Manajemen Keamanan Informasi
Manajemen Keamanan Informasi
Manajemen keamanan
informasi menjadi penting diterapkan agar informasi yang beredar di perusahaan
dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan
berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan
layanan yang terbaik kepada pelanggan. ISM terdiri dari empat langkah:
•
Identifikasi threats (ancaman) yang dapat menyerang
sumber daya informasi perusahaan
•
Mendefinisikan resiko dari ancaman yang dapat
memaksakan
•
Penetapan kebijakan keamanan informasi
•
Menerapkan controls yang tertuju pada resiko
Istilah manajemen
risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana
tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko
yang dihadapinya.
Tolak ukur
(benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang
disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini
ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan
komponen-komponen program keamanan informais yang baik menurut otoritas
tersebut.
Ketika perusahaan
mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark
compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah
melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta
risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
Alasan Keamanan Informasi
Menjaga keamanan
informasi berarti pula perlunya usaha dalam memperhatikan faktor‐faktor keamanan dari keseluruhan
piranti pendukung, jaringan, dan fasilitas lain yang terkait langsung maupun
tidak langsung dengan proses pengolahan informasi. Dengan amannya keseluruhan
lingkungan tempat informasi tersebut berada, maka kerahasiaan, integritas, dan
ketersediaan informasiakan dapat secara efektif berperan dalam meningkatkan
keunggulan, keuntungan, nilai komersial, dancitra organisasi yang memiliki aset
penting tersebut.
Saat ini berbagai
organisasi dihadapkan pada sejumlah ancaman‐ancaman
keamanan informasi dari berbagai sumber, seperti yang diperlihatkan dengan
keberadaan sejumlah kasus kejahatan komputer secara sengaja, seperti: pencurian
data, aktivitas spionase, percobaan hacking, tindakan vandalisme,dan lain‐lain, maupun ancaman yang disebabkan
karena kejadian‐kejadian lain
seperti bencana alam, misalnya: banjir, gempa bumi, tsunami, dan kebakaran.
Bergantungnya kinerja organisasi padasistem informasi mengandung arti bahwa
keseluruhan ancaman terhadap keamanan tersebutmerupakan portofolio resiko yang
dihadapi oleh organisasi yang bersangkutan.
Perencanaan dan
pengembangan sistem keamanan informasi yang baik semakin mendapatkantantangan
dengan adanya interkoneksi antara berbagai jaringan publik dan privat, terutama
terkaitdengan proses pemakaian bersama sejumlah sumber daya informasi untuk
meningkatkan optimalisasiakses. Manfaat yang didapatkan melalui pendistribusian
komputasi ini disaat yang sama melemahkanefektivitas kontrol secara terpusat,
yang berarti pula menciptakan suatu kelemahan ‐
kelemahan baru pada sistem tersebut. Kenyataan memperlihatkan bahwa sebagian
besar sistem informasi yangdirancang dan dibangun dewasa ini kurang begitu
memperhatikan faktor ‐ faktor keamanan
tersebut.Padahal untuk membangun sistem keamanan informasi yang baik, perlu
dilakukan sejumlahlangkah ‐
langkah metodologis tertentu.
Keamanan informasi
yang baik dapat dicapai melalui penerapan sejumlah upaya ‐ upaya teknis(operasional) yang
didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Prosestersebut
dimulai dari pengidentifikasian sejumlah kontrol yang relevan untuk diterapkan
dalamorganisasi, yang tentu saja harus berdasarkan pada analisa kebutuhan aspek
keamanan informasiseperti apa yang harus dimiliki perusahaan. Setelah
kebijakan, prosedur, dan panduan teknisoperasional mengenai kontrol ‐ kontrol yang harus diterapkan
dalam organisasi disusun, langkah berikutnya adalah sosialisasi keseluruhan
piranti tersebut ke segenap lapisan manajemen dankaryawan organisasi untuk
mendapatkan dukungan dan komitmen. Selanjutnya, para pihak berkepentingan lain
yang berada di luar organisasi seperti pemasok, pelanggan, mitra kerja, dan
pemegang saham harus pula dilibatkan dalam proses sosialisasi tersebut karena
mereka merupakan bagian tidak terpisahkan dari sistem keamanan informasi yang
dibangun. Keterlibatan sejumlah pakar maupun ahli dari luar organisasi kerap
kali dibutuhkan untuk membantu organisasi dalam menerapkanlangkah ‐ langkah di tersebut. Dengan
adanya pengetahuan yang mereka miliki, terutama dalammembantu organisasi
menyusun kebutuhan dan mengidentifikasikan kontrol‐kontrol yang dibutuhkan,niscaya sistem keamanan
informasi yang dibangun dapat lebih efektif dan ekonomis.
