Informasi
saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada
yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan
akurat menjadi sangat esensial bagi sebuah organisasi, seperti
perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual.
Begitu pentingnya nilai sebuah informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.
Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi
pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah
perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu
di dalam perusahaan tersebut, seperti misalnya informasi tentang produk
yang sedang dalam development, algoritma-algoritma dan teknik-teknik
yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan
dari sistem informasi yang digunakan harus terjamin dalam batas yang
dapat diterima.Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kegiatan yang dapat dilakukan (Budi Raharjo, 2005):
- Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1
jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan,
bayangkan jika server Amazon.com tidak dapat diakses selama beberapa
hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.) - Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.
- Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian
yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data. - Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.
Pengertian keamanan sistem informasi/keamanan komputer
Berikut beberapa pengertian dari kemanan sistem informasi:- John D. Howard, Computer Security is preventing attackers from achieving objectives through unauthorized access or unauthorized use of computers and networks.
- G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
- Wikipedia, keamanan komputer atau sering diistilahkan keamanan sistem informasi adalah cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan. Tujuan keamanan komputer meliputi perlindungan informasi dan properti dari pencurian, kerusakan, atau bencana alam, sehingga memungkinkan informasi dan aset informasi tetap diakses dan produktif bagi penggunanya. Istilah keamanan sistem informasi merujuk pada proses dan mekanisme kolektif terhadap informasi yang sensitif dan berharga serta pelayann publikasi yang terlindungi dari gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu yang tidak bisa dipercaya dan kejadian tidak terencana.
Tujuan Keamanan sistem informasi
Keperluan pengembangan Keamanan Sistem Informasi memiliki tujuan sebagai berikut (Rahmat M. Samik-Ibrahim, 2005):- penjaminan INTEGRITAS informasi.
- pengamanan KERAHASIAN data.
- pemastian KESIAGAAN sistem informasi.
- pemastian MEMENUHI peraturan, hukum, dan bakuan yang berlaku.
Domain Keamanan Sistem Informasi
- Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia, sistem informasi dan perangkat keras.
- Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek keamanan serta kendali yang terkait pada pengembangan sistem informasi. Cakupannya meliputi: (1) Tingkatan Kerumitan Fungsi dan Aplikasi; (2) Data Pengelolaan Keamanan BasisData; (3) SDLC: Systems Development Life Cycle; (4) metodology pengembangan aplikasi (5) pengendalian perubahan perangkat lunak; (6) program bermasalah;
- Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana. Cakupannya meliputi: Indentifikasi Sumber Daya Bisnis, Penentuan Nilai Bisnis, Analisa Kegagalan Bisnis, Analisa Kerugian, – Pengelolaan Prioritas dan Krisis, Rencana Pengembangan, Rencana Implementasi, dan Rencana Pemeliharaan
- Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika dalam dunia komputer.
- Keamanan Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk pengamanan fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas, Kamera Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah), Pencegahan dan Pemadaman Api, Pemagaran, Peralatan Keamaman, Alarm, dan Kunci Pintu
- Audit (Auditing)
Aspek keamanan sistem informasi
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yangjuga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation
Privacy / Confidentiality
Inti
utama aspek privacy atau confidentiality adalah usaha untuk menjaga
informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah
data-data yang sifatnya privat sedangkan confidentiality biasanya
berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah
servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.Contoh hal yangberhubungan dengan privacy adalah e-mail seorang pemakai tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).
Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya kemudian diteruskan ke alamat
yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus adalah trojan horse dengan distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Contoh serangan lain adalah yang disebut “man in the middle attack”
dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
Authentication
Aspek
ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli. Masalah pertama, membuktikan keaslian
dokumen, dapat dilakukan dengan teknologi watermarking dan digital
signature. Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda
tangan” pembuat. Masalah kedua biasanya berhubungan dengan access
control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang
dia adalah pengguna yang sah, misalnya dengan menggunakan password,
biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang
dapat ditanyakan kepada orang untuk menguji siapa dia:
Aspek
ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli. Masalah pertama, membuktikan keaslian
dokumen, dapat dilakukan dengan teknologi watermarking dan digital
signature. Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda
tangan” pembuat. Masalah kedua biasanya berhubungan dengan access
control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang
dia adalah pengguna yang sah, misalnya dengan menggunakan password,
biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang
dapat ditanyakan kepada orang untuk menguji siapa dia:- What you have (misalnya kartu ATM)
- What you know (misalnya PIN atau password)
- What you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart card, saat ini
kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum,
proteksi authentication dapat menggunakan digital certificates.
Authentication biasanya diarahkan kepada
orang (pengguna), namun tidak pernah ditujukan kepada server atau
mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan
memang benar-benar milik bank
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
Availability
Aspek availability atau ketersediaan
berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem
informasi yang diserang atau dijebol dapat menghambat atau meniadakan
akses ke informasi. Contoh hambatan
adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya . Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil (download) email tersebut melalui telepon dari rumah. Serangan terhadap availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas
tentang serangan DoS ini secara lebih rinci.
adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya . Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil (download) email tersebut melalui telepon dari rumah. Serangan terhadap availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas
tentang serangan DoS ini secara lebih rinci.
Access Control
Aspek ini berhubungan dengan cara pengaturan
akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi
data (public, private, confidential, top secret) & user (guest,
admin, top manager, dsb.), mekanisme authentication dan juga privacy.
Access control seringkali dilakukan dengan menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti kartu,
biometrics).
Non-repudiation
Aspek
ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk
memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email
tersebut. Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates, dan teknologi kriptografi
secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus
didukung oleh hukum sehingga status dari digital signature itu jelas
legal.
0 komentar:
Posting Komentar