Penerapan keamanan dalam masyarakat keamanan
Keamanan Komputer
Penerapan keamanan dalam masyarakat
Pada dasarnya seorang pengguna komputer sangat membutuhkan rasa kenyamanan
ketika sedang mengoperasikannya. Kenyamanan tersebut dapat diperoleh salah satunya dari
keamanan sistem yang dipakai. Berbicara mengenai keamanan sistem, ada dua hal yang sering
diperdebatkan yaitu mengenai istilah keamanan dan proteksi. Pertama-tama kita harus bisa
membedakan antara keamanan dengan proteksi. Proteksi biasanya menyangkut faktor -faktor
internal sistem yang ada di dalam komputer. Sebenarnya tujuan dari proteksi adalah untuk
mencegah penggunaan akses-akses yang tidak seharusnya (accidental access). Akan tetapi
keamanan mempertimbangkan faktor-faktor eksternal (lingkungan) di luar sistem dan faktor
proteksi terhadap sumber daya sistem. Melihat perbedaan ini, terlihat jelas bahwa keamanan
mencakup hal yang lebih luas dibandingkan dengan proteksi.
Dengan mempertimbangkan aspek-aspek di atas maka dibutuhkanlah suatu keamanan
sistem untuk menanggulangi kemungkinan akses data penting (rahasia) dari orang-orang yang
bukan seharusnya mengakses. Namun, dalam kenyataannya tidak ada suatu sistem komputer
yang memiliki sistem keamanan sempurna. Akan tetapi, setidaknya kita mempunyai suatu
mekanisme tersendiri untuk mencegah ataupun mengurangi kemungkinan-kemungkinan
gangguan terhadap keamanan sistem.
Di dalam bab ini kita akan membahas hal-hal yang menyangkut keamanan sistem
komputer. Dengan mempelajari bab ini diharapkan nantinya kita menjadi tahu tentang keamanan
sistem komputer dan penangananya ketika terjadi suatu gangguan terhadap keamanan suatu
sistem komputer.
Masyarakat dan Etika
Berbicara mengenai manusia dan etika, kita mengetahui bahwa di lingkungan kita
terdapat bermacam-macam karakter orang yang berbeda-beda. Sebagian besar orang memiliki
hati yang baik dan selalu mencoba untuk menaati peraturan. Akan tetapi, ada beberapa orang
Hal : 44
Keamanan Komputer
jahat yang ingin menyebabkan kekacauan. Dalam konteks keamanan, orang-orang yang membuat
kekacauan di tempat yang tidak berhubungan dengan mereka disebut intruder.
Ada dua macam intruder, yaitu:
1. Passive intruder, intruder yang hanya ingin membaca berkas yang tidak
boleh mereka baca.
2. Active intruder, Lebih berbahaya dari passive intruder. Mereka ingin
membuat perubahan yang tidak diizinkan (unauthorized) pada data.
Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk
mengetahui sistem tersebut akan dilindungi dari intruder macam apa. Empat contoh kategori:
1. Keingintahuan seseorang tentang hal-hal pribadi orang lain. Banyak
orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa
orang dalam jaringan tersebut akan dapat membaca e-mail dan file-file
orang lain jika tidak ada 'penghalang' yang ditempatkan. Sebagai contoh,
sebagian besar sistem UNIX mempunyai default bahwa semua file yang
baru diciptakan dapat dibaca oleh orang lain.
2. Penyusupan oleh orang-orang dalam. Pelajar, programmer sistem,
operator, dan teknisi menganggap bahwa mematahkan sistem keamanan
komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan
bersedia mengorbankan banyak waktu untuk usaha tersebut.
3. Keinginan untuk mendapatkan uang. Beberapa programmer bank
mencoba mencuri uang dari bank tempat mereka bekerja dengan caracara seperti mengubah software untuk memotong bunga daripada
membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik
uang dari account yang sudah tidak digunakan selama bertahun-tahun,
untuk memeras ("Bayar saya, atau saya akan menghancurkan semua
record bank anda").
4. Espionase komersial atau militer. Espionase adalah usaha serius yang
diberi dana besar oleh saingan atau negara lain untuk mencuri program,
Hal : 45
Keamanan Komputer
rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya.
Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan
pada suatu komputer untuk menangkap radiasi elektromagnetisnya.
Perlindungan terhadap rahasia militer negara dari pencurian oleh negara lain sangat
berbeda dengan perlindungan terhadap pelajar yang mencoba memasukkan message-of-the-day
pada suatu sistem. Terlihat jelas bahwa jumlah usaha yang berhubungan dengan keamanan dan
proteksi tergantung pada siapa "musuh"-nya.
Kebijaksanaan Keamanan
Kebijaksanaan pengamanan yang biasa digunakan yaitu yang bersifat sederhana dan
umum. Dalam hal ini berarti tiap pengguna dalam sistem dapat mengerti dan mengikuti
kebijaksanaan yang telah ditetapkan. Isi dari kebijaksanaan itu sendiri berupa tingkatan
keamanan yang dapat melindungi data-data penting yang tersimpan dalam sistem. Data-data
tersebut harus dilindungi dari tiap pengguna yang menggunakan sistem tersebut.
Ada tiga aspek dalam mekanisme pengamanan (proteksi):
Identifikasi user (Autentikasi), bertujuan untuk mengetahui siapa yang
sedang melakukan sesuatu di dalam sistem. Sebagai contoh, kita bisa
mengetahui bahwa user A sedang membuka aplikasi web browser dan
mengakses situs detik.com.
Penentuan autorisasi, sistem harus dapat mengetahui siapa user yang
sedang aktif dan apa saja yang boleh ia lakukan.
Pemakaian akses, harus dipastikan bahwa tidak terjadi penerobosan
akses di dalam sistem.
Beberapa
hal
yang
perlu
dipertimbangkan
dalam
menentukan
kebijaksanaan
pengamanan adalah: siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan
untuk menginstall program ke dalam sistem, siapa sajakah memiliki data-data tertentu,
perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem.
Hal : 46
Keamanan Komputer
Keamanan Fisik
Lapisan keamanan pertama yang harus diperhitungkan adalah keamanan secara fisik
dalam sistem komputer. Keamanan fisik menyangkut tindakan mengamankan lokasi adanya
sistem komputer terhadap intruder yang bersenjata atau yang mencoba menyusup ke dalam
sistem komputer. Pertanyaan yang harus dijawab dalam menjamin keamanan fisik antara lain:
1. Siapa saja yang memiliki akses langsung ke dalam sistem? Maksudnya
adalah akses-akses yang penting seperti menginstall software hanya
dimiliki oleh admin saja. User biasa tidak boleh memiliki akes ini.
2. Apakah mereka memang berhak? Hal ini juga penting untuk menjamin
keamanan sistem dari orang-orang yang bermaksud tidak baik.
Pembagian hak akses disesuaikan dengan kebutuhan pengguna.
3. Dapatkah sistem terlindung dari maksud dan tujuan mereka? Sebagai
contoh adalah perlindungan terhadap pengaksesan data (baik untuk
membaca ataupun menulis) yang ada di sistem, hanya orang-orang
tertentu saja yang memilikinya.
4. Apakah hal tersebut perlu dilakukan?
Banyak keamanan fisik yang berada dalam sistem memiliki ketergantungan terhadap
anggaran dan situasi yang dihadapi. Apabila pengguna adalah pengguna rumahan, maka
kemungkinan keamanan fisik tidak banyak dibutuhkan. Akan tetapi, jika pengguna bekerja di
laboratorium atau jaringan komputer, banyak yang harus dipikirkan.
Saat ini, banyak komputer pribadi memiliki kemampuan mengunci. Biasanya kunci ini
berupa socket pada bagian depan casing yang bisa dimasukkan kunci untuk mengunci ataupun
membukanya. Kunci casing dapat mencegah seseorang untuk mencuri dari komputer,
membukanya secara langsung untuk memanipulasi ataupun mencuri perangkat keras yang ada.
