Sim,widyaningish,43116120030,hapzi ali,pengunaan sistem informasi,mercu buana,jakarta,2018
TUGAS SIM yang di peruntuhkan untuk memenuhi syarat nilai ujian akhir semester dengan dosan pengampu bapak Hapzi ali dengan saya memberikan terbaik untuk tygas akhir semester tersebut
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...Yasmin Al-Hakim
Pengamanan Keamanan Sistem Informasi
Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery)
Pengendalian akses : Pengendalian akses dapat dicapai dengan tiga langkah, yaitu
Identifikasi pemakai (user identification) : Mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon
Pembuktian keaslian pemakai (user authentication) : Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan
Otorisasi pemakai (user authorization) : Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak
wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara
yang pasif misalnya dengan melakukan pemantauan pada logfile.
Berbagai macam software IDS antara lain, yaitu:
Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile
Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok memerlukan software tertentu, seperti NinX atau sejenisnya
Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data yang sedang lewat
Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan
Tugas sim, siti aisyah, yananto mihadi putra, s.e, m.si. sistem informasi ma...asyaaisyah
Pada era pertumbuhan sistem informasi yang sangat cepat saat ini keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication), otorisasi pemakai (user authorization). Beberapakemungkinan serangan (Hacking) yang dapat
dilakukan, seperti Intrusion , denial of services. joyrider,
vandal, hijacking, sniffing, spoofing dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian data, penggunaan sistem secara ilegal, penghancuran data secara ilegal, modifikasi data secara
ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam. Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...Yasmin Al-Hakim
Pengamanan Keamanan Sistem Informasi
Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery)
Pengendalian akses : Pengendalian akses dapat dicapai dengan tiga langkah, yaitu
Identifikasi pemakai (user identification) : Mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon
Pembuktian keaslian pemakai (user authentication) : Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan
Otorisasi pemakai (user authorization) : Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak
wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara
yang pasif misalnya dengan melakukan pemantauan pada logfile.
Berbagai macam software IDS antara lain, yaitu:
Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile
Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok memerlukan software tertentu, seperti NinX atau sejenisnya
Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data yang sedang lewat
Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan
Tugas sim, siti aisyah, yananto mihadi putra, s.e, m.si. sistem informasi ma...asyaaisyah
Pada era pertumbuhan sistem informasi yang sangat cepat saat ini keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication), otorisasi pemakai (user authorization). Beberapakemungkinan serangan (Hacking) yang dapat
dilakukan, seperti Intrusion , denial of services. joyrider,
vandal, hijacking, sniffing, spoofing dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian data, penggunaan sistem secara ilegal, penghancuran data secara ilegal, modifikasi data secara
ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam. Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.
Cara mencegah dan menanggulangi apabila Sistem Informasi atau komputer mengalami gangguan Hacker, virus atau lainnnya baik yang bersifat mengganggu aktivitas sistem secara langsung atau merusah data/file pada komputer/sistem informasi.
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASI PADA PT TELKOM AKSES ...AyuEndahLestari
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management).
Cara mencegah dan menanggulangi apabila Sistem Informasi atau komputer mengalami gangguan Hacker, virus atau lainnnya baik yang bersifat mengganggu aktivitas sistem secara langsung atau merusah data/file pada komputer/sistem informasi.
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASI PADA PT TELKOM AKSES ...AyuEndahLestari
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management).
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
SI&PI. Anggri Afriani. Prof. Dr. Ir. Hapzi Ali, MM, CMA. Universitas Mercu Buana, 2018. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The Five Trust Service untu keandalan system
6, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Konsep dasar Keamanan Informasi Pe...Vhiie Audi
6, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Konsep dasar Keamanan Informasi Pemahaman Serangan, Tipe-Tipe Pengendalian Prinsip-Prinsip The Five bTrust Service untuk Keandalan Sistem, Universitas Mercu Buana, 2018
SIM, Dwi Yuliyanah, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu B...Dwi Yuliyanah
Keamanan merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem informasi, yang dimaksudkan untuk mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat segala kerusakan sistem.
Secara garis besar, ancaman terhadap teknologi sistem informasi terbagi dua :
1.Ancaman Aktif yaitu Kejahatan terhadap komputer dan kecurangan seperti pencurian data.
