A. KEAMANAN SISTEM
Latar Belakang Revolusi Sistem Informasi
Kemajuan teknologi digital yang dipadu dengan telekomunikasi telah membawa komputer memasuki masa-masa “revolusi”-nya. Di awal tahun 1970-an, teknologi PC atau Personal Computer mulai diperkenalkan sebagai alternatif pengganti mini computer. Dengan seperangkat komputer yang dapat ditaruh di meja kerja (desktop), seorang manajer atau teknisi dapat memperoleh data atau informasi yang telah diolah oleh komputer (dengan kecepatan yang hampir sama dengan kecepatan mini computer, bahkan mainframe). Kegunaan komputer di perusahaan tidak hanya untuk meningkatkan efisiensi, namun lebih jauh untuk mendukung terjadinya proses kerja yang lebih efektif. Tidak seperti halnya pada era komputerisasi dimana komputer hanya menjadi “milik pribadi” Divisi EDP (Electronic Data Processing) pada suatu perusahaan, di era kedua ini setiap individu di organisasi dapat memanfaatkan kecanggihan komputer, seperti untuk mengolah database, spreadsheet, maupun data processing (end-user computing). Pemakaian komputer di kalangan perusahaan semakin marak, terutama didukung dengan alam kompetisi yang telah berubah dari monompoli menjadi pasar bebas. Secara tidak langsung, perusahaan yang telah memanfaatkan teknologi komputer sangat efisien dan efektif dibandingkan perusahaan yang sebagian prosesnya masih dikelola secara manual.
Pada era inilah komputer memasuki babak barunya, yaitu sebagai suatu fasilitas yang dapat memberikan keuntungan kompetitif bagi perusahaan, terutama yang bergerak di bidang pelayanan atau jasa. Teori-teori manajemen organisasi modern secara intensif mulai diperkenalkan di awal tahun 1980-an. Salah satu teori yang paling banyak dipelajari dan diterapkan adalah mengenai manajemen perubahan (change management). Hampir di semua kerangka teori manajemen perubahan ditekankan pentingnya teknologi informasi sebagai salah satu komponen utama yang harus diperhatikan oleh perusahaan yang ingin menang dalam persaingan bisnis. Tidak seperti pada kedua era sebelumnya yang lebih menekankan pada unsur teknologi, pada era manajemen perubahan ini yang lebih ditekankan adalah sistem informasi, dimana komputer dan teknologi informasi merupakan komponen dari sistem tersebut.
Kunci dari keberhasilan perusahaan di era tahun 1980-an ini adalah penciptaan dan penguasaan informasi secara cepat dan akurat. Informasi di dalam perusahaan dianalogikan sebagai darah dalam peredaran darah manusia yang harus selalu mengalir dengan teratur, cepat, terus-menerus, ke tempat-tempat yang membutuhkannya (strategis). Ditekankan oleh beberapa ahli manajemen, bahwa perusahaan yang menguasai informasilah yang memiliki keunggulan kompetitif di dalam lingkungan makro “regulated free market”. Di dalam periode ini, perubahan secara filosofis dari perusahaan tradisional ke perusahaan modern terletak pada bagaimana manajemen melihat kunci kinerja perusahaan. Organisasi tradisional melihat struktur perusahaan sebagai kunci utama pengukuran kinerja, sehingga semuanya diukur secara hirarkis berdasarkan divisi-divisi atau departemen.
