ARTIKEL KEAMANAN INFORMASI DALAM TEKNOLOGI INFORMASI TUGAS MATA KULIAH SISTEM INFORMASI MANAJEMEN Disusun Oleh : Nama : Winda Pratiwi NIM : 43218110012 Dosen Pengampu : Yananto Mihadi Putra, SE, M.Si PROGRAM STUDI SARJANA AKUNTANSI FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS MERCU BUANA JAKARTA 2019
ABSTRAK Bila kita memiliki sebuah hal yang sekiranya penting, maka hal yang semestinya dilakukan adalah menjaga agar hal penting tersebut terjaga dari segala macam bentuk yang bersifat merusak. Pada tulisan kali ini saya ingin menjelaskan pentingnya keamanan system informasi yang saya dapat dari berbagai sumber. PENDAHULUAN Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi. Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru dilakukan di sekitar tahun 1950-an. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
PEMBAHASAN A. PENGERTIAN Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem informasi. Keamanan sistem adalah sebuah sistem yang digunakan untuk mengamankan sebuah komputer dari gangguan dan segala ancaman yang membahayakan yang pada hal ini keamanannya melingkupi keamanan data atau informasinya ataupun pelaku sistem (user). Baik terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil pengguna lainnya dll. Sistem komputer memiliki data-data dan informasi yang berharga, melindungi data-data ini dari pihak-pihak yang tidak berhak merupakan hal penting bagi sistem operasi. Inilah yang disebut keamanan (security). Sebuah sistem operasi memiliki beberapa aspek tentang keamanan yang berhubungan dengan hilangnya data-data. Sistem komputer dan data-data didalamnya terancam dari aspek ancaman (threats), aspek penyusup (intruders), dan aspek musibah. B. MANFAAT KEAMANAN SISEM INFORMASI Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi. 1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan informasi. 2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya. 3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktekpraktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak. Tujuan Keamanan Sistem Informasi Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas. 1. Kerahasian. Setiap organisasi berusaha melindungi data dan informasinya dari pengungkapan kepada pihak-pihak yang tidak berwenang. Sistem informasi yang perlu mendapatkan prioritas kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem informasi kepagawaian (SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya alam.
2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES). 3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya. Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah membuat para pengembang dan pengguna sistem informasi untuk menempatkan perhatian yang khusus, terutama terhadap permasalahan-permasalahan yang dapat menjadi kendala untuk penggunaan sistem informasi secara memadai. Paling tidak ada 3 hal yang menjadi perhatian khusus di sini, yaitu: 1. Bencana (disaster) Perangkat keras komputer, program-program, file-file data, dan peralatan-peralatan komputer lain dapat dengan seketika hancur oleh karena adanya bencana, seperti: kebakaran, hubungan arus pendek (listrik), tsunami, dan bencana-bencana lainnya. Jika bencana ini menimpa, mungkin perlu waktu bertahun-tahun dan biaya yang cukup besar (jutaan dan bahkan mungkin milyaran rupiah) untuk merekonstruksi file data dan program komputer yang hancur. Oleh karenanya, untuk pencegahan atau meminimalkan dampak dari bencana, setiap organisasi yang aktivitasnya sudah memanfaatkan teknologi informasi biasanya sudah memiliki: a. Rencana Kesinambungan Kegiatan (pada perusahaan dikenal dengan Bussiness Continuity Plan) yaitu suatu fasilitas atau prosedur yang dibangun untuk menjaga kesinambungan kegiatan/layanan apabila terjadi bencana. b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”, yaitu fasilitas atau prosedur untuk memperbaiki dan/atau mengembalikan kerusakan/dampak suatu bencana ke kondisi semula. Disaster recovery plan ini juga meliputi kemampuan untuk prosedur organisasi dan “back up” pemrosesan, penyimpanan, dan basis data. 2. Sistem Pengamanan (security)
Merupakan kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data. 3. Kesalahan (errors) Komputer dapat juga menyebabkan timbulnya kesalahan yang sangat mengganggu dan menghancurkan catatan atau dokumen, serta aktivitas operasional organisasi. Kesalahan (error) dalam sistem yang terotomatisasi dapat terjadi di berbagai titik di dalam siklus prosesnya, misalnya: pada saat entri-data, kesalahan program, operasional komputer, dan perangkat keras. Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu: 1. Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi pro- tokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang dituju. 1. Keamanan yang berhubungan dengan orang (personel): termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja).Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah
teknik yang dike- nal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain. 2. Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan infor- masi (seperti password) yang semestinya tidak berhak diakses. 3. Keamanan dalam operasi: termasuk prosedur yang digunakan untukmengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery). Aspek Keamanan Sistem Informasi Didalam keamanan sistem informasi melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation. 1. Privacy / Confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-datayang sifatnya privatsedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan
dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). 2. Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999.Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. 3. Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan
password,biometric (ciriciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia: What you have (misalnya kartu ATM) What you know (misalnya PIN atau password) What you are (misalnya sidik jari, biometric) 4. Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi- tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. 5. Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics). 6. Non-repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum
sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri. Serangan Terhadap Keamanan Sistem Informasi Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack): 1. Interruption: Perangkat sistem menjadi rusak atau tidak tersedia.Serangan ditujukan kepada ketersediaan (availability) dari sistem.Contoh serangan adalah “denial of service attack”. 2. Interception: Pihak yang tidak berwenang berhasil mengakses aset atauinformasi. Contoh dari serangan ini adalah penyadapan (wiretapping). 3. Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan- pesan yang merugikan pemilik web site. 4. Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan- pesan palsu seperti e-mail palsu ke dalam jaringan komputer. Pengamanan Sistem Informasi Kriptografi Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. (Cryptography is the art and science of keeping messages secure. *40+) “Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan). Para pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki
hubungan matematis yang cukup erat.Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah enkripsi (encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. Enkripsi Enkripsi digunakan untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Dengan enkripsi data anda disandikan (encrypted) dengan menggunakan sebuah Password (key). Untuk membuka (decrypt) data tersebut digunakan juga sebuah Password yang dapat sama dengan Password untuk mengenkripsi (untuk kasus private key cryptography) atau dengan Password yang berbeda (untuk kasus public key cryptography). Mengamankan Sistem Informasi Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi.Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsidapat dilakukan di tingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak. Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.Di sistem UNIX dan Windows NT, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan “userid” dan “password”. Informasi yang diberikan ini dibandingkan dengan user id dan password yang berada di sistem. Access control ini biasanya dilakukan dengan mengelompokkan pemakai dalam “group”. Ada group yang berstatus pemakai biasa, ada tamu, dan ada juga administrator atau super user yang memiliki kemampuan lebih dari group lainnya. Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem anda. Shadow Password Salah satu cara untuk mempersulit pengacau untuk mendapatkan berkas yang berisi password (meskipun terenkripsi) adalah dengan menggunakan “shadow password”. Mekanisme ini menggunakan berkas /etc/shadow untuk menyimpan encrypted password, sementara kolom password di berkas /etc/passwd berisi karakter “x”. Berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa. Menutup servis yang tidak digunakan Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. Sebagai contoh, pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan. Memasang Proteksi Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
Firewall Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (kedalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis: 1. apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted). 2. apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted). Backup secara rutin Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah berkas penelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun. Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yangletaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran. Penggunaan Enkripsi untuk meningkatkan keamanan Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak
mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer). C. JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI Untuk melindungi sumberdaya organisasi, suatu perusahaan harus menerapkan beragam jenis ukuran keamanan. Ukuran keamanan yang memadai memungkinkan perusahaan: 1. melindungi fasilitas komputernya dan fasilitas fisik lainnya. 2. Menjaga integritas dan kerahasiaan file data. 3. Menghindari kerusakan serius atau kerugian-kerugian karena bencana Ukuran keamanan fokus pada: 1. keamanan fisik dan 2. keamanan data/informasi. Kemanan fisik dikelompokkan atas: 1. Kemanan untuk sumberdaya fisik selain fasilitas komputer 2. Keamanan untuk fasilitas perangkat keras komputer. Ukuran keamanan spesifik Untuk setiap keamanan fisik dan keamanan data/informasi, maka ukuran-ukuran keamanan harus ditetapkan untuk: 1. Melindungi dari akses yang tidak diotorisasi/diijinkan 2. Perlindungan terhadap bencana 3. Perlindungan terhadap kerusakan atau kemacetan 4. Perlindungan dari akses yang tidak terdeteksi 5. Perlindungan terhadap kehilangan atau perubahan-prubahan yang tidak seharusnya 6. Pemulihan atau rekonstruksi data yang hilang D. KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER 1. Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat berharga sekuritas, aktiva tetap perusahaan, atau arsip-arsip dalam lemari arsip. 2. Perlindungan dari akses yang tidak diijinkan a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga dari pihak-pihak yang tidak diijinkan/diotorisasi. b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya boleh diakses oleh orang-orang yang diijinkan.
