KULIAH 7

KEAMANAN SISTEM INFORMASI Tujuan Pembelajaran: Menguraikan pendekatan-pendekatan umum untuk menganalisis kerentanan dan hambatan dalam sistem informasi. Mengidentifikasi hambatan aktif dan pasif dalam sistem informasi Mengidentifikasi aspek-aspek kunci sistem keamanan informasi Membahas perencanaan kontinjensi dan praktek pengelolaan risiko bencana lainnya.

TINJAUAN KEAMANAN SISTEM INFORMASI Sistem Keamanan Informasi (SKI) merupakan subsistem yang mengendalikan risiko-risiko khusus yang berkaitan dengan sistem informasi berbasis komputer. SKI memiliki elemen dasar sistem informasi: hardware, database, prosedur dan laporan. SIKLUS HIDUP SISTEM KEAMANAN INFORMASI SKI dikembangkan dengan cara mengaplikasikan metode-metode yang ditetapkan: analisis sistem; desain sistem; implementasi; pengoperasian, evaluasi dan pengendalian.

Tujuan setiap tahap siklus hidup adalah sebagai berikut: Analisis system Perancangan system Implementasi system Pengoperasian system Analisis kerentanan system dalam konteks hambatan yang relevan dan eksposur kerugian yang muncul. Rancang ukuran keamanan dan kontijensi rencana untuk mengendalikan eksposur kerugian yang telah diidentifikasi Implementasikan ukuran keamanan yang telah dirancang Mengoperasikan system dan menilai keefektifan dan evaluasi dan pengendalian

SISTEM KEAMANAN INFORMASI DALAM ORGANISASI Jika SKI ingin efektif, harus dikendalikan oleh Chief Security Officer (CSO), yang bertanggung jawab kepada dewan komisaris untuk menjaga independensinya. Tugas utama CSO adalah memberi laporan kepada dewan komisaris untuk mendapat persetujuan.

Laporan ini harus mencakup setiap tahap dalam siklus hidup: Analisis sistem Perancangan sistem Implementasi sistem, operasi sistem, evaluasi dan pengendalian Ikhtisar seluruh kemungkinan kerugian yang relevan Rencana rinci untuk pengendalian dan penataan kerugian, termasuk anggaran system keamanan yang lengkap Kekhususan pada kinerja sistem keamanan sistem, evaluasi dan termasuk pengelompokan kerugian dan pengendalian pelanggaran keamanan, analisis ketaatan dan biaya operasi sistem

ANALISIS KERENTANAN DAN HAMBATAN Pendekatan kuantitatif penilaian risiko Dalam pendekatan kuantitatif penilaian risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya individu dikalikan dengan kemungkinan munculnya. Kesulitan dalam menilai kemungkinan-2 kerugian, yaitu: Mengidentifikasi biaya relevan per kerugian dan kemungkinan yang berkaitan. Mengestimasi kemungkinan kegagalan tertentu yang diperlukan untuk memprediksi masa datang. Pendekatan kualitatif penilaian risiko Dalam pendekatan kualitatif penilaian risiko yaitu mengurutkan kerentanan dan hambatan-hambatan sistem, dan secara subyektif membuat rangking berdasarkan kontribusi terhadap kemungkinan total kerugian perusahaan.

ANALISIS KERENTANAN DAN HAMBATAN Terlepas dari metode apa yang digunakan, setiap analisis harus mencakup kemungkinan kerugian untuk paling tidak masalah-masalah berikut ini: Interupsi bisnis Kerugian perangkat lunak Kerugian data Kerugian perangkat keras Kerugian fasilitas Kerugian layanan dan personil

KERENTANAN DAN HAMBATAN-HAMBATAN Kerentanan (vulnerability) adalah kelemahan dalam sistem, dan hambatan (threat) adalah eksploitasi potensial dari kerentanan. Hambatan aktif mencakup penggelapan terhadap komputer dan sabotase terhadap komputer Hambatan pasif mencakup kesalahan-kesalahan sistem, (kegagalan peralatan (kelemahan disk, kekurangan tenaga, dlsb)) dan gangguan alam (gempa bumi, banjir, kebakaran, dan badai).

