Home / Berita / Pendidikan / Profile

ATURAN DALAM ORGANISASI_Ditiron Kiwo

By Bonawan Post a Comment
 

RUANG LINGKUP PEMBAHASAN

 

Keamanan Sistem Organisasi

®    Keamanan Informasi

®    Kebijakan Keamanan

®    Ancaman Keamanan

®    Ancaman Virus

®    Studi Kasus

 

KEAMANAN INFORMASI

 

I.  Pengantar

            Informasi saat ini sudah menjadi sebuah komoditi yang sangat  penting. Lebih jauh lagi banyak pihak yanhg beranggapan bahwa era sekarang merupakan zaman imformasi atau dikenal dengan information based society.  Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esential bagi sebuah Organisasi, baik yang berupa organisasi komersial ( perusahaan ), perguruan tinggi, lembaga pemerintahan, maupun individual. Hal ini dimungkinkan karena perkembangan teknologi komputer yang kian pesat sebagai pusat penyimpanan informasi mulai awal tahun 1970-an hingga sekarang.

            Oleh karena pentingnya keberadaan Informasi, maka sebagai information seeker ( pencari dan penemu informasi ) kita perlu mengetahui bagaimana cara untuk mengamankan informasi yang kita miliki dan bagaimana keamanan informasi dilakukan agar dapat menjaga keabsahan, dan nilai yang terkandung terhadap informasi yang kita miliki, supaya tidak sembarang orang dapat mengakses dan menggunakan informasi tersebut dengan sembarangan.

            Adapun yang perlu dipelajari sebelum masuk kedalam ranah keamanan informasi kita perlu mengetahui terlebih dahulu dasar – dasar keamanan informasi , adapun dasar – dasar keamanan informasi ialah :

1. Pentingnya informasi

       Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi hanya boleh diakses oleh orang – orang tertentu. Jatuhnya informasi ke pihak lain ( misalnya pihak lawan bisnis ) dapat menimbulkan kerugian bagi pemilik informasi. Informasi yang bernilai penting tersebut merupakan aset bagi perusahaan.

            Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang – orang tertentu di dalam perusahaan tersebut. Hal tersebut mencakup : informasi tentang produk yang sedang dalam tahap pengembangan (development), algoritma – algoritma dan teknik – teknik yang digunakan untuk menghasilkan produk tersebut. Oleh karenanya, keamanan dari sistem informasi yang digunakan harus terjamin dan dalam batas yang dapat diterima.

 

2. Nilai Informasi ( value of information )

        Informasi sangatlah penting di dalam suatu organisasi, tetapi pertanyaan lebih lanjut seberapa pentingnya serta bagaimana menentukan kepentingannya. Salah satu cara penentuan tingkat kepentingan informasi pada suatu perusahaan adalah dengan menentukan berapa nilai atau value dari informasi tersebut. Semakin tinggi nilai informasi bagi suatu organisasi maka semakin penting pula keberadaannya. Suatu informasi dikatakan bernilai tinggi ( high value information )  jika informasi tersebut sangat relevan dan bermanfaat bagi pengambilan keputusan. Jika informasi tidak dapat memberikan suatu yang relevansi atau tidak bermanfaat, maka informasi dikatakan bernilai rendah.

       Oleh karena itu suatu organisasi harus mempunyai cara untuk menentukan beberapa nilai dari informasi yang dimiliki sehingga dapat ditentukan tingkat kepentingannya. Hal ini tidak mudah dilakukan karena informasi sendiri lebih bersifat relatif dari pada bersifat kualitatif ataupun kuantitatif. Artinya nilai suatu informasi tidak dapat langsung digeneralisasi, karena bisa saja bernilai tinggi bagi suatu pihak dan bernilai rendah bagi pihak lain. Beberapa cara atau metode untuk menentukan nilai suatu informasi sebagai berikut :

a). Metode biaya dan manfaat ( cost-benefit method )

                        Nilai suatu informasi yang dimiliki oleh Organisasi dapat ditentukan dari dua hal yaitu manfaat dan biaya. Suatu informasi dikatakan bernilai apabila manfaatnya lebih efektif dibanding dengan biaya mendapatkannya. Sebagian besar informasi dinikmati oleh lebih dari satu pihak sehingga sulit untuk menghubungkan suatu informasi dengan biaya untuk memperolehnya.

                        Menentukan nilai informasi memang tidak mudah untuk dinyatakan dengan ukuran yang bersifat kuantitatif. Namun, dapat dijelaskan dengan skala relatif. Misalnya, jika suatu informasi dapat menghasilkan hal yang mengurangi ketidakpastian bagi pengambilan keputusan, maka nilai informasinya tinggi. Sebaliknya jika suatu informasi kurang memberikan relevansi bagi pengambilan keputusan, informasi tersebut dikatakan kurang bernilai atau nilai informasinya rendah.

b). Metode berdasarkan karakteristik informasi ( Information charestristic method )

                        Nilai informasi dapat ditentukan berdasarkan karakteristik atau sifat yang dimilikinya. Menurut Burch dan Strater dalam buku mereka , “Information System : Theory and Practice” [Burch et al, 1979], nilai informasi itu didasarkan atas 10 sifat berikut :  

                        1. Mudahnya diperoleh

        Sifat ini menunjukkan mudahnya dan cepatnya dapat diperoleh   keluaran informasi. Kecepatan informasinya dapat diukur, misalnya 1 (satu) menit versus 24 jam. Akan tetapi, berapa nilainya bagi pemakai informasi, sulit mengukurnya.

            2. Sifat luas dan lengkapnya

            Sifat ini menunjukkan lengkapnya isi informasi. Hal ini tidak           berarti hanya mengenai volumenya, tetapi juga mengenai keluaran informasinya.

