Manajemen Keamanan dari Teknologi Inform
Manajemen Keamanan dari Teknologi Informasi
A. Pengenalan
Keamanan Informasi atau Information Security adalah proteksi peralatan
computer, fasilitas, data, dan informasi, baik computer maupun nonkomputer dari penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidak
berwenang. Dengan akses Internet yang berkembang dengan cepat,
seseorang mungkin berpikir bahwa halangan terbesar bagi perdagangan
elektronik mungkin adalah luasnya bidang. Namun masalah utamanya
terletak pada keamanan. Selain itu, bagian dari masalah tersebut adalah
Internet yang dibangun untuk Interoperabilitas, bukan kekebalan.
B. Perangkat Manajemen Keamanan
Tujuan dari manajemen keamanan adalah akurasi, integritas, serta keselamat
dari seluruh pengelolaan dan sumber daya sistem informasi. Oleh karena itu,
manajemen keamanan yang efektif akan meminimalkan kesalahan,
penipuan, dan kerugian dalam sistem informasi yang saat ini
menginterkoneksikan perusahaan dan pelanggan mereka, serta pemasok dan
pihak yang berkepentingan lainnya.
Keamanan Teknologi Informasi atau IT Security mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan
berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan. Berbeda
dengan keamanan informasi yang fokusnya justru pada data dan informasi
milik perusahaan. Pada konsep ini, usaha-usaha yang dilakukan adalah
merencanakan, mengembangkan serta mengawasi semua kegiatan yang
terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta
diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan
dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang
yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima
dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah
tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek
integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat
alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktekpraktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang
lainnya.
Physical Security yang memfokuskan strategi untuk mengamankan
pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
Personal Security yang overlap dengan
melindungi orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications
Security yang
bertujuan
mengamankan
media
komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk
memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
‘phisycal
security’ dalam
C. Pertahanan Keamanan Antarjaringan
Keamanan dari jaringan perusahaan bisnis saat ini merupakan tantangan
manajemen yang paling utama. Banyak perusahaan yang masih dalam
proses mendapatkan koneksi penuh ke situs dan Internet untuk perdagangan
elektronik, rekayasa ulang pengolahan bisnis internal mereka dengan
intranet, perangkat lunak bisnis elektronik, tautan ekstranet untuk
pelanggan, pemasok, dan bisnis mitra lainnya. Tautan jaringan penting dan
aliran bisnis dilindungi dari serangan eksternal oleh penjahat kriminal dan
subversi oleh penjahat atau tindakan penyusup yang tidak bertanggung
jawab. Proteksi ini membutuhkan berbagai alat keamanan, ukuran ketahanan,
dan program manajemen keamanan yang terkoordinasi. Beberapa
pertahanan keamanan yang penting:
1. Enkripsi
Enkripsi data telah menjadi sebuah cara yang penting untuk melindungi
data dan sumber daya jaringan computer, khususnya Internet, intranet,
dan ekstranet. Kata sandi, pesan, arsip dan data lain yang dapat
ditransmisikan dalam bentuk yang beraturan dan tidak beraturan oleh
sistem computer hanya untuk pengguna terotorisasi. Contohnya, surat
elektronik dapat diacak dan dikodekan dengan menggunakan kunci public
yang unik untuk penerima yang tidak dikenal pengirimnya. Setelah surat
elektronik ditransmisikan, hanya kunci pribadi rahasia penerima yang
dapat menguraikan pesan.
Bagaimana kunci public/kunci pribadi enkripsi bekerja:
a. Dengan perangkat lunak enkripsi. Dapat diciptakan sebuah kunci
dengan dua bagian – satu publik dan satu pribadi. Anda dapat
mendistribusikan sebuah arsip yang berisi bagian dari kunci public bagi
mereka yang Anda inginkan untuk berkomunikasi. Hanya Anda yang
dapat menggunakan kunci pribadi.
b. Anda menulis sebuah pesan surat elektronik, kemudian menggunakan
kunci public penerima untuk mengenkripsinya.
c. Pengolahan enkripsi meletakkan semacam kunci digital pada pesan.
Bahkan, apabila seseorang mulai mengintersepsi, isi pesan tersebut
tidak dapat diakses.
d. Ketika pesan tiba, perangkat lunak menggunakan kunci pribadi untuk
memverifikasi bahwa kunci public penerima digunakan untuk enkripsi.
e. Menggunakan kunci pribadi, perangkat lunak membuka skema enkripsi
yang unik, mengodekan kembali pesan tersebut.
