BAB I
PENDAHULUAN
A. Latar Belakang
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi. Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem informasi.
B. Rumusan Masalah
1. Bagaimana kerentanan dan penyalahgunaan sistem?
2. Bagaimana nilai bisnis keamanan dan pengendalian?
3. Bagaimana membangun kerangka kerja untuk pengamanan dan pengendalian?
4. Bagaimana teknologi dan sarana untuk melindungi sumber-umber informasi?
BAB II
PEMBAHASAN
A. Kerentanan dan Penyalahgunaan Sistem
Dalam menjalankan bisnis kita perlu untuk menjadikan keamanan dan pengendalian sebagai sebuah prioritas utama. Keamanan (security) merujuk kepada kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak berwenang, alterasi, pencurian, atau keusakan fisik pada sistem informasi. Pengendalian (control) adalah metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi, akurasi dan reliabilitas pencatatan, serta kepatuhan operasional pada standar manajemen.
1. Mengapa Sistem Informasi Sangat Rentan
Ketika data dalam jumlah besar disimpan dalam bentuk elektronik, mereka menjadi lebih rentan terhadap berbagai macam ancaman dibandingkan, saat berada dalam bentuk manual. Melalui jaringan komunikasi, sistem informasi di beberapa lokasi berada saling terhubung. Potensi dari akses yang tidak berwenang, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi, tetapi dapat terjadi di titik akses manapun dalam jaringan.
Kesalahan sistem terjadi saat perangkat keras komputer tidak bekerja secara efektif, atau tidak terkonfigurasi secara benar, atau kerusakan yang disebabkan oleh penggunaan yang tidak tepat atau tindakan kriminal. Kesalahan dalam pemrograman, instalasi yang ridak tepat atau perubahan tanpa izin menyebabkan kegagalan perangkat lunak komputer.
Kepopuleran dari perangkat genggam mobile untuk komputasi bisnis menambah kerentanan tersebut. Kemudahan untuk dibawa kemana saja membuat ponsel, smartphone, dan komputer tablet mudah untuk hilang atau dicuri. Smartphone mempunyai kelemahan keamanan yang sama seperti perangkat internet lainnya dan rentan terhadap perangkat lunak berbahaya dan penetrasi dari pihak luar.
a. Kerentanan Internet
Jaringan publik yang luas, seperti internet lebih erntan jika dibandingkan dengan jaringan internal karena terbuka secara virtual bagi siapa saja. Internet begitu besar sehingga ketika terjadi penyalahgunaan akan memberikan dampak yang sangat meluas. Ketika internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi akan semakin tentang terhadap pihak luar.
Komputer yang selalu terhubung dengan internet melalui kabel modem atau jalur DSL (Digital Subscriber Line) lebih terbuka terhadap penetrasi oleh pihak luar dikarenakan mereka menggunakan alamat internet tetap yang mudah untuk diidentifikasi.
Layanan telepon yang berbasis teknologi internet lebih rentan dibandingkan dengan switched voice network jika tidak dijalankan pada jaringan privat yang terlindungi. Sebagian besar lau lintas voice over IP (VoIP) melalui internet publik tidak terenkripsi sehingga siapa pun yang berada dalam jaringan dapat mendengarkan percakapan. Peretas dapat menahan pembicaraan atau mematikan layanan suara dengan membanjiri server pendukung VoIP dengan lalu lintas palsu.
Kerentanan juga meningkat melalui penggunaan surel secara luas pesan instan (instant messaging) dan program pembagian arsip peer-to-peer. Surel dapat berisi lampiran yang berfungsi sebagai loncatan bagi perangkat lunak berbahaya atau akses tidak dikenali oleh sistem internal perusahaan. Pembagian arsip melaui jaringan peer-to-peer (P2P), seperti pembagian musik secara illegal, memungkinkan transmisi perangkat lunak berbahaya atau menyingkap informasi individu atau komputer perusahaan kepada pihak luar.
a. Tantangan Keamanan Nirkabel
Jaringan nirkabel di rumah rentan karena pita frekuensi radio yang mudah untuk memindai. Kedua Jaringan Bluetooth dan Wi-Fi yang rentan terhadap hacking dengan penyadap. Meskipun berbagai jaringan Wi-Fi hanya beberapa ratus kaki, itu bisa diperpanjang sampai dengan seperempat mil menggunakan antena eksternal.
Standar keamanan awal dikembangkan untuk Wi-Fi, disebut Wired Equivalent Privasi (WEP), sangat tidak efektif. WEP dibangun ke semua standar 802.11 produk, namun penggunaannya adalah opsional. Banyak pengguna mengabaikan untuk menggunakan fitur keamanan WEP, meninggalkan mereka terlindungi. Spesifikasi WEP dasar panggilan untuk jalur akses dan semua penggunanya untuk berbagi sama 40-bit password terenkripsi, yang dapat mudah didekripsi oleh hacker dari sejumlah kecil lalu lintas.
