Bab 5 KEAMANAN SISTEM INFORMASI
Bab 5
KEAMANAN SISTEM INFORMASI
Tinjauan
Sistem keamanan informasi berbentuk suatu subsistem dalam suatu organisasi
yang bertugas untuk mengendalikan resiko terkait dengan sistem berbasis
komputer.
Siklus hidup sistem keamanan informasi
Sistem keamanan informasi yang bebasis komputer dikembangkan dengan
penerapan :
- Metode analisis, sebagai analis kerentanan sistem dalam arti ancaman
yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
- Desain sistem, sebagai desain ukuran keamanan dan rencana kontingensi
untuk mengendalikan eksposur kerugian yang teridentifikasi.
- Implementasi sistem, sebagai penerapan ukuran keamanan yang telah
didesain.
- Operasi, evaluasi, dan pengendalian sistem sebagai taksiran efektifitas
dan efisiensi dan perubahan yang diperlukan sesuai kondisi yang ada.
Keempat tahapan diatas disebut sebagai manajemen resiko sistem informasi.
Sistem keamanan informasi dalam organisasi
Dalam organisasi, sebuah sistem keamanan informasi dapat efektif bila
dikelola oleh Chief Securiity Officer (CSO). Dengan tugas utamanya adalah
memberikan laporan yang diberikan langsung kepada dewan direksi demi
terciptanya independensi untuk mendapatkan persetujuan dewan direksi.
Laporan tersebut mencakup keempat tahapan diatas.
Menganalisis kerentanan dan ancaman
Dalam melakukan analisis ini terdapat dua pendekatan, yaitu :
- Pendekatan kuantitatif untuk menaksir resiko,
caranya dengan
menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian
setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut.
Kesulitan yang ada pada penerapan pendekatan ini adalah :
1
1. Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap
item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
Hal ini terjadi karena estimasi melibatkan biaya estimasi biaya
interupsi bisnis yang sulit diprediksi atau penggantian komputer lama
yang biayanya tentu tidak sebanding dengan komputer baru.
2. Estimasi kemungkinan kerugian melibatkan prediksi masa yang akan
datang, sedangkan prediksi tersebut sulit dilakukan apalagi terkait
dengan teknologi yang berkembang dengan cepat.
- Pendekatan kualitatif, metodenya secara sederhana merinci daftar
kerentana dan ancaman terhadap sistem, kemudian secara subjektif
meranking item-item tersebut berdasarkan kontribusi setiap item tersebut
terhadap total eksposur kerugian perusahaan tersebut.
Pada praktiknya, seringkali kedua pendekatan ini diterapkan secara
bersamaan, dengan cakupan are analisis yaitu ;
- Interupsi bisnis,
- Kerugian perangkat lunak,
- Kerugian data,
- Kerugian perangkat keras,
- Kerugian fasilitas,dan
- Kerugian jasa dan personel.
Kerentanan dan Ancaman
- Kerentanan merupakan kelemahan yang ada dalam suatu sistem.
- Ancaman merupakan suatu potensi eksploitasi suatu kerentanan yang ada,
ancaman dibedakan dalam 2 jenis :
Ancaman aktif, mencakup pada kecurangan sistem informasi
dan sabotase komputer.
Ancaman pasif, mencakup kegagalan sistem (kegagalan
komponen peralatan sistem), termasuk bencana alam.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan yang berbasis komputer termasuk bagian dari kejahatan umum
kerah putih. Keamanan sistem informasi merupakan masalah internasional,
dan banyak Negara memiliki undang-undang yang ditujukan pada masalah
keamanan komputer. National Commission on Fraudulent Financial
Reporting (Treadway Commision) mengaitkan kecurangan manajemen
dengan kejahatan komputer, kecurangan manajemen merupakan kecurangan
yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
investor dan kreditor melalui laporan keuangan yang menyesatkan.
Kecurangan seperti ini biasanya “kecurangan manajemen”.
2
Individu yang dapat menjadi ancaman bagi sistem informasi
Serangan terhadap sistem informasi memerlukan akses pada hardware, file
data yang sensitive, atau program yang kritis. Terdapat tiga kelompok yang
memiliki perbedaan kemampuan dalam akses hal tersebut diatas, yaitu :
- Personel sistem, kerap kali merupakan ancaman yang potensial karena
mereka diberi wewenang akses terhadap data dan program yang sensitive.
Yang meliputi personel pemeliharaan sistem, programmer, operator
jaringan, personel administrasi sistem informasi, dan karyawan pengendali
data.
- Pengguna, hanya mendapatkan akses yang terbatas namun tetap saja
mereka masih memiliki cara melakukan kecurangan.