2.Ancaman Pasif misalnya Kegagalan sistem itu sendiri, Kesalahan manusia dan karena Bencana alam (gempa bumi, kebakaran, gunung meletus, banjir dan lain-lain)
Gangguan-gangguan terhadap teknologi sistem informasi dapat dilakukan secara :
Karena Manusia karena faktor Tidak sengaja seperti
– Kesalahan teknis (technical errors)
– Kesalahan perangkat keras (hardware problems)
– Kesalahan di dalam penulisan sintak perangkat lunak (syntax errors)
– Kesalahan logika (logical errors)
– Gangguan lingkungan (environmental hazards)
– Kegagalan arus listrik karena petir
– Kesalahan manusia (human errors)
Karena faktor Sengaja seperti
– Computer abuse : adalah kegiatan sengaja yang merusak atau menggangu teknologi sistem informasi.
– Computer crime (Computer fraud) : adalah kegiatan computer abuse yang melanggar hukum, misalnya membobol sistem komputer.
– Computer related crime : adalah kegiatan menggunakan teknologi komputer untuk melakukan kejahatan, misalnya dengan menggunakan internet untuk membeli barang dengan menggunakan kartu kredit.
Sedang dalam melakukan gangguan-gangguan teknologi sistem informasi ada 3 cara
– Data Tampering (merubah data)
– Penyelewengan program (program di modifikasi misalnya menjadi virus, worm, trojan, salami slicing, trapdor, Super Zapping, Bom Logika atau Bom Waktu)
– Penetrasi ke teknologi sistem informasi
Yang termasuk dalam cara ini adalah :
a. Piggybacking adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem komputer yang resmi.
b. Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password
c. Scavenging (Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan)
d. Eavesdropping (Eavesdropping adalah penyadapan informasi di jalur transmisi privat)
Dan saat ini ancaman tertinggi pada tehnologi sistim informasi adalah penyalahgunaan tehnologi tersebut pada kriminalitas atau cyber crime
Sim,widyaningsih,hapzi ali implikasi etis sistem informasi manajemen .mercu b...WidyaNingsih24
Sim,widyaningsih,hapzi ali implikasi etis sistem informasi manajemen .mercu buana,jakarta,2018.Tugas akhir semester yang di peruntuhkan untuk syarat nilai ujian akhir semster tahun ajaran 2017/2018 dosen pengampu Prof Hapzi Ali
Sim,widyaningsih,hapzi ali database management system,mercu buana,jakarta,2018.pWidyaNingsih24
Sim,widyaningsih,hapzi ali database management system,mercu buana,jakarta,2018.Tugas akhir semester yang di peruntuhkan untuk syarat nilai ujian akhir semster tahun ajaran 2017/2018 dosen pengampu Prof Hapzi Ali
SIM,Widyaningsih,hapzi ali system development.,mercu buana,jakarta,2018WidyaNingsih24
Sim,widyaningsih,hapzi ali system development.,mercu buana,jakarta,2018Tugas akhir semester yang di peruntuhkan untuk syarat nilai ujian akhir semster tahun ajaran 2017/2018 dosen pengampu Prof Hapzi Ali
Sim,widyaningsih,hapzi ali ,Informasi dalam Pelaksanaanya,mercu buana,jakarta...WidyaNingsih24
Sim,widyaningsih,hapzi ali ,sistem informasi manajemen,mercu buana,jakarta,2018.tugas ini di peruntuhkan untuk memenuhi tugas akhis semester yang di ampu oleh dosen Bapak HApzi Ali
Sim,widyaningish,43116120030,hapzi ali,pengguna dan pengembangan sistem,mercu...WidyaNingsih24
Sim,widyaningish,43116120030,hapzi ali,pengguna dan pengembangan sistem,mercu buana,jakarta,2018,PENGGUNA dan PENGEMBANGAN SISTEM
INFORMASI MANAJEMEN
Salah satu tugas makalah syarat UTS semster 3 dalam bentuk slide share.
Sim,widyaningsih,hapzi ali,sumber daya komputasi dan komunikasi,mercu buana,j...WidyaNingsih24
Sim,widyaningsih,hapzi ali,sumber daya komputasi dan komunikasi,mercu buana,jakarta,2018,Menganalisis Sitem Analisis sistem dilakukan dengan melakukan proses penilaian, identifikasi dan evaluasi komponen-komponen, dengan membuat definisi masalah, tujuan, kebutuhan, prioritas dan kendala-kendala yang dihadapi oleh sistem, ditambah identifikasi biaya, keuntungan dan solusi.
UNTUK DOSEN Materi Sosialisasi Pengelolaan Kinerja Akademik DosenAdrianAgoes9
sosialisasi untuk dosen dalam mengisi dan memadankan sister akunnya, sehingga bisa memutakhirkan data di dalam sister tersebut. ini adalah untuk kepentingan jabatan akademik dan jabatan fungsional dosen. penting untuk karir dan jabatan dosen juga untuk kepentingan akademik perguruan tinggi terkait.