2. Perangkat Lunak Berbahaya : Virus, Worms, Trojan Horses, dan Spyware
Program perangkat lunak berbahaya (malicious software programs) disebut sebagai malware dan mencakup berbagai ancaman, seperti virus komputer, worms, dan trojan. Virus komputer (computer virus) adalah sebuah program perangkat lunak berbahaya yang meingkatkan dirinya pada program perangkat lunak lain atau arsip data yang dijalankan, biasanya tanpa sepengetahuan atau izin pengguna.
Serangan baru – baru ini datang dari worm, program perangkat lunak independen yang menggandakan dirinya sendiri dari satu komputer ke komputer lainnya melalui sebuah jaringan. Tidak seperti virus, worm dapat mengoperasikan dirinya sendiri tanpa harus mengikatkan dirinya pada arsip program computer dan tidak banyak bergantung pada perilaku manusia untuk menyebarkannya dari satu komputer ke komputer lainnya.
Contoh kode berbahaya :
a. Confider (atau Downadup, Downup): tipe Worm
b. Storm : tipe Worm/Trojan horse
c. Sasser.ftp : tipe Worm
d. MyDoom.A : tipe Worm
e. Sabig.F : tipe Worm
f. ILOVEYOU : tipe Virus
g. Melissa : tipe virus Makro/Worm
Trojan horse adalah program perangkat lunak yang awal kemunculannya begitu jinak kemudian berubah menjadi sesuatu yang tidak diharapkan. Trojan horse bukanlah sebuah virus karena tidak dapat mereplikasi, tetapi biasanya merupakan jalan bagi virus dan kode berbahaya lainnya untuk masuk kedalam sistem komputer.
Beberapa jenis spyware juga dapat menjadi perangkat lunak berbahaya. Program - program kecil ini meng-instal diri mereka sendiri dengan sembunyi-sembunyi pada komputer untuk memantau kegiatan berselancar pengguna di web dan menyajikan iklan.
3. Peretas dan Kejahatan Komputer
Seorang peretas (hacker) adalah individu yang berkeinginan untuk memperoleh akses tanpa izin dari sebuah sistem komputer. Dalam komunitas peretasan, istilah cracker umum digunakan untuk menyebut peretas dengan niat kriminal, walaupun dalam media publik istilah hacker dan cracker digunakan bergantian.
a. Spoofing dan Sniffing
Peretas mencoba untuk menutupi identitas asli mereka dan biasanya membuat tipuan (spoofing) atau menggambarkan dengan salah diri mereka sendiri dengan menggunakan alamat surel palsu atau menyamar menjadi orang lain.
Sniffer adalah sebuah program penyadapan yang memantau informasi melalui sebuah jaringan. Bila digunakan secara sah, sniffer membantu mengenali posisi-posisi yang berpotensi menjadi permasalahan dalam jaringan atau aktivitas kriminal dalam jaringan, tetapi ketika digunakan untuk tujuan kejahatan, mereka dapat menjadi sangat merusak dan sangat sulit untuk dideteksi.
b. Serangan Denial-of-Service
Dalam sebuah serangan denial-of-service (DoS), peretas membanjiri sever jaringan dan server web dengan ribuan layanan komunikasi atau permintaan palsu untuk mengacaukan jaringan.
c. Kejahatan Komputer
Sebagian besar kegiatan peretas adalah tindakan pidana, dan kerentanan sistem yang telah dideskripsikan menjadi target dari bentuk kejahatan komputer (computer crime) lainnya.
d. Pencurian Identitas
Pencurian identitas (identity theft) adalah sebuah kejahatan dimana seorang penipu memperoleh sejumlah informasi personal, seperti nomor identifikasi jaminan soaial, nomor SIM, atau nomor kartu kredit untuk menipu orang lain. Salah satu taktik yang semakin terkenal digunakan adalah bentuk dari spoofing yang bernama phishing.
Phishing meliputi perancangan situs web palsu atau mengirim pesan surel yang menyerupai bisnis yang sah untuk menayakan kepada pengguna data rahasia personal mereka. EBay, PayPal, Amazon.com, Walmart, dan sejumlah bank merupakan perusahaan teratas yang menjadi target kegiatan spoofing. Teknik phishing yang dinamakan evil twins dan pharming lebih sulit untuk dideteksi. Evil twins adalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wifi yang terpercaya untuk internet, seperti yang terdapat di ruang tunggu badara, hotel, ataupun kedai kopi.