Orang-orang yang Menimbulkan Hambatan pada Sistem Informasi Serangan atau gangguan yang berhasil terhadap sistem informasi memerlukan adanya akses ke perangkat keras, file data sensistif, atau program-program kritis. Ada tiga kelompok individu yang terlibat dalam serangan sistem informasi: 1. Personil sistem informasi 2. Para pengguna informasi 3. Para pengganggu

Personil sistem informasi Personil sistem komputer, mereka adalah yang menginstalansi hardware, software, memperbaiki hardware, operator komputer, dan karyawan administrasi. Pemrogram, yang menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi Operator jaringan, yang merencanakan dan memonitor operasi komputer dan jaringan komunikasi. Personil administrative sistem informasi, penyelia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. - Klerk pengendali data, bertanggunggjawab atas pemasukan data secara manual maupun terotomasi.

Para pengguna informasi Kelompok orang yang beragam dan satu satu sama lain dapat dibedakan berdasarkan kegiatan fungsionalnya tanpa memandang pemrosesan atau komputasi data. Para pengganggu Orang-2 yang memiliki peralatan, data atau file-file komputer tanpa otorisasi yang memadai. Hackers, unnoticed intruders, wire tappers, piggy-backers, impersonating intruders, dan eavesdroppers.

Hambatan Aktif Sistem Informasi Enam metode untuk penggelapan sistem informasi: manipulasi masukan, gangguan program, gangguan file secara langsung, pencurian data, sabotase, penyalahgunaan dan pencurian sumberdaya informasi. Manipulasi masukan Metode ini membutuhkan sedikit kemampuan teknis. Gangguan program Metode ini paling sedikit digunakan dalam penggelapan komputer. Ini dikarenakan untuk melakukannya dibutuhkan kemampuan pemrograman yang hanya dipunyai sedikit orang saja.

Gangguan File Secara Langsung. Potong jalur terhadap proses normal untuk pemasukan data ke program-program komputer. Pencurian data Pencurian data baik secara on-line (penyadapan internet) maupun off-line (diskette, CD, hardcopy). Sabotase komputer Menciptakan bahaya serius terhadap sistem informasi. Karyawan-karyawan yang tidak puas, khususnya yang dipecat, biasanya menjadi sumber sabotase terhadap sistem komputer. Logic bomb, trojan horse, program virus, worm, dll. Penyalahgunaan dan pencurian sumberdaya informasi karyawan menggunakan kompter perusahaan untuk kepentingan bisnisnya.

SISTEM KEAMANAN SISTEM INFORMASI Mengendalikan hambatan-hambatan dapat diwujudkan dengan mengimplementasikan pengukuran-pengukuran keamanan dan rencana-rencana kontijensi. pengukuran keamanan berfokus pada pencegahan dan pendeteksian hambatan-hambatan (pengendalian preventif); rencana kontinjensi berfokus pada perbaikan dampak dari hambatan-hambatan (pengendalian korektif). Elemen dasar SPI merupakan aspek penting SKSI

LINGKUNGAN PENGENDALIAN Filisofi manajemen dan gaya operasi Aktivitas pertama dan paling penting dalam keamanan komputer adalah menciptakan moral yang tinggi. Seluruh karyawan harus memperoleh pendidikan mengenai masalah keamanan Tujuan pendidikan keamanan adalah meningkatkan perhatian terhadap keamanan, untuk itu keamanan harus ditangani secara serius. Struktur Organisasi Dalam banyak organisasi, akuntansi, komputasi dan pemrosesan data diorganisasikan di bawah Chief Information Officer (CIO). Lini organisasi dibuat untuk menetapkan pertanggungjawaban atas pengambilan keputusan secara langsung mengenai masalah perangkat lunak akuntansi dan prosedur akuntansi.

Dewan Komisaris dan Komite-komitenya. Dewan komisaris harus menugaskan suatu komite audit. Komite audit harus menugaskan atau menyetujui penugasan internal auditor. Metode Pemberian Otoritas dan Tanggungjawab Tanggungjawab untuk semua posisi harus didokumentasikan secara cermat dengan menggunakan bagan organisasi, manual kebijakan perusahaan, pembagian tugas, dlsb. Aktivitas Pengendalian Manajemen Pengendalian harus dtetapkan berkaitan dengan penggunaan dan pertanggungjawaban seluruh sumber daya yang berhubungan dengan komputer dan sistem informasi. Anggaran harus ditetapkan untuk perolehan peralatan dan perangkat lunak, biaya-biaya operasi serta biaya pemanfaatan. Dalam seluruh kategori tersebut, biaya aktual harus dibandingkan dengan anggaran, dan perbedaan-perbedaan yang signifikan harus diselidiki.