- Penyusup, tidak diberikan akses sama sekali tetapi pihak ini seringkali
bertindak cerdas yang bias menimbulkan kerugian yang sangat besar pada
perusahaan. Tipe lain dari penyusup ini antara lain :
Unnoticed intruder, penyusup (hacker) yang masuk kedalam
area yang tidak dijaga dan melihat data yang sensitive dalam
komputer personal yang tidak dijaga, bahkan bias saja masuk
ke sistem dan merusak website perusahaan.
Wiretapper, penyadapan yang dilakukan pada saat transfer
informasi baik itu yang melalui media internet atau sebagainya.
Piggybacker, penyadapan yang dilakukan dengan mengambil
informasi yang legal dan menggantinya dengan yang salah.
Impersonating intruder, adalah individu yang melakukan
kecurangan terhadap perusahaan. Dengan menggunakan user
ID dan password yang diperoleh dengan cara yang tidak legal
untuk mengakses sumber daya elektronik perusahaan.
Eavesdroppers Cathode-ray Tubes (CRT) standar yang
banyak digunakan diunit display video menghasilkan
interferensi elektromagnetik pada satu frekuensi yang dapat
ditangkap dengan se-perangkat televisi sederhana.
Ancaman Aktif dalam Sistem informasi
Berikut ini adalah enam metode yang dapat digunakan untuk melakukan
kecurangan sistem informasi, yang meliputi :
1. Manipulasi Input, metode ini mensyaratkan kemampuan teknis yang
paling minimal dimana seseorang yang tidak memiliki kemampuan
atau pengetahuan mengenai cara operasi sistem komputer dapat saja
mengubah input.
2. Mengubah program, metode ini jarang digunakan sebab dalam
melakukannya karena dibutuhkan keahlian pemrograman yang hanya
3
3.
4.
5.
6.
dimiliki oleh sejumlah orang yang terbatas. Namun banyak perusahaan
yang telah memiliki program khusus untuk menguji adanya perubahan
dalam program.
Mengubah file secara langsung, indvidu-individu tertentu
menemukan cara untuk memotong proses normal untuk menginput
data kedalam program komputer, jika hal ini yang terjadi maka
bencana yang didapat.
Pencurian data, merupakan salah satu masalah yang sangat tinggi
yang cukup serius dalam dunia bisnis hari ini. Persaingan yang terjadi
memungkinkan adanya pencurian data baik yang kuantitatif dan
kualitatif. Sejumlah informasi yang ditransmisikan antar perusahaan
melalui internet, informasi yang seperti ini rentan terhadap pencurian
pada saat transmisi dan bias saja disadap.
Sabotase, akan membahayakan sistem informasi. Sabotase ada
kalanya menggunakan program komputer, bila menggunakan metode
ini sering disebut bom logika.
Penyalahgunaan atau pencurian sumber daya informasi, biasa
terjadi pada saat karyawan menyalahgunakan sumber daya komputer
organisasi untuk kepentingan pribadi.
Sistem Keamanan Sistem Informasi
Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahan secara keseluruhan. Dengan kata lain, elemen dasar pengendalian
internal menjadi aspek penting sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang
secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem
informasi.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian, pembangunan lingkungan pengendalian yang bagus tergantung
pada delapan faktor, yaitu :
1. Filosofi manajemen dan gaya operasi, menyangkut nilai moral yang
tinggi dan suatu lingkungan kondusif untuk mendukung terwujudnya
keamanan. Dengan kata lain, walaupun dengan sistem keamanan yang
canggih namun yang terpenting tetap diperlukan kesadaran akan arti
pentingnya keamanan tersebut.
4
2. Struktur
Organisasi,
memerlukan
adanya
bagian
yang
bertanggungjawab terhadap sistem keamanan komputer tersebut.
3. Dewan Direksi dan Komitenya, menyangkut penunjukan individu
kompeten untuk bertanggungjawab akan sistem keamanan komputer.
4. Metode pembagian otoritas dan tanggungjawab, pembagian tugas,
tanggungjawab, dan wewenang harus didelegasikan dengan baik dan
tergambar secara jelas dalam struktur organisasi.
5. Aktivitas Pengendalian Manajemen, terkait dengan penganggaran
biaya yang efektif dan efisien dalam melakukan suatu rancangan sumber
daya sistem komputer dan informasi.
6. Fungsi audit internal, sebagai auditor akan sistem keamanan komputer
dengan konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus
berubah dan membuatkan kebijakan keamanan yang harus teruji
kesesesuaian dan keefektifannya.