Pharming mengarahkan pengguna ke laman web palsu, walaupun pengguna mengetikan alamat laman situs dengan benar ke dalam browser-nya. Hal ini dimungkinkan jika para pelaku pharming memperoleh akses ke informasi alamat internet yang disimpan di penyedia layanan internet untuk mempercepat jelajah (browsing) internet dan perusahaan ISP memiliki perangkat lunak yang cacat pada server mereka yang memungkinkan para penipu untuk membajak dan mengubah alamat tersebut.
e. Click Fraud
Click fraud terjadi ketika program individu atau perusahaan secara curang mengeklik iklan online dan tanpa adanya niatan untuk mempelajari lebih jauh iklan tersebut atau melakukan pembelian. Click fraud telah menjadi permasalahan yang serius pada Google dan situs web lainnya yang memiliki fitur permasalahan online berupa iklan payper-click.
Click fraud juga dapat dilakukan melalui program perangkat lunak yang menjalankan pengeklikan, dan botnet termasuk yang biasanya digunakan untuk tujuan ini. Mesin pencari seperti Google mencoba untuk memantau click fraud, tetapi enggan untuk memublikasikan usaha mereka mengatasi masalah tersebut.
f. Ancaman Global: Cyberterrorism dan Cyberwarfare
Kerentanan internet telah mengubah individu dan bahkan keseluruhan Negara menjadi target mudah bagi pembajakan yang didasari oleh motif politik untuk melakukan sabotase dan spionase. Cyberwarfare adalah kegiatan yang disponsori Negara yang dirancang untuk melumpuhkan dan mengalahkan Negara bagian atau Negara lain dengan melakukan penetrasi pada computer atau jaringa yang bertujuan untuk menyebabkan kerusakan dan gangguan.
Cyberwarfare memiliki acaman serius terhadap infrastruktur masyarakat modern, apalagi ketika sebagian besar kegiatan keuangan, kesehatan, pemerintah, dan institusi terkait industri bergantung pada internet untuk operasioal sehari-hari. Cyberwarfare juga meliputi pertahanan terhadap berbagai macam serangan tersebut.
4. Ancaman Internal: Para Karyawan
Kita cenderung berfikir bahwa ancaman keamanan untuk bisnis berasal dari luar organisasi. Bahkan, orang dalam perusahaan menimbulkan masalah keamanan serius. Contohnya saja karyawan, karyawan bisa saja memiliki akses pada informasi rahasia, dan dengan adanya kecerobohan pada intern sistem prosedur keamanan, mereka bisa saja mampu untuk menjelajah ke seluruh organisasi sistem tanpa meninggalkan jejak. Studi telah menemukan bahwa kurangnya pengetahuan dari pengguna adalah penyebab tunggal terbesar dari pelanggaran keamanan jaringan.
Banyak karyawan lupa password mereka untuk mengakses sistem komputer atau mengizinkan rekan kerja untuk menggunakannya, yang mengabaikan sistem. kadang-kadang penyusup berbahaya mencari akses sistem karyawan mengungkapkan password mereka dengan berpura-pura menjadi anggota yang sah dari perusahaan. Praktek ini disebut social engineering. Pengguna dan sistem informasi baik akhir spesialis juga merupakan sumber utama kesalahan yang diperkenalkan ke dalam sistem informasi.
5. Kerentanan Perangkat Lunak
Kesalahan perangkat lunak memiliki ancaman konstan pada sistem informasi, menyebabkan kerugian yang tak terhitung dalam sisi produktivitas. Permasalahan yang terbesar dari perangkat lunak adalah keberadaan bugs yang tersembunyi atau kode program yang cacat. Penelitian menunjukan bahwa adalah tidak mungkin secara virtual untuk mengeliminasi semua bugs dari program yang besar. Sumber utama bugs adalah kompleksitas dari kode pengembalian keputusan.
Program yang relatif kecil atau hanya terdiri atas beberapa garis akan memiliki puluhan pengembalian keputusan yang menuntun pada ratusan atau bahkan ribuan jalur yang berbeda. Program-program yang penting dalam bayak perusahaan biasanay lebih besar dan mengandung puluhan ribu bahkan jutaan garis kode, masing-masing memiliki banyak pilihan dan jalur yang lebih banyak dari program-program yag lebih kecil.
B. Nilai Bisnis Keamanan dan Pengendalian
Perusahaan-perusahaan memiliki informasi berharga untuk dilindungi. Sistem biasanya memuat data rahasia terkait pajak individu, asset keuangan, catatan medis, dan tinjauan kinerja. Sistem juga dapat berisi informasi mengenai operasional perusahaan, termasuk rahasia dagang, rancangan pengembangan produk baru, dan strategi pemasaran. Sistem pemerintah dapat menyimpan informasi berupa system persenjataan, operasi intelijen, dan target militer.