2. KEAMANAN INFORMASI
A. Pendahuluan
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem
informasi.Sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari
para pemilik dan pengelola sistem informasi.Seringkali masalah keamanan berada di urutan
kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap penting.Apa bila
menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Kemampuan untuk
mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial
bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan
tinggi, lembaga pemerintahan, maupun individual.Hal ini dimungkinkan dengan
perkembangan pesat di bidang teknologi komputer dan telekomunikasi.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan
hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain
(misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya
diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti
misalnya informasi tentang produk yang sedang dalam development, algoritma-
algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu
keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat
diterima.
A.1 Pengertian Keamanan Sistem Informasi
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem
yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan
pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan
program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem
pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan
teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan
lunak komputer, jaringan komunikasi, dan data.
A.2 Pentingnya Keamanan Sistem Informasi
Seringkali sulit untuk membujuk management perusahaan atau pemilik sistem
informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah
Information Week melakukan survey terhadap 1271 sistem atau network manager di
Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai
komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing
3. cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah
dirusak justru dapat menelan biaya yang lebih banyak. Meskipun sering terlihat sebagai
besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah
sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang
(tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat
mengerti pentingnya investasi di bidang keamanan.
B. Keamanan Informasi
Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan
komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak
bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu
perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari
sebuah sistem informasi.Akan tetapi, masalah keamanan ini kurang mendapat perhatian
dari para pemilik dan pengelola sistem informasi.Informasi saat ini sudah menjadi sebuah
komoditi yang sangat penting.Bahkan ada yang mengatakan bahwa kita sudah berada di
sebuah “information-based society”.Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat essensial bagi suatu organisasi, baik
yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan,
maupun individual (pribadi).Hal ini dimungkinkan dengan perkembangan pesat di bidang
teknologi komputer dan telekomunikasi.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan
hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain
dapat menimbulkan kerugian bagi pemilik informasi. Jaringan komputer seperti LAN(Local
Area Network) dan internet, memungkinkan untuk menyediakan informasi secara cepat.Hal
ini menjadi salah satu alasan perusahaan mulai berbondong-bondong membuat LAN untuk
sistem informasinya dan menghubungkan LAN tersebut ke Internet.Terhubungnya
komputer ke internet membuka potensi adanya lubang keamanan(security hole) yang
tadinya bisa ditutupi dengan mekanisme keamanan secara fisik.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang
berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk
mencapai tiga sasaran utama yaitu:
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak
berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari
orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang sifatnya
privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan
penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah
dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-
teknik matematika yang berhubungan dengan aspek keamanan informasi seperti
keabsahan, integritas data, serta autentikasi data.
4. Ketersediaan
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar
asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang
dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan
dengan teknologi watermarking dan digital signature.Watermarking juga dapat digunakan
untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil
karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu
berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini
pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang
berhak menggunakannya.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi.
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem
informasi perlu menyediakan representasi yang akurat dari sistem fisik yang
direpresentasikan.
C. Ancaman Virus
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah
sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan
pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada
sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan
denganmenggunakan metode dan teknik tertentu dengan berbagai tools yang
diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu
baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah
sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi
keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah
sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin
canggih dan sangat sulit di prediksi dan dideteksi.Beberapa contoh serangan yang dapat
mengancam sebuah sistem adalah sebagai berikut :
Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus
berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus
selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai
macam cara. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious”
(memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat
menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu
oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang
dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada
jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari cara kerjanya, virus
dapat dikelompokkan sebagai berikut:
ü Overwriting Virus – merupakan penggalan program yang dibuat sedemikian rupa untuk
menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat
5. menjalankan perintah yang tidak semestinya.
ü Prepending Virus – merupakan tambahan program yang disisipkan pada bagian awal
dari program utama atau “host” sehingga pada saat dieksekusi, program virus akan
dijalankan terlebih dahulu sebelum program yang sebenarnya dijalankan.
ü Appending Virus – merupakan program tambahan yang disisipkan pada bagian akhir dari
program (host) sehingga akan dijalankan setelah program sebenarnya tereksekusi.
ü File Infector Virus – merupakan penggalan program yang mampu memiliki kemampuan
untuk melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file
“executable”, sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi.