            3. Ketelitian

                             Sifat ini berhubungan dengan tingkat kebebasan dari kesalahan informasi luaran.

            4. Kecocokan

        Sifat ini menunjukkan nilai informasi semakin baik bila ada hubungannya dengan permintaan para pemakai. Isi informasi harus ada hubungannya dengan  masalah yang sedang  dihadapi oleh pemakai. 

            5. Ketepatan waktu

            Sifat ini berhubungan dengan waktu yang dilalui yang lebih pendek dari pada siklus perolehan informasi : masukan, pengolahan, dan pelaporan keluaran kepada para pemakai. Biasanya, agar informasi itu tepat waktu, lamanya siklus ini harus dikurangi. Dalam beberapa hal ketepatan waktu dapat diukur. Misalnya, berapa banyak penjualan yang dapat ditambah dengan memberikan tanggapan segera kepada permintaan langganan mengenai tersedianya barang – barang inventaris.

                        6. Kejelasan

    Sifat ini menunjukkan tingkat keluaran informasi, bebas dari istilah – istilah yang tidak jelas.

            7. Keluwesan

        Sifat ini berhubungan dengan lebih dari satu keputusan, tetapi juga dengan lebih dari seseorang pengambil keputusan. Sifat ini sulit mengukurnya, tetapi dalam banyak hal dapat diberikan nilai yang dapat diukur.

                        8. Dapat dibuktikan

            Sifat ini menunjukkan beberapa pemakai informasi untuk menguji keluaran informasi hingga sampai pada kesimpulan yang sama.

            9. Tidak ada prasangka

                        Sifat ini berhubungan dengan tidak adanya keinginan untuk mengubah informasi guna mendapatkan kesimpulan yang telah dipertimbangkan sebelumnya.

 

            10. Dapat diukur

     Informasi seharusnya bisa diukur dan sifat ini menunjukkan bahwa hakikat informasi adalah yang dihasilkan  dari Sistem Informasi Formal. Meskipun kabar angin, desas – desus, dugaan, klenik, dan sebagainya sering dianggap sebagai informasi, hal – hal tersebut berada di luar lingkup pembicaraa

            dari kesepuluh sifat yang dipaparkan sulit untuk mengukur nilai yang terkandung dalam sebuah informasi, namun dalam konteksnya seorang penganalisis seharusnya menggunakan sifat – sifat tersebut apabila nilai informasi versus biaya akan ditentukan.


3. Fasilitas Informasi

            Fasilitas yang terkait dengan pemrosesan informasi ( selanjutnya disebut sebagai fasilitas informasi ) :

a. Dokumen

1). Dokumen adminstrasi ( surat menyurat dll )

2). Dokumen atau data keuangan

3). Dokumen atau data kepegawaian

4). Dokumen tender dan kontrak

dan data lainnya yang perlu dilakukan penyimpanan yang diistilahkan sebagai informasi dalam bentuk dokumen atau data.

b. Sistem Perangkat Lunak

1). Aplikasi

2). Sistem Operasi

3). Perangkat bantu pengembangan sistem

4). Perangkat bantu lainnya ( antivirua, edit tool)

c. Sistem Perangkat Keras

1). Peralatan komputer

2). Peralatan jaringan dan komunikasi

3). Peralatan audio & video ( CCTZV, camera)

4). Peralatan fisik lainnya : finger print, removable media ( misalnya : flashdisk, CD, DVD, tape reel, disket) dan peralatan penunjang lainnya ( misalnya : Uninteruptable Power System/UPS, pembangkit tenaga listrik/generator, antena komunitas ).

 

d. Infrastruktur dan bangunan :

1). Ruang server

2). Pelindung, palang, kunci berganda, alarm

 

II.  Keamanan Informasi

2.1 Pengertian Keamanan Informasi

            Informasi yang merupakan aset bernilai seharusnya dilindungi agar aman. Keamanan secara umum diartikan sebagai kondisi yang terbebas dari ancaman atau bahaya.  Keamanan informasi adalah suatu upaya atau usaha khusus diperuntukkan untuk melindungi, mengamankan aset-aset informasi terhadap ancaman yang mungkin akan timbul serta membahayakan aset informasi tersebut, entah itu terkena ancaman dari internal maupun eksternal. Tujuan dari Keamanan Informasi yaitu salah satunya menjaga keamanan dari sumber-sumber informasi. Sebuah informasi sangatlah penting seringkali menyebabkan informasi tersebut hanya boleh diakses oleh orang-orang tertentu. Semisal saja suatu perusahaan, jatuhnya informasi tentang perusahaan tersebut ke tangan pihak lain (pihak lawan bisnis) menyebabkan kerugian bagi pemilik informasi (perusahaan).

            Menurut ISO / IEC 27001,2005, Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjami kelangsungan bisnis, meminimalisir resiko bisnis dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis.

            Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara simultan atau dilakukan dalam kombinasi satu dengan lainnya. Strategi – strategi dari keamanan informasi masing – masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan. Jenis – jenis strategi keamanan informasi sebagai berikut :

  • Physical security adalah keamanan informasi yang menfokuskan pada strategi untuk mengamankan individu / anggota organisasi dan tempat kerja dari bencana alam, kebakaran, dll. Physical security memfokuskan pada aset fisik dari suatu informasi.
  • Personal security adalah keamanan informasi yang memfokuskan pada keamanan personal, berhubungan dengan keamanan physical security
  • Operation security adalah keamanan informasi yang membahas mengenai strategi suatu organisasi, agar organisasi tersebut dapat mengamankan kemampuan organisasi untuk berjalan tanpa ada gangguan.
  • Communication Security adalah keamanan informasi bertujuan mengamankan media komunikasi dan memanfaatkan media tersebut untuk  mencapai tujuan organisasi
  • Network Security adalah keamanan informasi yang memfokuskan pada pengamanan peralatan jaringan ataupun data organisasi.