Aset informasi ini memiliki nilai yang sangat tinggi dan reaksinya dapat sangat berbahaya apabila informasi itu hilang, hancur, jatuh ke tangan orang yang salah. Sistem tidak dapat berkerja saat terjadi pelanggaran keamanan, bencana, atau kesalahan fungsi teknologi yang secara permanen dapat berakibat pada kesehatan keuangan perusahaan. Pengendalian dan keamanan yang tidak memadai dapat berakibat pada tanggung jawab huku yang serius. Perusahaan tidak hanya harus melindungi aset informasi mereka sendiri, tetapi juga aset informasi pelanggan, karyawan, dan partner bisnis mereka. Sebuah organisasi dapat dimintai pertanggungjawaban atas resiko dan kerugian yang tidak diciptakan jika organisasi gagal untuk mengambil tindakan perlindungan yang benar guan mencegah hilangnya data yang bersifat rahasia, data perusahaan, atau pelanggaran privasi.
1. Persyaratan Hukum dan Peraturan untuk Manjaemen Arsip Eloktronik
Jika anda bekerja dalam industri pelayaran kesehatan, perusahaan anda harus patuh pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (Health Insurance Portability and Accountability Act-HIPAA) tahun 1996. HIPPA menekankan peraturan dan prosedur keamanan medis dan privasi untuk memudahkan administrasi tagihan pelayanan kesehatan dan transfer otomatis data penyediaan, pembayaran, dan rancangan pelayanan kesehatan.
HIPPA mewajibkan anggota indrustri layanan kesehatan untuk menjaga informasi pasien selama enam tahun dan memastikan kerahasiaan catatan tersebut. Hal tersebut menjabarkan privasi, keamanan dan standar transaksi elektronik untuk penyedia layanan kesehatan yang mengelola informasi pasien, pemberian sanksi atas pelanggaran kerahasiaan medis, mengungkap catatan pasien melalui sutel, atau akses jaringan yang tidak sah.
2. Barang Bukti Elektronik dan Komputer Forensik
Manajemen keamanan, pengendalian, dan rekaman elektronik menjadi penting untuk menggapi tindakan hukum. Banyak bukti saat ini untuk kecurangan persediaan, penggelapan, pencurian rahsia dagang perusahaan, kejahatan computer, dan sejumlah kasus perdata berbentuk digital. Dalam tindakan hukum perusahaan diwajibkan untuk menanggapi permintaan penemuan untuk mengakses informasi yang dapat digunakan sebagai barang bukti, dan perusahaan terikat secara hukum untuk memberikan data tersebut.
Kebijakan penjaga dokumen elektronik yang efektif memastikan bahwa dokumen elektronik, dan rekaman lainya dikelola dengan baik, dapat diakses, dan tidak ditahan terlalu lama atau dihancurkan terlalu cepat. Komputer forensik (computer forensic) adalah pengumpulan, pengujian, autensitas, penjagaan, dan analisis ilmiah twerhadap data yang terdapat atau diambil dari media penyimpanan computer dimana informasi dapat digunakan sebagai banrang bukti di pengadialan. Komputer forensik mencangkup beberapa permasalahan seperti dibawah ini:
a. Pemulihan data dari computer sambil menjaga keutuhan barang bukti.
b. Penyimpanan dan pengelolaan dengan aman dari data elektronik yang sudah dipulihkan.
c. Menemukan informasi penting dari sejumlah besar data elektronik.
d. Menampilkan informasi di pengadilan.
C. Membangun Kerangka Kerja untuk Pengamanan dan Pengendalian
1. Pengendalian Sistem Informasi
Pengendalian sistem informasi baik manual maupun otomatis terdiri atas kendali umum dan aplikasi. Kendali umum (general controls) berpengaruh atas desain, keamanan, dan penggunaan program computer dan keamanan arsip data secara umum dari semua infrastruktur teknologi informasi perusahaan. Secara keseluruhan, kendali umum digunakan pada semua aplikasi yang terkomputerisasi dan memuat kombinasi perangkat keras, perangkat lunak, dan prosedur manual yang menciptakan lingkungan control secara menyeluruh.
Kendali umum meliputi pengendalian perangkat lunak, pengendalian fisik perangkat keras, dan pengendalian operasional computer, pengendalian keamanan data, pengendalian pada proses implementasi sistem, dan pengendalian administratif.