ü Boot Sector Virus – merupakan program yang bekerja memodifikasi program yang
berada di dalam boot sector pada cakram penyimpan (baca: disc) atau disket yang telah
diformat. Pada umumnya, sebuah boot sector virus akan terlebih dahulu mengeksekusi
dirinya sendiri sebelum proses “boot-up” pada komputer terjadi, sehingga seluruh “floppy
disk” yang digunakan pada komputer tersebut akan terjangkiti pula, hal ini sering terjadi
pada USB Flashdisk.
ü Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam
arti kata ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan
menjangkiti boot sector dari hard disk atau partition sector dari computer tersebut, dan
sebaliknya.
ü Macro Virus - menjangkiti program “macro” dari sebuah file data atau dokumen (yang
biasanya digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga
dokumen berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh
penggalan program macro yang telah terinfeksi sebelumnya.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan
oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui
penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada
komputer, pengiriman file via email, dan lain sebagainya. (Richardus eko indrajit : seri
artikel “aneka serangan didunia maya ).
Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus”
merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang
berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan
program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa
penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms
merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk
mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan
maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk
mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta
worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun
jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data
pada hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena
karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit
6. untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan
membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan
penanganan khusus dalam menghadapinya.
Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan
untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat
sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya
ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari
dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms
yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya
antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi
oleh antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse,
antara lain:
ü Remote Access Trojan - kerugian yang ditimbulkan adalah komputer korban dapat
diakses menggunakan remote program.
ü Password Sending Trojan - kerugian yang ditimbulkan adalah password yang diketik oleh
komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban
serangan.
ü Keylogger - kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan
dicatat dan dikirimkan via email kepada hacker yang memasang keylogger.
ü Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang terhapus atau hard
disk yang diformat oleh Trojan jenis ini.
ü FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer
tempat dilakukannya download dan upload file.
ü Software Detection Killer – kerugiannya dapat mencium adanya programprogram
keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.
ü Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer korban
menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga
dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian dimana yang
terlacak nantinya adalah komputer korban, bukan komputer pelaku kejahatan.
D. Ancaman Keamanan Sistem Informasi
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi,
mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada
sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu
berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan.
Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini
hanya banyak di bahas dikalangan akademis saja.Tidak banyak masyarakat yang mengerti
tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal
7. kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”.
Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem
terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan
‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman,
dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir
apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin
sudah dihitung terlebih dahulu melalui metode -metode penilaian resiko dari sebuah
ancaman. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman,
salah satunya adalah Stride Method ( metode stride ) . STRIDE merupakan singkatan dari:
Spoofing
Menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain .
Tampering
Tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.
Repudiation
Membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan
bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk
mengakses sistem pada suatu saat.
Information disclosure
Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca
sesuatu tanpa mempunyai hak otorisasi.
Denial of service
Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.
Elevation of priviledge
Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistemuntuk
kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang
diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang
tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada
saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang
tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor.
Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan
berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:
a) Kewenangan tinggi untuk login kedalam sebuah sistem.
b) Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.
c) Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian
dibidang itu.
d) Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem
tersebut.
E. Pengamanan Sistem Informasi
Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis:pencegahan (preventif)
8. dan pengobatan (recovery). Usaha pencegahandilakukan agar sistem informasi tidak
memiliki lubang keamanan,sementara usaha-usaha pengobatan dilakukan apabila
lubangkeamanan sudah dieksploitasi.Pengamanan sistem informasi dapat dilakukan
melalui beberapalayer yang berbeda.Misalnya di layer “transport”, dapat digunakan“Secure
Socket Layer” (SSL).Metoda ini misalnya umum digunakanuntuk Web Site. Secara fisik,
sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan
sistem andadengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi
sehingga data-data anda atau e-mail anda tidakdapat dibaca oleh orang yang tidak berhak.
Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan
mengatur akses ke informasi melaluimekanisme “access control”. Implementasi dari
mekanisme ini antaralain dengan menggunakan “password”.Di sistem UNIX, untuk
menggunakan sebuah sistem atau komputer,pemakai diharuskan melalui proses
authentication denganmenuliskan “userid” dan “password”. Informasi yang diberikan ini
dibandingkan dengan userid dan password yang berada di sistem.Apabila keduanya valid,
pemakai yang bersangkutan diperbolehkanmenggunakan sistem.Apabila ada yang salah,
pemakai tidak dapatmenggunakan sistem. Informasi tentang kesalahan ini biasanyadicatat
dalam berkas log. Besarnya informasi yang dicatatbergantung kepada konfigurasi dari
sistem setempat.Misalnya, adayang menuliskan informasi apabila pemakai memasukkan
useriddan password yang salah sebanyak tiga kali. Ada juga yang langsungmenuliskan
informasi ke dalam berkas log meskipun baru satu kalisalah. Informasi tentang waktu
kejadian juga dicatat.Selain itu asal hubungan (connection) juga dicatat sehingga
administrator dapatmemeriksa keabsahan hubungan.