Hal : 47
Keamanan Komputer
Keamaanan Perangkat Lunak
Contoh dari keamanan perangkat lunak yaitu BIOS. BIOS merupakan perangkat lunak
tingkat rendah yang mengkonfigurasi atau memanipulasi perangkat keras tertentu. BIOS dapat
digunakan untuk mencegah penyerang mereboot ulang mesin dan memanipulasi sistem LINUX.
Contoh dari keamanan BIOS dapat dilihat pada LINUX, dimana banyak PC BIOS mengizinkan
untuk mengeset password boot. Namun, hal ini tidak banyak memberikan keamanan karena BIOS
dapat direset, atau dihapus jika seseorang dapat masuk ke case.
Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang
sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan
waktu yang cukup lama dan akan meninggalkan bekas. Hal ini akan memperlambat tindakan
seseorang yang mencoba menyerang sistem.
Keamaanan Jaringan
Pada dasarnya, jaringan komputer adalah sumber daya (resources) yang dibagi dan dapat
digunakan oleh banyak aplikasi dengan tujuan berbeda. Kadang-kadang, data yang
ditransmisikan antara aplikasi-aplikasi merupakan rahasia, dan aplikasi tersebut tentu tidak mau
sembarang orang membaca data tersebut.
Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user)
memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat
dengan mudah menyadap dan membaca data tersebut pada jaringan. Oleh karena itu, user
biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah
orang-orang yang tidak diizinkan membaca pesan tersebut.
Kriptografi
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan
plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima
menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses
Hal : 48
Keamanan Komputer
enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan
penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan
ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.
Kriptografi macam ini dirancang untuk menjamin privasi: mencegah informasi menyebar
luas tanpa izin. Akan tetapi, privaci bukan satu-satunya layanan yang disediakan kriptografi.
Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas
pengguna) dan integritas (memastikan bahwa pesan belum diubah).
Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki
komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi
digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada
kunci yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu
jaringan dan digunakan untuk memroses suatu pesan.
Operasional
Keamanan operasional (operations security) adalah tindakan apa pun yang menjadikan
sistem beroperasi secara aman, terkendali, dan terlindung. Yang dimaksud dengan sistem adalah
jaringan, komputer, lingkungan. Suatu sistem dinyatakan operasional apabila sistem telah
dinyatakan berfungsi dan dapat dijalankan dengan durasi yang berkesinambungan, yaitu dari
hari ke hari, 24 jam sehari, 7 hari seminggu.
Manajemen Administratif (Administrative Management) adalah penugasan individu untuk
mengelola fungsi-fungsi keamanan sistem. Beberapa hal yang terkait:
1. Pemisahan Tugas (Separation of Duties). Menugaskan hal-hal yang
menyangkut keamanan kepada beberapa orang saja. Misalnya, yang
berhak menginstall program ke dalam system komputer hanya admin,
user tidak diberi hak tersebut.
2. Hak Akses Minimum (Least Privilege). Setiap orang hanya diberikan hak
akses minimum yang dibutuhkan dalam pelaksanaan tugas mereka
Hal : 49
Keamanan Komputer
3. Keingin-tahuan (Need to Know). Yang dimaksud dengan need to know
adalah pengetahuan akan informasi yang dibutuhkan dalam melakukan
suatu pekerjaan.
Kategori utama dari kontrol keamanan operasional antara lain:
1. Kendali Pencegahan (Preventative Control). Untuk mencegah error dan
intruder temasuki sistem. Misal, kontrol pencegahan untuk mencegah
virus memasuki sistem adalah dengan menginstall antivirus.
2. Kontrol Pendeteksian (Detective Control). Untuk mendeteksi error yang
memasuki sistem. Misal, mencari virus yang berhasil memasuki sistem.
3. Kontrol
Perbaikan
(Corrective/Recovery
Control).
Membantu
mengembalikan data yang hilang melalui prosedur recovery data. Misal,
memperbaiki data yang terkena virus.
Kategori lainnya mencakup:
1. Kendali Pencegahan (Deterrent Control). . Untuk menganjurkan
pemenuhan (compliance) dengan kontrol eksternal.
2. Kendali Aplikasi (Application Control) . Untuk memperkecil dan
mendeteksi operasi-operasi perangkat lunak yang tidak biasa.