Dalam teori organisasi modern, dimana persaingan bebas telah menyebabkan customers harus pandai-pandai memilih produk yang beragam di pasaran, proses penciptaan produk atau pelayanan (pemberian jasa) kepada pelanggan merupakan kunci utama kinerja perusahaan. Keadaan ini sering diasosiasikan dengan istilah-istilah manajemen seperti “market driven” atau “customer base company” yang pada intinya sama, yaitu kinerja perusahaan akan dinilai dari kepuasan para pelanggannya. Sangat jelas dalam format kompetisi yang baru ini, peranan komputer dan teknologi informasi, yang digabungkan dengan komponen lain seperti proses, prosedur, struktur organisasi, SDM, budaya perusahaan, manajemen, dan komponen terkait lainnya, dalam membentuk sistem informasi yang baik, merupakan salah satu kunci keberhasilan perusahaan secara strategis. Tidak dapat disangkal lagi bahwa kepuasan pelanggan terletak pada kualitas pelayanan. Pada dasarnya, seorang pelanggan dalam memilih produk atau jasa yang dibutuhkannya, akan mencari perusahaan yang menjual produk atau jasa tersebut: cheaper (lebih murah), better (lebih baik), dan faster (lebih cepat). Disinilah peranan sistem informasi sebagai komponen utama dalam memberikan keunggulan kompetitif perusahaan. Oleh karena itu, kunci dari kinerja perusahaan adalah pada proses yang terjadi baik di dalam perusahaan (back office) maupun yang langsung bersinggungan dengan pelanggan (front office). Dengan memfokuskan diri pada penciptaan proses (business process) yang efisien, efektif, dan terkontrol dengan baiklah sebuah perusahaan akan memiliki kinerja yang handal.
Tidak heran bahwa di era tahun 1980-an sampai dengan awal tahun 1990-an terlihat banyak sekali perusahaan yang melakukan BPR (BusinessProcess Reengineering), re-strukturisasi, implementasi ISO-9000, implementasi TQM, instalasi dan pemakaian sistem informasi korporat (SAP, Oracle, BAAN), dan lain sebagainya. Utilisasi teknologi informasi terlihat sangat mendominasi dalam setiap program manajemen perubahan yang dilakukan perusahaan-perusahaan.
B. LEVEL KEAMANAN INFORMASI
Level keamanan sistem informasi ada 5 diantaranya :
Keamanan Level 0 merupakan keamanan tahap awal dari komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware komputer sendiri tidak dapat diamankan.
Keamanan Level 1 merupakan keamanan komputer yang mencakup keamanan database, keamanan data, keamanan PC, keamanan device dan keamanan application.
Keamanan Level 2 merupakan keamanan jaringan, dimana komputer yang terhubung dengan jaringan saat rawan dalam masalah keamanan, oleh karena itu keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan data tersebut.
Keamanan Level 3 merupakan keamanan indormasi yang terkadang tidak dipedulikan oleh administrator, seperti memberikan password ke teman atau menuliskannya dikertas.
Keamanan Level 4 merupakan keamanan secara keseluruhan dari komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4 sudah tercapai.
C. KEAMANAN INFORMASI
Apakah kalian tahu, mengapa perlu adanya keamanan?
Perlu kalian ketahui, tanpa ada keamanan maka kerahasiaan anda akan mudah diketahui oleh orang lain yang bisa saja merugikan anda. Apa saja kerugian yang akan didapatkan? berikut diantaranya :
1. Resiko kerugian finansial, ini dapat merugikan kondisi keuangan individu, bisnis atau organisasi.
2. Resiko kerugian kerahasiaan, ini dapat merugikan individu, perusahaan, komunitas dan lainnya karena dapat tersebarnya data-data pribadi yang seharusnya tidak boleh diketahui oleh semua orang.
3. Resiko kerugian harga diri, ini dapat menjatuhkan diri seseorang yang diserang dan sebarluaskan data pribadinya atau image perusahaan.
dan kerugian lainnya.
• Aplikasi bisnis berbasis TI dan jaringan komputer meningkat (Online Banking, E-Commerce. Electronic Data Interchange)
• Desentralisasi Server, sejumlah komputer tersebar pada berbagai lokasi dihubungkan dengan sarana telekomunikasi dengan masing-masing komputer mampu melakukan pemrosesan yang serupa secara mandiri, tetapi saling berinteraksi dalam pertukaran data.