Masing – masing komponen tersebut berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya.

2.2. Pentingnya Keamanan Informasi

            Suatu kenyataan yang dihadapi pada abad Globalisasi ini adalah berbagai Organisasi dihadapkan pada sejumlah ancaman keamanan informasi dari berbagai sumber. Hal tersebut diperlihatkan dari sejumlah kasus kejahatan komputer yang dilakukan secara sengaja contohnya : pencurian data, aktivitas spionase, percobaan backing, tindakan vandalism. Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam, misalnya ; banjir, gempa bumi, tsunami, dan kebakaran. Ketergantungan kinerja Organisasi terhadap sistem informasi mengandung arti bahwa keseluruhan ancaman terhadap keamanan informasi tersebut merupakan fortofolio resiko yang dihadapi oleh organisasi yang bersangkutan.

            Dengan amannya keseluruhan lingkungan tenpat informasi berada maka kerahasiaan, integritas, dan ketersediaan informasi akan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dan citra organisasi yang memiliki aset penting tersebut.

            Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya – upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Proses tersebut dimulai dari pengidentifikasian sejumlah kontrol yang relevan untuk diterapkan dalam Organisasi, yang tentu saja harus berdasarkan pada analisa kebutuhan aspek keamanan informasi seperti apa yang harus dimiliki perusahaan. Setelah kebijakan, prosedur, dan panduan teknis operasional mengenai kontrol yang harus diterapkan dalam Organisasi disusun, langkah berikutnya adalah sosialisasi keseluruhan piranti tersebut ke segenap lapisan manajemen dan karyawan organisasi untuk mendapatkan dukungan dan komitmen.

            Selanjutnya para pihak kepentingan lain yang berada diluar organisasi perlu dilibatkan dalam sosialisasi karena mereka merupakan bagian tidak terpisahkan dari keamanan

informasi yang dibangun. Selain itu, keberadaan para pakar dan ahli juga dibutuhkan untuk membantu organisasi dalam menerapkan langkah – langkah tersebut.  Identifikasi terkait keamanan informasi di suatu organisasi langkah awal dimulai dari timbulnya beberapa pertanyaan – pertanyaan sebagai berikut :

a) Siapa yang harus memperhatikan keamanan informasi ?

            keamanan informasi harus menjadi perhatian semua pihak di dalam organisasi ( manajemen dan karyawan) maupun diluar organisasi ( pemasok, pelanggan, mitra kerja, dan pemegang saham) yang seharusnya bertanggung jawab secara penuh dalam proses keamanan informasi. Hal ini dimaksudkan karena semua pihak tersebut terlibat baik secara langsung maupun tidak langsung dalam proses penyediaan, penyimpanan, pemanfaatan, dan penyebar luasan informasi dalam organisasi. Untuk menjamin adanya kesadaran, kemauan dan komitmen untuk melakukan hal tersebut, maka perlu adanya pihak yang memiliki tugas dan kewajiban khusus untuk memantau efektivitas keamanan informasi. Keberadaan perusahaan tersebut mutlak dibutuhkan oleh organisasi dalam berbagai bentuknya seperti : perusahaan komersial, institusi pemerintahan, organisasi publik, lembaga nirbala, dll.

b). Kapan masalah keamanan informasi ini harus mulai disosialiasasikan dalam organisasi ?

            pemahaman dan kesadaran mengenai pentingnya memperhatikan aspek – aspek keamanan informasi harus ditanamkan sedini mungkin oleh setiap organisasi terhadap seluruh jajaran manajemen dan karyawannya. Setiap individu yang berada di dalam organisasi mempunyai tanggung jawab untuk melindungi keamanan informasi yang dimilikinya, sebagaimana layaknya memperlakukan hal yang sama terhadap aset – aset berharganya. Berkaitan dengan hal itu, harus ada kebijakan menyangkut pemberian sangsi bagi mereka yang lalai memperhatikan hal ini maupun penghargaan bagi mereka yang berprestasi mempromosikan dan menerapkan keamanan informasi di organisasi terkait.

 

c) Dimana sajakah aspek keamanan informasi harus diterapkan ?

            Tentunya proses keamanan informasi harus dimulai dari menjaga tempat atau fasilitas fisik dimana informasi beserta piranti/ peralatan pendukungnya disimpan. Dengan berkembangnya teknologi akses informasi dari jarak jauh melalui pemanfaatan jaringan komputer, maka ruang lingkup keamanan menjadi semakin beasr dan kompleks, karena sudah tidak dibatasi oleh sekat – sekat lingkungan fisik tertentu. Perkembangan in ternet yang telah membentuk sebuah dunia maya tempat berbagai individu maupun  komunitas berinteraksi ( tukar – menukar informasi) secara elektronik memperlihatkan bagaimana kompleksnya keamanan area baik secara fisik maupun virtual yang tentu saja akan sangat berpengaruh terhadap  manajemen kontrol yang akan dipilih dan diterapkan.

d). Bagaimana cara menerapkan keamanan informasi yang baik ?

            Untuk dapat membangun dan menerapkan keamanan informasi yang baik, sebaiknya organisasi memulainya dari upaya melakukan kajian atau telaah terhadap resiko keamanan yang mungkin timbul. Kajian yang dimaksud dapat diterapkan dalam tingkatan organisasi, maupun pada tataran sub bagian atau fungsi organisasi tertentu, seperti sistem informasi, komponen, layanan, dan lain sebagainya sesuai dengan skala prioritas yang ada.

