Siklus
Hidup Sistem Keamanan Informasi
Sistem
keamanan komputer dikembangkan dengan menerapkan metode analisis, desain,
implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap
hidup ini adalah sebagai berikut.
Fase
Siklus Hidup
|
Tujuan
|
Analisis system
|
Analisis kerentaan sistem dalam
arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman
tersebut.
|
Desain system
|
Desain ukuran keamnan dan rencana
kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
|
Implementasi system
|
Menerapan ukurn keamanan seperti
yang telah didesain.
|
Operasi, evaluasi, dan
pengendalian system
|
Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi. Membuat perubahan sebagaimanan diperlukan sesuai
dengan kondisi yang ada.
|
Sistem
Keamanan Informasi dalam Organisasi
Agar
sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief
security
officer (CSO). Tugas utama CSO adalh memebrikan laporan langsung kepda dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
officer (CSO). Tugas utama CSO adalh memebrikan laporan langsung kepda dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Fase
Siklus Hidup
|
Laporan
kepada Dewan Direksi
|
Analisis sistem
|
Sebuah ringksan terkait dengan
semua eksposur kerugian ang relevan.
|
Desain sistem
|
Rencana detik mengenai
pengendalian dan pengelolaan kerugian, termasuk anggran sistem keamanan
secara lengkap.
|
Implementasi sistem, operasi,
evaluasi, dan pengendalian sistem
|
Mengungkapkan secara spesifik
kinerja sistem ekamnan termasuk kerugian dan plnggaran keamnan yang terjadi,
analisis kepatuhan, serta biaya operasi sistem keamanan.
|
Mengalisis
Kerentanan dan Ancaman
Ada
dua pendekatan untuk menganisis kerentanan dan ancaman sistem. Pendekatan
kuantitatif untuk menaksir risiko menghitung setiap eksposur kerugian
sebagai hasil kali biaya kerugian setiap item ekposur dengan kemungkinan
terjadinya eksposur tersebut. Manfaat terbesar dari analisis semacam ini adalah
ia dapat menunjukkan bahwa ancaman yang paling mungkin terjadi bukanlah ancaman
dengan eksposur kerugian terbesar. Ada beberapa kesulitan untuk menerapkan
pendekatan kuantitatif guna menaksirkan eksposur kerugian. Pertama,
mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Yang kedua,
mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramaan masa
yang akan dating, yang sangat sulit khususnya dalam lingkungan teknologi yang
mengalami perubahan sangat cepat.
Metode
kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalahpendekatan
kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item
tersebut berdasarkan kualitatif maupun pendekatan kuantitatif sering digunakan
di dalam praktik. Banyak perusahaan mengombinasikan kedua pendekatan tersebut.
Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup
area berikut ini:
·
Interupsi bisnis
·
Kerugian perangkat lunak
·
Kerugian data
·
Kerugian perangkat keras
·
Kerugian fasilitas
·
Kerugian jasa dan personel
KERENTANAN
DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaan merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan asif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase koputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kgagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebaginya.
Tingkat
Keseriusan Kecurangan Sistem Infomasi
Kejahatan
berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih.
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih
besar dari total kerugian akibat suap, perampokan, dan pencurian. Keamanan
sistem informasi merupakan masalah internasional. Banyak Negara memiliki
undang-undang yang ditujukan pada masalah keamanan komputer. National Commision
on Fraudulent Financial Reporting (Trradway Commission) mengaitkan kecurangan
manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan kecurangan
yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
invertor dan kreditor mellui pelaporan keuangan yang menyesatkan. Kecurangan
semacam ini dilakuakan oleh mereka yang memiliki posisi cukup tinggi di dalam
organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi, biasanya
istilah kecurangan manajemen mengacu pada manipulasi laporan keuangan.
Individu
yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan
serangan terhadap sistem informasi memerlukan akses terhadap hardware, file
data yang sensitive, atau program kritis. Tiga kelompok individu- personel
sistem, pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses
hal-hal tersebut di atas.
Personel
Sistem Komputer
Personel
sistem meliputi personel pemelihraan komputer, programmer, operator, personel
dministrasi sistem informasi, dan karyawan pengendalian data.
Personel
Pemeliharaan Sistem. Personel
pemeliharaan sistem menginstal perangkat keras dan perangkat luak, memperbaiki
perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak.
Indivisu-indivisu semacam ini mungkin tidak ekerja untuk perushaan, tetapi
bekerja untuk pemasok tempat perusahaan membeli perngkat lua akuntansi.
Beberapa personel pemeliharaan biasa saja berada dalam poisi yang memungkinkan
ia melakuakn modifikai yang tidak diharapkan terhadap keamanan dalam sistem
operasi.
Programer. Programmer sering menulis progra untuk memodifikasi dan
memperluas sistem operasi jaringan. Indivisu-individu emacam ini bisanya
diberi account dengan kewenangan akses universal ke semua file
perusahaan.
