BAB 9
Keamanan Informasi
Keamanan Informasi
Pendahuluan
Semua organisasi
memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman.
Kalangan industry telah lama menyadari kebutuhan untuk menjaga keamanan dari
para criminal computer, dan sekarang pemerintah telah mempertinggi tingkat
keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi
organisasi ini mengimplementasikan pengendalian keamanan isu isu utama mengenai
keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan
untuk mendapat kan kerahasiaan ketersediaan, serta intergritas pada semua
sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen
keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen
keamanan informasi (information security – ism) dan persiapan persiapan operasional setelah suatu
bencana, yang disebut dengan manajemen keberlangsungan bisnis (business
continuity management – BCM).
Ada tiga jenis pengendalian
yang tersedia. Pengendalian teknis terdiri atas pembatasan akses, firewall,
cryptography, dan pengendalian fisik. Pengendalian formal bersifat tertulis dan
memiliki harapan hidup jangka panjang. Pengendalian informal di tujukan untuk
menjaga agar para karyawan perusahaan memahami dan mendukung kebijakan
kebijakan keamanan.
KEBUTUHAN ORGANISASI
AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa
kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber
daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman
baik dalam dan luar. Sistem computer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika
sejumlah instalasi computer dirusak oleh para pemrotes. Pengalaman ini
menginspirasi kalangan industri.
Pemerintah federal amerika
serikat sekarang menerapkan pencegahan dan pengadilan yang serupa, melalui
otoritas patriot Act (undang undang patriot) dan office of homeland security
(dinas keamanan dalam negri). Pendekatan pendekatan yang dimulai oleh kalangan
industry dicontoh dan diperluas.
KEAMANAN INFORMASI
Saat pemerintah dan
kalangan industry mulai menyadari kebutuhan untuk mengamankan sumber daya
informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan
peranti keras dan data, maka istilah kemanan sistem (system security) pun
digunakan. Focus sempit ini kemudian diperluas sehingga mencakup bukan hanya
peranti keras dan data, namun juga peranti lunak, fasilitas computer, dan
personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data –
bukan hanya data didalam computer. Istilah kemanan informasi (information
security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer
dan non computer, fasilitas, data, dan informasi dari penyalah gunaan pihak
pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti
mesin fotocopy dan mesin fax serta semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan
Informasi
Keamanan informasi ditujukan
untuk mencapai tiga tujuan utama : kerahasiaan, ketersediaan, dan integritas.
-
Kerahasiaan. Perusahaan berusaha untuk
melindungi data dan informasinya dari pengungkapan kepada orang orang yang
tidak berwenang.
-
Ketersediaan. Tujuan dari infrastruktur
informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak
pihak yang memiliki wewenang untuk menggunakannya.
-
Integritas. Semua sistem informasi harus
memberikan referentasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan
Informasi
Seperti halnya
cakupan keamanan informasi telah meluas, demikian juga pandangan akan tanggung
jawab manajemen. Manajemen tidak hanya diharapkan untuk menjaga agar sumber
daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut
agar tetap berfungsi setelah suatu bencana atau jebol nya sistem keamanan.
Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen
kemanan informasi (information security management – ISM), sedangkan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi
setelah adanya bencana disebut manajemen berlangsungan bisnis (business
continuity management – BCM).
CIO adalah orang yang tepat
untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan
organisasi mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian
penuh terhadap aktivitas ini.
MANAJEMEN KEAMANAN
INFORMASI
Pada bentuknya yang
paling dasar, manajemen kemanan informasi terdiri atas empat tahap :
mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan;
mendefinisikan resiko yang dapat disebabkan oleh ancaman ancaman tersebut;
menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian
untuk mengatasi resiko resiko tersebut.
Terdapat pilihan lain untuk
merumuskan kebijakan kemanan informasi suatu perusahaan. Pilihan ini telah
menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar
atau tolak ukur keamanan informasi. Tolak ukur (benchmark) adalah tingkat
kinerja yang disarankan.