3. Kendali Transaksi (Transaction Control) . Untuk menyediakan kendali
di berbagai tahap transaksi (dari inisiasi sampai keluaran, melalui kontrol
testing dan kontrol perubahan).
BCP/DRP
Berdasarkan pengertian, BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan, sedangkan DRP atau Disaster Recovery Plan adalah rencana pemulihan dari
kemungkinan kerusakan-kerusakan yang terjadi. Aspek yang terkandung di dalam suatu rencana
Hal : 50
Keamanan Komputer
bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan
yang terjadi. Dengan kata lain, DRP terkandung di dalam BCP.
Rencana untuk pemulihan dari kerusakan, baik yang disebabkan oleh alam maupun
manusia, tidak hanya berdampak pada kemampuan proses komputer suatu perusahaan, tetapi
juga akan berdampak pada operasi bisnis perusahaan tersebut. Kerusakan-kerusakan tersebut
dapat mematikan seluruh sistem operasi. Semakin lama operasi sebuah perusahaan mati, maka
akan semakin sulit untuk membangun kembali bisnis dari perusahaan tersebut.
Konsep dasar pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi yaitu
harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan
besar. Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses
manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya.
Pada perusahaan kecil, biasanya proses perencanaannya kurang formal dan kurang
lengkap. Sedangkan pada perusahaan besar, proses perencanaannya formal dan lengkap. Apabila
rencana tersebut diikuti maka akan memberikan petunjuk yang dapat mengurangi kerusakan
yang sedang atau yang akan terjadi.
Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer
berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang
dikumpulkan.
Hal : 51
Keamanan Komputer
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih
dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit,
kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
Hal : 52
Keamanan Komputer
Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
Kesimpulan umum dari auditor.
Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan
kontrol layak atau tidak
Rekomendasi. Tanggapan dari manajemen (bila perlu).
Exit interview. Interview terakhir antara auditor dengan pihak manajemen
untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut.
Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
Hal : 53
Keamanan Komputer
Hal : 54
Keamanan Komputer
Hal : 55
Keamanan Komputer
Hal : 56
Penerapan keamanan dalam masyarakat
Pada dasarnya seorang pengguna komputer sangat membutuhkan rasa kenyamanan
ketika sedang mengoperasikannya. Kenyamanan tersebut dapat diperoleh salah satunya dari
keamanan sistem yang dipakai. Berbicara mengenai keamanan sistem, ada dua hal yang sering
diperdebatkan yaitu mengenai istilah keamanan dan proteksi. Pertama-tama kita harus bisa
membedakan antara keamanan dengan proteksi. Proteksi biasanya menyangkut faktor -faktor
internal sistem yang ada di dalam komputer. Sebenarnya tujuan dari proteksi adalah untuk
mencegah penggunaan akses-akses yang tidak seharusnya (accidental access). Akan tetapi
keamanan mempertimbangkan faktor-faktor eksternal (lingkungan) di luar sistem dan faktor
proteksi terhadap sumber daya sistem. Melihat perbedaan ini, terlihat jelas bahwa keamanan
mencakup hal yang lebih luas dibandingkan dengan proteksi.
Dengan mempertimbangkan aspek-aspek di atas maka dibutuhkanlah suatu keamanan
sistem untuk menanggulangi kemungkinan akses data penting (rahasia) dari orang-orang yang
bukan seharusnya mengakses. Namun, dalam kenyataannya tidak ada suatu sistem komputer
yang memiliki sistem keamanan sempurna. Akan tetapi, setidaknya kita mempunyai suatu
mekanisme tersendiri untuk mencegah ataupun mengurangi kemungkinan-kemungkinan
gangguan terhadap keamanan sistem.
Di dalam bab ini kita akan membahas hal-hal yang menyangkut keamanan sistem
komputer. Dengan mempelajari bab ini diharapkan nantinya kita menjadi tahu tentang keamanan
sistem komputer dan penangananya ketika terjadi suatu gangguan terhadap keamanan suatu
sistem komputer.
