Keamanan Sistem Informasi

Pembicaraan tentang keamanan system, maka kita akan berbicara 2 masalah utama yaitu :

1. Threats (Ancaman) atas sistem dan
2. Vulnerability (Kelemahan) atas sistem

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :

ü  Efektifitas

ü  Efisiensi

ü  Kerahasiaan

ü  Integritas

ü  Keberadaan (availability)

ü  Kepatuhan (compliance)

ü  Keandalan (reliability)

Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada

Threats (Ancaman)

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

ž  Ancaman Alam

ž  Ancaman Manusia

ž  Ancaman Lingkungan

Vulnerability  (Kelemahan )

Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.

Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.

Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :

1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan

2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal

3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal.

Berkaitan dengan keamanan sistem informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol untuk pengamanan sistem informasi antara lain:

a)      Kontrol Administratif : Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka kontrol dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas.

b)      Kontrol Pengembangan dan Pemeliharaan Sistem : Auditor sistem informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system.

c)      Kontrol Operasi  : Pembatasan akan akses terhadap data, Kontrol terhadap personel pengoperasi, Kontrol terhadap peralatan, Kontrol terhadap penyimpanan arsip

d)     Proteksi Fisik terhadap Pusat Data : Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.

e)      Kontrol Perangkat Keras : , jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak

f)       Kontrol Akses terhadap Sistem computer : setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password.

g)      Kontrol terhadap Akses Informasi : cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi.

h)      Kontrol terhadap Bencana :

i)        Kontrol Terhadap Perlidungan Terakhir : Rencana pemulihan terhadap bencana, asuransi

j)        Kontrol Aplikasi : kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi.

Virus

Suatu program dapat disebut sebagai suatu virus apabila memenuhi minimal 5 kriteria berikut :

•         Kemampuan untuk mendapatkan informasi.

•         Kemampuan untuk memeriksa suatu file.

•         Kemampuan untuk menggandakan diri dan menularkan diri.

•         Kemampuan melakukan manipulasi.

•         Kemampuan untuk menyembunyikan

Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.

Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi, worm juga menghabiskan bandwidth yang tersedia.

Trojan horse atau Kuda Troya, dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious software/malware) yang dapat merusak sebuah sistem atau jaringan.

Public Key Interface

Kunci publik perlu dilindungi status kepemilikannya dengan memberikan sertifikat digital.

Sertifikat digital adalah dokumen digital yang berisi informasi sebagai berikut:

-          nama subjek (perusahaan/individu yang disertifikasi)

-          kunci publik si subjek

-          waktu kadaluarsa sertifikat (expired time)

-          informasi relevan lain seperti nomor seri sertifikat, dll

PKI terdiri atas komponen-komponen:

-          pengguna (pemohon sertifikat dan pemakai sertifikat)

-          sertifikat digital

-          CA

-          Direktori (menyimpan sertifikat digital dan CRL)

PKI menyediakan cara penstrukturan komponen-komponen di atas dan mendefinisikan standard bermacam-macam dokumen dan protokol.

Enkripsi dan Dekripsi

Enkripsi adalah proses Sebuah proses data encoding untuk mencegah pihak yang tidak berwenang melihat atau memodifikasinya.Pada kebanyakan proses enkripsi, Anda harus menyertakan kunci sehingga data yang dienkripsi dapat didekripsikan kembali. Ilmu yang mempelajari teknik enkripsi disebut kriptografi. Gambaran sederhana tentang enkripsi, misalnya mengganti huruf a dengan n, b dengan m dan seterusnya.

Yang perlu Anda ketahui tentang enkripsi:
º Mencegah akses yang tidak diinginkan pada dokumen dan pesan e-mail.
º Level enkripsi yang tinggi sukar untuk dibongkar.
º Perubahan dalam peraturan ekspor teknologi kriptografi akan meningkatkan penjualan software enkripsi.

Data melewati sebuah formula matematis yang disebut algoritma, yang kemudian mengubahnya menjadi data terenkripsi yang disebut sebagai ciphertext.

Dekripsi merupakan proses kebalikan dari enkripsi dimana proses ini akan mengubah ciphertext menjadi plaintext dengan menggunakan algortima ‘pembalik’ dan key yang sama. 

Kontrol berdasarkan Orange Book (Orange Book Controls)

Trusted Computer Security Evaluation Criteria (TCSEC, Orange Book)

mendefinisikan beberapa tingkat dari jaminan kebutuhan akan operasi komputer yang

aman.

 Orange Book mendefinisikan dua tipe jaminan, yakni:

1. Operational Assurance, meliputi:

a. System Architecture

b. System Integrity

c. Covert Channel Analysis

d. Trusted Facility Management

e. Trusted Recovery

2. Life Cycle Assurance, meliputi:

a. Security Testing

b. Design Specification and Testing

c. Configuration Management

d. Trusted Distribution

Pada domain Kontrol Operasi, Operational Assurance meliputi :

• Covert Channel Analysis
•  Trusted Facility Management
• Trusted Recovery.

Sedangkan Life Cycle Assurance meliputi Configuration Management.