Kajian resiko yang dimaksud berdasarkan ISO 17799 merupakan suatub pendekatan sistematis dari proses berikut :

1. Identifikasi terhadap kejadian – kejadian apa saja yang dapat mengancam keamanan informasi perusahaan dan potensial dampak kerugian yang ditimbulkan jika tidak terdapat kontrol yang memadai.

2. Analisa tingkat kemungkinan (probablitias) terjadinya hal – hal yang tidak diinginkan tersebut akibat adanya sejumlah kelemahan pada sistem yang tidak dilindungi dengan kontrol tertentu.

Hasil dari kajian tersebut akan menghasilkan arahan yang jelas bagi manajemen dalam menentukan prioritas dan mengambil sejumlah tindakan terkait dengan resiko keamanan informasi yang dihadapi. Perlu juga dilakukan langkah – langkah yang kontinyu dan berkelanjutan dan langkah interaktif untuk   menentukan prioritas yang jelas. Langkah – langkah interaktif yang dimaksud adalah sebagai berikut :

1. Menganalisa perubahan kebutuhan dan prioritas organisasi yang baru sesuai dengan pertumbuhannya

2. Mempelajari ancaman – ancaman atau kelemahan – kelamahan baru apa yang terjadi akibat perubahan yang ada tersebut

3. Memastikan bahwa kendali yang dimiliki efektif dalam menghadapi ancaman – ancaman kejadian terkait.

Keberadaan kontrol ini akan sangat berpengaruh terhadap kinerja sebuah organisasi, maka proses telaah resiko harus dimulai dari tingkat manajemen, agar mereka yang berwenang dapat menilainya berdasarkan tingkat kepentingan tertinggi (pendekatan to down).

2.3 Model Serangan Keamanan Informasi

            Beberapa model – model serangan keamanan informasi yang telah dikembangkan oelh pihak – pihak yang ingin meng-hack informasi dapat dirilis sebagai berikut [Raharjo, 2005]:

a). Scanning ; scan adalah probe dalam jumlah besar menggunakan tool secara otomatis dengan tujuan tertentu misalnya mendeteksi kelemahan – kelamahan pada host tujuan.

b). Sniffing : sniffer adalah device ( software maupun hardware) yang digunakan untuk mendengar informasi yang melewati jaringand dengan protokol apa saja.

c). Eksploit : memanfaatkan kelamahan sistem untuk aktifitas – aktifitas diluar penggunaan normal yang sewajarnya.

d). Spoofing : biasanya IP spoofing dilakukan dengan menyamarkan identitas alamat IP menjadi IP yang terpercaya dengan script tertentu dan kemudian melakukan koneksi ke dalam jaringan.

e) DoS (Denial of Service) attack : salah satu sumberdaya jaringan yang berharga adalah servis –servis yang disediakan. DoS atau malah Distributed Dos (Ddos) attack dapat menyebabkan servis yang seharusnya ada menajdi tidak bisa digunakan. Penyebab penolakan servis ini sangat banyak sekali dapat disebabkan hal – hal berikut :

®    Jaringan kebanjiran trafik ( misal karena serangan syn flooding, ping flooding, smufring)

Syn flooding adalah serangan yang dilakukan dengan cara memanfaatkan loophole pada saat koneksi TCP/ IP terbentuk, tepatnya memanfaatkan three way handshake pada TCP/IP.

Ping flooding adalah serangan yang dilakukan dengan cara mengirimkan paket ICMP yang lebih secara berturut ke sebuah server.

®    Jaringan terpisah karena ada penghubung ( router/gateway) yang tidak berfungsi.

®    Ada worm / virus yang menyerang dan menyebar sehingga jaringan menjadi lumpuh bahkan tidak berfungsi.

f). Malicious Code : Program yang dapat menimbulkan efek yang tidak diinginkan jika dieksekusi jenisnya antara lain : trojan borse, virus, worm.

®    Trojan borse adalah program yang menyamar dan melakukan aktifitas tertentu secara tersembunyi.

®    Virus adalah program yang bersifat mengganggu bahkan merusak dan biasanya memerlukan intervensi manusia dalam penyebarannya.

®    Worm adalah program yang dapat menduplikasikan diri dan menyebar denga cepat tanpa intervensi manusia.

g). Serangan secara fisik : mengakses server / jaringan / piranti secara illegal.

h). Buffer over Flow : dapat terjadi jika ada fungsi yang dibebani dengan data yang lebih besar dari yang mampu ditangani fungsi tersebut. Buffer adalah penampungan semantara dimemori komputer dan biasanya mempunyai ukuran tertentu.

i). Social Engineering : usaha untuk mendapatkan password dengan jalan memintanya misalkan dengan menggunakan fakeemail.

j). OS Finger Printing : mengetahui Operating System (OS) dari target yang akan diserang merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Finger Printing adalah istilah yang umum yang digunakan untuk menganalisa OS sistem yang dituju.

k). Crack password : program untuk menduga dan memecahkan password dengan menggunakan sebuah atau beberapa kamus.

l). Spyware : definisi umum spyware adalah program kecil yang bekerja secara otomatis pada saat kita browsing internet atau memata – matai kegiatan online kita lalu mengirimkan hasil pantauannya ke host server spyware terserbut. Jenis spyware sangat banyak, ada yang hanya bertugas merotasi tampilan pada iklan software, ada yang menyadap informasi konfigurasi komputer kita, ada yang menyadap kebiasaan online kita.