Masyarakat dan Etika
Berbicara mengenai manusia dan etika, kita mengetahui bahwa di lingkungan kita
terdapat bermacam-macam karakter orang yang berbeda-beda. Sebagian besar orang memiliki
hati yang baik dan selalu mencoba untuk menaati peraturan. Akan tetapi, ada beberapa orang
Hal : 44
Keamanan Komputer
jahat yang ingin menyebabkan kekacauan. Dalam konteks keamanan, orang-orang yang membuat
kekacauan di tempat yang tidak berhubungan dengan mereka disebut intruder.
Ada dua macam intruder, yaitu:
1. Passive intruder, intruder yang hanya ingin membaca berkas yang tidak
boleh mereka baca.
2. Active intruder, Lebih berbahaya dari passive intruder. Mereka ingin
membuat perubahan yang tidak diizinkan (unauthorized) pada data.
Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk
mengetahui sistem tersebut akan dilindungi dari intruder macam apa. Empat contoh kategori:
1. Keingintahuan seseorang tentang hal-hal pribadi orang lain. Banyak
orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa
orang dalam jaringan tersebut akan dapat membaca e-mail dan file-file
orang lain jika tidak ada 'penghalang' yang ditempatkan. Sebagai contoh,
sebagian besar sistem UNIX mempunyai default bahwa semua file yang
baru diciptakan dapat dibaca oleh orang lain.
2. Penyusupan oleh orang-orang dalam. Pelajar, programmer sistem,
operator, dan teknisi menganggap bahwa mematahkan sistem keamanan
komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan
bersedia mengorbankan banyak waktu untuk usaha tersebut.
3. Keinginan untuk mendapatkan uang. Beberapa programmer bank
mencoba mencuri uang dari bank tempat mereka bekerja dengan caracara seperti mengubah software untuk memotong bunga daripada
membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik
uang dari account yang sudah tidak digunakan selama bertahun-tahun,
untuk memeras ("Bayar saya, atau saya akan menghancurkan semua
record bank anda").
4. Espionase komersial atau militer. Espionase adalah usaha serius yang
diberi dana besar oleh saingan atau negara lain untuk mencuri program,
Hal : 45
Keamanan Komputer
rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya.
Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan
pada suatu komputer untuk menangkap radiasi elektromagnetisnya.
Perlindungan terhadap rahasia militer negara dari pencurian oleh negara lain sangat
berbeda dengan perlindungan terhadap pelajar yang mencoba memasukkan message-of-the-day
pada suatu sistem. Terlihat jelas bahwa jumlah usaha yang berhubungan dengan keamanan dan
proteksi tergantung pada siapa "musuh"-nya.
Kebijaksanaan Keamanan
Kebijaksanaan pengamanan yang biasa digunakan yaitu yang bersifat sederhana dan
umum. Dalam hal ini berarti tiap pengguna dalam sistem dapat mengerti dan mengikuti
kebijaksanaan yang telah ditetapkan. Isi dari kebijaksanaan itu sendiri berupa tingkatan
keamanan yang dapat melindungi data-data penting yang tersimpan dalam sistem. Data-data
tersebut harus dilindungi dari tiap pengguna yang menggunakan sistem tersebut.
Ada tiga aspek dalam mekanisme pengamanan (proteksi):
Identifikasi user (Autentikasi), bertujuan untuk mengetahui siapa yang
sedang melakukan sesuatu di dalam sistem. Sebagai contoh, kita bisa
mengetahui bahwa user A sedang membuka aplikasi web browser dan
mengakses situs detik.com.
Penentuan autorisasi, sistem harus dapat mengetahui siapa user yang
sedang aktif dan apa saja yang boleh ia lakukan.
Pemakaian akses, harus dipastikan bahwa tidak terjadi penerobosan
akses di dalam sistem.
Beberapa
hal
yang
perlu
dipertimbangkan
dalam
menentukan
kebijaksanaan
pengamanan adalah: siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan
untuk menginstall program ke dalam sistem, siapa sajakah memiliki data-data tertentu,
perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem.