• Transisi dari single vendor ke multi vendor
• Meningkatnya kemampuan pemakai (User)
• Kesulitan penegak hukum dan belum adanya ketentuan pasti
• Semakin kompleksnya sistem yang digunakan, semakin besar source code program yang digunakan
• Berhubungan dengan internet
*Confidentiality (Kerahasiaan) merupakan data bersifat rahasia yang tidak boleh diakses oleh orang yang tidak berhak. Contohnya data pelanggan, data pribadi dan data kesehatan.
Bagaimana bentuk serangannya? yaitu dengan cara penyadapan (Sniffing), mengintip (Shouldering), cracking (Mencoba memecahkan enkripsi), dan sosial engineering (Menipu, mencari-cari kelemahan SOP, membujuk orang untuk membuka data seperti Email, Sms, Wa dan Fb)
Bagaimana perlindungannya? yaitu dengan proteksi, memisahkan (Separation) jaringan/Aplikasi/VLAN sehingga terpisah dan susah disadap. Penerapan kriptografi (enkripsi dan deskripsi) untuk mengamankan agar tidak dapat disadap data-data pengguna, memagari (firewall) sehingga orang tidak bisa melihat jaringan kita di dalam sehingga kita lebih aman dan harus sesuai SOP yang jelas dan ketat. Serta pemantauan Log (owasp, MySQL, Apache2, Log remote)
*Integrity yaitu data atau sistem tidak dapat diubah oleh pihak yang tidak berhak. Contohnya saldo rekening bank kita tidak boleh berubah jika ada transaksi yang sah, atau adanya pilihan pemilu (e-vouting) harus dapat dipastikan tetap sampai dipusat.
Bagaimana bentuk serangan integrity? yaitu spoofing (Pemalsuan data), Ramsomware (Mengubah berkas dienkripsi sehingga tidak dapat diakses), Man in The Middle/MiTM attack (Mengubah data ditengah perjalanan sehingga data berubah ditujuan) dan data kesehatan.
Bagaimana perlindungannya? yaitu dengan adanya Massage Authentication Code (MAC), Hash Function-Blockchain dna Digital Signature
*Availibility (Ketersediaan) yaitu data/informasi yang harus tersedia ketika dibutuhkan.
Bagaimana bentuk serangannya? yaitu meniadakan layanan Denial of Service (DOS).
Level serangan DOS :
- Jaringan : contoh jaringan terhenti kita tidak dapat mendapatkan layanan.
- Aplikasi
- Infrastruktur pendukung (misalnya listrik)
Bagaimana melindungi webserver dari serangan? yaitu diantaranya :
1. Redudansi, duplikat. Misal 1 server diserang sampai bandwith habis. Perlindungannya kita dapat menggunakan server ditempat lain
2. Server di data center dan di disaster recovery dengan firewall atau sumber yang berbeda
3. Backup & Restore.
4. Filtering (Network) untuk melakukan filter terhadap paket yang berasal dari luar jaringan yang dilindungi
5. BCP (Business Continity Planning)
6. Cyberdrill
* Non-Repudiation yaitu Aspek yang tidak dapat menyangkal bahwa telah melakukan transaksi. Contoh serangannya yaitu : Transaksi palsu, spoofing dan menghapus jejak. Cara melindunginya yaitu MAC (Message Authentication Code), Hash Function, Digital Signature dan Logging
*Authentication yaitu Aspek yang meyakinkan keaslian data, sumber data, orang yang mengakses data dan server yang digunakan. Bagaimana mengetahui authentication? yaitu sesuatu yang anda ketahui seperti kata sandi atau pin. Sesuatu yang anda miliki seperti kartu identitas dan sesuatu yang apa adanya seperti identitas biometrik. Serangan authentication diantaranya : identitas palsu, terminal palsu dna situs gadungan
*Access Control yaitu aspek yang mengatur siapa boleh melakukan apa :
- Membutuhkan adanya klasifikasi data : publik, pribadi, rahasia dan sangat rahasia
- Tanpa adanya akses kontrol, kemungkinan sesuatu (termasuk data) dapat dicuri lebih meningkat
Strategi Access Control :
‣ Role-based access: ijin akses yang diberikan dari role/peran dia dalam suatu organisasi tertentu. Contoh: gaji karyawan yang hanya bisa diakses oleh owner, manager, dan bagian finance
‣ Discreatonary access control (DAC): Pemilik utama akses dapat menentukan siapa yang dapat mengakses miliknya dan dapat menentukan ijin akses.