c) Menetapkan penjaga untuk sediaan yang disimpan digudang atau aktiva yang ada digedung administrasi atau pabrik. d) Membuat pagar untuk wilayah-wilayah tempat penyimpanan aktiva. e) Membuat alarm, monitor TV atau lemari arsip yang terkunci. 3. Perlindungan dari Bencana Melengkapi gudang dengan peralatan-peralatan pencegah api dan menyimpan kas pada tempat yang tahan api 4. Perlindungan dari kerusakan dan kemacetan Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti mesin, mobli dan lain-lain E. KEMANAN UNTUK PERANGKAT KERAS KOMPUTER 1. Perlindungan dari akses orang yang tidak diijinkan a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan tidak tampak dari jalan umum. b) Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi, misalnya operator komputer, pustakawan, penyelia pemrosesan data atau manajemen sistem informasi. c) Penjaga keamanan dan resepsionis ditempatkan pada titik-titik strategis. d) Memakai alat scanning elektronik e) Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya bisa dibuka dengan kartu berkode magnetik. f) Alarm, apabila ada pihak yang tidak diotorisasi masuk. 2. Perlindungan dari bencana a) Fasilitas komputer diatur kelembaban dan suhu ruangannya. b) Untuk menghindari kerusajkan karena air, maka lantai, dinding dan atap harus tahan air. c) Membuat detektor asap atau detektor api d) Untuk mainframe, maka sebaiknya disediakan generator ataupun UPS 3. Perlindungan dari kerusakan dan kemacetan Membuat rencana backup file F. KEMANAN UNTUK DATA DAN INFORMASI 1. Perlindungan dari akses orang yang tidak diotorisasi terhadap data a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan diisolasi secara fisik untuk melindungi dari akses yang tidak diotorisasi. b) Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar pengendalian akses (ACL), membuat password, Automatic lockout, Callback procedure, keyboard lock. c) Peralatan komputer dan terminal dibatasi penggunaannya. MIsalnya: suatu terminal dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan fungsinya. Bagian gudang hanya bisa
memasukkan dan memutakhirkan data sediaan setelah memasukkan password atau username. Peralatan komputer dan terminal juga akan terkunci otomatis bila jam kerja telah selesai. d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki jaringan komunikasi data dan menyadap data, maka data rahasia yang ditransmisikan melalui jaringan dilindungi dengan enkripsi (data dikodekan dan apabila telah sampai kode tersebut dibuka ditempat tujuan). Terdapat dua jenis enskripsi: private key encryption & Public Key Encryption. e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data rahasia harus segera dihancurkan ketika masa penggunaannya selesai. Untuk hasil cetakan, segera dihancurkan melalui alat penghancur kertas. 2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi a) Membuat access log (log akses), merupakan komponen keamanan sistem pengoperasian, mencatat seluruh upaya untuk berinteraksi dengan basis data/database. Log ini menampilkan waktu, tanggal dan kode orang yang melakukan akses ke basis data. Log ini menghasilkan jejak audit yang harus diperiksa oleh auditor internal atau administratur keamanan untuk menetapkan ancaman-ancaman yang mungkin terhadap keamanan sistem informasi. b) Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan tumpuk. Console log mencatat semua tindakan yang dilakukan sistem operasi dan operator komputer.Console log mencatat seluruh tindakan yang dilakukan sistem operasi dan operator komputer, seperti permintaan dan tanggapan yang dibuat selama pelaksanaan pemrosesan dan aktivitas lainnya. c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi dengan sistem operasi komputer untuk membatasi dan memantau akses terhadap file dan data. d) Log perubahan program dan sistem. Log perubahan program dan sistem dapat memantau perubahan terhadap program, file dan pengendalian. Manajer pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang diijinkan terhadap program harus diperiksa internal auditor untuk memeriksa kesesuaian dengan prosedur perubahan yang disarankan. G. PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK DIHARAPKAN TERHADAP DATA ATAU PROGRAM 1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data, program, dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya. 2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online. Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang dimasukkan,
nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah. Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini harus dicetak. 3. Tombol perlindunganàpada 3 ½ floppy disk 4. Label file 5. Memori hanya-baca (Read -Only Memory) 6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk melindungi basis data/database, karena beragam pengguna dan program biasanya mengakses data secara bergantian dan terus menerus. Penguncian mencegah dua program mengakses data secara bersamaan. Akibatnya, satu program harus ditunda sampai program lain selesai mengakses. Jika kedua program diijinkan untuk memutakhirkan record yang sama, maka satu data dapat dicatat berlebihan dan hilang. H. DAMPAK POSITIF DAN NEGATIF PENERAPAN SISTEM KEAMANAN INFORMSI Dampak Positif 1. Mempercepat arus informasi Arus informasi saat ini menjadi sangat cepat, bahkan cenderung tidak terkontrol hingga saat ini. namun demikian, hal ini merupakan salah satu dampak positif, karena dapat memberikan informasi mengenai suatu kejadian secara cepat, meskipun terkadang tidak akurat dan tidak tepat. Arus informasi dengan feedback yang merupakan karakteristik sistem informasi menjadi salah satu faktor perkembangan informasi dan komunikasi yang tampak. Sehingga memberikan manfaat tersendiri bagi setiap user. Terlebih terhadap internet, perkembangan jaringan komputer menjadi semakin pesat seiring penggunaan internet yang kian meningkat. 2. Mempermudah akses terhadap informasi terbaru Merupakan salah satu efek domino dari bertambah cepatnya arus informasi. Dengan adanya teknologi informasi dan komunikasi yang berkembang sangat pesat, maka siapapun akan bisa memperoleh informasi dengan mudah. Akses terhadap informasi ini bisa dilakukan kapanpun, dimanapun, dan dari siapapun itu. Hal ini akan membantu individu dalam meningkatkan informasi dan pengetahuan yang dimilikinya, meski terkadang realibilitas dan validitas dari informasi tersebut dipertanyakan. Hal ini menjadi penanda bahwa penggunaan internet untuk berkomunikasi menjadi salah satu pilihan yang sangat diminati. Karena dapat terhubung ke setiap orang dai belahan dunia
manapun. Disinilah peranan manfaat jaringan komputer sebagai salah satu sumber penggunaan internet menjadi lebih optimal. 3. Media sosial Media sossial juga merupakan dampak positif lainnya dari perkembangan teknologi informasi dan kommunikasi. Media sosial dapat memberikan banyak sekali manfaat, salah satunya adalah dapat mempertumakan individu dengan orang baru, dan menambah relasi antar individu. Sebagai contoh, salah satunya adalah facebook. Situs yang cukup besar ini menjadi salah satu media sosial yang paling banyak orang gunakan. Tidak hanya untuk menambah jaringan pertemanan di dunia maya, facebook juga menjadi sarana promosi dalam bisnis. Manfaat facebook bagi user sangatlah berguna, terlebih untuk menjalankan bisnis, baik itu bisnis kecil maupun bisnis besar. 4. Membantu individu dalam mencari informasi Dalam mencari informasi yang baru dan masih hangat, maka teknologi informasi dan juga komunikasi sangat memegang peranan yang penting. Dengan adanya arus informasi yang menjadi jauh lebih cepat, maka individu akan menjadi lebih mudah dalam mencari informasi yang diinginkan. Peranan internet terhadap presentasi belajar siswa menjadi salah satu momok yang cukup diperhitungkan. Dalam hal ini siswa dapat mengeksplor pikiran dan bahan pelajaran di sekolah mereka dengan mengakses informasi lebih luas dalam setiap mata pelajaran. Sehingga siswa tersebut memiliki pikiran yang tak hanya berlingkup dari sekolah saja tapi dari luar sekolah secara global. 5. Mempermudah komunikasi dengan individu lainnya yang jauh Komunikasi merupakan salah satu hal yang paling utama yang harus dijalin oleh manusia, sebagai makhluk sosial. Dengan adanya teknologi informasi dan juga komunikasi, maka saat ini untuk dapat berkomunikasi dengan orang lain menjadi jauh lebih mudah. Apabila pada jaman dulu kita harus menunggu berhari-hari menggunakan pos, maka saat ini, dengan perkembangan teknologi informasi dan komunikasi, kita bisa mengirim pesan dalam waktu hitungan detik, dengan cepat dan juga mudah. Ini menjadi salah satu faktor pengarang penyebab teknologi komputer berkembang cepat.