Memilih password
Dengan adanya kemungkinan password ditebak, misalnya denganmenggunakan program
password cracker, maka memilih passwordmemerlukan perhatian khusus.Berikut ini adalah
daftar hal-hal yang sebaiknya tidak digunakan sebagai password.
• Nama anda, nama istri / suami anda, nama anak, ataupun nama
kawan.
• Nama komputer yang anda gunakan.
• Nomor telepon atau plat nomor kendaran anda.
• Tanggal lahir.
• Alamat rumah.
Nama tempat yang terkenal.
• Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris)
Hal-hal di atas ditambah satu angka
Password dengan karakter yang sama diulang-ulang.
Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat ditambahkan. Proteksi
ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat
digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
9. Sebagai contoh, di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan
untuk membatasi akses kepadaservis atau aplikasi tertentu. Misalnya, servis untuk “telnet”
dapatdibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain
tertentu. Sementara firewall dapat digunakanuntuk melakukan filter secara umum.Untuk
mengetahui apakah server anda menggunakan tcpwrapperatau tidak, periksa isi berkas
/etc/inetd.conf.Biasanya tcpwrapperdirakit menjadi “tcpd”.Apabila servis di server anda
(misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server andamenggunakan
tcpwrapper.Biasanya, konfigurasi tcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan
/etc/hosts.deny.
Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan
internal (Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui
firewall ini.Tujuan utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam
maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak dapat
dilakukan. Konfigurasi dari firewallbergantung kepada kebijaksanaan (policy) dari organisasi
yangbersangkutan, yang dapat dibagi menjadi dua jenis:
• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan
(prohibitted)
• apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan (permitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya.
Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port,
dan arah informasi.Detail dari konfigurasi bergantung kepada masing-masing
firewall.Firewall dapat berupa sebuah perangkat keras yang sudahdilengkapi dengan
perangkat lunak tertentu, sehingga pemakai(administrator) tinggal melakukan konfigurasi
dari firewall tersebut.Firewall juga dapat berupa perangkat lunak yang ditambahkankepada
sebuah server (baik UNIX maupun Windows NT), yangdikonfigurasi menjadi firewall.Dalam
hal ini, sebetulnya perangkatkomputer dengan prosesor Intel 80486 sudah cukup untuk
menjadifirewall yang sederhana.
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy. Keduanya
dapat dilakukan pada sebuah perangkatkomputer (device) atau dilakukan secara
terpisah.Beberapa perangkat lunak berbasis UNIX yang dapat digunakanuntuk melakukan
IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan
pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering yangdiharapkan
dapat menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis proxy yang
dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering
kalaidibutuhkan software tertentu agar dapat menggunakan proxyserver ini, seperti
misalnya dengan menggunakan SOCKS. Beberapaperangkat lunak berbasis UNIX untuk
10. proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server
Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19, 24] atau
untuk sistem Linux dapat dilakukan denganmengunjungi web site berikut:
<http://www.gnatbox.com>.
Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak
diundang (intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah
“intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail
maupunmelalui mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau
adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya
denganmemonitor logfile. Contoh software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney, mendeteksi probing dengan memonitor packet yang lalu
lalang
• Shadow dari SANS
Pemantau integritas sistem
Pemantau integritas sistem dijalankan secara berkala untuk mengujiintegratitas sistem.
Salah satu contoh program yang umumdigunakan di sistem UNIX adalah program Tripwire.
Program paketTripwire dapat digunakan untuk memantau adanya perubahan padaberkas.
Pada mulanya, tripwire dijalankan dan membuat databasemengenai berkas-berkas atau
direktori yang ingin kita amati beserta“signature” dari berkas tersebut. Signature berisi
informasi mengenaibesarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum
atauhash (misalnya dengan menggunakan program MD5), dansebagainya. Apabila ada
perubahan pada berkas tersebut, makakeluaran dari hash function akan berbeda dengan
yang ada didatabase sehingga ketahuan adanya perubahan.
Audit: Mengamati Berkas Log
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam berkas yang
biasanya disebut “logfile” atau “log” saja. Berkaslog ini sangat berguna untuk mengamati
penyimpangan yangterjadi. Kegagalan untuk masuk ke sistem (login), misalnya,tersimpan
di dalam berkas log. Untuk itu para administratordiwajibkan untuk rajin memelihara dan
menganalisa berkas logyang dimilikinya.
Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak sistem dengan
menghapus berkas-berkas yang dapatditemui.Jika intruder ini berhasil menjebol sistem dan
masuksebagai super user (administrator), maka ada kemungkinan diadapat menghapus
seluruh berkas.Untuk itu, adanya backup yangdilakukan secara rutin merupakan sebuah
hal yang esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian,
tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat
11. esensial, secara berkala perlu dibuatbackup yang letaknya berjauhan secara fisik.Hal ini
dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan
lain sebagainya. Apabila data-data dibackupakan tetapi diletakkan pada lokasi yang sama,
kemungkinan dataakan hilang jika tempat yang bersangkutan mengalami bencanaseperti
kebakaran.Untuk menghindari hal ini, enkripsi dapat digunakan untukmelindungi adanya
sniffing. Paket yang dikirimkan dienkripsi
dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orangyang tidak berhak. Salah
satu implementasi mekanisme ini adalahSSH (Secure Shell). Ada beberapa implementasi
SSH ini, antara lain:
• SSH untuk UNIX (dalam bentuk source code, gratis)
SSH untuk Windows95 dari Data Fellows (komersial)http://www.datafellows.com/
• TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95)
http://www.paume.itb.ac.id/rahard/koleksi
• SecureCRT untuk Windows95 (shareware / komersial)
Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satau mekanisme untuk meningkatkan keamanan adalahdengan menggunakan
teknologi enkripsi.Data-data yang andakirimkan diubah sedemikian rupa sehingga tidak
mudah disadap.Banyak servis di Internet yang masih menggunakan “plain text”untuk
authentication, seperti penggunaan pasangan userid danpassword.Informasi ini dapat
dilihat dengan mudah oleh programpenyadap (sniffer).Contoh servis yang menggunakan
plain text antara lain:
• akses jarak jauh dengan menggunakan telnet dan rlogin
• transfer file dengan menggunakan FTP
• akses email melalui POP3 dan IMAP4
• pengiriman email melalui SMTP
• akses web melalui HTTP
Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai penggani telnet
atau rlogin) akan dibahas di bagiantersendiri.
10. Telnet atau shell aman
Telnet atau remote login digunakan untuk mengakses sebuah “remotesite” atau komputer
melalui sebuah jaringan komputer.Akses inidilakukan dengan menggunakan hubungan
TCP/IP denganmenggunakan userid dan password.Informasi tentang userid danpassword
ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya ada kemungkinan
seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan
useriddan password ini.
F. Kebijakan Keamanan Sistem Informasi
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai
sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin
dalam melaksanakan tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi
12. karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak
semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Kebijakan keamanan
sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT
(Information Communication Technology) dnegan pengarahan dari pimpinan organisasi.
Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi
adalah:
Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan
Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka harus
mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem
informasi diabaikan.Semua manajer bertanggung jawab untuk mengkomunikasikan kepada
semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan
meyakinkan bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan
di perusahaan dan bagiannya.
Penetapan pemilik sistem informasi
Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang
bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk
mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam
sistem yang menyangkut bagiannya. Personel ini merupakan contact person dengan
bagian ICT (Information Communication Technology).
Langkah keamanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang
telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.
Antisipasi terhadap kesalahan
Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem
jaringan internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik
dan tidak melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat
langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya.
Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan
garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan
pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan
kesalahan yang terjadi sehingga kejanggalan dapat ikoreksi secepat mungkin.
Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi
User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai
dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian
akses ini.
Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem
informasi
Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai
demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk
bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian
pengaksesan terhadap data tersebut.
Pekerjaan yang dilakukan oleh pihak ketiga
13. Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan,
maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam
kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistm
informasi perusahaan.Manajemen harus bertanggung jawab agar pihak ketiga mematuhi
dan mengikuti peraturan keamanan yang telah ditentukan.
Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir
sistem informasi
Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar
diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem
harian dan pemakai akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian
pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang
menyangkut keamanan sistem.
Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada
harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan
perubahan (change request)
Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk
pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program
harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan pemohon
harus dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh
karena itu, sangat penting apabila semua pihak yang terkait harus menandatangani
“change request” sebelum kegiatan ini dimulai.
10. Sistem yang akan dikembangkan harus sesuai dnegan standart metode
pengembangan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan.
Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa
pemograman.Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di
dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus
mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut.
11. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)
Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas
yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat
memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap
perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan
hubungan kerja terhadap pemilik user-ID ini.