2. Firewall
Firewall bertindak sebagai sistem penjaga gerbang yang melindungi
intranet perusahaan dan jaringan computer lain dari penyusupan dengan
menyediakan sebuah penyaring dan titik pengiriman yang aman untuk
akses ked an dari Internet serta jaringan lain. Firewall memeriksa seluruh
lalu lintas jaringan untuk kata sandi yang sesuai atau kode keamanan lain
dan hanya mengizinkan transmisi terotorisasi yang masuk atau keluar dari
jaringan. Dalam beberapa kasus, Firewall dapat memudahkan akses dari
lokasi yang terpecaya dalam Internet computer tertentu di dalam Firewall
atau dapat mengizinkan hanya informasi yang aman untuk melewatinya.
Contohnya firewall dapat mengizinkan pengguna untuk membaca surat
elektronik dari lokasi yang jauh, tetapi tidak menjalankan program
tertentu.
3. Serangan Penolakan Layanan
Internet secara ekstrem sangat rentan atas berbagai serangan oleh
peretas criminal, khususnya, serangan atas penolakan layanan
terdistribusi (distributed denial of services – DDOS). Cara untuk bertahan
dari serangan penolakan layanan:
Pada mesin mayat hidup, mengatur dan mendorong kebijakan
keamanan. Menilai secara teratur atas program Trojan horse dan
kelemahan. Ingatkan pengguna untuk tidak membuka lampiran
surat .exe
Pada ISP, mengawasi dan memblokir lonjakan lalu lintas. Menyaring
alamat IP yang palsu. Mengoordinasikan keamanan dengan
penyedia jaringan.
Pada situs jejaring korban, menciptakan server cadangan dari
koneksi jaringan. Mengalangi koneksi ke masingmasing server.
Memasang sistem deteksi intrusi berganda dan penerus untuk lau
lintas yang dating agar mengurangi titik penyumbatan.
Serangkaian penolakan layanan melalui Internet mengandalkan pada
tigas lapisan sistem computer jaringan: 1. Situs korban, 2. Korban
penyedia layanan Internet (Internet Service Provider – ISP) 3. Situs “mayat
hidup” atau computer diperbudak atau dikomandoi penjahat dunia maya.
Contohnya peretas dapat menyusup ke dalam ratusan server dengan
perlindungan rendah yang ada di universitas, dan menempatkan program
Trojan horse yang kemudian digunakan untuk meluncurkan sebuah
perintang dari permintaan layanan dalam sebuah serangan pada situs
perdagangan elektronik seperti Yahoo! dan eBay.
4. Pengawasan Surat Elektronik
Internet dan sistem surat elektronik online lain adalah salah satu tempat
favorite serangan oleh peretas untuk menybarkan virus computer atau
menyusup kedalam computer jaringan. Surat elektronik juga merupakan
tempat pertarungan bagi perusahaan untuk mendorong kebijakan
melawan pesan yang tidak resmi, pribadi, atau perusakan yang dilakukan
oleh karyawan dengan permintaan beberapa karyawan dan yang melihat
kebijakan tersebut sebagai pelanggaran kebebasan privasi.
5. Pertahanan dari Virus
Banyak perusahaan membangun pertahanan melawan penyebaran virus
dengan memusatkan distribusi dan memperbarui perangkat lunak antivius
sebagai sebuah tanggung jawab dari departemen SI mereka. Perusahaan
lain mengalihkan tanggung jawab perlindungan virus kepenyedia layanan
internet, telekomunikasi, atau perusahaan manajemen keamanan mereka.
Satu alasan unuk tren ini yaitu perusahaan perangkat lunak antivirus
utama seperti Trend Micro (eDocter dan PC-cillin), McAfee (virus scan) dan
Symantec (Norton antivirus) telah membangun versi jaringan dari
program mereka. Pemasaran mereka ke ISP dan lain lain merupakan
sebuah layanan yang mereka coba tawarkan keseluruh pelanggan
mereka. Perusahaan antivirus juga memasarkan stelan keamanan dari
perangkat lunak yang mengintegrasikan perlindungan dari virus dengan
firewall, keamanan situs dan fitur pemblokiran konten.