Pemangku Kepentingan Keamanan Informasi
Dari penjabaran
sebelumnya jelas terlihat bahwa semua pihak di dalam organisasi (manajemen
dankaryawan) maupun di luar organisasi (pemasok, pelanggan, mitra kerja, dan
pemegang saham) bertanggung jawab secara penuh dalam proses keamanan informasi.
Hal tersebut disebabkan karenamereka semua terlibat secara langsung maupun
tidak langsung dalam proses penyediaan, penyimpanan, pemanfaatan, dan
penyebarluasan informasi dalam organisasi. Untuk menjaminadanya kesadaran,
kemauan, dan komitmen untuk melakukan hal tersebut, maka perlu adanya pihak
yang memiliki tugas dan kewajiban khusus untuk memantau efektivitas keamaman
informasi tersebut.Keberadaan pihak tersebut mutlak dibutuhkan oleh organisasi
dalam berbagai bentuknya, seperti: perusahaan komersial, institusi pemerintah,
organisasi publik, lembaga nirlaba, dan lain sebagainya.
Strategi Sosialisasi Organisasi
Pemahaman dan
kesadaran mengenai pentingnya memperhatikan aspek ‐ aspek keamanan informasiharus ditanamkan sedini
mungkin oleh setiap organisasi terhadap seluruh jajaran manajemen dankaryawannya.
Setiap individu yang berada di dalam organisasi memiliki tanggung jawab untuk
melindungi keamanan informasi yang dimilikinya, sebagaimana layaknya
memperlakukan hal yang sama terhadap aset‐aset
berharga lainnya. Dalam kaitan dengan hal ini, harus terdapat
kebijakanmenyangkut pemberian sanksi bagi mereka yang lalai memperhatikan hal
ini maupun penghargaan bagi mereka yang berprestasi mempromosikan dan
menerapkan keamanan informasi di organisasi terkait.
Implementasi Keamanan Informasi
Tentunya proses keamanan informasi harus dimulai dari
menjaga tempat ‐ tempat atau
fasilitas fisik dimana informasi beserta piranti/peralatan pendukungnya
disimpan.
Mengingat bahwa hampir seluruh fungsi dalam organisasi
memiliki tanggung jawab dalam mengelola informasinyamasing ‐ masing, maka setiap individu
dalam berbagai fungsi ‐ fungsi tersebut
harus secara aktif menjaga keamanan informasi. Dengan berkembangnya teknologi
akses informasi dari jarak jauhmelalui pemanfaatan jaringan komputer, maka
ruang lingkup keamanan menjadi semakin besar dankompleks, karena sudah tidak
dibatasi lagi oleh sekat ‐
sekat lingkungan fisik tertentu. Perkembangan internet yang telah membentuk
sebuah dunia maya tempat berbagai individu maupun komunitas berinteraksi (tukar
menukar informasi) secara elektronik memperlihatkan bagaimana
kompleksnyakeamanan area baik secara fisik maupun virtual yang tentu saja akan
sangat berpengaruh terhadapmanajemen kontrol yang akan dipilih dan diterapkan.
Cara Menerapkan Sistem Keamanan Informasi
Untuk dapat membangun dan menerapkan sistem keamanan
informasi yang baik, sebaiknyaorganisasi memulainya dari upaya melakukan kajian
atau telaah terhadap resiko ‐
resiko keamananyang mungkin timbul. Kajian yang dimaksud dapat diterapkan dalam
tingkatan organisasi, maupun pada tataran sub bagian atau fungsi organisasi
tertentu, seperti sistem informasi, komponen, layanan,dan lain sebagainya
sesuai dengan skala prioritas yang ada.Kajian resiko yang dimaksud merupakan
suatu pendekatan sistematis dari proses:
•
Identifikasi terhadap kejadian-kejadian apa saja
yang dapat mengancam keamanan informasi perusahaan dan potensi dampak kerugian
yang ditimbulkan jika tidak terdapat kontrol yangmemadai; dan
• Analisa
tingkat kemungkinan (probabilitas) terjadinya hal-hal yang tidak diinginkan
tersebutakibat adanya sejumlah kelemahan pada sistem yang tidak dilindungi
dengan kontrol tertentu.