 

2.4 Aspek Keamanan Informasi

            Keamanan informasi terkait erat dengan  fasilitas pemrosesan informasi ( fasilitas informasi ) yang meliputi dokumen, perangkat keras, perangkat lunak, infrastruktur, dan bangunan yang melindunginya. Hal tersebut seharusnya direncanakan dan diorganisir dengan baik agar dapat melindungi sumber daya ( resouce) dan investasi lainnya. Perlindungan pada informasi tersebut dilakukan untuk memenuhi aspek keamanan informasi. Aspek – aspek tersebut seharusnya diperhatikan atau dikontrol dan semestinya dipahami untuk diterapkan. [Whitman & Mattord, 2009] menyebutkan beberapa aspek yang terkaid keamanan informasi yang akan dijelaskan sebagai berikut :

a). Privacy

Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adlah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

b). Identification

Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali penggunanya. Identifikasi adalah langkah eprtama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi umumnya dilakukan dengan penggunaan user name atau user ID.

c). Authentication

Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar – benar orang yang memiliki identitas yang di-klaim.

 

 

d). Authorization

Setelah identitas pengguna diautentikasi, sbuah proses yang disebut autorisasi memberi jaminan bahwa pengguna ( manuasia maupun komputer) telah mendapat autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus, isi data informasi.

e). Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap informasi yang telah dilakukan, dan siapa yang melakukan aktifitas ini.

            Adapun [ISO/IEC 27002, 2005] menyebutkan tujuh aspek informasi ,sedangkan untuk aspek keamanan informasi ,meliputi tiga hal yang pertama yaitu

a). Confidentialy

Keamanan informasi seharusnya bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.

b). Integrity

Keamanan informasi seharusnya menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkan berubah informasi dari aslinya.

c). Availability

Keamanan informasi seharusnya menjamin pengguna dapat mengakses informasi kepanpun tnpa adanya gangguan dan tidak dalam format yang tidak bisa digunakan. Pengguna dalam hal ini bisa saja manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

 

2.8 Metode – Metode Keamanan Informasi

2.8.1 Password

            Cara yang paling umum digunakan untuk mengamankan informasi adalah dengan mengatur atau membatasi akses informasi tersebut melalui mekanisme “access control”, dimana implementasi dari mekanisme ini paling banyak dikenal dengan istilah “password”.

2.8.2 Enkripsi

            Enkripsi adalah proses pengubahan / konversi / penyajian suatu informasi kebentuk lain atau tertentu sehingga tidak dapat dimengerti / tidak dapat dimanfaatkan oleh pihak yang tidak berhak. Enkripsi digunakan untuk melindungi data atau informasi yang kita miliki agar  hanya kita saja atau orang lain yang telah kita beritahu kode – kodenya dapat memanfaatkan informasi kita. Proses pembacaan kembali informasi yang telah dienkripsi diistilahkan dengan deskripsi. Data – data penting yang ada dan yang dikirim bisa diubah sedemikian rupa sehingga tidak mudah disadap.

Jenis – jenis enkripsi ini banyak sekali : DES ( Data Encryption System), PEM ( Privacy Enhanced Mail dll.

 

III. KEBIJAKAN KEAMANAN

3.1 Kebijakan Keamanan Informasi (Information Security Policy)

Tujuan kebijakan keamanan informasi adalah untuk memberikan arahan dan dukungan manajemen keamanan informasi. Manajemen harus menetapkan arah kebijakan yang jelas dan menunjukkan dukungan, serta komitmen terhadap keamanan informasi melalui peerapan dan pemeliharaan suatu kebijakan keamanan informasi di seluruh tatanan organisasi.

Kebijakan Keamanan Informasi meliputi :

  1. Dokumen Kebijakan Keamanan Informasi (Information security policy document)

Kontrol yang seharusnya dipenuhi adalah dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dipublikasikan dan disosialisasikan dengan baik kepada seluruh pegawai. Di dalam dokumen kebijakan tersebut harus ada pernyataan komitmen manajemen dan pendekatan organisasi dalam mengelola keamanan informasi. Dokumen tersebut paling tidak harus mencakup hal-hal sebagai berikut :

  • Definisi keamanan informasi, sasaran umum dan cakuoan, serta pentingnya keamanan sebagai mekanisme untuk berbagi informasi
  • Pernyataan komitmen manajemen, dukungan terhadap tujuan, dan prinsip, persyaratan standard an kesesuaian sebagai bagian penting untuk organisasi, seperti berikut.

a)      Kesesuaian persyaratan legalitas dan kontraktual

b)      Kebutuhan pendidikan keamanan

c)      Pencegahan dan deteksi terhadap virus dan piranti lunak berbahaya lain

d)     Manajemen kelangsungan bisnis

e)      Konsekuensi atas pelanggaran kebijakan keamanan

f)       Definisi tanggungjawab umum dan khusu untuk manajemen keamanan informasi, termasuk melaporkan insiden keamanan

g)      Rujukan untuk dokumentasi yang mendukung kebijakan, seperti detil kebijakan keamanan dan prosedur untuk system informasi tertentu atau aturan keamanan yang harus dipatuhi pengguna.

Kebijakan ini harus disosialisasikan kepada pengguna di seluruh tatanan organisasi, dalam bentuk yang relevan, mudah diakses, dan dimengerti oleh pembaca.

