I.
Keamanan Informasi
Perusahaan
melakukan investasi besar dalam sumber daya informasinya. Sumber daya ini
tersebar di seluruh organisasi, dan tiap manajer bertanggung jawab atas sumber
daya yang berada di areanya – membuat mereka aman dari akses yang tidak sah.
Baru pada periode pergolakan sosial
selama Perang Vietnam, perusahaan-perushaan Amerika Serikat mulai melindungi
pusat-pusat komputer mereka dari kerusakan dan penghancuran. Belakangan
disadari bahwa diperlukan juga perlindungan terhadap bencana alam. Kebakaran di
Australia, gempa bumi di California, dan badai di Florida selama awal 1990-an
menunjukkan bahwa manajemen harus mengamankan sumber daya informasi dari
berbagai macam ancaman.
Perusahaan-perusahaan
mencoba menangkal kriminal komputer melalui keamanan sistem, dan meminimumkan
kerusakan dari berbagai ancaman melalui perencanaan berjaga-jaga (contingency planning).
Saat pemerintah
dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya
informasi mereka, perhatian nyaris terfokus secara eksklusif kepada perlindungan
peranti keras dan data, maka istilah keamanan sistem (system security) pun
digunakan. Kini cakupannya meluas, bukan hanya data di dalam komputer. Istilah
keamaanan informasi digunakan untuk mendeskripsikan perlindungan baik peralatan
komputer dan non komputer, fasilitas, data, dan informasi dan penyalahgunaan
pihak-pihak yang tidak berwenang. Keamanan informasi menurut G. J. Simons
adalah bagaimana kita dapat mencegah penipuan (cheating) atau palig tidak, mendeteksi adanya penipuan di sebuah
sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
II.
Tujuan Keamanan Informasi
Tujuan-tujuan
keamanan mengacu pada perlindungan terhadap semua sumber daya informasi
perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang. Perusahaan
menerapkan suatu program keamanan sistem yang efektif dengan pertama-pertama
mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan
perlindungan yang diperlukan.
Keamanan informasi
dimaksudkan untuk mencapai tiga tujuan utama yaitu,
·
Kerahasiaan
Perusahaan berusaha
untuk melindungi data dan informasinya dari pengungkapan kepada pihak yang
tidak berwenang.
·
Ketersediaan
Tujuan dari
infrastrukutur informasi adalah menyediakan data dan informasi bagi pihak-
pihak yang memiliki wewenang untuk menggunakannya.
·
Integritas
Semua sistem informasi
harus memberikan representasi akurat atas sistem fisik yang dipresentasikannya.
III.
Manajemen
Keamanan Informasi
Manajemen
keamanan informasi adalah Aktivitas untuk menjaga agar sumberdaya informasi
tetap aman . Manajemen keamanan informasi terdiri atas empat tahap, yaitu:
1. Mengidentifikasi
ancaman yang dapat menyerang sumber informasi perusahaan.
2. Mendefinisikan
resiko yang disebabkan oleh ancaman.
3. Menentukan
kebijakan keamanan informasi.
4. Mengimplementasikan
pengendalian untuk mengatasi resiko resiko tersebut.
IV.
Ancaman
Keamanan
Ancaman
kemanan informasi adalah orang, organisasi, mekanisme atau peristiwa yang
memiliki potensial untuk membahayakan sumberdaya informasi perusahaan.
ü Ancaman
Internal dan Eksternal
Ancaman
internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahan. Sedangkan
ancaman eksternal adalah ancaman di luar perusahaan yang tidak ada hubungannya
dengan perusahaan kita, atau biasa kita sebut dengan pesaing dalam usaha.
ü Jenis
Ancaman
Virus
hanyalah salah satu contoh peranti lunak yang menyandang nama peranti lunak
yang berbahaya (malicios software). Malicios dan Malware terdiri atas program
program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan
dapat melakukan fungsi fungsi yang tidak diharapkan oleh pemilik sistem.
Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut
berhenti.
V.
Risiko
Risiko
keamanan informasi didefinisikan sebagai potensi output yang tidak diharapkan
dari pelanggaran keamanan informasi oleh ancaman keamanan informasi .