Hasil dari kajian tersebut akan menghasilkan arahan yang
jelas bagi manajemen menentukan prioritasdan mengambil sejumlah tindakan terkait
dengan resiko keamanan informasi yang dihadapi. Dengan adanya prioritas yang
jelas maka akan dapat didefinisikan kontrol ‐
kontrol mana saja yang perluditerapkan. Perlu diperhatikan bahwa langkah ‐ langkah tersebut harus dilakukan
secara kontinyu dan periodik, mengingat dinamika perubahan organisasi dan
lingkungan eksternal yang sedemikian cepat.
Langkah ‐ langkah interaktif yang dimaksud meliputi:
•
Menganalisa perubahan kebutuhan dan prioritas
organisasi yang baru sesuai dengan pertumbuhannya;
•
Mempelajari ancaman-ancaman atau
kelamahan-kelemahan baru apa yang terjadi akibat perubahan yang ada tersebut;
dan
• Memastikan
bahwa kendali-kendali yang dimiliki tetap efektif dalam menghadapiancaman ‐ ancaman kejadian terkait.
Perlu dicatat bahwa
peninjauan berkala tersebut harus dilakukan pada bagian organisasi
dengantingkat kedalaman tertentu sesuai dengan hasil analisa resiko yang telah
dilakukan sebelumnya.Karena keberadaan kontrol ini akan sangat berpengaruh
terhadap kinerja sebuah organisasi, maka proses telaah resiko harus dimulai
dari tingkat, agar mereka yang berwenang dapat menilainya berdasarkan tingkat
kepentingan tertinggi (pendekatan top down).
Standar dalam Keamanan Informasi
Keberadaan dan kepatuhan terhadap standar merupakan hal
mutlak yang harus dimiliki oleh pihak manapun yang ingin menerapkan sistem
keamanan informasi secara efektif. Sejumlah alasan utamamengapa standar
diperlukan adalah untuk menjamin agar:
•
Seluruh pihak yang terlibat dalam proses
keamanan informasi memiliki kesamaan pengertian,istilah, dan metodologi dalam
melakukan upaya ‐ upaya yang
berkaitan dengan keamanan data;
•
Tidak terdapat aspek-aspek keamanan informasi
yang terlupakan karena standar yang baik telah mencakup keseluruhan spektrum
keamanan informasi yang disusun melalui pendekatan komprehensif dan holistik
(utuh dan menyeluruh);
•
Upaya-upaya untuk membangun sistem keamanan
informasi dilakukan secara efektif dan efisien dengan tingkat optimalisasi yang
tinggi, karena telah memperhatikan faktor ‐
faktor perkembangan teknologi serta situasi kondisi yang berpengaruh terhadap
organisasi;
• Tingkat
keberhasilan dalam menghasilkan sistem keamanan informasi yang berkualitas
menjaditinggi, karena dipergunakan standar yang sudah teruji kehandalannya.
ANCAMAN
Ancaman Keamanan
Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme,
atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal
dan bersifat disengaja dan tidak disengaja.
1. Ancaman
Internal dan Eksternal
Ancaman internal
bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer,
konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman
internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius
jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman
internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya
perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau
disebut juga pesaing usaha.
2. Tindakan
Kecelakaan dan disengaja
Tidak semua ancaman
merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa
merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar
perusahaan. sama halnya
3. Jenis-
Jenis Ancaman:
Malicious software, atau malware terdiri atas
program-program lengkap atau segmensegmen kode yang dapat menyerang suatu
system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system.
Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut
berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
•
Virus. Adalah program komputer yang dapat mereplikasi
dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan
dirinya pada programprogram dan boot sector lain
•
Worm. Program yang tidak dapat mereplikasikan
dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui
e-mail
•
Trojan Horse. Program yang tidak dapat
mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai
perangkat
•
Adware. Program yang memunculkan pesan-pesan
iklan yang mengganggu
•
Spyware. Program yang mengumpulkan data dari
mesin pengguna
RISIKO
Risiko Keamanan
Informasi (Information Security Risk) didefinisikan sebagai potensi output yang
tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
•
Pengungkapan Informasi yang tidak terotoritasis
dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia
bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah
hilangnya informasi atau uang.
•
Penggunaan yang tidak terotorisasi. Penggunaan
yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak
menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
•
Penghancuran yang tidak terotorisasi dan
penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan
tersebut tidak berfungsi.
• Modifikasi
yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti
lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para
pengguna output sistem tersebut mengambil keputusan yang salah.
PERSOALAN E-COMMERCE
E-Commerce memperkenalkan suatu permasalahan
keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti
lunak, tetapi perlindungan dari pemalsuan kartu kredit.