Kendali aplikasi (application controls) adalah pengendalian khusus dan spesifik pada setiap aplikasi yang terkomputerisasi, seperti proses pembayaran dan pemasaran. Kendali aplikasi mencakup baik prosedur manual maupun otomatis yang memastikan hanya data yang sah yang utuh dan akurat yang dapat diproses menggunakan aplikasi tersebut. Kendali aplikasi dapat dikelompokan menjadi (1) kendali input, (2) kendali pemrosesan, dan (3) kendali output.
Kendali input memeriksa keakuratan dan kelengkapan data yang akun dimasukkan ke dalam sistem. Terdsapat beberapa kendali input yang spesifik bagi autentisitas input, konversi data, penyuntingan data, dan penanganan kesalahan. Kendali pemrosesan meliputi penetapan data yang utuh dan akurat selama pemuthakiran dilakukan. Kendali output memastikan bahwa hasil dari pemrosesan komputer akurat, utuh, dan dapat didistribusikan dengan benar.
2. Penilaian Risiko
Penilaian risiko (risk assesment) menentukan keadaan tingkatan risiko perusahaan jika sebuah tindakan atau proses yang spesifik tidak dapat dikendalikan sebagaimana mestinya. Tidak semua risiko dapat diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh beberapa pemahaman seputar risiko yang dihadapi. Manajer bisnis yang bekerja dengan spesialis sistem informasi sebaiknya mencoba untuk menentukan nilai dari aset informasi, titik-titik kerentanan, dan frekuensi kemungkinan terjadinya permasalahan, dan potensi kerusakan.
3. Kebijakan Keamanan
Kebijakan keamanan (security policy) terdiri atas pernyataan peringkat risiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Kebijakan keamanan mendorong kebijakan lainnya dalam menentukan penggunaan sumber daya informasi perusahaan yang dapat diterima dan siapa saja anggota perusahaan yang memperleh akses kepada aset informasi. Sebuah kebijakan pengguna yang dapat diterima (acceptableuse policy-AUP) mendefinisikan penggunaan sumber daya informasi perusahaan dan perlengkapan komputer, meliputi komputer desktop dan laptop, perangkat nirkabel, telepon, dan internet yang dapat diterima.
Kebijakan keamanan juga mencakup penetapan manajemen identitas. Manajemen identitas (identity management) terdiri atas proses bisnis dan peralatan perangkat lunak untuk mengidentifikasi pengguna yang sah pada sistem dan mengendalikan akses mereka terhadap sumber daya sistem. Manajemen ini meliputi kebijakan untuk mengidentifikasi dan memberi izin bagi pengguna sistem dari kategori yang berbeda, meneapkan bagian sistem atau porsi dari sistem mana saja yang dapat diakses oleh pengguna, serta proses dan teknologi untuk autentisitas pengguna dan perlindungan indentitas mereka.
4. Perencanaan Pemulihan Bencana dan Perencanaan Kesinambungan Bisnis
Perencanaan pemulihan bencana (disaster recovery planning) adalah sebuah alat merancang rencana untuk merestorasi komputasi dan layanan komunikasi setelah perusahaan mengalami gangguan. Perencanaan pemulihan bencana memiliki fokus utama pada masalah teknis dalam hal menjaga dan membuat sistem tetap berjalan, seperti arsip manakah yang harus dibuatkan cadangan dan memelihara sistem komputer cadangan atau layanan pemulihan bencana.
Perencanaan kesinambungan bisnis (business continuity planning) memiliki fokus pada bagaimana perusahaan mengembalikan operasional bisnis setelah terjadinya bencana. Perencanaan kesinambungan bisnis mengidentifikasi proses bisnis yang utama dan menetapkan rencana tidakan untuk mengendalikan fungsi-fungsi penting saat sistem tidak bekerja.
Manajer bisnis dan spesialis teknologi informsi perlu bekerja sama dalam merancang kedua jenis perencanaan di atas untuk menentukan sistem dan proses bisnis yang paling penting bagi perusahaan. Mereka harus memimpin analisis implikasi bisnis untuk mengidentifikasi sistem yang paling krusial bagi perusahaan dan implikasi pada bisnis saat sistem tidak dapat dijalankan. Manajemen harusmenetapkan waktu maksimal dimana bisnis dapat bertahan ketika sistem padam dan bagian mana saja dari bisnis yang harus dipulihkan terlebih dahulu.
5. Peran Auditing
Audit Sistem Informasi Manajemen–SIM (MIS audit) memeriksa lingkungan keamanan keseluruhan perusahaan sebagaimana mengendalikan pengaturan sistem informasi individu. Auditor sebaiknya menelusuri aliran beberapa transaksi pada sistem dan melakukan pengujian menggunakan, jika sesuai, perangkat audit otomatis. Audit SIM juga memeriksa kualitas data.
Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan personel. Sebuah audit yang teliti bahkan akan menyimulasikan sebuah seragam atau bencana untuk menguji respons teknologi, staf sistem informasi, dan karyawan bisnis. Daftar dan peringkat audit menegndalikan semua kelemahan dan mengestimasi probabilitas kejadiannya. Setelah itu, ia akan menilai pengaruh pada keuangan dan organisasi pada setiap ancaman.
D. Teknologi dan Sarana untuk Melindungi Sumber-Sumber Informasi
Bisnis memiliki sebuah kesatuan teknologi yang melindungi sumber-sumber informasi mereka. Kesatuan tersebut mencakup peralatan untuk mengelola identifikasi pengguna, mencegah akses tidak sah menuju sistem dan data, memastikan ketersediaan, serta memastikan kualitas perangkat lunak.
1. Manajemen Identitas Dan Autentisitas
Autentisitas (authentication) mengacu pada kemampuan untuk mengetahui apakah seorang pengguna adalah seperti apa yang diakuinya. Autentisitas biasanya dibuktikan dengan menggunakan kata sandi (passwords) yang hanya diketahuai oleh pengguna yang berwenang. Teknologi terbaru, seperti token, kartu pintar (smart cards), dan autentisitas biometrik, mengatasi beberapa permasalahan tersebut. Token adalah perangkat fisik mirip dengan kartu identitas, yang dirancang untuk menjamin identitas pengguna tunggal. Token merupakan gadget kecil yang umumnya sesuai dengan gantungan kunci dan menampilkan kode sandi yang berubah berulang-ulang. Kartu pintar (smart card) merupakan sebuah perangkat seukuran kartu kredit yang memuat sebuah chipyang telah diformat dengan informasi izin akses dan data lainnya.
Autentisitas biometrik (biometrik authentication) menggunakan sistem yang dapat membaca dan menerjemahan sifat peorangan manusia, sepert sidik jari, selaput pelangi, dan suara, untuk mengizinkan atau menolak akses. Autensisitas biometrik didasarkan pada pengukuran fisik atau pun sifat perilaku seseorang yang membuatnya berbeda data dari yang lain.
2. Firewell, Sistem Deteksi Gangguan, dan Perangkat Lunak Antivirus
Tanpa perlindungannya terhadap malware dan penyusup, terhubung dengan internet akan menjadi sangat berbahaya. Firewell, sistem deteksi gangguan, dan perangkat lunak antivirus telah menjadi sarana bisnis yang esensial.
a. Firewell
Firewell mencegah pengguna tidak berwenang dari mengakses jaringan privat. Firewell merupakan sebuah kombinasi dari perangkat keras dan perangkat lunak yang mengendalikan aliran masuk dan keluar lalu lintas jaringan. Biasanya firewell ditempatkan antara jaringan internal dan privat milik organisasi dan jaringan eksternal yang tidak dipercaya. Firewell bertindak seperti gatekeeper yang meneliti mandat masing-masing pengguna sebelum akses diberikan ke jaringan. Firewall mengidentifikasi nama, IP alamat, aplikasi, dan karakteristik lain dari lalu lintas masuk. Ia memeriksa informasi ini terhadap aturan akses yang telah diprogram ke dalam sistem oleh administrator jaringan.
Firewall mencegah komunikasi yang tidak sah ke dalam dan keluar dari jaringan. Dalam organisasi besar, firewall sering berada pada ditunjuk khusus komputer terpisah dari sisa jaringan, sehingga tidak ada permintaan yang masuk langsung mengakses sumber daya jaringan pribadi. Untuk membuat firewall yang bagus, administrator harus menjaga rinci internal yang aturan mengidentifikasi orang, aplikasi, atau alamat yang diperbolehkan atau ditolak. Firewall dapat mencegah, tapi tidak sepenuhnya mencegah, penetrasi jaringan oleh pihak luar dan harus dipandang sebagai salah satu unsur dalam rencana keamanan secara keseluruhan.
a. Sistem Deteksi Gangguan
Selain firewall, vendor keamanan komersial sekarang menyediakan intrusi alat dan layanan deteksi untuk melindungi terhadap lalu lintas jaringan yang mencurigakan dan mencoba untuk mengakses file dan database. Sistem deteksi intrusi fitur alat monitor penuh waktu ditempatkan pada titik-titik yang paling rentan atau “hot spot” dari jaringan perusahaan untuk mendeteksi dan mencegah penyusup terus. Sistem ini menghasilkan alarm jika menemukan peristiwa yang mencurigakan atau anomali.