Risiko-risiko seperti ini terbagi menjadi empat bagian , yaitu :
1. Pengungkapan
informasi yang tidak terotorisasi dan pencurian
2. Penggunaan
yang tidak terotorisasi
3. Penghancuran
yang tidak terotorisasi dan penolakan layanan
4. Modifikasi
yang tidak terotorisasi
VI.
Persoalan
E-Commerce
E-Commerce
(perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru.
Permasaahan ini bukanlah masalah perlindungan data, informasi, dan peranti
lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei
yang dilakukan oleh Gartner Group , pemalsuan kartu kredit 12 kali lebih sering
terjadi untuk para peritel e-commerce
dibandingkan para pedagang yang berurusan dengan pelanggan mereka secara langsung.
Untuk mengatasi masalah ini,
perusahaan-perusahaan kertu kredit yang utama telah mengimplementasikan
program yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
Kartu
Kredit “Sekali Pakai”
Pada
September 2000, American Express mengumumkan sebuah kartu kredit “sekali
pakai”. Kartu ini bekerja dengan cara: saat
pemegang kartu ingin membeli sesuatu secara online
, ia akan memperoleh angka acak dari situs web perusahaan kartu kredit
tersebut. Angka inilah, dan bukannya nomor kartu kredit tersebut yang kemudian
memberi laporan ke perusahaan kartu kredit untuk pembayaran.
VII.
Manajemen
Risiko
Manajemen
risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan
informasi. Risiko tersebut dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendefinisian risiko terdiri
atas empat langkah, yaitu:
1. Identifikasi
aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari
risikonya
3. Menentukn
tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis
kelemahan perusahaan tersebut
VIII.
Kebijakan Keamanan Informasi
Peruasahaan
dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang
bertahap, berikut terdapat 5 fase insiasi jabatan:
Fase
1 : Iniasi Proyek.
Tim yang menyusun kebijakan keamanan yang dibentuk
Fase 2 :Penyusunan
Kebijakan. Tim proyek
berkonsultasi engan semua pihak yang terpengaruh dengan proyek ini untuk
menentukan kebijakan baru
Fase 3 : Konsultasi
Dan Persetujuan: tim proyek
berkonsultasi dengan manajemen unuk mendapatkan persetujuan serta saran untuk
proyek tersebut
Fase 4 : Kesadaran
Dan Edukasi: program pelatihan
dan kesadaran edukasi kebijakan dilaksanakan dala unit- unit organisasi
Fase 5 :
Penyebarluasan Kebijakan.
Kebijakan ini dsebarlauaskan ke seluruh unit organisasi dimana kebijakan
tersebut bisa diterapkan.
Kebijakan terpisah dikembangkan untuk:
·
Keamanan
sistem informasi
·
Pengendalian
akses sistem
·
Keamanan
personal
·
Keamanan
lingkungan dan fisik
·
Keamanan
komunikasi data
·
Klasifikasi
informasi
·
Perencanaan
langsung usaha
·
Akuntbilitas
manajemen
IX.
Pengendalian
Pengendalian (control)
mekanisme yang diterapkan baik perusahaan untuk melindungi dan meminimalkan
jika terjadi resiko pada perusahaan. Pengendalian dibagi menjadi 3 kategori:
pengendalian teknis, fomal dan informal
PENGENDALIAN
TEKNIS
Pengendalian yang dibuat satu menjadi satu didalam sistem
dan dibuat oleh para penyusun sistem selama siklus penyusunan sisitem.
Pengendalian
Akses
Dasar keamanan melawan ancaman yang dilakukan oleh orang-
orang yang tidak di
otorisasi. Pengendalian akses dilakukan melaui proses tiga tahap :
·
Identifikasi
Pengguna
Para
pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan
sesuatu yang mereka ketahui, mislanya kata sandi.
·
Otentifikasi
Pengguna
Setelah
identifikasi awal telah dilakukan, para pengguna memferifikasi hak akses dengan
cara memberikan sesuatu yang mereka miliki seperti smart card atau tanda
tertentu atau chip identifikasi
·
Otorisasi
pengguna
Seteleh
pemeriksaan identifikasi atau autentifikasi dilalui, seseorang kemudian dapat
mendapatkan otorisasi untuk memasuki tingkat atau derajat.