D. Ukuran-Ukuran Keamanan Lainnya
Terdapat beberapa ukuran keamanan yang biasa digunakan untuk melindungi
sistem dan jaringan bisnis. Hal tersebut memcakup baik perangkat keras
maupun perangkat lunak, seperti komputer yang toleran kepada kesalahan
dan pengawasan keamanan, serta kebijakan prosedur keamanan, seperti
kata sandi dan arsip cadangan seluruhnya merapakan bagian dari sebuah
usahan manajemen keamanan terintegrasi dibanyak perusahaan saat ini.
1. Kode Keamanan
Umumnya, sebuah sitem kata sandi berjenjang digunakan untuk
manajemen keamanan. Pertama, seorang pengguna akhir masuk ke
sistem kompuer dengan memasukan kode unik indentifikasi miliknya atau
identitas pengguna. Kedua, pengguna akhir diminta untuk memasukan
sebuah kata sandi untuk memperoleh akses kedalam sistem. (Kata sandi
sebaiknya diganti secara teratur dan terdiri atas kombinasi yang tidak
biasa dari huruf besar dan kecil serta angka). Ketiga, unuk mengakses
sebuah arsip individu sebuah nama arsip yang unik haus dimasukkan.
Dalam beberapa sistem, kata sandi unuk membaca isi sebuah arsip
berbeda dengan apa yang dibutuhkan untuk menulis kesebuah arsip
(perubahan isinya). Fitur ini menambah tingkat proteksi lain untuk
menyimpan sumber daya data. Bahkan untuk keamanan yang lebih ketat,
kata sandi dapat diacak atau terenkripsi dengan menghindarkannya dari
pencurian atau pengunaan yang tidak sesuai, seperti yang segera
diskusikan. Sebagai tambahan, kartu pintar yang berisi microprocessor
yang memacu angka acak untuk menambah kata sandi pengguna
digunakan dalam beberapa sistem keamanan.
2. Arsip Cadangan
Arsip cadangan adalah arsip duplikasi dari data atau program, merupakan
salah satu dari ukuran keamanan yang penting. Arsip dapat juga
diproteksi oleh ukuran penyimpanan arsip yang mencakup penyimpanan
salinan arsip dari periode sebelumnya. Apabila arsip saat ini dihancurkan,
arsip dari periode sebelumnya dapat digunakan untuk merekonstruksi
arsip baru saat ini. Terkadang, beberapa generasi arsip untuk tujuan
pengendalian. Oleh karena itu, arsip induk dari beberapa periode
penugasan baru-baru ini (dikenal sebagai arsip anak, orang tua, kakek)
dapat disimpan sebqgai cadangan. Arsip seperti ini dapat disimpan diluar
lingkungan kerja yaitu disebuah lokasi yang jauh dari pusat data
perusahaan, terkadang dalam brankas penyimpanan khusus di lokasi
terpencil
3. Pengawasan Keamanan
Keamanan dari sebuah jaringan daoat disediakan oleh paket perangkat
lunak sistem terspesialisasi yang dikenal sebagai pengawasan keamanan
sistem. Pengawasan keamanan sistem adalah program yang mengawasi
penggunaan sistem komputerndan jaringan serta melindunginya dari
penggunaan yang tak terotorisasi, penipuan, dan kehancuran. Programprogram seperti ini menyediakan ukuran keamanan yang dibutuhkan
untuk memungkinkan pengguna yang terotorisasi mengakses jaringan.
Contohnya, kode identifikasi, dan kata sandi secara teratur digunakan
untuk tujuan tersebut. Pengawasan keamanan juga mengendalikan
penggunaan perangkat keras, perangkat lunak, dan sumber daya data
dari sebuah sistem komputer. Contohnya, pengguna terotorisasi dapat
membatasi pengunaan beberapa alat, program, dan arsip data.
Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan,
elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting
bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus,
dan hackers sudah mengancam informasi bisnis manajemen oleh karena
meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang
dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan
stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk
memastikan informasi yang menjamin kesinambungan bisnis dan meminimise
kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan
informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah
ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali
berbeda.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara
umum diartikan sebagai “quality or state of being secure-to be free from
danger” [1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan
bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya.
Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing kekhusus-annya. Contoh dari tinjauan keamanan informasi adalah:
Physical Security yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat
ini untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan
data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus,
maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga
tahapannya yaitu:
1)
strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2)
tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan,
3)
operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas
yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi
strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi
informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan
ancaman yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbilitysumberdaya informasi. Insident
Response Planning meliputi incident detection, incident response, dan incident
recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP
tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana
jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan
tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang
lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail
atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training
and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada
pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
A. Pengenalan
Keamanan Informasi atau Information Security adalah proteksi peralatan
computer, fasilitas, data, dan informasi, baik computer maupun nonkomputer dari penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidak
berwenang. Dengan akses Internet yang berkembang dengan cepat,
seseorang mungkin berpikir bahwa halangan terbesar bagi perdagangan
elektronik mungkin adalah luasnya bidang. Namun masalah utamanya
terletak pada keamanan. Selain itu, bagian dari masalah tersebut adalah
Internet yang dibangun untuk Interoperabilitas, bukan kekebalan.
B. Perangkat Manajemen Keamanan
Tujuan dari manajemen keamanan adalah akurasi, integritas, serta keselamat
dari seluruh pengelolaan dan sumber daya sistem informasi. Oleh karena itu,
manajemen keamanan yang efektif akan meminimalkan kesalahan,
penipuan, dan kerugian dalam sistem informasi yang saat ini
menginterkoneksikan perusahaan dan pelanggan mereka, serta pemasok dan
pihak yang berkepentingan lainnya.
Keamanan Teknologi Informasi atau IT Security mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan
berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan. Berbeda
dengan keamanan informasi yang fokusnya justru pada data dan informasi
milik perusahaan. Pada konsep ini, usaha-usaha yang dilakukan adalah
merencanakan, mengembangkan serta mengawasi semua kegiatan yang
terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta
diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan
dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang
yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima
dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah
tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek
integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat
alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktekpraktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang
lainnya.
Physical Security yang memfokuskan strategi untuk mengamankan
pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
Personal Security yang overlap dengan
melindungi orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications
Security yang
bertujuan
mengamankan
media
komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk
memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
‘phisycal
security’ dalam
C. Pertahanan Keamanan Antarjaringan
Keamanan dari jaringan perusahaan bisnis saat ini merupakan tantangan
manajemen yang paling utama. Banyak perusahaan yang masih dalam
proses mendapatkan koneksi penuh ke situs dan Internet untuk perdagangan
elektronik, rekayasa ulang pengolahan bisnis internal mereka dengan
intranet, perangkat lunak bisnis elektronik, tautan ekstranet untuk
pelanggan, pemasok, dan bisnis mitra lainnya. Tautan jaringan penting dan
aliran bisnis dilindungi dari serangan eksternal oleh penjahat kriminal dan
subversi oleh penjahat atau tindakan penyusup yang tidak bertanggung
jawab. Proteksi ini membutuhkan berbagai alat keamanan, ukuran ketahanan,
dan program manajemen keamanan yang terkoordinasi. Beberapa
pertahanan keamanan yang penting:
1. Enkripsi
Enkripsi data telah menjadi sebuah cara yang penting untuk melindungi
data dan sumber daya jaringan computer, khususnya Internet, intranet,
dan ekstranet. Kata sandi, pesan, arsip dan data lain yang dapat
ditransmisikan dalam bentuk yang beraturan dan tidak beraturan oleh
sistem computer hanya untuk pengguna terotorisasi. Contohnya, surat
elektronik dapat diacak dan dikodekan dengan menggunakan kunci public
yang unik untuk penerima yang tidak dikenal pengirimnya. Setelah surat
elektronik ditransmisikan, hanya kunci pribadi rahasia penerima yang
dapat menguraikan pesan.
Bagaimana kunci public/kunci pribadi enkripsi bekerja:
a. Dengan perangkat lunak enkripsi. Dapat diciptakan sebuah kunci
dengan dua bagian – satu publik dan satu pribadi. Anda dapat
mendistribusikan sebuah arsip yang berisi bagian dari kunci public bagi
mereka yang Anda inginkan untuk berkomunikasi. Hanya Anda yang
dapat menggunakan kunci pribadi.
b. Anda menulis sebuah pesan surat elektronik, kemudian menggunakan
kunci public penerima untuk mengenkripsinya.
c. Pengolahan enkripsi meletakkan semacam kunci digital pada pesan.
Bahkan, apabila seseorang mulai mengintersepsi, isi pesan tersebut
tidak dapat diakses.
d. Ketika pesan tiba, perangkat lunak menggunakan kunci pribadi untuk
memverifikasi bahwa kunci public penerima digunakan untuk enkripsi.
e. Menggunakan kunci pribadi, perangkat lunak membuka skema enkripsi
yang unik, mengodekan kembali pesan tersebut.