7. Kebijakan dan praktik personalia, menyangkut pemisahan tugas,
supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda merupakan praktik personalia yang penting. Sehingga diperlukan
peraturan dan kebijakan menyangkut perbedaan tugas-tugas tersebut.
8. Pengaruh eksternal, menyangkut sistem informasi perusahaan yang
sesuai dengan hukum dan regulasi lokal, federal, dan Negara bagian.
Hukum dan regulasi ini mengatur keamanan dan privasi berbagai tipe
data, termasuk data terkait dengan pelanggan dan kredit mereka,
pelanggan dan riwayat mereka, personalia dan pemerintah.
Pengendalian Ancaman Aktif
Untuk pencegahan ancaman ini dapat dengan menerapkan tahap-tahap
pengendalian akses yang akan memisahkan penyusup dari sasaran yang
potensial mereka. Pada langkah pertamanya, membangun pengendalian akses
dengan mengelompokkan semua data dan peralatan sesuai dengan tingkat
kepentingan dan tingkat kerentanan data dan peralatan tersebut. Pengelompokan
pengendalian tersebut adalah sebagai berikut :
1. Pengendalian lokasi, bertujuan untuk memisahkan secara individu
secara fisik yang tidak berwenang dengan sumber daya komputer.
Semua pengguna diwajibkan menggunakan tanda identifikasi
keamanan, setiap peralatan komputer dan datanya yang sensitive harus
diberikan pintu lengkap dengan kuncinya yang terprogram agar dapat
menolak akses dengan kunci yang tidak memiliki hak akses.
Kompleks pengolahan data harus dilokasikan pada tempat yang
terisolasi yang dikelilingi oleh tembok guna meminimalkan akses
5
individu tak berwenang ke lokasi tersebut. Serangan terhadap pustaka
data dan ruangan kritis lainnya dapat diminimalkan dengan penjagaan
yang ketat. Yang dapat dilakukan dengan penggunan pitu ganda untuk
tempat penyimpanan perangkat komputer, yang dapat diakses dengan
kode atau password serta identifikasi khusus yang hanya dapat diakses
oleh pihak terkait saja dan jika ada orang lain yang memiliki akses
terbatas pada lokasi maka akan memiliki hambatan untuk masuk pada
lokasi tersebut.
Untuk komputer personal, perlakuannya dengan membatasi
booting hanya dari harddisk internal dan jaringan serta hanya dapat
diakses dengan password. Untuk proteksi akan virus secara
pembatasan fisik, dilakukan dengan menyediakan workstation yang
tidak memiliki harddisk dan diskdrive dengan tujuan workstation
hanya dapat menggunakan disk dalam jaringan dan perangkat lunak
dan data tersimpan di server pusat. Selain itu dapat pula menggunakan
sistem operasi yang ROM-based serta penggunaan kabel fisik yang
anti sadap.
2. Pengendalian akses sistem, merupakan pengendalian dalam bentuk
perangkat lunak yang didesain untuk mencegah penggunaan sistem
oleh pengguna yang illegal. Dengan tujuan untuk mengecek keabsahan
pengguna dengan menggunakan sarana seperti ID pengguna,
password, IP, dan perangkat-perangkat keras.
3. Pengendalian akses file, bertujuan mencegah akses illegal ke data dan
file program. Pengendalian akses file yang paling fundamental adalah
pembuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file. Batasan khusus harus diberikan pada programmer yang
memang memiliki pengetahuan untuk mengubah program dengan
syarat programmer harus menunjukkan persetujuan tertulis. Setiap
program yang penting harus disimpan pada file yang terkunci,
mengindikasikan bahwa program tetap dapat dijalankan namun tidak
dapat dilihat atau diubah dan hanya keamanan yang dapat mengetahui
password untuk membuka file program.
Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati
listrik. Pengendalian terhadap ancaman ini dapat berupa pengendalian preventif
maupun korektif.
6
Sistem Toleransi Kesalahan
Metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Toleransi kesalahan dimaksudkan
apabila salah satu sistem gagal , bagian yang redundant akan segera
mengambil alih dan sistem dapat terus beroperasi tanpa interupsi.
Toleransi kesalahan dapat diterapkan pada berbagai interupsi yang
tergolong ancaman pasif ini. Sebagai contoh, bila terjadi mati listrik maka
dapat diantisipasi dengan penggunaan UPS (Uninteriptable Power
Supply).
Memperbaiki Kesalahan : Backup File
Terdapat 3 jenis backup file yaitu :
1. Backup penuh, membuat semua backup file yang ada dalam
satu disk. Masing-masing file memiliki sebuah archive bit tang
diset ke angka 0 selama proses backup, dan akan berubah
menjadi archive bit 1 bila file tersebut mengalami perubahan.