Kartu Kredit “Sekali
pakai” Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu
ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari
situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor
kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang
kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik
keamanan yang diwajibkan oleh Visa
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan
perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak
mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam
program visa, atau pembatasan penjualan dengan visa. Peritel harus :
• Memasang
dan memelihara firewall
•
Memperbaharui keamanan
•
Melakukan enkripsi data yang disimpan
•
Melakukan enkripsi pada data ynag dikirm
•
Menggunakan dan memperbaharui peranti lunak anti
virus
•
Membatasi akses data kepada orang-orang yang
ingin tahu
•
Memberikan id unik kepada setiap orang yang
memiliki kemudahan mengakses data
•
Memantau akses data dengan id unik
•
Tidak menggunakan kata sandi default yang
disediakan oleh vendor
•
Secara teratur menguji sistem keamanan
Selain itu, visa
mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
•
Menyaring karyawan yang memiliki akses terhadap
data
•
Tidak meninggalkan data atau komputer dalam
keadaan tidak aman
•
Menghancurkan data jika tidak dibutuhkan lagi
MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko
merupakan satu dari dua strategi untuk mencapai keamanan informasi. Risiko
dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau
mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
•
Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko
•
Menyadari risikonya
•
Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi
•
Menganalisis kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
•
dampak yang parah (severe impact) yang membuat
perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi
•
dampak signifikan (significant impact) yang
menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut tetap
selamat
• dampak
minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang terjadi
dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya
didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya
mencakup informasi berikut ini, mengenai tiap-tiap risiko:
•
diskripsi risiko
•
sumber risiko
•
tingginya tingkat risiko
•
pengendalian yang diterapkan pada risiko
tersebut
•
para pemilik risiko tersebut
•
tindakan yang direkomendasikan untuk mengatasi
risiko
•
jangka waktu yang direkomendasikan untuk
mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan
harus diselesaikan dengan cara menambahkan bagian akhir :
•
apa yang telah dilaksanakan untuk mengatasi
risiko tersebut
KEBIJAKAN KEAMANAN INFORMASI
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan
keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan
yang bertahap, diantaranya:
•
Fase 1, Inisiasi Proyek. Membentuk sebuah tim
untuk mengawas proyek kebijakan keamanan tersebut.
•
Fase 2, Penyusunan Kebijakan. Berkonsultasi
dengan semua pihak yang berminat dan terpengaruh.
•
Fase 3, Konsultasi dan persetujuan.
Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai
persyaratan kebijakan.
•
Fase 4, Kesadaran dan edukasi. Melaksanakan
program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
• Fase
5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit
organisasi dimana kebijakan tersebut dapat diterapkan.
Kebijakan
Keamanan yang Terpisah dikembangkan untuk
•
Keamanan Sistem Informasi
• Pengendalian
Akses Sistem
•
Keamanan Personel
•
Keamanan Lingkungan Fisik
•
Keamanan Komunikasi data
•
Klasifikasi Informasi
•
Perencanaan Kelangsungan Usaha
•
Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan,
biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi.
Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
PENGENDALIAN
Pengendalian
(control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan
dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika
resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
PENGENDALIAN TEKNIS
Pengendalian teknis
(technical control) adalah pengendalian
yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam
masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan
seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik
untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system.
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan
lunak.
1. Pengendalian
Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang
yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika
orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber
daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian
akses dilakukan melalui proses tiga tahap yang mencakup:
• Identifikasi
pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara
memberikan sesuatu yang mereka ketahui, misalnya kata sandi.
Identifikasi dapat pula mencakup lokasi pengguna, seperti
nomor telepon atau titik masuk jaringan.
•
Autentifikasi pengguna. Setelah identifkasi awal
telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan
sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip
identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara
memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau
suara atau pola suara.
• Otorisasi
pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang
kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat
penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan
otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara
pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada
file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna
(user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi
memanfaatkan file pengendalian akses (acess control file) yang menentukan
tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi
pengendalian kases, mereka dapat menggunakan sumber daya informasi yang
terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang
berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses,
seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk
mempersiapkan laporan keuangan.
2. System
Deteksi Gangguan
Logika dasar dari
system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik
adalah peranti lunak proteksi virus (virus protection software) yang telah
terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut
mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi
pengganggu yang lain adalah peranti lunak yang ditujukan untuk
mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk
membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction
tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan
karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data
yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi
yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu.
Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif,
dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman
yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3. Firewall
Sumber daya komputer
selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan
keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan
internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain
adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki
jaringan internal dari Internet.