2. Firewall
Firewall bertindak sebagai sistem penjaga gerbang yang melindungi
intranet perusahaan dan jaringan computer lain dari penyusupan dengan
menyediakan sebuah penyaring dan titik pengiriman yang aman untuk
akses ked an dari Internet serta jaringan lain. Firewall memeriksa seluruh
lalu lintas jaringan untuk kata sandi yang sesuai atau kode keamanan lain
dan hanya mengizinkan transmisi terotorisasi yang masuk atau keluar dari
jaringan. Dalam beberapa kasus, Firewall dapat memudahkan akses dari
lokasi yang terpecaya dalam Internet computer tertentu di dalam Firewall
atau dapat mengizinkan hanya informasi yang aman untuk melewatinya.
Contohnya firewall dapat mengizinkan pengguna untuk membaca surat
elektronik dari lokasi yang jauh, tetapi tidak menjalankan program
tertentu.
3. Serangan Penolakan Layanan
Internet secara ekstrem sangat rentan atas berbagai serangan oleh
peretas criminal, khususnya, serangan atas penolakan layanan
terdistribusi (distributed denial of services – DDOS). Cara untuk bertahan
dari serangan penolakan layanan:
Pada mesin mayat hidup, mengatur dan mendorong kebijakan
keamanan. Menilai secara teratur atas program Trojan horse dan
kelemahan. Ingatkan pengguna untuk tidak membuka lampiran
surat .exe
Pada ISP, mengawasi dan memblokir lonjakan lalu lintas. Menyaring
alamat IP yang palsu. Mengoordinasikan keamanan dengan
penyedia jaringan.
Pada situs jejaring korban, menciptakan server cadangan dari
koneksi jaringan. Mengalangi koneksi ke masingmasing server.
Memasang sistem deteksi intrusi berganda dan penerus untuk lau
lintas yang dating agar mengurangi titik penyumbatan.
Serangkaian penolakan layanan melalui Internet mengandalkan pada
tigas lapisan sistem computer jaringan: 1. Situs korban, 2. Korban
penyedia layanan Internet (Internet Service Provider – ISP) 3. Situs “mayat
hidup” atau computer diperbudak atau dikomandoi penjahat dunia maya.
Contohnya peretas dapat menyusup ke dalam ratusan server dengan
perlindungan rendah yang ada di universitas, dan menempatkan program
Trojan horse yang kemudian digunakan untuk meluncurkan sebuah
perintang dari permintaan layanan dalam sebuah serangan pada situs
perdagangan elektronik seperti Yahoo! dan eBay.
4. Pengawasan Surat Elektronik
Internet dan sistem surat elektronik online lain adalah salah satu tempat
favorite serangan oleh peretas untuk menybarkan virus computer atau
menyusup kedalam computer jaringan. Surat elektronik juga merupakan
tempat pertarungan bagi perusahaan untuk mendorong kebijakan
melawan pesan yang tidak resmi, pribadi, atau perusakan yang dilakukan
oleh karyawan dengan permintaan beberapa karyawan dan yang melihat
kebijakan tersebut sebagai pelanggaran kebebasan privasi.
5. Pertahanan dari Virus
Banyak perusahaan membangun pertahanan melawan penyebaran virus
dengan memusatkan distribusi dan memperbarui perangkat lunak antivius
sebagai sebuah tanggung jawab dari departemen SI mereka. Perusahaan
lain mengalihkan tanggung jawab perlindungan virus kepenyedia layanan
internet, telekomunikasi, atau perusahaan manajemen keamanan mereka.
Satu alasan unuk tren ini yaitu perusahaan perangkat lunak antivirus
utama seperti Trend Micro (eDocter dan PC-cillin), McAfee (virus scan) dan
Symantec (Norton antivirus) telah membangun versi jaringan dari
program mereka. Pemasaran mereka ke ISP dan lain lain merupakan
sebuah layanan yang mereka coba tawarkan keseluruh pelanggan
mereka. Perusahaan antivirus juga memasarkan stelan keamanan dari
perangkat lunak yang mengintegrasikan perlindungan dari virus dengan
firewall, keamanan situs dan fitur pemblokiran konten.