2. Backup incremental, membakup semua file dengan nilai
archive bit 1, kapan saja file tersebut mengalami perubahan.
Dan selama proses backup, setiap file akan diset pada archive
bit 0.
3. Backup diferensial, dasarnya sama dengan backup incremental
namun perbedaannya pada proses backup archive file tidak
diset menjadi 0.
Keamanan Internet
Koneksi perusahaan dengan dunia internet akan memberi peluang pada bagi
perusahaan menjadi sasaran setiap hacker yang ada di dunia.
Kerentanan yang menyangkut dengan koneksi internet ini dapat muncul akibat
dari kelemahan-kelemahan berikut ini :
1. Sistem operasi atau konfigurasi sistem operasi, sistem operasi
merupakan bagian yang paling utama dan terpenting yang harus
dijamin keamanannya oleh administrator. Namun masalahnya, tidak
ada sistem operasi yang dapat bebas dari serangan sebab hacker selalu
menemukan kelemahan baru didalam sistem operasi.
2. Kerentanan Web Server, web server serupa dengan sistem operasi
dalam arti pengelola web server perlu memonitor bulletin terkait
7
dengan informasi dan pembaruan perihal konfigurasi server.
Konfigurasi ini dapat mempengaruhi keamanan web server
3. Kerentanan Jaringan Privat, pada waktu Web server ditempatkan
pada komputer host yang terkoneksi pada berbagai komputer melalui
jaringan LAN. Dalam keadaan seperti ini hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Dengan cara mengirimkan
surat elektronik yang disertai program kuda Troya ke komputer
perantara tersebut. Program kuda Troya ini secara otomatis akan
terinstal pada saat pengguna membuka surat elektronik tersebut.
Program ini akan memungkinkan hacker mengendalikan komputer dari
jarak jauh.
4. Kerentanan Berbagai Program Server, adakalanya komputer host
sustu web menjalankan erver-server yang lain seperti FTP server.
Masalahnya setiap tambahan server akan menambah pula resiko yang
akan terjadi. Salah satu server cacat atau lemah manka akan membuka
jalan bagi hacker untuk menyerang server-server yang lainnya.
5. Prosedur Keamanan Umum, memaksudkan pentingnya keamanan
yang baik secara keseluruhan.setiap kesalahan dan perkecualian harus
di-log kedalam file yang dijamin aman. Namun hacker tetap saja akan
berusaha mengubah file log, dengan cara menuliskan log dikomputer
yang berbeda namun dapat diantisipasi dengan penggunaan firewall.
Pengelolaan Resiko Bencana
Pengelolaan ini memperhatikan perencanaan dan pencegahjan kontijensi. Kedua
hal ini dejabarkan sebagai berikut :
1. Pencegahan kontingensi terjadinya bencana,
Bagian ini merupakan langkah awal pengelolaan resiko akibat suatu
bencana. Bencana yang berasal dari sabotase dan kesalahan dapat
dicegah dengan kebijakan dan perencanaan keamanan yang baik,
sebagai contoh adanya bencana alam berupa gempa harus diantisipasi
dan menjadi pertimbangan pada saat membangun gedung.
2. Perencanaan kontingensi untuk mengatasi bencana,
Rencana pemulihan dari bencana harus diimplementasikan pada level
tertinggi didalam perusahaan dengan kata lain harus mendapat
persetujuan dari dewan direksi sebagai bagian perencanaan keamanan
komputer secara umum. Langkah pertamanya adalah adanya dukungan
dari manajemen senior dan penetapan komite perencanan. Desain dari
perencanaan mencakup tiga komponen utama, yaitu :
8
Menaksir kebutuhan penting perusahaan, yang mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan
pemeliharaan,ruang gedung, catatan yang vital, dan sumber
daya manusia.
Daftar prioritas pemulihan berdasarkan kebutuhan
perusahaan, pemulihan terhadap terjadinya bencana akan
memakan waktu yang relative lama sehingga perlu dibuatkan
daftar prioritas terkait dengan aktivitas perusahan yang paling
penting.
Strategi dan Prosedur pemulihan, mengindikasikan
persiapan dan reaksi akan terjadinya suatu bencana, apabila
terjadi suatu bencana maka telah direncankan apa yang harus
dilakukan, siapa, bagaimana melakukannya dan berapa lama
waktu yang dibutuhkan. Hal-hal tersebut menyangkut pada :
o Pusat respons darurat,
o Prosedur ekskalasi,
o Menentukan pemrosesan komputer alternative,
o Rencana relokasi karyawan,
o Perencanaan penyelamatan,
o Perencanan pengujian sistem dan pemeliharan sistem.