Operator
Jaringan. Indovidu yang mengamati dan
memonitor operasi komputer dan jaringan komuniksi disebut operator jaringan.
Biasanya, operator diberi tingkat keamnan yang cukup tinggi sehingga
memungkinkan operator secara diamdiam mengwasi semua jarinan komunikasi
(termauk pada saat pengguna individu memasukkan password), dan juga mengakses
semua file di dalam sistem.
Personel
Administrasi Sistem Informasi. Supervisor
menempat posisi kepercyaan yang sangat tinggi. Orang ini biasanya memiliki akse
ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account
memiliki kemampuan untuk menciptakan account fiktif atau untuk member password
pada account yang sudah ada.
Karyawan
Pengendali Data. Mereka bertanggung jawab
terhadap penginputan data e dalam komputer disebut kryawan pengendali data.
Poisi ini member peluang bagi karyawan untuk melakukan manipulasi data input.
Pengguna
Pengguna
terdiri dari sekelompok orang yang heterogen dan data dibedakan dengan yang
lain karena are fungsional mereka bukan merupakan bagian dari pengolahan data.
Banyak pengguna memiliki akses ke data yang sensitive yang dapat merek bocorkan
kepada pesaing perusahaan. Pengguna memiliki kendali terhadap input komputer
yang cukup penting, sperti memo kredit, kredit rekening, dan lain sebagainya.
Penyusup
Setiap
orang yag memiliki akses ke peralatan, data elektronik, ata file tanpa hak yang
legal merpakan peyusup (intruder). Penyusup yang menyerang
sistem inormasi sebagai sebuah kesenanga dan tantangan dikenal dengan
nama hacker. Tipe lai dari penyusup antara lainunnoticed
intrudruder, wiretapper, piggybacker, impersonating intruder, daneavesdropper.
Ancaman
Aktif pada Sistem Informasi
Ada
enam metode yang dapat digunakan untuk melakukan kecurangan sistem informasi.
Metode ini meliputi manipulasi input, perubahan program, perubahan file secara
langsung, pencurian data, sabotase, dan penyalahgunaan atau pencurian sumber
daya informasi.
Manipulasi
Input
Metode
ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja
mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem
komputer.
Mengubah
Program
Mengubah
program mungkin merupaka metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan
keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Banyak perusahaan besr memiliki metode pengujian program yang dapat digunakan
untuk mendeteksi adanya perubhn dalam program.
Trapdoor merupakan sebagian program komputer yang memungkinkan
seseorang mengakses program dengan mengabaikan jalur keamnanan program
tersebut. Ada kalanya pengembangan program menempatkan trapdoor dalam sebuah
program untuk meyakinkan bahwa mereka akan selalu memiliki akses terhadap
program tersebut. Trapdoor bisa saja ada di dalam sistem kuntansi, program
database, sistem operasi, dan lain sebagainya.
Mengubah
File secara Langsung
Dalam
beberapa kasus, individu-individu tertentu menemukan cara mmotong (bypass)
proses normal untuk menginput data ke dalam program komputer. Jika hal ini
terjadi, hasil yang dituai adalah bencana.
Pencurian
Data
Pencurian
data penting merupakan salah satu masalah yang cukup serius dalam sunia bisnis
hari ini. Dalam industry dengan tingkat persaingan yang sangat tinggi,
informasi kuantittif dan kualitatif terkait dengan salah seorang pesaing
merupakan salah satu informas yang cukup diburu.
Sejumlah
informasi ditransmisikan antar perusahaan melalui internet. Informasi ini retan
terhadap pencurian data saat transmisi. Informasi tersebut bisa saja disadap.
Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan
disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri
dengan dimasukan ke dalam kotak sampah.
Lebih
jauh, individu-individu denagn akses terhadap e-mail, dapat dengan mudah
menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan
lewat Internet. Dengan menggunakan metode tersebut, penyusup data mencuri
sejumlah besar informasi hanya dalam hitungan menit.
Sabotase
Sabotase
komputer membahayakan sistem informasi. Perusakan sebuah komputer atau
perangkat lunak dapat menybabkn kebangkrutan suatu perusahaan. Karawan yang
tida puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase
utama.
Seorang
pnyusup menggunaan sabotase untk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Sebagai contoh, seseorang mengubah database
akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan
sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat dilakukan
yang dapat menyebabkan keruakan yang serius terhadap perangkat keras komputer.
Magnet dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan
meletakkan magnet di dekat media/ detak radar juga memiliki efek yang sama jika
radar tersebut diarahkan pada bangunan yang berisi media magnetic. Salah satu
metode tertua sabotase dengan menggunkan program komputer yaitu dengan bom
logika bom logika melibatkan sekeping kode laten di dalam sebuah program yang
akan diaktivasi pada suatu saat nanti terkait dengan peristiwa tertentu.