Sistem
Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah
mengenali upaya pelanggaran kemanan sebelum memiliki kesempatan untuk melakukan
perusakan, salah satu contohnya adalah piranti lunak proteksi virus (virus
protection software) yang telah
terbukti efektif melawan virus yang terkirim melaui email, contohnya yang lain:
peralatan prediksi ancaman dari dalam (insider threat prediction tool)
yang bertujuan untuk mengidentifikasi calon penggangu sebelum memiliki
kesempatan untuk membahayakan.
Firewall
Sumber daya komputer selalu berada dalam risiko jika
terhubung ke jaringan untuk itulah diperlukan suatu pendekatan keamanan yaitu
dengan membangun dinding pelindung (firewall)
yang berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke
perusahaan tersebut dan internet.
Terdapat tiga jenis firewall:
*
Firewall
penyaring paket
*
Firewall
tingkat sirkuit
*
Firewall
tingkat aplikasi
Pengendalian
Kriptografis
Penggunaan kode yang mengunakan proses- proses matematika
untuk melindungi data atau informasi dari pengungkapan yang tidak terotorisasi.
Pengendalian
fisik
Pengendalian fisik juga membantu suatu kemanan informasi,
misalnya mengunci pintu ruangan kompuer, mengunakan kamera pengintai dan juga
alat penjaga kemanan.
PENGENDALIAN FORMAL
Pengendalian formal mencangkup penentuan cara
berperilaku, dokumentasi prosedur dan praktek yang diharapkan dan pengawasan
serta pencegahan perilaku yang berbeda dari panduan yang berlaku.
PENGENDALIAN INFORMAL
Pengendalian informal mencangkup program- program
pelatihan dan edukasi serta program pembangunan manajemen.
X.
Mencapai Tingkat Pengendalian yang Tepat
Ketiga
jenis pengendalian teknis, formal, dan informal mengharuskan biaya, karena
merupakan praktik bisnis yang baik jika menghabiskan lebih banyak uang pada
pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi ,
maka pengendalian harus ditetapkan pada tingkatan yang sesuai.
XI.
Dukungan Pemerintah dan Industri
Beberapa
organisasi pemerintah dan internasioanal telah menentukan standar-standar yang
ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standart ini
berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia
strategi alternatif untuk manajemen resiko.
XII.
Standar Industri
The Center for Internet Security (CIS)
adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna
komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua
produk – CIS Benchmarks dan CIS Scoring Tools. CIS Benchmarks membantu para
pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan
pengendalian khusus teknologi. CIS Scoring Tools memberikan kemampuan bagi
pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur,
dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk
mengamankan sistem.
XIII.
Sertifikasi Profesional
Mulai tahun 1960-an, profesi IT mulai
menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan
dari program-program ini.
N
Asosiasi
Audit Sistem dan Pengendalian
Program
sertifikasi keamanan yang pertama adalah Certified
Information System Auditor, yang ditawarkan oleh Information Systems Audit
and Control Association (ISACA). Kemudian, ISACA memberikan gelar Certified Information Security Manager. Untuk
mendapatkan sertifikasi ini, pendaftar harus mengikuti suatu ujian (yang
ditawarkan untuk pertama kali pada Juni 2003), mengikuti kode etika, dan
memberikan bukti pengalaman kerja dalam bidang keamanan informasi. Informasi
mengenai ISACA dapat ditemukan di www.isaca.org.
N
Konsorsium
Sertifikasi Keamanan Sistem Informasi Internasional
The Certification Information System
Security Professional
(CISSP) ditawarkan oleh International Information System Certification Consortium
(ISC). Sertifikasi CISSP member bukti bahwa pemegangnya memiliki keahlian dalam
keamanan informasi yang mencakup topic seperti pengendalian akses, kriptografi,
arsitektur keamanan, keamanan Internet, dan praktik manajemen keamanan.
Sertifikasi ini didasarkan pada kinerja pada ujian berisikan 250 pertanyaan
pilihan berganda. Informasi lebih banyak dapat ditemukan di www.isc2.org.