9
KEAMANAN SISTEM INFORMASI
Tinjauan
Sistem keamanan informasi berbentuk suatu subsistem dalam suatu organisasi
yang bertugas untuk mengendalikan resiko terkait dengan sistem berbasis
komputer.
Siklus hidup sistem keamanan informasi
Sistem keamanan informasi yang bebasis komputer dikembangkan dengan
penerapan :
- Metode analisis, sebagai analis kerentanan sistem dalam arti ancaman
yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
- Desain sistem, sebagai desain ukuran keamanan dan rencana kontingensi
untuk mengendalikan eksposur kerugian yang teridentifikasi.
- Implementasi sistem, sebagai penerapan ukuran keamanan yang telah
didesain.
- Operasi, evaluasi, dan pengendalian sistem sebagai taksiran efektifitas
dan efisiensi dan perubahan yang diperlukan sesuai kondisi yang ada.
Keempat tahapan diatas disebut sebagai manajemen resiko sistem informasi.
Sistem keamanan informasi dalam organisasi
Dalam organisasi, sebuah sistem keamanan informasi dapat efektif bila
dikelola oleh Chief Securiity Officer (CSO). Dengan tugas utamanya adalah
memberikan laporan yang diberikan langsung kepada dewan direksi demi
terciptanya independensi untuk mendapatkan persetujuan dewan direksi.
Laporan tersebut mencakup keempat tahapan diatas.
Menganalisis kerentanan dan ancaman
Dalam melakukan analisis ini terdapat dua pendekatan, yaitu :
- Pendekatan kuantitatif untuk menaksir resiko,
caranya dengan
menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian
setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut.
Kesulitan yang ada pada penerapan pendekatan ini adalah :
1
1. Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap
item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
Hal ini terjadi karena estimasi melibatkan biaya estimasi biaya
interupsi bisnis yang sulit diprediksi atau penggantian komputer lama
yang biayanya tentu tidak sebanding dengan komputer baru.
2. Estimasi kemungkinan kerugian melibatkan prediksi masa yang akan
datang, sedangkan prediksi tersebut sulit dilakukan apalagi terkait
dengan teknologi yang berkembang dengan cepat.
- Pendekatan kualitatif, metodenya secara sederhana merinci daftar
kerentana dan ancaman terhadap sistem, kemudian secara subjektif
meranking item-item tersebut berdasarkan kontribusi setiap item tersebut
terhadap total eksposur kerugian perusahaan tersebut.
Pada praktiknya, seringkali kedua pendekatan ini diterapkan secara
bersamaan, dengan cakupan are analisis yaitu ;
- Interupsi bisnis,
- Kerugian perangkat lunak,
- Kerugian data,
- Kerugian perangkat keras,
- Kerugian fasilitas,dan
- Kerugian jasa dan personel.
Kerentanan dan Ancaman
- Kerentanan merupakan kelemahan yang ada dalam suatu sistem.
- Ancaman merupakan suatu potensi eksploitasi suatu kerentanan yang ada,
ancaman dibedakan dalam 2 jenis :
Ancaman aktif, mencakup pada kecurangan sistem informasi
dan sabotase komputer.
Ancaman pasif, mencakup kegagalan sistem (kegagalan
komponen peralatan sistem), termasuk bencana alam.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan yang berbasis komputer termasuk bagian dari kejahatan umum
kerah putih. Keamanan sistem informasi merupakan masalah internasional,
dan banyak Negara memiliki undang-undang yang ditujukan pada masalah
keamanan komputer. National Commission on Fraudulent Financial
Reporting (Treadway Commision) mengaitkan kecurangan manajemen
dengan kejahatan komputer, kecurangan manajemen merupakan kecurangan
yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
investor dan kreditor melalui laporan keuangan yang menyesatkan.
Kecurangan seperti ini biasanya “kecurangan manajemen”.
2
Individu yang dapat menjadi ancaman bagi sistem informasi
Serangan terhadap sistem informasi memerlukan akses pada hardware, file
data yang sensitive, atau program yang kritis. Terdapat tiga kelompok yang
memiliki perbedaan kemampuan dalam akses hal tersebut diatas, yaitu :
- Personel sistem, kerap kali merupakan ancaman yang potensial karena
mereka diberi wewenang akses terhadap data dan program yang sensitive.
Yang meliputi personel pemeliharaan sistem, programmer, operator
jaringan, personel administrasi sistem informasi, dan karyawan pengendali
data.
- Pengguna, hanya mendapatkan akses yang terbatas namun tetap saja
mereka masih memiliki cara melakukan kecurangan.