‣ Mandatory access control (MAC): memberikan ijin akses berdasarkan spesifik level yang ada untuk klasifikasi informasi/ data
‣ Attribute Based Access Control: Akses yang diberikan menggunakan sebuah atribut/ subjek/ identitas/ peran/ nama/ file/ record tertentu
* Accountability (Akuntabilitas) yang dapat dipertanggung jawabkan, melalui mekanisme logging dan audit, dan adanya kebijakan dan prosedur (policy & procedure)
H. BERBAGAI BENTUK SERANGAN‣Interruption
Suatu aset dari suatu sistem yang diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang, contohnya perusakan atau modifikasi terhadap piranti keras atau saluran jaringan dan menanamkan virus yang dapat merusak data sehingga tidak dapat dipakai.
‣Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program atau sistem yang lainnya. Contoh penyadapan terhadap data dalam suatu jaringan
‣Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contoh :
- Perubahan nilai pada file data
- Modifikasi program sehingga berjalan tidak semestinya
- Modifikasi pesan yang sedang dalam jaringan
- Mengubah data penjualan
‣Fabrication
Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh : Pengiriman pesan palsu kepada orang lain dan penambahan record palsu ke file.
I. ANCAMAN KEAMANAN PADA SISTEM KOMPUTER• Social Engineering
‣ Ancaman :
1. Mengaku sebagai penanggung jawab sistem untuk mendapatkan account user
2. Mengaku sebagai user yang sah kepada pengelola sistem untuk mendapatkan account
3. mengamati user yang sedang memasukkan password
4. Menggunakan password yang mudah ditebak, dan masih banyak ancaman lainnya.
‣ Solusinya yaitu memberikan pemahaman seluruh pengguna sistem dari level manajer sampai operator akan pentingnya keamanan
• Keamanan Fisik
‣ Ancaman :
1. Pembobolan ruangan sistem komputer
2. Penyalahgunaan akun yang sedang aktif ditinggal pergi oleh user
3. Sabotase infrastruktur sistem komputer, dan lain-lainnya
‣ Solusi :
1. Kontruksi bangunan yang kokoh dengan pintu-pintu yang terkunci
2. Monitoring
3. Pengamanan secara fisik infrastruktur sistem komputer, misalnya :
Cpu ditempatkan ditempat aman, Kabel di rel, dan router ditempatkan yang aman dari jangkauan.
• Serangan Melalui Jaringan
‣ Ancaman : Sniffing (Penyadapan), Spoofing (Pemalsuan), Session hijacking (Pembajakan), DOS attack dan Syn flood attack.
• Via Aplikasi Berbasis Web
‣ Ancaman : Serangan untuk mendapatkan akun, SQL injection (bahasa pemrograman untuk mengakses dan memanipulasi database), dan Session hijacking (kegiatan untuk memasuki atau menyusup ke dalam sistem operasional yang dijalankan orang lain).
• Trojan, Rootkit, Keylogger, Backdoor
‣ Ancaman : Penanaman trojan pada software-software gratisan dari internet dan CD bajakan dan sistem dapat dikendalikan secara remote
‣ Solusi :
1. Gunakan Scanner dengan database terbaru
2. Jangan menginstall program yang belum diketahui
3. Adanya sosialisasi pada pengguna tentang keamanan komputer
• Virus, Worm
‣ Ancaman :
1. Kerusakan dan kehilangan data
2. Menguras resource sistem
3. Mengganggu atau merusak sistem
‣ Solusi : Gunakan scan virus dengan database terbaru dan jangan menginstall program yang belum diketahui
0 komentar:
Post a Comment