Cyberlaw – Konsep Keamanan Sistem Informasi


Sesi cyberlaw ini membahas tentang konsep-konsep dasar keamanan sistem informasi, yang meliputi:

  • Latar Belakang perlunya keamanan sistem informasi
  • Pengertian keamanan sistem informasi/keamanan komputer
  • Tujuan Keamanan sistem informasi
  • Aspek keamanan sistem informasi

Latar Belakang perlunya keamanan sistem informasi

Keamanan Sistem Informasi - Pengamanan KomputerInformasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.

Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kegiatan yang dapat dilakukan (Budi Raharjo, 2005):

  • Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa
    hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
  • Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.
  • Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian
    yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
    anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
  • Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.

Pengertian keamanan sistem informasi/keamanan komputer

Berikut beberapa pengertian  dari kemanan sistem informasi:

  • John D. Howard,  Computer Security is preventing attackers from achieving objectives through unauthorized access or unauthorized use of computers and networks.
  • G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
  • Wikipedia, keamanan komputer atau sering diistilahkan keamanan sistem informasi adalah cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan. Tujuan keamanan komputer meliputi perlindungan informasi dan properti dari pencurian, kerusakan, atau bencana alam, sehingga memungkinkan informasi dan aset informasi tetap diakses dan produktif bagi penggunanya. Istilah keamanan sistem informasi merujuk pada proses dan mekanisme kolektif terhadap informasi yang sensitif dan berharga serta pelayann publikasi yang terlindungi dari gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu yang tidak bisa dipercaya dan kejadian tidak terencana.

Tujuan Keamanan sistem informasi

Keperluan pengembangan Keamanan Sistem Informasi memiliki tujuan sebagai berikut (Rahmat M. Samik-Ibrahim, 2005):

  • penjaminan INTEGRITAS informasi.
  • pengamanan KERAHASIAN data.
  • pemastian KESIAGAAN sistem informasi.
  • pemastian MEMENUHI peraturan, hukum, dan  bakuan yang berlaku.

Domain Keamanan Sistem Informasi

  • Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia, sistem informasi dan perangkat keras.
  • Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek keamanan serta kendali yang terkait pada pengembangan sistem informasi. Cakupannya meliputi: (1) Tingkatan Kerumitan Fungsi dan Aplikasi;  (2) Data Pengelolaan Keamanan BasisData; (3) SDLC: Systems Development Life Cycle; (4) metodology pengembangan aplikasi (5) pengendalian perubahan perangkat lunak; (6) program bermasalah;
  • Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana. Cakupannya meliputi:  Indentifikasi Sumber Daya Bisnis,  Penentuan Nilai Bisnis, Analisa Kegagalan Bisnis, Analisa Kerugian, – Pengelolaan Prioritas dan Krisis,  Rencana Pengembangan, Rencana Implementasi, dan  Rencana Pemeliharaan
  • Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika dalam dunia komputer.
  • Keamanan Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk pengamanan fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas, Kamera Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah),  Pencegahan dan Pemadaman Api, Pemagaran, Peralatan Keamaman, Alarm, dan  Kunci Pintu
  • Audit (Auditing)

Aspek keamanan sistem informasi

Garfinkel  mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang
juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation

Privacy / Confidentiality

cyberlaw - confidentialInti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.

Contoh hal yangberhubungan dengan privacy adalah e-mail seorang pemakai tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).

Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya  kemudian diteruskan ke alamat
yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

Salah satu contoh kasus adalah trojan horse dengan distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Contoh serangan lain adalah yang disebut “man in the middle attack”
dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli. Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia:

  • What you have (misalnya kartu ATM)
  • What you know (misalnya PIN atau password)
  • What you are (misalnya sidik jari, biometric)

Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates.

Authentication biasanya diarahkan kepada orang (pengguna), namun tidak  pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)

Availability

Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan
adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya . Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil (download) email tersebut melalui telepon dari rumah. Serangan terhadap availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas
tentang serangan DoS ini secara lebih rinci.

Cyberlaw - DOS attack

Access Control

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb.),  mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics).

Cyberlaw - Access Control

Non-repudiation

Cyber law - Tandatangan digital (digital signature)Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.

Iklan

2 thoughts on “Cyberlaw – Konsep Keamanan Sistem Informasi

  1. Ping balik: Cyberlaw – Ancaman Keamanan Sistem Informasi « Fairuz el Said

  2. Ping balik: Cyber Law – Konsep Cyber Law « Fairuz el Said

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s