Embed Size (px)
Citation preview
BAB I
PENDAHULUAN
A. Latar Belakang
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi
mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari
pada criminal computer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai
salah satu cara untuk memerangi terorisme. Ketika organisasi – organisasi ini
mengimplementasikan pengendalian keamanan, isu – isu utama mengenai keamanan versus
ketersediaan secara keamanan versus hak pribadi harus dibatasi.
Keamana informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan daya.
Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen
keamanan informasi dan persiapan – persiapan operasional setelah suatu bencana, yang disebut
dengan manajemen keberlangsungan bisnis (business continuity management – BCM).
Dua pendekatan dapat dilakukan untuk menyusun strategi – strategi ISM : manajemen
resiko dan kepatuhan tolak ukur. Perhatian akan ancaman dan resiko berhubungan dengan
pendekatan managemen risiko. Ancaman dapat bersifat internal atau eksternal, tidak disengaja
atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan dan modifikasi yang
tidak diotorisasi serta pencurian, penghancuran dan penolakan layanan. Ancaman yang paling
ditakuti adalah virus computer. E – commerce telah menghasilkan risiko tertentu, namun
beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress dan Visa.
Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan
akses, firewall, kriptografi, dan pengendalian fisik. Pengendalian formal bersifat tertulis dan
memiliki harapan hidup jangka panjang. Pengendalian informal ditujukan untuk menjaga agar
para karyawan perusahaan memahami dan mendukung kebijakan – kebijakan keamanan.
1
Banyak cara untuk mengamankan informasi tersebut, yang paling konyol adalah
komputer tesebut dikunci dalam sebuah ruangan dan tidak dihubungkan kemana-mana. Ini sama
saja dengan memenjarakan informasi tersebut, tidak dapat dipertukarkan dan tidak menjadi
pintar untuk mengikuti perkembangan yang ada.
Sistem keamanan informasi dibuat aman sedemikian rupa, tetapi tidak menutup
kemungkinan keamanan sistem tersebut dijebol oleh para penyusup, karena mahal dan
pentingnya informasi tersebut bagi perusahaan yang memilikinya, semakin bernilai sebuah
informasi maka akan semakin diburulah informasi tersebut oleh para pedagang informasi di
dunia underground.
B. Rumusan Masalah
Ada beberapa rumusan masalah yang terdapat dalam materi ini yaitu :
- Bagaimana cara memahami kebutuhan organisasi akan keamanan dan
pengendalian.
- Apakah keamanan informasi berkaitan dengan keamanan semua sumber daya
informasi, bukan hanya peranti keras dan daya.
- Bagaimana mengetahui tiga tujuan utama keamanan informasi
- Untuk memahami apa saja risiko keamanan yang utama
- Untuk mengetahui apa saja ancaman keamanan yang utama
- Untuk mengetahui cara formal untuk melakukan manajemen risiko.
C. Tujuan
- Memahami kebutuhan organisasi akan keamanan dan pengendalian.
- Memahami bahwa keamanan informasi berkaitan dengan keamanan semua
sumber daya informasi, bukan hanya peranti keras dan daya.
- Mengetahui tiga tujuan utama keamanan informasi
- Memahami apa saja risiko keamanan yang utama
- Mengetahui apa saja ancaman keamanan yang utama
- Mengetahui cara formal untuk melakukan manajemen risiko
2
BAB II
KEAMANAN INFORMASI
a. Keamanan Informasi
Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk keamanan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan
peranti keras dan daya, maka istilah keamanan informasi (Sistem security) pun digunakan.
Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non – computer, fasilitas, data, dan informasi dari
penyalahgunaan pihak – pihak yang tidak berwenang.
b. Tujuan keamanan informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :
- Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan
orang –orang yang tidak berhak
- Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat
digunakan oleh orang yang berhak menggunakannya.
- Integritas: sistem informasi perlu menyediakan representasi yang akurat dari
sistem fisik yang direpresentasikan
c. Manajemen keamanan informasi
• Istilah corporate information systems security officer (CISSO) telah digunakan untuk
orang yang berada di organisasi yang bertanggung jawab pada sistem keamanan
informasi perusahaan.
• Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang
melaporkan kepada CEO dan mengatur suatu unit jaminan informasi
3
Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan
fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan
keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk
pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling
mempengaruhi. Tugas manajemen keamanan informasi adalah merencanakan keamanan
informasi, mengaplikasikannya, memonitor dan melakukan evaluasi.
Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman
terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara
meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi
dan peluang organisasi tersebut.
Dengan menerapkan keamanan informasi, sebuah organisasi dapat menjaga kerahasiaan,
integritas dan ketersediaan informasi secara kontinyu. Integritas informasi disini bermakna
bahwa informasi tersebut tetap utuh dan tidak mengalami perubahan oleh pihak lain yang tidak
berwenang.
Suatu organisasi/instansi perlu mengklasifikasikan informasi yang dihasilkan dan/atau
yang diperoleh untuk mendapatkan perlindungan yang sesuai. Klasifikasi informasi ini
ditentukan sendiri oleh organisasi tersebut dengan memperhatikan resiko dan keuntungan yang
ditimbulkan dari pengolahan informasi tersebut. Umumnya klasifikasi informasi adalah : umum
(bebas), terbatas (dinas) dan rahasia (pribadi).