Hal : 46
Keamanan Komputer
Keamanan Fisik
Lapisan keamanan pertama yang harus diperhitungkan adalah keamanan secara fisik
dalam sistem komputer. Keamanan fisik menyangkut tindakan mengamankan lokasi adanya
sistem komputer terhadap intruder yang bersenjata atau yang mencoba menyusup ke dalam
sistem komputer. Pertanyaan yang harus dijawab dalam menjamin keamanan fisik antara lain:
1. Siapa saja yang memiliki akses langsung ke dalam sistem? Maksudnya
adalah akses-akses yang penting seperti menginstall software hanya
dimiliki oleh admin saja. User biasa tidak boleh memiliki akes ini.
2. Apakah mereka memang berhak? Hal ini juga penting untuk menjamin
keamanan sistem dari orang-orang yang bermaksud tidak baik.
Pembagian hak akses disesuaikan dengan kebutuhan pengguna.
3. Dapatkah sistem terlindung dari maksud dan tujuan mereka? Sebagai
contoh adalah perlindungan terhadap pengaksesan data (baik untuk
membaca ataupun menulis) yang ada di sistem, hanya orang-orang
tertentu saja yang memilikinya.
4. Apakah hal tersebut perlu dilakukan?
Banyak keamanan fisik yang berada dalam sistem memiliki ketergantungan terhadap
anggaran dan situasi yang dihadapi. Apabila pengguna adalah pengguna rumahan, maka
kemungkinan keamanan fisik tidak banyak dibutuhkan. Akan tetapi, jika pengguna bekerja di
laboratorium atau jaringan komputer, banyak yang harus dipikirkan.
Saat ini, banyak komputer pribadi memiliki kemampuan mengunci. Biasanya kunci ini
berupa socket pada bagian depan casing yang bisa dimasukkan kunci untuk mengunci ataupun
membukanya. Kunci casing dapat mencegah seseorang untuk mencuri dari komputer,
membukanya secara langsung untuk memanipulasi ataupun mencuri perangkat keras yang ada.
Hal : 47
Keamanan Komputer
Keamaanan Perangkat Lunak
Contoh dari keamanan perangkat lunak yaitu BIOS. BIOS merupakan perangkat lunak
tingkat rendah yang mengkonfigurasi atau memanipulasi perangkat keras tertentu. BIOS dapat
digunakan untuk mencegah penyerang mereboot ulang mesin dan memanipulasi sistem LINUX.
Contoh dari keamanan BIOS dapat dilihat pada LINUX, dimana banyak PC BIOS mengizinkan
untuk mengeset password boot. Namun, hal ini tidak banyak memberikan keamanan karena BIOS
dapat direset, atau dihapus jika seseorang dapat masuk ke case.
Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang
sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan
waktu yang cukup lama dan akan meninggalkan bekas. Hal ini akan memperlambat tindakan
seseorang yang mencoba menyerang sistem.
Keamaanan Jaringan
Pada dasarnya, jaringan komputer adalah sumber daya (resources) yang dibagi dan dapat
digunakan oleh banyak aplikasi dengan tujuan berbeda. Kadang-kadang, data yang
ditransmisikan antara aplikasi-aplikasi merupakan rahasia, dan aplikasi tersebut tentu tidak mau
sembarang orang membaca data tersebut.
Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user)
memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat
dengan mudah menyadap dan membaca data tersebut pada jaringan. Oleh karena itu, user
biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah
orang-orang yang tidak diizinkan membaca pesan tersebut.
Kriptografi
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan
plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima
menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses
Hal : 48
Keamanan Komputer
enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan
penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan
ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.
Kriptografi macam ini dirancang untuk menjamin privasi: mencegah informasi menyebar
luas tanpa izin. Akan tetapi, privaci bukan satu-satunya layanan yang disediakan kriptografi.
Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas
pengguna) dan integritas (memastikan bahwa pesan belum diubah).
Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki
komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi
digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada
kunci yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu
jaringan dan digunakan untuk memroses suatu pesan.
Operasional
Keamanan operasional (operations security) adalah tindakan apa pun yang menjadikan
sistem beroperasi secara aman, terkendali, dan terlindung. Yang dimaksud dengan sistem adalah
jaringan, komputer, lingkungan. Suatu sistem dinyatakan operasional apabila sistem telah
dinyatakan berfungsi dan dapat dijalankan dengan durasi yang berkesinambungan, yaitu dari
hari ke hari, 24 jam sehari, 7 hari seminggu.