  1. Tinjauan Ulang Kebijakan Keamanan Informasi (Review of the information security policy)

Kontrol yang seharusnya dipenuhi bahwa suatu kebijakan harus mempunyai pemilik yang bertanggungjawab atas pemeliharaan dan melakukan tinjauan ulang sesuai prosedur tinjauan ulang yang ditetapkan. Proses dimaksud harus memastikan bahwa tinjauan ulang dilakukan untuk mengantisipasi setiap perubahan yang mempengaruhi analisa resiko, seperti insiden keamanan yang serius, kerawanan beau, perubahan organisasi atau infrastruktur teknis. Karena itu tinjauan ulang berkala berikut harus juga dijadwalkan :

1)      Efektivitas kebijakan, yang ditunjukkan oleh jenis, jumlah dan dampak dari insiden keamanan yang di dokumentasikan

2)      Biaya dan dampak dari keberadaan kontrol terhadap efisiensi bisnis

3)      Pengaruh perubahan perkembangan teknologi

 

ISO sebagai salah satu badan dunia yang membuat standarisasi yang digunakan oleh para pengguna dan produsen dalam bidang tertentu.

ISO 17799 : 27002 adalah standar yang berisi tentang tahapan praktis untuk mengatur sistem keamanan informasi.  Standar  ISO mempunyai 12 klausa keamanan, dengan jumlah 39 kategori utama dalam bidang keamana, dimana dalam beberapa kategori itu mempunyai banyak komponen-komponen yang lebih detail. 

 Penjabaran kedua-belas klausa itu adalah ;

1. Risk assessment and treatment

a. Assessing security risks,

Perlu dibuat kebijakan tentang resiko yang mungkin akan timbul. Kebijakan dapat dibuat dengan diawali analisa tentang resiko yang mungkin muncul pada sistem keamanan, misalnya ;

-          Berapa besar efek dari berhentinya layanan IT

-           Berapa besar efek resiko pada saat data dan informasi berhasil ditembus oleh penyusup

-          Berapa lama sistem akan normal pada saat layanan terhenti

b. Treating security risks treatment,

Kebijakan untuk menjamin perawatan pada seluruh sistem IT yang digunakan, aturan yang akan mengikat secara standar tentang perawatan, misalnya Perlu dibuat aturan tentang berapa kali dalam satu waktu untuk masalah maintenance, analisa penetrasi sistem, backup, restorasi, dan sebagainya yang berhubungan dengan kegagalan resiko keamanan. 

2. Security policy 

a. Information security policy document & Review of information securit Policies

 Kebijakan ini menyangkut permasalahan tentang bagaimana perusahaan memenuhi berbagai aturan keamanan dan privacy regulation seperti standar dari Health Insurance Portability and Accountability Act (HIPAA) , Gramm-Leach-Bliley Financial Services Modernization Act (GLBA).  Misalnya beberapa tipe dari security policy document, seperti ;

-           Mobile computer policy

-           Firewall policy

-           Electronic mail policy

-          Data classification policy

-          Network Security Policy

-          Internet Acceptable use policy

-           Password Policy

b. Coordination with other security policies,

Jangan sampai kebijakan yang telah dibuat atau akan dibuat akan menyebabkan kontradiktif dengan kebijakan yang telah ada dengan departemen lain atau malah dengan visi dan misi perusahaan. Masalah seperti ini sering kali muncul jika policy keamanan yang dibuat tidak melihat blue print perusahaan, misalnya ; Dalam policy keamanan karyawan bagian teknis harus dapat leluasa masuk ke ruangan lain sesuai dengan tingkatannya, namun dalam policy perusahaan dibuat aturan tentang model authentikasi sistem untuk masuk ke ruangan tertentu.

3. Organization of information security

a. Internal organization

            Hal ini diperlukan untuk koordinasi dengan internal perusaahan, misalnya :

-           komitmen yang tinggi untuk setiap level management dalam mematuhi

semua kebijakan sistem keamanan yang dibuat, akan lebih baik jika dibuatkan aturan tentang komintem manajemen.

-           Menanamkan tanggung jawab terhadap semua level manajemen dan karyawan atas kebijakan yang telah dibuat

-           Harus membuat kebijakan tentang pendefinisian informasi yang masuk dan keluar dari perusahaan dan informasi tersebut harus diklasifikasikan

-           Secara periodic melakukan analisa terhadap sistem yang telah dibuat, misalnya dengan menyewa dari pihak luar.

b. External parties

Karena informasi dan data juga dimanfaatkan dan diakses oleh partner business maka dibutuhkan juga kebijkan untuk arus informasi masuk dan keluar, misalnya ;

-          Karena telah mengimplementasikan ERP / Supply chain maka beberapa rekan bisnis dikoneksikan ke sitem database, jangan sampai hak akses yang  diberikan disalahgunakan, maka dibutuhkan aturan yang jelas tentang hak aksesnya

 

-          Berapa nilai resiko yang akan terjadi dengan mengkoneksikan rekan bisnis ini, hal ini harus di identifikasi dari awal.

 

-          Antara perusahaan dan rekan bisnis harus dibuat rambu-rambu yang jelas mengenai hak akses informasi ini

 

-          User id dan Group id, menerapkan kelompok-kelompok berdasarkan user dan kelompok agar mudah dimaintenence. Dengan password atau user root maka kita bisa mengatur mesin computer tersebut secara penuh. Kita bisa membuat user dan menghapus user, mengakifkan dan menonaktifkan user, membagi quota bagi para user, memberikan akses resource jaringan, sampai dengan instalasi secara penuh pada server. 

4. Asset management

a. Responsibility for assets

Permasalahan asset perusahaan harus juga menjadi perhatian khusus, hal ini dibutuhkan untuk mengklasifikasikan asset data, informasi dan barang serta lainnya dalam sebuah kebijakan, misalnya ;

-          Bagaimana kita dapat mengetahui jumlah barang dan spesifikasi barang jika tidak mengetahui model/format, tanggal creation manufacture dan informasi penting lainnya pada saat ingin mengetahui tentang barang tersebut

-          Harus mendokumentasikan dengan baik tentang informasi database, kontrak atau kerjasama, informasi dari bagian R&D, user manual, training material, operasional, SOP, dan support procedure.