- Penyusup, tidak diberikan akses sama sekali tetapi pihak ini seringkali
bertindak cerdas yang bias menimbulkan kerugian yang sangat besar pada
perusahaan. Tipe lain dari penyusup ini antara lain :
Unnoticed intruder, penyusup (hacker) yang masuk kedalam
area yang tidak dijaga dan melihat data yang sensitive dalam
komputer personal yang tidak dijaga, bahkan bias saja masuk
ke sistem dan merusak website perusahaan.
Wiretapper, penyadapan yang dilakukan pada saat transfer
informasi baik itu yang melalui media internet atau sebagainya.
Piggybacker, penyadapan yang dilakukan dengan mengambil
informasi yang legal dan menggantinya dengan yang salah.
Impersonating intruder, adalah individu yang melakukan
kecurangan terhadap perusahaan. Dengan menggunakan user
ID dan password yang diperoleh dengan cara yang tidak legal
untuk mengakses sumber daya elektronik perusahaan.
Eavesdroppers Cathode-ray Tubes (CRT) standar yang
banyak digunakan diunit display video menghasilkan
interferensi elektromagnetik pada satu frekuensi yang dapat
ditangkap dengan se-perangkat televisi sederhana.
Ancaman Aktif dalam Sistem informasi
Berikut ini adalah enam metode yang dapat digunakan untuk melakukan
kecurangan sistem informasi, yang meliputi :
1. Manipulasi Input, metode ini mensyaratkan kemampuan teknis yang
paling minimal dimana seseorang yang tidak memiliki kemampuan
atau pengetahuan mengenai cara operasi sistem komputer dapat saja
mengubah input.
2. Mengubah program, metode ini jarang digunakan sebab dalam
melakukannya karena dibutuhkan keahlian pemrograman yang hanya
3
3.
4.
5.
6.
dimiliki oleh sejumlah orang yang terbatas. Namun banyak perusahaan
yang telah memiliki program khusus untuk menguji adanya perubahan
dalam program.
Mengubah file secara langsung, indvidu-individu tertentu
menemukan cara untuk memotong proses normal untuk menginput
data kedalam program komputer, jika hal ini yang terjadi maka
bencana yang didapat.
Pencurian data, merupakan salah satu masalah yang sangat tinggi
yang cukup serius dalam dunia bisnis hari ini. Persaingan yang terjadi
memungkinkan adanya pencurian data baik yang kuantitatif dan
kualitatif. Sejumlah informasi yang ditransmisikan antar perusahaan
melalui internet, informasi yang seperti ini rentan terhadap pencurian
pada saat transmisi dan bias saja disadap.
Sabotase, akan membahayakan sistem informasi. Sabotase ada
kalanya menggunakan program komputer, bila menggunakan metode
ini sering disebut bom logika.
Penyalahgunaan atau pencurian sumber daya informasi, biasa
terjadi pada saat karyawan menyalahgunakan sumber daya komputer
organisasi untuk kepentingan pribadi.
Sistem Keamanan Sistem Informasi
Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahan secara keseluruhan. Dengan kata lain, elemen dasar pengendalian
internal menjadi aspek penting sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang
secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem
informasi.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian, pembangunan lingkungan pengendalian yang bagus tergantung
pada delapan faktor, yaitu :
1. Filosofi manajemen dan gaya operasi, menyangkut nilai moral yang
tinggi dan suatu lingkungan kondusif untuk mendukung terwujudnya
keamanan. Dengan kata lain, walaupun dengan sistem keamanan yang
canggih namun yang terpenting tetap diperlukan kesadaran akan arti
pentingnya keamanan tersebut.
4
2. Struktur
Organisasi,
memerlukan
adanya
bagian
yang
bertanggungjawab terhadap sistem keamanan komputer tersebut.
3. Dewan Direksi dan Komitenya, menyangkut penunjukan individu
kompeten untuk bertanggungjawab akan sistem keamanan komputer.
4. Metode pembagian otoritas dan tanggungjawab, pembagian tugas,
tanggungjawab, dan wewenang harus didelegasikan dengan baik dan
tergambar secara jelas dalam struktur organisasi.
5. Aktivitas Pengendalian Manajemen, terkait dengan penganggaran
biaya yang efektif dan efisien dalam melakukan suatu rancangan sumber
daya sistem komputer dan informasi.
6. Fungsi audit internal, sebagai auditor akan sistem keamanan komputer
dengan konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus
berubah dan membuatkan kebijakan keamanan yang harus teruji
kesesesuaian dan keefektifannya.