14. Studi Kasus : INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)
MENGGUNAKAN STANDAR ISO/IEC 27001:2005
1. LATAR BELAKANG
Banyak instansi/institusi memiliki kumpulan data dan informasi penting yang harus dikelola
dengan benar, dijaga kerahasiannya, integritasnya dan ketersediaannya, agar data atau
informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak
berhak. Informasi harus akurat, dan tersedia saat dibutuhkan.
2. RUMUSAN MASALAH
Adakah suatu sistem pengelolaan keamanan informasi yang terstandar, yang dapat
diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan,
sekaligus dapat mengarahkan kinerja karyawan, meningkatkan kepercayaan publik, karena
perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi?
3. BATASAN MASALAH
Topik pembahasan dibatasi pada “bagaimana implementasi ISMS sesuai standar ISO/IEC
27001:2005” dengan membuat perhitungan terhadap resiko keamanan (security risk
assessment).
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
ANCAMAN KEAMANAN ICT
MENGAPA DIPERLUKAN KEAMANAN INFORMASI?
Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan
kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi
dan kesempatan usaha.
Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis,
sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh yang
benar.
UK business network attack unauthorized outsider in the last year
Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di
Inggris (UK) telah mendapatkan serangan dari luar(31% perusahaan besar mendapat
ancaman percobaan pembobolan jaringan, 11% perusahaan kecil menengah, 13% telah
terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada perusahaan kecil).
DASAR MANAJEMEN KEAMANAN INFORMASI INFORMASI SEBAGAI ASET
Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi,
(memiliki nilai tertentu bagi perusahaan atau organisasi).
Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan
15. atau organ isasi.
Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran
system keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang
usaha.
JENIS INFORMASI YANG PERLU DILINDUNGI
Electronic files
- Software files
- Data files
Paper documents
- Printed materials
- Hand written notes
- Photographs
Recordings
- Video recordings
- Audio recordings
Communications
- Conversations
- Telephone
- Conversations
- Cell phone
- Conversations
- Face to face
- conversations
Messages
- Email messages
- Fax messages
- Video messages
- Instant messages
- Physical messages
PERLUKAH KEAMANAN INFORMASI BAGI PERUSAHAAN?
Bagaimana perusahaan/organisasi mempersiapkan diri dan mengimplementasikan sistem
manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi,
sesuai kebutuhan dan kemampuan serta ber-standar nasional/internasional.
BAGAIMANA MEMULAI PERLINDUNGAN KEAMANAN INFORMASI?
Implementasi Best Practice
Nasional atau Internasional ?
Cakupan ISMS
BAGAIMANA MENGANALISIS KEBUTUHAN KEAMANAN INFORMASI?
16. ISO IEC 27001:2005 GAP Analysis Tool
Risk Assesment Tools
Risk Management
BEST PRACTICE
Best Practices IT & Security International Standard:
1. BS7799 milik Inggris
2. ISO/IEC 17799 : 2005
3. ISO/IEC 27001 : 2005
4. BSI IT baseline protection manual
5. COBIT
6. GASSP (GenerallyAccepted System Security Principles)
7. ISF Standard of good practice
8. ITIL
SNI 27001:2009 (Standar Indonesia)
MODEL OF AN ISMS
IDENTIFIKASI YANG DIPERLUKAN
1. Mengidentifikasi kebutuhan bisnis di masa depan
2. Mengidentifikasi resiko jika mengalami kegagalan menerapkan sistem keamanan
3. Mengidentifikasi jenis-jenis informasi yang perlu dilindungi,
4. Inventarisasi kekayaan (bangunan, hardware,software, sdm, intelektual, sistem, disain,
dll) yang perlu dilindungi.
5. Mengidentifikasi kelayakan dokumen yang dijadikan standar keamanan, dan kondisi
sumber daya man usia yang mengelola.
6. Melakukan penilaian terhadap upaya perlindungan aset (sdm, bangunan, peralatan,
teknologi, sistem, informasi, HaKI, dll)
7. Melakukan pengamatan untuk mempelajari kondisi jaringan komputer
8. Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem
jaringan komputer yang digunakan.
9. Melakukan pentration testing sebagai tindak lanjut apabila ditemukan vulnerability.
10.Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan
vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang
dikelola.
11.Melakukan perancangan/perbaikan ”security policy” yang digunakan,
12.Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu
dibuat security policy yang disesuaikan dengan kondisi di lingkungan Perusahaan/Instansi.