ANCAMAN
Ancaman keamanan informasi
(information security threat) adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahagiakan sumber daya informasi
perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu
yang alami jika kita membayangkan beberapa kelompok atau beberapa orang diluar
perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataanya,
ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak
disengaja maupun disengaja.
Ancaman Internal dan
Eksternal
Ancaman internal
mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer,
konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survey yang
dilakukan oleh computer security institute menemukan bahwa 49% koresponden
menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang
sah; proporsi kejahatan computer yang dilakukan oleh karyawan diperkirakan
mencapai 81%.
Tindakan Kecelakaan
dan Disengaja
Tidak semua ancaman
merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa
merupakan kecelakaan, yang disebabkan oleh orang orang didalam ataupun diluar
perusahaan. Sama halnya dimana keamanan informasi harus ditujukan untuk
mencegah ancaman yang disengaja, sistem keamanan harus mengeliminasi atau
mengurangi kemungkinan terjadi nya kerusakan yang disebabkan terjadinya
kecelakaan.
JENIS ANCAMAN
Semua orang pernah
mendengar mengenai virus computer. Sebenarnya, virus hanyalah salah satu contoh
jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya
(malicious software) malicious software, atau malware terdiri atas program
program lengkap atau segmen segmen kode yang dapat menyerang suatu sistem dan
melakukan fungsi fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi
fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis
peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse,
adware, dan spyware.
Virus adalah program computer
yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program program dan boot sector lain. Tidak
seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam
sistem, tapi dapat menyebarkan salinan nya melalui email. Trojan horse (kuda
troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si
pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut
digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak diinginkan
dalam fungsionalitas sistem tersebut. Adware memunculkan pesan pesan iklan yang
mengganggu, dan spyware mengumpulkan data dari mesin pengguna. Dari beragam
jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal
2005, setelah menyadari besarnya masalah masalah ini, Microsoft memutuskan
untuk memasuki perang anti spyware. Situs Web MSN Korea selatan diserang pada
juni 2005, dan serangan ini tidak ditemukan slama berhari hari.
RISIKO
Risiko keamanan informasi
(information security risk) didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko risiko seperti
ini dibagi menjadi 4 jenis : pengungkapan informasi yang tidak terotorisasi dan
pencurian, penggangguan yang tidak terotorisasi, penghancuran yang tidak
terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.
Pengungkapan
Informasi yang Tidak Terotorisasi dan Pencurian
Ketika suatu basis data dan
perpustakaan peranti lunak tersedia bagi orang orang yang seharusnya tidak
berhak memiliki akses, hasilnya adalah hilang nya informasi atau uang. Sebagai
contoh, mata mata industry dapat memperoleh informasi mengenai kompetisi yang
berharga, dan criminal computer dapat menyelundupkan dana perusahaan.
Penggunaan yang Tidak
Terotorisasi
Penggunaan yang tidak
terotorisasi terjadi ketika orang orang yang biasanya tidak berhak menggunakan
sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan computer tipe
ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan
yang harus diatasi. Hacker misalnya, dapat memasuki jaringan computer sebuah
perusahaan, mendapatkan akses kedalam sistem telepon, dan melakukan sambungan
telepon jarak jauh tanpa otorisasi.
Penghancuran yang
Tidak Terotorisasi dan Penolakan Layanan
Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga
menyebabkan operasional computer perusahaan tersebut tidak berfungsi. Dalam hal
ini penjahat computer bahkan tidak harus berada di lokasi fisik tersebut.
Modifikasi yang Tidak
Terotorisasi
Perubahan dapat
dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa
perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output
sistem tersebut mengambil keputusan yang salah.
PERSOALAN E-COMMERCE
e-Commerce (perdagangan
elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan
dari permalsuan kartu kredit.