7. Kebijakan dan praktik personalia, menyangkut pemisahan tugas,
supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda merupakan praktik personalia yang penting. Sehingga diperlukan
peraturan dan kebijakan menyangkut perbedaan tugas-tugas tersebut.
8. Pengaruh eksternal, menyangkut sistem informasi perusahaan yang
sesuai dengan hukum dan regulasi lokal, federal, dan Negara bagian.
Hukum dan regulasi ini mengatur keamanan dan privasi berbagai tipe
data, termasuk data terkait dengan pelanggan dan kredit mereka,
pelanggan dan riwayat mereka, personalia dan pemerintah.
Pengendalian Ancaman Aktif
Untuk pencegahan ancaman ini dapat dengan menerapkan tahap-tahap
pengendalian akses yang akan memisahkan penyusup dari sasaran yang
potensial mereka. Pada langkah pertamanya, membangun pengendalian akses
dengan mengelompokkan semua data dan peralatan sesuai dengan tingkat
kepentingan dan tingkat kerentanan data dan peralatan tersebut. Pengelompokan
pengendalian tersebut adalah sebagai berikut :
1. Pengendalian lokasi, bertujuan untuk memisahkan secara individu
secara fisik yang tidak berwenang dengan sumber daya komputer.
Semua pengguna diwajibkan menggunakan tanda identifikasi
keamanan, setiap peralatan komputer dan datanya yang sensitive harus
diberikan pintu lengkap dengan kuncinya yang terprogram agar dapat
menolak akses dengan kunci yang tidak memiliki hak akses.
Kompleks pengolahan data harus dilokasikan pada tempat yang
terisolasi yang dikelilingi oleh tembok guna meminimalkan akses
5
individu tak berwenang ke lokasi tersebut. Serangan terhadap pustaka
data dan ruangan kritis lainnya dapat diminimalkan dengan penjagaan
yang ketat. Yang dapat dilakukan dengan penggunan pitu ganda untuk
tempat penyimpanan perangkat komputer, yang dapat diakses dengan
kode atau password serta identifikasi khusus yang hanya dapat diakses
oleh pihak terkait saja dan jika ada orang lain yang memiliki akses
terbatas pada lokasi maka akan memiliki hambatan untuk masuk pada
lokasi tersebut.
Untuk komputer personal, perlakuannya dengan membatasi
booting hanya dari harddisk internal dan jaringan serta hanya dapat
diakses dengan password. Untuk proteksi akan virus secara
pembatasan fisik, dilakukan dengan menyediakan workstation yang
tidak memiliki harddisk dan diskdrive dengan tujuan workstation
hanya dapat menggunakan disk dalam jaringan dan perangkat lunak
dan data tersimpan di server pusat. Selain itu dapat pula menggunakan
sistem operasi yang ROM-based serta penggunaan kabel fisik yang
anti sadap.
2. Pengendalian akses sistem, merupakan pengendalian dalam bentuk
perangkat lunak yang didesain untuk mencegah penggunaan sistem
oleh pengguna yang illegal. Dengan tujuan untuk mengecek keabsahan
pengguna dengan menggunakan sarana seperti ID pengguna,
password, IP, dan perangkat-perangkat keras.
3. Pengendalian akses file, bertujuan mencegah akses illegal ke data dan
file program. Pengendalian akses file yang paling fundamental adalah
pembuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file. Batasan khusus harus diberikan pada programmer yang
memang memiliki pengetahuan untuk mengubah program dengan
syarat programmer harus menunjukkan persetujuan tertulis. Setiap
program yang penting harus disimpan pada file yang terkunci,
mengindikasikan bahwa program tetap dapat dijalankan namun tidak
dapat dilihat atau diubah dan hanya keamanan yang dapat mengetahui
password untuk membuka file program.
Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati
listrik. Pengendalian terhadap ancaman ini dapat berupa pengendalian preventif
maupun korektif.
6
Sistem Toleransi Kesalahan
Metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Toleransi kesalahan dimaksudkan
apabila salah satu sistem gagal , bagian yang redundant akan segera
mengambil alih dan sistem dapat terus beroperasi tanpa interupsi.
Toleransi kesalahan dapat diterapkan pada berbagai interupsi yang
tergolong ancaman pasif ini. Sebagai contoh, bila terjadi mati listrik maka
dapat diantisipasi dengan penggunaan UPS (Uninteriptable Power
Supply).
Memperbaiki Kesalahan : Backup File
Terdapat 3 jenis backup file yaitu :
1. Backup penuh, membuat semua backup file yang ada dalam
satu disk. Masing-masing file memiliki sebuah archive bit tang
diset ke angka 0 selama proses backup, dan akan berubah
menjadi archive bit 1 bila file tersebut mengalami perubahan.