Chatting menjadi hal yang favorit bagi sebagian orang, terlebih saat ini penggunaan smartphone semakin meningkat di semua kalangan. Dampak Negatif Meskipun memiliki banyak dampak positif, akan tetapi ternyata teknologi informasi dan komunikasi memiliki beberapa dampak negatif yang cukup mengganggu kehidupan sehari-hari. Kebanyakan dampak tersebut disebabkan karena penyalahgunaan dari teknologi informasi dan komunikasi, ataupun disebabkan karena kurangnya pemahaman user akan etika dan juga cara untuk menggunakan teknologi informasi dan juga komunkasi dengan baik dan juga benar. Berikut ini adalah beberapa dampak negative dari teknologi informasi dan juga komunikasi: 1) Individu menjadi malas untuk bersosialisasi secara fisik 2) Meningkatnya penipuan dan juga kejahatan cyber 3) Cyber Bullying 4) Konten negative yang berkembang pesat 5) Fitnah dan juga pencemaran nama baik secara luas 6) Menjauhkan yang dekat 7) Mengabaikan tugas dan juga pekerjaan 8) Membuang-buang waktu untuk hal yang tidak berguna. 9) Menurunnya prestasi belajar dan juga kemampuan bekerja seseorang Dampaknya bagi perusahaan apabila proses tersebut tidak berjalan maksimal Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidakdiharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi
empat jenis yaitu: Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang- orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah. I. PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG 1. Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi dan melindungi catatan komputer dan nonkomputer yang penting untuk operasi perusahaan, seperti catatan pemegang saham, catatan karyawan, catatan pelanggan, catatan pajak dan bursa, atau catatan sediaan. 2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi dari dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat penting bagi perusahaan. Prosedur rekonstruksi terdiri dari penggunaan backup untuk mencipta ulang data atau program yang hilang. Studi Kasus Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet banking milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama Steven
Haryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika, melainkan Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah mengetikkan alamat website. Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA, http://www.klikbca.com , seperti: wwwklikbca.com kilkbca.com clikbca.com klickbca.com klikbac.com Orang tidak akan sadar bahwa dirinya telah menggunakan situs palsu tersebut karena tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu mendapatkan User ID dan password dari pengguna yang memasuki situs palsu tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan kriminal seperti mencuri dana nasabah, hal ini murni dilakukan atas keingintahuannya mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut. Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu sistem milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebut sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa besar tingkat keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebut white-hat hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun tindakan yang dilakukan oleh Steven, juga termasuk black-hat hacker karena membuat situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain scans, sniffer, dan password crackers.
Karena perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia telah mengganggu suatu sistem milik orang lain, yang dilindungi privasinya dan pemalsuan situs internet banking palsu. Maka perkara ini bisa dikategorikan sebagai perkara perdata. Melakukan kasus pembobolan bank serta telah mengganggu suatu sistem milik orang lain, dan mengambil data pihak orang lain yang dilindungi privasinya artinya mengganggu privasi orang lain dan dengan diam-diam mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu.
KESIMPULAN Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang- orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima. Berkaitan dengan cybercrime tersebut maka perlu adanya upaya untuk pencegahannya, untuk itu yang perlu diperhatikan adalah : 1. Segera membuat regulasi yang berkaitan dengan cyberlaw pada umumnya dan cybercrime pada khususnya. 2. Kejahatan ini merupakan global crime maka perlu mempertimbangkan draft internasional yang berkaitan dengan cybercrime. 3. Melakukan perjanjian ekstradisi dengan Negara lain. 4. Mempertimbangkan penerapan alat bukti elektronik dalam hukum.
DAFTAR PUSTAKA Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen: Implementasi Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta.) http://dahlanrais.blogspot.com/2015/05/keamanan-informasi-pada-sistem.html http://nasruddin-ibrahim.blogspot.com/2011/01/ancaman-keamanan-pada-sistem- informasi.html https://dirpratama.wordpress.com/2012/05/25/keamanan-sistem-informasi/ https://csepti.blogspot.com/2012/01/keamanan-sistem-informasi.html |
Ancaman terhadap informasi yang dilakukan dengan penyadapan diamdiam termasuk jenis ancaman
Pos Terkait
Copyright © 2024 adaberapa Inc.