Pendekatan ketiga
adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai
penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan
tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman
untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah
untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak
antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang
memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk
antivirus mereka. Ada tiga jenis firewall, yaitu:
•
Firewall Penyaring Paket. Router adalah alat
jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan
antara Internet dan jaringan internal, maka router dapat berlaku sebagai
firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang
menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router
mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari
beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah
serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik
mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah
satu keterbasan router adalah router hanya merupakan titik tunggal keamanan,
sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan
masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu
metode yang digunakan untuk pembajak untuk menipu router.
•
Firewall Tingkat Sirkuit. Salah satu peningkatan
keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara
Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi
(sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi
dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun,
keterbatasan dari titik tunggal keamanan tetap berlaku.
• Firewall
Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang
menajalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan
dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal
dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang
diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi
autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder,
mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut
berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang
paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya.
Masalah lain adalah seorang programmer jaringan harus penulis kode program yang
spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika
aplikasi ditambahkan, dihapus, dimodifikasi.
4. Pengendalian
Kriptografis
Data dan informasi
yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan
proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan
penggunaan.
Popularitas
kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan
untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah
SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan
menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada
orangorang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan,
penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan
menggantikan nomor kartu kredit.
5. Pengendalian
Fisik
Peringatan pertama
terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih
yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian
fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya
ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive
terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6. Meletakkan
Pengendalian Teknis Pada Tempatnya
Anda dapat melihat
dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan),
bahwa teknologi telah banyak digunakan untuk mengamankan informasi.
Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan
biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap
menawarkan pengaman yang paling realisitis.
PENGENDALIAN FORMAL
Pengendalian formal
mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan
banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan
diharapkan dapat berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal
mencakup program-program pelatihan dan edukasi serta program pembangunan
manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGAKAT PENGENDALIAN YANG TEPAT
Ketiga jenis
pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena
bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak
uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan
terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan
demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya
versus keuntungan, tapi dalam beberapa industry terdapat pula
pertimbangan-pertimbangan lain.
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi
pemerintahan dan internasional telah menentukan standarstandar yang ditujukan
untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi.
Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya
sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi tidak
diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk memberikan
bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini
adalah beberapa contohnya :
•
BS7799 Milik Inggris
•
BSI IT Baseline Protection Manual
•
COBIT · GASSP (Generally Accepted System
Security Principles)
•
ISF Standard of Good Practice
Tidak ada satupun
dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah
ini. Namun, jika disatukan, standar-standar tersebut menjadi dasar yang baik
untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya
sendiri yang mendukung budaya organisasi tersebut.
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA
TEMPATNYA
Perusahaan harus
mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan
pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas
panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus
mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal
yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan
biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat
perusahaan dan sistemnya mamapu berfungsi secara efektif.
MANAJEMEN KEBERLANGSUNGAN BISNIS
Manajemen
keberlangsungan bisnis (bussines continuity management – BCM) adalah aktivitas
yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem
informasi. Pada tahun awal penggunaan komputer, aktivitas ini disebut
perencanaan bencana (disaster planing), namun istilah yang lebih positif
perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam
perenccanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen
tertulis, formal yang menyebutkan secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi
perusahaan.
Banyak perusahaan
telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana kontijensi
besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang
menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :
•
Rencana darurat (Emergency plan). Rencana
darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana
terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem
pemadaman api.
•
Rencana cadangan. Perusahaan harus mengatur agar
fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur
atau rusak sehingga tidak digunakan. Cadangan ini dapat diperoleh melalui
kombinasi dari:
•
Peranti keras, peranti lunak dan data di
duplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya
dapat meneruskan proses.
•
Sumber daya informasi tidak dipasang pada tempat
yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
•
Perusahaan dapat membuat perjanjian dengan para
pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan
cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih
detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold
site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok
untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya
mencakup fasilitas bangunan namun tidak mencakup fasilitas komputer.
• Rencana
catatan penting. Catatan penting (vital records) perusahaan adalah dokumen
kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk
meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records
plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi.
Selain menjaga catatan tersebut di situs komputer, cadanan harus disimpan
dilokasi. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi
terpencil tersebut, namun catatan komputer dapat ditransmisikan secara
elektronik.
MELETAKKAN MANAJEMEN
KEBERLANGSUNGAN BISNIS PADA
TEMPATNYA
Manajemen
keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana
kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk
mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah
tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat
mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan
sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem
manajemen basis dasa, instruksi, dan perangkat yang dapat digunakan untuk
mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi
perusahaan untuk digunakan sebagai titik awal atau tolak ukur.
Comments
Post a Comment