Fungsi Audit Internal Sistem keamanan komputer harus diaudit secara kontinyu dan dimodifikasi untuk memenuhi kebutuhan-kebutuhan perubahan. Seluruh modifikasi sistem harus diterapkan sesuai dengan kebijakan keamanan yang telah ditetapkan. Kebijakan dan Praktik-praktik kepegawaian Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, cuti yang diharuskan, dan pengecekan ganda merupakan praktik-praktik kepegawaian yang penting. Pengaruh-Pengaruh Eksternal Sistem informasi perusahaan harus sesuai dengan peraturan-peraturan pemerintah.

Pengendalian atas Hambatan-Hambatan Aktif Cara utama mencegah penggelapan dan sabotase adalah dengan menerapkan jenjang memadai pada pengendalian akses. Filosofi dasarnya adalah memisahkan si pelaku dari target potensialnya. Pengendalian Akses Lokasi (Site-Access Controls) Untuk memisahkan secara fisik, individu-individu yang tidak memiliki otorisasi dari sumberdaya komputer yang ada. Pemisahan fisik ini diterapkan pada hardware, area entri data, area output data, perpustakaan data, dan kabel-kabel komunikasi. Seluruh pemakai diharuskan menggunakan kartu indentitas keamanan. Tempat-tempat pemrosesan data harus berada dalam gedung terisolasi yang dikelilingi pagar dengan beberapa pintu masuk. Sistem masuk (entri) yang ketat harus dijalankan.

Pengendalian atas Hambatan-Hambatan Aktif Pengendalian Akses Sistem Pengendalian akses sistem adalah pengendalian yang dirancang berbentuk perangkat lunak untuk mencegah pemanfaatan sistem oleh orang yang tidak berhak. Tujuannya adalah memberi identitas pemakai seperti: kode akun, password, dan peralatan perangkat keras. Pengendalian Akses File (File Aceess Controls) Pengendalian ini mencegah akses tidak sah ke file data dan program. Pengendalian akses file paling mendasar adalah penetapan pedoman dan prosedur otorisasi untuk mengakses dan mengubah file.

Pengendalian atas Hambatan-hambatan Pasif Hambatan-hambatan pasif meliputi masalah-masalah seperti gangguan pada tenaga dan perangkat keras. Pengendalian Preventif Sistem toleransi-kesalahan berkaitan dengan kerusakan komponen dalam hal pemonitoran dan pencadangan Bilamana salah satu bagian sistem gagal, bagian cadangan akan segera mengambil alih, dan sistem akan melanjutkan operasi dengan sedikit atau tanpa interupsi. Pengendalian Korektif Backup file sering digunakan untuk mengoreksi kesalahan Ada tiga jenis backup, yaitu: Full backup, Incremental backup, dan Differential backup.

Keamanan Internet (Internet Security) Kerentanan yang berkaitan dengan internet muncul karena adanya kelemahan dalam lima bidang: Sistem Operasinya atau konfigurasinya Web server atau konfigurasinya Jaringan khusus (the private network) dan konfigurasinya Berbagai program server Prosedur-prosedur keamanan umum

Web server adalah perluasan dari mengoperasikan sistem Web server adalah perluasan dari mengoperasikan sistem. Web server ini sama dengan mengoprasikan sistem yang diperlukan untuk memonitor secara tetap bulletin-buletin saran untuk memutakhirkan keamanan. Risiko-risiko khusus terjadi bila web server ditempatkan pada berbagai komputer yang terhubung dengan berbagai pemakai komputer

MANAJEMEN RISIKO BENCANA Manajemen risiko bencana pada dasarnya adalah memastikan kontinuitas operasi bila terjadi peristiwa bencana alam. Manajemen ini berkaitan dengan pencegahan (prevention) dan perencanaan kontinjensi (contingency planning). Pencegahan bencana merupakan tahap awal dalam mengelola risiko bencana. Sebab-sebab bencana: Bencana Alam = 30 % Tindakan yang disengaja = 45 % Kesalahan Manusia = 25 %

Data tsb mengimplikasikan bahwa bencana dapat di kurangi. Perencanaan pemulihan bencana harus diimplementasikan pada tingkat yang paling tinggi perusahaan. Tahap awal perencanaan tersebut harus mendapat dukungan dari manajemen senior dan membentuk komite perencanaan. Perencanaan mencakup tiga komponen: Menentukan kebutuhan-kebutuhan kritis perusahaan Membuat daftar prioritas pemulihan Menetapkan strategi dan prosedur-prosedur pemulihan Strategi pemulihan yang lengkap meliputi: Pusat respon emergensi Prosedur eskalasi dan pembuatan pemrosesan pengganti Relokasi pegawai dan rencana penempatan kembali Rencana –rencana penyelamatan, dan rencana pengujian dan pemeliharaan sistem.