MANAJEMEN RISIKO
Sebelumnya, manajemen
resiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan resiko
atau mengurangi dampaknya. Pendefinisian resiko terdiri atas empat langkah :
1. Identifikasi
asset asset bisnis yang harus dilindungi dari resiko.
2.
Menyadari resikonya.
3.
Menentukan tingkatan dampak pada perusahaan
jika resiko benar benar terjadi.
4. Menganalisis
kelemahan perusahaan tersebut.
Tingkat keparahan dampak
dapat di klasifikasikan menjadi dampak yang parah (severe impact), membuat
perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan
biaya yang signifikan, tetapi perusahaan tersebut akan selamat; atau dampak
minor (minor impact), menyebabkan kerusakan yang mirip dengan yang terjadi
dalam operasional sehari hari. Baik untuk resiko parah maupun signifikan,
analisis kelemahan harus dilaksanakan. Ketika analisis tersebut mengindikasikan
kelemahan tingkat tinggi (terdapat kelemahan substansial di dalam sistem), maka
pengendalian harus diimplementasikan untuk mengeliminasi atau mengurangi
kelemahan tersebut.
KEBIJAKAN KEAMANAN
INFORMASI
Dengan mengabaikan
bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan
terhadap tolak ukur maupun tidak, suatu kebijakan keamanan harus diterapkan
untuk mengarahkan keseluruh program perusahaan dapat menerapkan kebijakan
keamanan nya dengan mengikuti pendekatan yang bertahap.
PENGENDALIAN
Pengendalian
(control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan
dari resiko atau untuk memiminimalkan dampak resiko tersebut pada perusahaan
jika resiko tersebut terjadi. Pengendalian dibagi menjadi 3 kategori : teknis,
formal, dan informal.
PENGENDALIAN TEKNIS
PENGENDALIAN TEKNIS
Pengendalian teknis
(technical control) adalah pengendalian yang menjadi satu didalam sistem dan
dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.
Melibatkan seorang auditor internal didalam team proyek merupakan satu cara
yang amat baik untuk menjaga agar mengendalian semacam ini menjadi bagian dari
desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi
peranti keras dan lunak.
PENGENDALIAN FORMAL
Pengendalian formal
mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang
berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak
waktu untuk menyusunya, mendokumentasikanya dalam bentuk tulisan, dan
diharapkan untuk berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal
mencakup program program pelatihan dan edukasi serta program pembangunan
manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGKAT
PENGENDALIAN YANG TEPAT
Ketiga jenis
pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena
bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak
uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan
terjadi, maka pengendalian harus di tetapkan pada tingkatan yang sesuai. Dengan
demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya
versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan
pertimbangan lain.
STANDAR INDUSTRI
The center for
internet security (CIS) adalah organisasi nirlaba yang didedikasikan untuk
membantu para pengguna computer guna membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk – CIS benchmarks dan CIS Scoring Tools. CIS
Benchmark membantu para pengguna untuk mengamankan sistem informasi mereka
dengan cara menerapkan pengendalian khusus teknologi. CIS scoring tools member
kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya
dengan tolak ukur, dan menyiapkan laporan yang mengarahkan pengguna dan
administrator sistem untuk mengamankan
sistem.
MELETAKKAN MANAJEMEN
KEAMANAN INFORMASI PADA TEMPATNYA
Perusahaan harus mencanangkan
kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian.
Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan resiko ataupun
berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry
MANAJEMEN
KEBERLANGSUNGAN BISNIS
Aktivitas yang
ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan bisnis (business continuity
management – BCM). Pada tahun tahun awal pengunaan computer, aktivitas ini
disebut perencanaan bencana (disaster planning), namun istilah yang lebih
positif, perencanaan kontinjensi (contingency plan), menjadi popular. Elemen
penting dalam perencanaan kontinjensi adalah rencana kontijensi (contingency
plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail
tindakan tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman
gangguan, pada operasi komputasi perusahaan.
Tidak ada komentar:
Posting Komentar