Ada 3 tehnik melindungi informasi yaitu :
Secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam
lemari besi dll;
Secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas,
melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan
kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan
Secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll.
Keamanan informasi sudah seharusnya menjadi perhatian jajaran eksekutif dalam
organisasi. Sebab pengguna utama informasi berklasifikasi terbatas dan rahasia adalah para
4
eksekutif tersebut, yang mana keputusan-keputusan strategis organisasi tergantung dari informasi
yang berada padanya.
Manajemen keamanan informasi (ISM) terdiri dari empat langkah yaitu :
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan
2. Mendefinisikan resiko dari ancaman yang dapat memaksakan
3. Penetapan kebijakan keamanan informasi
4. Menerapkan controls yang tertuju pada resiko
Gambar 9.1 mengilustrasikan pendekatan manajemen resiko
5
d. Ancaman
Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh
akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang
diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat
mereka timbulkan.
Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila
dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer.
Beberapa tujuan para penyusup antara lain:
Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer
yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious.
6
Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web
atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus
mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang
mempunyai tujuan seperti ini sering disebut dengan The Malicious.
Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk
memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile
Intruder.
Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya
dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The
Competition.
Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa
yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan.
Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja.
Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan
informasi diberlakukan terhadap empat jenis resiko:
• Ancaman Internal dan External
• Disengaja dan tidak disengaja
7
Ancaman Yang Paling Terkenal – “VIRUS”
• Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri
tanpa pengetahuan pengguna.
• Sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat
memancarkan salinan dengan sendirinya oleh e-mail.
• Sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri.
Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka
ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam
kemampuan sistem.
e. Resiko
Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di
dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi
8
suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer
tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut
dapat mengakibatkan kerugian terhadap pemilik jaringan komputer?
Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu
account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan
adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh
jaringan komputer menjadi tidak aman.
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :
1. Pencurian dan Penyingkapan tidak sah
2. Penggunaan Tidak Sah
3. Pembinasaan dan Pengingkaran Layanan yang tidak sah
4. Modifikasi yang tidak sah
f. Pertimbangan E-COMMERCE
E-commerce telah memperkenalkan sebuah keamanan resiko yang baru: penipuan kartu
kredit. Keduanya American Express dan Visa telah mengimplementasikan program yang
mengarahkan secara rinci pada e-commerce.
American Express mengumumkan “penyediaan" angka-angka kartu kredit. Angka ini,
dibandingkan dengan angka kartu kredit pelanggannya, yang ditujukan pada perdagangan eceran
menggunakan e-commerce, yang memilih American Express untuk pembayarannya. Visa telah
mengumumkan sepuluh praktek terkait dengan keamanan yang mereka harap pengecernya untuk
mengikuti lebih dari tiga langkah praktek yang umum dilakukan
9
BAB III
KESIMPULAN
Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk keamanan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan
peranti keras dan daya, maka istilah keamanan informasi (Sistem security) pun digunakan.
Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non – computer, fasilitas, data, dan informasi dari
penyalahgunaan pihak – pihak yang tidak berwenang.
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :
- Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan
orang –orang yang tidak berhak
- Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat
digunakan oleh orang yang berhak menggunakannya.
- Integritas: sistem informasi perlu menyediakan representasi yang akurat dari
sistem fisik yang direpresentasikan
Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan
fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan
keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk
pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling
mempengaruhi. Tugas manajemen keamanan informasi adalah merencanakan keamanan
informasi, mengaplikasikannya, memonitor dan melakukan evaluasi.
Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman
terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara
meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi
dan peluang organisasi tersebut.
10
Ada 3 tehnik melindungi informasi yaitu :
Secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam
lemari besi dll;
Secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas,
melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan
kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan
Secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll.
Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila
dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer.
Beberapa tujuan para penyusup antara lain:
Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer
yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious.
Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web
atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus
mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang
mempunyai tujuan seperti ini sering disebut dengan The Malicious.
Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk
memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile
Intruder.
Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya
dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The
Competition.
Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri
tanpa pengetahuan pengguna.
Sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat
memancarkan salinan dengan sendirinya oleh e-mail.
Sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri.
Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka
11
ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam
kemampuan sistem.
DAFTAR PUSTAKA
- http://hadiwibowo.wordpress.com/2006/10/03/menejemen-keamanan-informasi/
- http://www.google.co.id/url?
sa=t&source=web&cd=14&ved=0CC8QFjADOAo&url=http%3A%2F
%2Fdharmayanti.staff.gunadarma.ac.id%2FDownloads%2Ffiles
%2F14060%2FKeamanan%2BInformasi.ppt&rct=j&q=keamanan
%20informasi&ei=W8HqTaEyi7iwA8WcyOEN&usg=AFQjCNFC_sv-
8dw1ESlb1k9DwzY9PkcwRA&cad=rja
- http://www.sysneta.com/manajemen-keamanan-informasi
- www.google.co.id
12