-           Mendata semua peralatan keseluruhn computer secara phisik, peralatan komunikasi, storage media, sistem penyimpanan backup, perangkat lunak, data base, tools dan utilities lainnya.

-          Melakukan klasifikasi informasi, misalnya dengan membuat guidelines atau membuat labeling informasi, bayangkan jika asset yang ada banyak dengan spesifikasi yang sama atau berbeda, haruslah informasi asset dibuat standard dengan mempunyai karakteristik dari setiap asset yang ada.

 

5. Human resources security

       Pada kebijakan ini terfokus pada employees, kontraktor, dan pengguna lannya tentang tanggung jawab yang ada, misalnya permasalahan pencurian, perusakan dan kehilangan fasilitas, misalnya ;

-           Membuat batasan tanggung jawab, term dan kondisi dari setiap employee

-          Harus membuat pertemuan-pertemuan untuk meningkatkan information security awareness, melakukan edukasi dan training tentang kebijakan dan sistem yang telah dan akan dibangun, hal ini untuk meningkatkan rasa memiliki dan respon dari pengguna

-          Perusahaan harus bisa membuat aturan dan regulasi yang baku bagaimana pengaturan hak akses semua karyawan dan pihak luar lainnya yang berhubungan dengan sistem informasi

-          Setiap employee harus mempunyai batasan hak akses sesuai dengan jobsdesk dan departemnya

-          Kebijakan tentang bagaimana jika seorang pegawai karena sesuatu masalah harus dicabut hak yang melekat, misalnya hak untuk akses ke server, hak bagian dari suatu group, hak akses ke ruang tertentu, dan sebagainya.

-          Kebijakan harus dapat mengatur bagaimana jika employee di cabut hak aksesnya dan dalam waktu tertentu di kembalikan dengan persetujuan managemen 

6. Physical and environmental security

Dalam bagian ini harus dapat diatur tentang hak akses secara phisik, kerusakan yang diakibatkan infrastruktur, dapat mengidentifikasi resiko dan nilai dari setiap asset yang diproteksi, ada beberapa isu yang dapat diangkat misalnya ;

-          Membuat sistem dengan mengatur bagaimana jika terjadi force majure (kebakaran, huru-hara, bencana alam)

-           Membuat standar sistem redundant dan backup, membuat aturan dengan menerapkan kegiatan backup secara berkala atau menggunakan sistem cadangan, saat ini trend perkembangan DRC (Disaster Recovery Center) yang biasa digunakan perusahaan banking, dimana menggunakan server cadangan untuk menyalin database ke dalam server lain secara mirroring dengan metode penyalinan bisa diatur.

-          Membuat membuat aturan baku tentang akses computer dan jaringan secara langsung misalnya kabel, server yang diletakkan diruangan khusus, hub, router, dan lain-lain. Ruang server ini sering disebut NOC (Network Operating Center) yang biasanya diruangan khusus yang terpisah dari user dan terdapat rack-rack khusus untuk menempatkan perangkat jaringannya.

-           Ruang server yang dibuat harus memperhatikan masalah ruang akses publik, dan ruang loading dock.

-          Membuat aturan tentang akses kontrol ke ruang server, akses masuk dengan menggunakan id otentikasi (misalnya barcode atau sidikjari) agar tidak semua user dapat masuk ke parimeter keamanan,

-          Memperhatikan fasilitas penunjang keamanan seperti alat pemadam kebakaran, pendeteksi asap, alat pendeteksi gerakan dan pendeteksi audio video surviillance dan bahan kimia lainnya yang membahayakan area ruangan.

-          Membuat pendataan asset ruangan khusus untuk mendata tentang proses maintenance perangkat tersebut

-           Membuat aturan tentang pembatasan penggunaan audio video termasuk kamera photo, HP dan perangkat portable lainnya serta mengatur tentang makan minum dan merokok di area tertentu. 

7. Communications and operations management

            Pada bagian ini kebijakan harus dibuat   dengan memastikan memeriksa dan mengamankan operasi fasilitas-fasilitas pengolahan informasi.

a. Operational procedures and responsibilities

 Dengan membuat standar dokumen untuk setiap operasional, Dibutuhkan SOP (Standar Operating Procedure) untuk semua kegiatan, misalnya bagaimana cara mengatur kerja shift pada ruang server, standar penanganan service desk, standar penanganan teknis dan sebagainya

b. Third-party service management

Semakin banyak pihak ketiga yang digunakan, maka dibutuhkan mekanisme layanan, report dan perekaman secara berkesinambungan untuk memantau dan menganalisa

-          Buat aturan tentang kerjasama antara pengembang aplikasi third-party yang digunakan

-          Mengatur level instalasi setiap user untuk mengakses data di hardisk

c. Protection against malicious and mobile code

            Buat aturan tentang pencegahan, pendeteksian dan respon terhadap code malicious, misalnya:

-          Pengaturan tentang kebijakan instalasi software third-party terutama yang didapat dari ekternal network

-          Aturalah untuk selalu menggunakan anti-virus, anti-spyware dan lakukan update secara regular

-          Aturalah untuk proses update tersebut apakah akan dilakukan secara terpusat atau di remote oleh admin

-           Lakukan review secara periodic terhadap sistem yang berjalan, bila perlu uninstalled software yang bermasalah dengan kompatibilitas dan membahayakan sistem

-          Buat perjanjian yang mengikat dengan produk software yang dibeli, jika nanti ditemukan masalah dapat menghubungi call centernya

-           Buat aturan tentang bagaimana jika terjadi trouble sistem pada saat instalasi software third-party

-           Lakukan training dan sosialisai tentan kebijakan dan metode ini

d. Network security management

 Dalam aturan ini akan melindungi semua informasi pada jaringan dan pada supporting network infrastructure.