b. Perangkat Lunak Antivirus dan Antispyware
Rencana teknologi defensif untuk kedua individu dan bisnis harus mencakup perlindungan antivirus untuk setiap komputer. Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive untuk kehadiran virus komputer. Seringkali perangkat lunak menghilangkan virus dari daerah yang terinfeksi. Namun, sebagian besar perangkat lunak antivirus hanya efektif terhadap virus sudah diketahui kapan software ditulis. Untuk tetap efektif, perangkat lunak antivirus harus terus diperbarui.
c. Sistem Manajemen Ancaman Terpadu
Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor keamanan telah digabungkan menjadi satu alat berbagai alat keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan konten Web penyaringan dan software antispam. Manajemen keamanan yang komprehensif ini disebut manajemen ancaman terpadu (UTM) sistem. Meskipun awalnya ditujukan untuk businesss kecil dan menengah, produk UTM tersedia untuk semua ukuran jaringan.
1. Melindungi Jaringan Nirkabel
Langkah pertama yang sederhana untuk menggagalkan hacker adalah untuk menetapkan unik nama untuk SSID jaringan Anda dan menginstruksikan router Anda tidak menyiarkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan menggunakannya dalam hubungannya dengan private network (VPN) teknologi virtual ketika mengakses internal perusahaan data.
2. Enkripsi dan Kunci Infrastruktur Publik
Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang mereka menyimpan, fisik mentransfer, atau mengirim melalui Internet. Enkripsi adalah proses mengubah teks biasa atau data ke dalam teks cipher yang tidak dapat dibaca oleh siapa pun selain pengirim dan penerima yang dimaksudkan. Data yang dienkripsi dengan menggunakan kode numerik rahasia, disebut kunci enkripsi, yang mengubah data yang biasa menjadi teks cipher.
Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan S-HTTP. Secure Sockets Layer (SSL) dan Transport Layer Security penerus nya (TLS) memungkinkan klien dan server komputer untuk mengelola enkripsi dan dekripsi kegiatan mereka berkomunikasi satu sama lain selama sesi Web aman. Aman Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data yang mengalir melalui Internet, tetapi terbatas pada individu pesan, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman antara dua komputer.
Ada dua metode alternatif enkripsi yaitu enkripsi kunci simetris dan enkripsi kunci publik. Dalam enkripsi kunci simetris, pengirim dan receiver membuat sesi Internet aman dengan membuat kunci enkripsi tunggal dan mengirimkannya ke penerima sehingga baik pengirim dan penerima berbagi sama kunci. Kekuatan kunci enkripsi diukur dengan panjang bit-nya. Kunci publik adalah disimpan di direktori dan kunci pribadi harus dirahasiakan. Pengirim mengenkripsi pesan dengan kunci publik penerima. Pada menerima pesan, penerima menggunakan kunci pribadi nya untuk mendekripsi itu. Sertifikat digital adalah file data yang digunakan untuk menentukan identitas pengguna dan aset elektronik untuk perlindungan transaksi online.
3. Menjaga Ketersediaan Sistem
Suatu perusahaan perlu melakukan langkah tambahan untuk memastikan sistem aplikasinya selalu tersedia. Hal ini perlu dilakukan jika perusahaan menggantungkan pendapatan dan operasionalnya pada penggunaan jaringan digital. Perusahaan yang bergerak pada bidang industri penerbangan dan layanan keuangan sudah menggunakan sistem komputer fault-tolerant untuk menjaga ketersediaan sistem. Sistem komputer fault-tolerant merupakan sistem komputer yang menggunakan perangkat keras, perangkat lunak, daya listrik yang berlebih yang berguna untuk menghalau gangguan karena penggunaan layanan yang berulang-ulang.
Komputasi dengan ketersediaan yang tinggi membantu perusahaan untuk pulih dengan segera dari sistem yang sedang mengalami crash, sedangkan toleransi kesalahan menjanjikan ketersediaan yang berlanjut dan eliminasi waktu pemulihan secara bersama-sama. Lingkungan komputasi dengan ketersediaan yang tinggi merupakan kebutuhan minimum suatu perusahan. Komputasi dengan ketersediaan yang tinggi memerlukan server cadangan, proses pendistribusian antar-multiserver, penyimpanan dengan kapasitas yang besar, dan pemulihan bencana serta perencanaan kesinambungan yang baik. Komputisi berorientasi pemulihan meliputi perancangan sistem yang mampu untuk pulih dengan segera serta mampu mengimplementasikan kegagalan-kegagalan pada sistem multikomponen.