HAL-HAL YANG PERLU DIPERSIAPKAN
Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen
Keamanan Informasi
17. Mempersiapkan mental karyawan untuk menghadapi perubahan budaya kerja, bila jadi
implementasi Best Practice Standar Sistem Manajemen Keamanan Informasi
Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi
Standar Sistem Manajemen Keamanan Informasi
Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll
KESULITAN-KESULITAN
Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam
proses penerapan pemilihan metode pendekatan untuk risk assessment,
Melakukan identifikasi resiko,
Memperkirakan resiko, dan
Memilih kendali yang tepat untuk diterapkan.
pimpinan perusahaan/organisasi tidak memahami pentingnya mengelola keamanan
informasi,
tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik
terhadap jaminan layanan yang diberikan.
11 CONTROL CLAUSE
Security policy.
Organization of information security.
Asset management.
Human resources security.
Physical and environmental security.
Communications and operations management.
Access control.
Information system acquisition, development, and maintenance.
Information security incident management.
Business continuity management.
Compliance.
CAKUPAN ISMS
Information Security Management System (ISMS) merupakan sebuah kesatuan sistem
yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi,
pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi
perusahaan.
Information Security sering menjadi tantangan besar bagi para praktisi information security
untuk dapat “dijual” ke manajemen dan para “decision maker”.
HASIL PENILAIAN
Contoh Hasil identifikasi kondisi jaringan
>Awalnya, jaringan komputer di instansi dibangun tanpa perencanaan yang matang.
Organisasi belum mempersiapkan diri untuk mengantisipasi ekspansi bisnis yang
18. berkembang dengan sangat pesat, Perencanaan pengembangan menyedot energy
sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih
program atau resource mana yang akan dikembangkan terlebih dulu.
>Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan
atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer.
Topologi Network yang direncanakan
Kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia
yang mengelola.
Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan
maupun informasi yang dimiliki,
”security policy” yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba
ditetapkan berdasarkan pengetahuan administrator jaringan, atau network engineer.
Banyak aturan belum tertulis dan ditetapkan oleh pimpinan namun di implementasikan oleh
administrator, hanya berdasarkan keinginan pribadi.
Assesment
Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu
melayani dan mengamankan infrastrukturjaringan yang sudah besar,
Fasilitas komputer tidak dipelihara dengan baik, tidak ada sosialisasi pemanfaatan jaringan
komputer yang ada, penggunaan jaringan belum efektif.
Staf teknis biasanya bekerja berdasarkan kom plain dari staf/karyawa n atau permintaan
pimpinan, Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi.
Tidak ada job description tertulis, biasanya masing-masing staf bekerja berdasarkan
kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasing-masing bagian.
Vulnerability di sistem jaringan komputer
Hasil pengamatan topologi jaringan
Hasil pengamatan topologi jaringan dan capture / monitoring jaringan dari access point
dibeberapa titik, mengindikasikan masih buruknya topologi jaringan
Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman
yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal.
Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer
gateway maupun server, memiliki IP Publik yang terhubung langsung dengan jaringan
internet
Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung
langsung ke internet, masih sangat minim (konfigurasi minimal).
HAL YANG HARUS DISADARI DARI ISMS
Information Security adalah sebuah proses bukan produk, sebuah proses yang bertujuan
untuk mengidentifikasi dan meminimalkan resiko sampai ke tingkat yang dapat diterima,
19. proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu industri.
ISMS merupakan sebuah kerangka kerja dalam business plan perusahaan, bukan sekedar
program IT Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan
organisasi, seperti: perbankan, pemerintahan, manufaktur, dan lain-lain.
LANGKAH-LANGKAH UNTUK MENDESAIN ISMS
Langkah pertama adalah memilih kerangka kerja yang sesuai dengan industri/perusahaan
yang akan di aplikasikan (diimplementasikan).
Lang kah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak
dipahami) pada saat ISMS sudah dijalankan.
Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan
dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses
implementasi policy dan prosedur ISMS dapat dijalankan dengan baik dan benar oleh
seluruh jajaran pimpinan dan karyawan.
Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul
environment dimana ISMS akan dibangun, baik dari sisi organ isasi atau teknologi yang ada
disana.
ENAM LANGKAH PERSIAPAN DALAM MEMBANGUN ISMS
1. Risk assessment
2. Top down approach
3. Functional roles
4. Write the policy
5. Write the standards
6. Write guidelines and procedures
KESIMPULAN
ISO/IEC 27001 dapat diimplementasikan sebagai Information Security Management
System (ISMS).
ISO/IEC 27001:2005 mencakup semua jenis organisasi/perusahaan (seperti perusahaan
swasta, lembaga pemerintahan, atau lembaga nirlaba).
ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan,
melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS
dalam konteks resiko bisnis organisasi/perusahaan keseluruhan.
Ferensi :
http://alsyahdadgmni.blogspot.com/. diakses 4 juni 2018 jam 12:45