-          Buat aturan tentang “push information” ke level manajemen untuk performance network

-           Buatlah tampilan untuk memonitor network baik dari sisi perangkat atau akses user, hal ini berguna untuk membuat report

-          Membuat dokumentasi gambar-gambar topology network

-          Mengatur jangan sampai informasi-informasi sensitive infrastructure network dari akses public, hal ini untuk memperkecil kasus social engineering

-          Aturlah tentang pengumpulan logging termasuk aktivitas keamanan

-           Lakukan koordinasi dengan pihak lain (konsultan, CERT, ID-SIRTI, danlain-lain)

-           Implementasikan layanan network, seperti authentication, encryption dan koneksi control

-           Buat kerjasama dengan penyelenggara sistem keamanan seperti penggunaan digital certificate, kunci public, sistem OTP dan sebagainya

-            Buat control akses ke infrastruktru network termasuk akses wireless, akses data, atau lainnya yang berhubungan dengan informasi dan data

-          Aturan tentang proteksi pertukaran informasi dari interception, copying, modification, mis-routing

-          Pada saat data disimpan secara physical buatlah aturan yang baku tentang packaging, locked container, temper-evident tangging, penomeran locker, surat pengantar dan recording historinya.

-          Buat aturan tentang penggunaan electronic messaging (email, IM, audiovideo conference, dan sebagainya), misalnya tentang pembatasan akses, attachment file, transmit file, yang berhubungan dengan pengaruh pada sistem keamanan

-          Jika dimungkinkan tetapkan untuk penggunaan kunci public dengan PGP atau sistem keamanan lainnya untuk proses email

-          Jika menggunakan layanan e-commerce, buatlah aturan layanan dengan pihak lain (authority security atau banking) dan perhatikan penggunaan aplikasi yang digunakn

e. Monitoring

            Dalam kategori ini aktivitas proses menjadi perhatian utama, diantaranya ;

-           Buat team NMC (Network Monitoring Center) untuk memantau traffic, aktivitas di jaringan dan infrastruktur yang memantau secara terusmenurs 24 jam

-           Team NMC dibawah tanggung jawab departemen teknis,NMC sangat berperan dalam mengetahui aktivitas secara dini baik anomaly, serangan atau failure dari sistem yang berjalan

-          Buat sistem ticketing untuk pengantrian gangguan di helpdesk, hal ini untuk meningkatkan layanan

-          Buat sistem monitoring secara menyeluruh untuk mengatahui semua proses dan aktivitas yang terjadi di jaringan, dengan protocol SNMP dan beberapa aplikasi standar dapat memberikan informasi yang detail

-          Lakukan monitoring secara keseluruhan (router, switching, server, last miles, resources hardware dan devices lainnya)

-          Bila perlu integrasikan monitoring ke sistem lainnya misalnya sms, email, dan aplikasi mobile lainnya

-          Buat aturan untuk memproteksi Logging akses dan proses, lakukan recording untuk setiap log dari administrator sampai dengan operator, Fault logging, hal ini juga untuk mendukung dari job desk ID-SIRTI.

-          Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jika terjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untuk user yang bisa login ke server.

-          Check Log adminstrasi secara priodik dengan melakukan checking semua aktivitas sistem computer baik dari sisi akses ke user, jalannya daemon sistem, dan akses user ke sistem.

-          Lakukan review log dengan mencocokan policy pada mesin firewall atau IDS

-           Lakukan clock synchronization terutama jika mempunyai banyak server di banyak tempat untuk menghindari kesalahan prosedur pada sistem.

8. Access control

Bagian ini hendaknya membuat aturan tentang akses ke informasi, fasilitas proses informasi dan business process.

-           Membuat aturan tentang akses ke sistem informasi

-           Membuat baku tentang format persetujuan, penolakan dan administrasi

-          User Registrasi, perlu dibuat untuk mengimplementasikan prosedur registrasi, grating dan revoking access ke semya sistem dan layanan informasi

-           Buat account dengan unik untuk semua ID user

-          Buat aturan tentang pemberitahuan admin kepada user tentang permasalahan pada sistem account

-          Buat standart untuk “term and condition” dan confidentiality agreement

-           Buat standar dokumentasi untuk menyimpan semua informasi user agar mudah di restorasi

-          Account, apakah sebuah account dapat digunakan bersama, disaat

accountnya ditolak apa yang harus dilakukan oleh user. Account yang expired seperti keluarnya pegawai / resign yang dahulu mendapatkan hak akses ke server seperti account mail, account web atau quota di server untuk menyimpan datanya harus segera dihapus setelah pegawai tersebut resmi resign dari perusahaan.

-          Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jika terjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untuk user yang bisa login ke server.

-          Ganti password secara berkala (admin & user) dan dokumentasikan, Password yang baik selain terdiri dari karakter dan angka juga panjangnya, ada baiknya password diganti secara berkala misalnya 1 bulan sekali dan di dokumentasikan


Sumber By: Bonawan_Kambumily

Bonawan
Bonawan Bonawan_kambumily

No comments for "ATURAN DALAM ORGANISASI_Ditiron Kiwo"

Post a Comment

Yuuk silakan berkomentar Pandangan Saudara...