a. Pengendalian Lalu Lintas Jaringan: Inspeksi Paket Mendalam
Inspeksi paket mendalam menguji arsip data dan memilah materi online yang memiliki prioritas rendah dan menempatkan arsip data yang prioritas tinggi seperti arsip-arsip bisnis. Berdasarkan prioritas yang sudah ditetapkan, inspeksi paket mendalam menentukan paket data mana yang dapat melanjutkan berikutnya dan mana yang harus diblokir atau ditahan agar lalu lintas data yang lebih penting dapat di proses terlebih dahulu.
b. Penggunaan Alih Daya untuk Keamanan
Banyak perusahaan terutama yang bisnis-bisnis kecil kekurangan sumber daya untuk menjaga keamanan yang tinggi. Mereka dapat melakukan alih daya untuk melakukan pengamanan pada managet security service provider (MSSPs) yang memonitor aktivitas dan jaringan serta melakukan pengujian kerentanan dan deteksi gangguan.
4. Isu Keamanan Terhadap Cloud Computing dan Mobile Digital Platform
a. Keamanan dalam Cloud Computing
Pengorganisasian layanan cloud computing masih menjadj hal yang sangat penting. Karena akuntabilitas dan tanggung jawab masih menjadi bagian dari pemrosesan cloud computing. Aplikasi cloud computing berada pada pusat data dan server yang sangat jauh yang menyediakan layanan jasa dengan klien bisnis korporasi.
Untuk menghemat daya dan biaya biasanya layanan cloud computing mendistribusikan layanan langsung pada pusat data diseluruh dunia dimana pekerjaan dapat selesai secara efisien. Sifat cloud computing yang berpencar-pencar membuatnya sulit untuk melacak aktivitas-aktivitas yang tidak sah. Secara virtual, penyedia cloud computing menggunakan enkripsi. Pengusaha berharap sistem mereka dapat tersedia 24 jam selama 7 hari, tetapi penyedia layanan komputasi tidak selalh dapat menyediakan layanan ini. Pengguna layanan cloud computing perlu mengkonfirmasi datanya dimana data tersebut disimpan dan dilindungi pada tingkat yang seperti apa.
b. Mengamankan Platform Mobile
Perangkat mobile pastinya melakukan banyak fungsi komputer, mereka harus aman seperti layaknya PC desktop dan laptop terhadap malware, pencurian, dan kehilangan secara tidak sengaja, akses tanpa izin, dan percobaan peretasan. Perangkat mobile yang mengakses sistem dan data komputer membutuhkan perlindungan khusus. Perusahaan mobile phone sebaiknya mengenkripsi komunikasi jika memunginkan. Semua pengguna perangkat mobile disarankan untuk menggunakan fitur kata sandi yang ditemukan di setiap perangkat smartphone.
5. Menjaga Kualitas Perangkat Lunak
Untuk mengimplementasikan keefektifan keamanan dan pengendalian, organisasi dapat meningkatan kualitas dan keandalan perangkat lunak dengan menggunakan metriks perangkat lunak dan pengujian perangkat lunak yang ketat. Metriks perangkat lunak merupakan penilaian objekti dari sistem dalam bentuk pengukuran yang terkualifikasi.
Penggunaan metriks yang sedang berjalan memungkinkan departemen sistem dan pengguna akhir untuk sama-sama mengukur kinerja sistem dan mengidentifikasi permasalahan yang terjadi. Agar penggunaan metriks berjalan sukses harus dirancang dengan hati-hai, formal, objektif, dan digunakan secara konsisten. Pengujian secara reguler dan ketat akan berkontribusi secara signifikan pada kulaitas sistem. Pengujian ini dilakukan untuk mengetahui kebenaran pekerjaan yang telah dilakukan. Pengujian ini juga dilakukan untuk mengrahui letak kesalahan dari perangkat lunak.
BAB III
PENUTUP
A. Kesimpulan
Dalam dunia komunikasi data global dan perkembangan teknologi informasi yang senantiasa berubah serta cepatnya perkembangan software, keamanan merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data maupun keamanan aplikasi. Perlu kita sadari bahwa untuk mencapai suatu keamanan itu adalah suatu hal yang sangat mustahil, seperti yang ada dalam dunia nyata sekarang ini. Tidak ada satu daerah pun yang betul-betul aman kondisinya, walau penjaga keamanan telah ditempatkan di daerah tersebut, begitu juga dengan keamanan sistem komputer. Namun yang bisa kita lakukan adalah untuk mengurangi gangguan keamanan tersebut.
DAFTAR PUSTAKA
Laudon C Kenneth dan Jane P Laudon. 2014. Sistem Informasi Manajemen: Mengelola Perusahaan Digital. Jakarta: Salemba Empat.
Tidak ada komentar:
Posting Komentar