N
Institut
SANS
Institut
SANS (SysAdmin, Audit, Network, Security) menawarkan sertifikasi melalui Global Information Assurance Certification
Program miliknya, yang mencakup mata kuliah seperti Audit Keamanan IT dan
Intisari Pengendalian, serta Penulisan dan Pemeriksaan Kebijakan Keamanan.
Informasi mengenai SANS dapat didapatkan di www.sans.org.
XIV.
Meletakkan Manajemen Keamanan Informasi
Pada Tempatnya
Perusahaan harus mecanangkan kebijakan
manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkan identifikasi ancaman dan risiko ataupun berdasarkan
panduan yang diberikan oleh pemerintah dan asosiasi industry. Perusahaan harus
mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal
yang diharapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan
biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang
membuat perusahaan dan sistemnya mampu berfungsi secara efektif.
XV.
Manajemen Keberlangsungan Bisnis
Aktivitas yang ditujukan untuk
menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan
manajemen keberlangsungan bisnis (business continuity management – BCM).
Pada tahun-tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planning), namun istilah yang
lebih positif, perencanaan kontinjensi (contingency plan), menjadi populer.
Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency
plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail
tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman
gangguan, pada operasi komputasi perusahaan.
Banyak perusahaan telah menemukan bahwa,
dibandingkan sekadar mengandalkan suatu rencana kontijensi besar, pendekatan
yang terbaik adalah merancang beberapa subrencana yang menjawab beberapa
kontinjensi yang spesifik. Subrencana yang umum mencakup rencana darurat,
rencana cadangan, dan rencana catatan penting.
Ø
Rencana
Darurat
Rencana
darurat (emergency plan) menyebutkan
cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara
ini mencakup sistem alarm, prosedur evakuasi, dan sistem pemadaman api.
Ø
Rencana
Cadangan
Perusahaan
harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas
yang biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini
merupakan bagian dari rencana cadangan (backup
plan). Cadangan dapat diperoleh melalui kombinasi redundansi, keberagaman,
dan mobilitas.
·
Redundansi. Peranti keras, peranti lunak, dan data diduplikasikan
sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat
meneruskan proses.
·
Keberagaman. Sumber daya informasi tidak dipasang pada tempat
yang sama. Perusahaan besar biasanya membuat pusat komputer yang terpisah untuk
wilayah operasi yang berbeda-beda.
·
Mobilitas. Perusahaan dapat membuat perjanjian dengan para
pengguna peralatan yang sama sehingga masing-masing perusahaan dapat
menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan
yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah
fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya
untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan, namun tidak mencakup
fasilitas komputer. Perusahaan dapat mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri. Untuk
pendekatan yang mana pun, perusahaan tersebut harus menyediakan sumber daya
komputernya. Penyedia hot site dan cold site yang terbesar adalah IBM dan
SunGard.
Ø
Rencana
Catatan Penting
Catatan
penting (vital records) perusahaan
adalah dokumen kertas, mikroform, dan media penyimpanan optis dan magnetis yang
penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara
bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan
tersebut di situs komputer, salinan cadangan harus disimpan di lokasi yang
terpencil. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi
terpencil tersebut, namun catatan komputer dapat ditransmisikan secara
elektronik.
XVI.
Meletakkan Manajemen Keberlangsungan
Bisnis Pada Tempatnya
Manajemen keberlangsungan bisnis merupakan salah
satu bidang penggunaan komputer di mana kita dapat melihat perkembangan besar.
Pada akhir 1980-an, hanya beberapa perusahaan yang memiliki rencana seperti
itu, dan perusahaan jarang mengujinya. Sejak itu, banyak upaya telah
dilaksanakan untuk mengembangkan perencanaan kontinjensi, dan banyak informasi
serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga
perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem Komputer
TAMP memasarkan Sistem Pemulihan Bencana (Disaster
Recovery Sistem – DRS) yang mencakup sistem manajemen basis data,
instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana
pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan
sebagai titik awal atau tolok ukur. Panduan perencanaan kontinjensi yang
dipersiapkan oleh Departemen Sumber Daya Informasi Texas dari diperoleh dari www.dir.state.tx.us/security/continuity/index.htm.
Tidak ada komentar:
Posting Komentar