2. Backup incremental, membakup semua file dengan nilai
archive bit 1, kapan saja file tersebut mengalami perubahan.
Dan selama proses backup, setiap file akan diset pada archive
bit 0.
3. Backup diferensial, dasarnya sama dengan backup incremental
namun perbedaannya pada proses backup archive file tidak
diset menjadi 0.
Keamanan Internet
Koneksi perusahaan dengan dunia internet akan memberi peluang pada bagi
perusahaan menjadi sasaran setiap hacker yang ada di dunia.
Kerentanan yang menyangkut dengan koneksi internet ini dapat muncul akibat
dari kelemahan-kelemahan berikut ini :
1. Sistem operasi atau konfigurasi sistem operasi, sistem operasi
merupakan bagian yang paling utama dan terpenting yang harus
dijamin keamanannya oleh administrator. Namun masalahnya, tidak
ada sistem operasi yang dapat bebas dari serangan sebab hacker selalu
menemukan kelemahan baru didalam sistem operasi.
2. Kerentanan Web Server, web server serupa dengan sistem operasi
dalam arti pengelola web server perlu memonitor bulletin terkait
7
dengan informasi dan pembaruan perihal konfigurasi server.
Konfigurasi ini dapat mempengaruhi keamanan web server
3. Kerentanan Jaringan Privat, pada waktu Web server ditempatkan
pada komputer host yang terkoneksi pada berbagai komputer melalui
jaringan LAN. Dalam keadaan seperti ini hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Dengan cara mengirimkan
surat elektronik yang disertai program kuda Troya ke komputer
perantara tersebut. Program kuda Troya ini secara otomatis akan
terinstal pada saat pengguna membuka surat elektronik tersebut.
Program ini akan memungkinkan hacker mengendalikan komputer dari
jarak jauh.
4. Kerentanan Berbagai Program Server, adakalanya komputer host
sustu web menjalankan erver-server yang lain seperti FTP server.
Masalahnya setiap tambahan server akan menambah pula resiko yang
akan terjadi. Salah satu server cacat atau lemah manka akan membuka
jalan bagi hacker untuk menyerang server-server yang lainnya.
5. Prosedur Keamanan Umum, memaksudkan pentingnya keamanan
yang baik secara keseluruhan.setiap kesalahan dan perkecualian harus
di-log kedalam file yang dijamin aman. Namun hacker tetap saja akan
berusaha mengubah file log, dengan cara menuliskan log dikomputer
yang berbeda namun dapat diantisipasi dengan penggunaan firewall.
Pengelolaan Resiko Bencana
Pengelolaan ini memperhatikan perencanaan dan pencegahjan kontijensi. Kedua
hal ini dejabarkan sebagai berikut :
1. Pencegahan kontingensi terjadinya bencana,
Bagian ini merupakan langkah awal pengelolaan resiko akibat suatu
bencana. Bencana yang berasal dari sabotase dan kesalahan dapat
dicegah dengan kebijakan dan perencanaan keamanan yang baik,
sebagai contoh adanya bencana alam berupa gempa harus diantisipasi
dan menjadi pertimbangan pada saat membangun gedung.
2. Perencanaan kontingensi untuk mengatasi bencana,
Rencana pemulihan dari bencana harus diimplementasikan pada level
tertinggi didalam perusahaan dengan kata lain harus mendapat
persetujuan dari dewan direksi sebagai bagian perencanaan keamanan
komputer secara umum. Langkah pertamanya adalah adanya dukungan
dari manajemen senior dan penetapan komite perencanan. Desain dari
perencanaan mencakup tiga komponen utama, yaitu :
8
Menaksir kebutuhan penting perusahaan, yang mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan
pemeliharaan,ruang gedung, catatan yang vital, dan sumber
daya manusia.
Daftar prioritas pemulihan berdasarkan kebutuhan
perusahaan, pemulihan terhadap terjadinya bencana akan
memakan waktu yang relative lama sehingga perlu dibuatkan
daftar prioritas terkait dengan aktivitas perusahan yang paling
penting.
Strategi dan Prosedur pemulihan, mengindikasikan
persiapan dan reaksi akan terjadinya suatu bencana, apabila
terjadi suatu bencana maka telah direncankan apa yang harus
dilakukan, siapa, bagaimana melakukannya dan berapa lama
waktu yang dibutuhkan. Hal-hal tersebut menyangkut pada :
o Pusat respons darurat,
o Prosedur ekskalasi,
o Menentukan pemrosesan komputer alternative,
o Rencana relokasi karyawan,
o Perencanaan penyelamatan,
o Perencanan pengujian sistem dan pemeliharan sistem.
9