D. Ukuran-Ukuran Keamanan Lainnya
Terdapat beberapa ukuran keamanan yang biasa digunakan untuk melindungi
sistem dan jaringan bisnis. Hal tersebut memcakup baik perangkat keras
maupun perangkat lunak, seperti komputer yang toleran kepada kesalahan
dan pengawasan keamanan, serta kebijakan prosedur keamanan, seperti
kata sandi dan arsip cadangan seluruhnya merapakan bagian dari sebuah
usahan manajemen keamanan terintegrasi dibanyak perusahaan saat ini.
1. Kode Keamanan
Umumnya, sebuah sitem kata sandi berjenjang digunakan untuk
manajemen keamanan. Pertama, seorang pengguna akhir masuk ke
sistem kompuer dengan memasukan kode unik indentifikasi miliknya atau
identitas pengguna. Kedua, pengguna akhir diminta untuk memasukan
sebuah kata sandi untuk memperoleh akses kedalam sistem. (Kata sandi
sebaiknya diganti secara teratur dan terdiri atas kombinasi yang tidak
biasa dari huruf besar dan kecil serta angka). Ketiga, unuk mengakses
sebuah arsip individu sebuah nama arsip yang unik haus dimasukkan.
Dalam beberapa sistem, kata sandi unuk membaca isi sebuah arsip
berbeda dengan apa yang dibutuhkan untuk menulis kesebuah arsip
(perubahan isinya). Fitur ini menambah tingkat proteksi lain untuk
menyimpan sumber daya data. Bahkan untuk keamanan yang lebih ketat,
kata sandi dapat diacak atau terenkripsi dengan menghindarkannya dari
pencurian atau pengunaan yang tidak sesuai, seperti yang segera
diskusikan. Sebagai tambahan, kartu pintar yang berisi microprocessor
yang memacu angka acak untuk menambah kata sandi pengguna
digunakan dalam beberapa sistem keamanan.
2. Arsip Cadangan
Arsip cadangan adalah arsip duplikasi dari data atau program, merupakan
salah satu dari ukuran keamanan yang penting. Arsip dapat juga
diproteksi oleh ukuran penyimpanan arsip yang mencakup penyimpanan
salinan arsip dari periode sebelumnya. Apabila arsip saat ini dihancurkan,
arsip dari periode sebelumnya dapat digunakan untuk merekonstruksi
arsip baru saat ini. Terkadang, beberapa generasi arsip untuk tujuan
pengendalian. Oleh karena itu, arsip induk dari beberapa periode
penugasan baru-baru ini (dikenal sebagai arsip anak, orang tua, kakek)
dapat disimpan sebqgai cadangan. Arsip seperti ini dapat disimpan diluar
lingkungan kerja yaitu disebuah lokasi yang jauh dari pusat data
perusahaan, terkadang dalam brankas penyimpanan khusus di lokasi
terpencil
3. Pengawasan Keamanan
Keamanan dari sebuah jaringan daoat disediakan oleh paket perangkat
lunak sistem terspesialisasi yang dikenal sebagai pengawasan keamanan
sistem. Pengawasan keamanan sistem adalah program yang mengawasi
penggunaan sistem komputerndan jaringan serta melindunginya dari
penggunaan yang tak terotorisasi, penipuan, dan kehancuran. Programprogram seperti ini menyediakan ukuran keamanan yang dibutuhkan
untuk memungkinkan pengguna yang terotorisasi mengakses jaringan.
Contohnya, kode identifikasi, dan kata sandi secara teratur digunakan
untuk tujuan tersebut. Pengawasan keamanan juga mengendalikan
penggunaan perangkat keras, perangkat lunak, dan sumber daya data
dari sebuah sistem komputer. Contohnya, pengguna terotorisasi dapat
membatasi pengunaan beberapa alat, program, dan arsip data.
Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan,
elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting
bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus,
dan hackers sudah mengancam informasi bisnis manajemen oleh karena
meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang
dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan
stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk
memastikan informasi yang menjamin kesinambungan bisnis dan meminimise
kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan
informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah
ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali
berbeda.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara
umum diartikan sebagai “quality or state of being secure-to be free from
danger” [1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan
bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya.
Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing kekhusus-annya. Contoh dari tinjauan keamanan informasi adalah:
Physical Security yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat
ini untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan
data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus,
maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga
tahapannya yaitu:
1)
strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2)
tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan,
3)
operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas
yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi
strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi
informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan
ancaman yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbilitysumberdaya informasi. Insident
Response Planning meliputi incident detection, incident response, dan incident
recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP
tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana
jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan
tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang
lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail
atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training
and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada
pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.