Manajemen Administratif (Administrative Management) adalah penugasan individu untuk
mengelola fungsi-fungsi keamanan sistem. Beberapa hal yang terkait:
1. Pemisahan Tugas (Separation of Duties). Menugaskan hal-hal yang
menyangkut keamanan kepada beberapa orang saja. Misalnya, yang
berhak menginstall program ke dalam system komputer hanya admin,
user tidak diberi hak tersebut.
2. Hak Akses Minimum (Least Privilege). Setiap orang hanya diberikan hak
akses minimum yang dibutuhkan dalam pelaksanaan tugas mereka
Hal : 49
Keamanan Komputer
3. Keingin-tahuan (Need to Know). Yang dimaksud dengan need to know
adalah pengetahuan akan informasi yang dibutuhkan dalam melakukan
suatu pekerjaan.
Kategori utama dari kontrol keamanan operasional antara lain:
1. Kendali Pencegahan (Preventative Control). Untuk mencegah error dan
intruder temasuki sistem. Misal, kontrol pencegahan untuk mencegah
virus memasuki sistem adalah dengan menginstall antivirus.
2. Kontrol Pendeteksian (Detective Control). Untuk mendeteksi error yang
memasuki sistem. Misal, mencari virus yang berhasil memasuki sistem.
3. Kontrol
Perbaikan
(Corrective/Recovery
Control).
Membantu
mengembalikan data yang hilang melalui prosedur recovery data. Misal,
memperbaiki data yang terkena virus.
Kategori lainnya mencakup:
1. Kendali Pencegahan (Deterrent Control). . Untuk menganjurkan
pemenuhan (compliance) dengan kontrol eksternal.
2. Kendali Aplikasi (Application Control) . Untuk memperkecil dan
mendeteksi operasi-operasi perangkat lunak yang tidak biasa.
3. Kendali Transaksi (Transaction Control) . Untuk menyediakan kendali
di berbagai tahap transaksi (dari inisiasi sampai keluaran, melalui kontrol
testing dan kontrol perubahan).
BCP/DRP
Berdasarkan pengertian, BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan, sedangkan DRP atau Disaster Recovery Plan adalah rencana pemulihan dari
kemungkinan kerusakan-kerusakan yang terjadi. Aspek yang terkandung di dalam suatu rencana
Hal : 50
Keamanan Komputer
bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan
yang terjadi. Dengan kata lain, DRP terkandung di dalam BCP.
Rencana untuk pemulihan dari kerusakan, baik yang disebabkan oleh alam maupun
manusia, tidak hanya berdampak pada kemampuan proses komputer suatu perusahaan, tetapi
juga akan berdampak pada operasi bisnis perusahaan tersebut. Kerusakan-kerusakan tersebut
dapat mematikan seluruh sistem operasi. Semakin lama operasi sebuah perusahaan mati, maka
akan semakin sulit untuk membangun kembali bisnis dari perusahaan tersebut.
Konsep dasar pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi yaitu
harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan
besar. Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses
manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya.
Pada perusahaan kecil, biasanya proses perencanaannya kurang formal dan kurang
lengkap. Sedangkan pada perusahaan besar, proses perencanaannya formal dan lengkap. Apabila
rencana tersebut diikuti maka akan memberikan petunjuk yang dapat mengurangi kerusakan
yang sedang atau yang akan terjadi.
Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer
berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang
dikumpulkan.
Hal : 51
Keamanan Komputer
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih
dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit,
kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
Hal : 52
Keamanan Komputer
Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
Kesimpulan umum dari auditor.
Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan
kontrol layak atau tidak
Rekomendasi. Tanggapan dari manajemen (bila perlu).
Exit interview. Interview terakhir antara auditor dengan pihak manajemen
untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut.
Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
Hal : 53
Keamanan Komputer
Hal : 54
Keamanan Komputer
Hal : 55
Keamanan Komputer
Hal : 56