi yang Tidak
Terotorisasi
Perubahan dapat dilakukan pada data,
informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil
keputusan yang salah.
PERSOALAN E-COMMERCE
e-Commerce (perdagangan elektronik) telah
memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah
perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari
permalsuan kartu kredit.
MANAJEMEN RISIKO
Sebelumnya, manajemen resiko diidentifikasi
sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat
dikelola dengan cara mengendalikan atau menghilangkan resiko atau mengurangi
dampaknya. Pendefinisian resiko terdiri atas empat langkah :
1.Identifikasi asset asset bisnis yang harus dilindungi
dari resiko.
2. Menyadari resikonya.
3.Menentukan tingkatan dampak pada perusahaan jika resiko
benar benar terjadi.
4. Menganalisis kelemahan perusahaan tersebut.
Tingkat
keparahan dampak dapat di klasifikasikan menjadi dampak yang parah (severe
impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan
tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan
kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat;
atau dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan yang
terjadi dalam operasional sehari hari. Baik untuk resiko parah maupun
signifikan, analisis kelemahan harus dilaksanakan.
KEBIJAKAN KEAMANAN
INFORMASI
Dengan mengabaikan bahwa apakah perusahaan
mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak ukur maupun
tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruh
program perusahaan dapat menerapkan kebijakan keamanan nya dengan mengikuti
pendekatan yang bertahap.
PENGENDALIAN
Pengendalian (control) adalah mekanisme yang
diterapkan baik untuk melindungi perusahaan dari resiko atau untuk
memiminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut
terjadi. Pengendalian dibagi menjadi 3 kategori : teknis, formal, dan informal.
PENGENDALIAN TEKNIS
PENGENDALIAN TEKNIS
Pengendalian teknis (technical control)
adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh para
penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang
auditor internal didalam team proyek merupakan satu cara yang amat baik untuk
menjaga agar mengendalian semacam ini menjadi bagian dari desain sistem.
Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi
peranti keras dan lunak.
PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara
berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan
serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian
ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunya, mendokumentasikanya dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal mencakup program
program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian
ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta
mendukung program keamanan tersebut.
MENCAPAI TINGKAT
PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian – teknis, formal,
dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik bisnis
yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan
biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus di
tetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan untuk
mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi
dalam beberapa industry terdapat pula pertimbangan pertimbangan lain.
STANDAR INDUSTRI
The center for internet security (CIS) adalah
organisasi nirlaba yang didedikasikan untuk membantu para pengguna computer
guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk –
CIS benchmarks dan CIS Scoring Tools. CIS Benchmark membantu para pengguna
untuk mengamankan sistem informasi mereka dengan cara menerapkan pengendalian
khusus teknologi. CIS scoring tools member kemampuan bagi pengguna untuk
menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan
laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem.
MELETAKKAN MANAJEMEN
KEAMANAN INFORMASI PADA TEMPATNYA
Perusahaan
harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan
pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan
resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi
industry
MANAJEMEN
KEBERLANGSUNGAN BISNIS
Aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan
bisnis (business continuity management – BCM). Pada tahun tahun awal pengunaan
computer, aktivitas ini disebut perencanaan bencana (disaster planning), namun
istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi
popular. Elemen penting dalam perencanaan kontinjensi adalah rencana kontijensi
(contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan
secara detail tindakan tindakan yang harus dilakukan jika terjadi gangguan,
atau ancaman gangguan, pada operasi komputasi perusahaan.
Ref:
RaymondMcLeod, Jr.
George P. Schell edisi 10
George P. Schell edisi 10
terimakasih sangat membantu
BalasHapus