Kuda
Troya merupakan sebuah program yang destruktif yang berklamuflase
seolah-olah ia merupakan program yang legal.
Program
Virus serupa dengan kuda troya, tetapi
dapat menyebarkan dirinya sendiri ke program lain, "menginfeksi"
program lain dengan virus yang sama. Virus saat ini sangat lumrah karena hamper
semua perusahaan menghadapi virus setiap hari.
Worm
Worm
merupakan satu jenis virus yang menyebarkan dirinya melalui jaringan komputer.
Istilah worm muncul karena komputer berbeda yang terinfeksi di dalam jaringan
dianggap sebagai suatu segmen yang terkait seperti serangga.
·
Virus Mellisa Macro menempelkan
dirinya pada file Microsoft Word dan menyebar melalui Internet dengan cara
mengirim email yang terinfeksi ke luar, ke nama-nama yang terdapat dalam buku
alamat secara otomatis.
·
Robert Morris, Jr., seorang lulusan
dari Cornell University, mengembangkan program virus yang masuk ke dalam
internet dan menyebar melalui jaringan dengan sangat cepat.
Kata
virus ada kalanya mencakup juga semua program yang mengandung niat jahat,
termasuk bom logika, kuda troya, dan worm. Bentuk sabotase yang lain adalah
serangan denial-of-service. Penyerang membanjiri server Web dengan sangat
banyak permintaan dalam interval waktu yang sangat pendek. Terakhir, ada juga
serangan yang ditujukan untuk menghancurkan Website perusahaan. Hacker biasanya
menembus masuk ke dalam Website dan memodifikasi atau mengganti home page.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah
satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
Contohnya, lima orang karyawan dinyatakan bersalah karena menggunakan komputer
mainframe perusahaan di jam-jam senggang untuk mengoperasikan pemrosesan data
perusahaan mereka sendiri. Selain itu, tipe kejahatan komputer yang lain, tidak
terlalu diketahui tetapi sangat mungkin terjadi di banyak perusahaan
seperti
misalnya beberapa karyawan mencuri komputer mainframe perusahaan dalam satu
hari, bagian demi bagian dilarikan lewat pintu belakang.
SISTEM
KEAMANAN SISTEM INFORMASI
Sistem
keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal
(supervisi yang memadai, rotasi pekerjaan, batch control total, pengecekan
validitas, dan lain sebagainya) merupakan aspek penting dalam sistem keamanan
komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip
pengendalian internal yang secara khusus digunakan untuk mengatasi
masalah-masalah dalam sistem informasi.
Lingkungan
Pengendalian
Merupakan
dasar keefektifan seluruh sistem pengendalian yang tergantung pada delapan
faktor, yaitu:
1.
Filosofi
Manajemen dan Gaya Operasi
Aktivitas
pertama dan terpenting dalam sistem adalah menciptakan moral yang tinggi dan
suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan.
Menciptakan suasana ini dapat dilakukan dengan banyak cara, seperti pemberian
pendidikan mengenai keamanan bagi semua karyawan, selalu memonitor peraturan
keamanan, dan membina hubungan yang baik dengan seluruh karyawan.
2.
Struktur
Organisasi
Dalam
banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya
diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak
hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai
fungsi komputansi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan
menjaga pola otoritas dan wewenang yang jelas. Satu hal yang penting adalah,
harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang
bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi
dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem
keamanan komputer.
3.
Dewan
Direksi dan Komitenya
Dewan
direksi harus menunjuk komite audit. Komite audit harus menunjuk atau
menyetujui pemilihan auditor internal. Komite audit harus berkonsultasi secara
berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja
chief security officer dan sistem keamana komputer.
4.
Metode
Pembagian Otoritas dan Tanggung Jawab
Tanggung
jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan struktur
organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
5.
Aktivitas
Pengendalian Manajemen
Pengendalian
anggaran penting dalam lingkungan komputer karena ada kecenderungan di banyak
perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
6.
Fungsi
Audit Internal
Sistem
keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan
yang terus berubah. Sistem semestinya "ditantang" secara berkala
dengan transaksi hipotesis. Perubahan terhadap file master harus dilacak balik
ke dalam dokumen sumber yang relevan. Pelacakan balik semacam ini merupakan
satu cara yang berguna untuk mendeteksi perubahan ilegal terhadap file master.
Cara lain yang dapat digunakan untuk mendeteksi perubahan ilegal adalah dengan
menggunakan batch control total.
7.
Kebijakan
dan Praktik Personalia
Pemisahan
tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang
terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan
personalia sistem komputer. Pengguna sering memiliki akses fisik ke aktiva
komputer dan personalia sistem sering memiliki hak akses ke file data yang
memuat catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat
menjadi satu undangan untuk melakukan kecurangan.
Rotasi
pekerjaan dan vakasi wajib harus diterapkan ke semua personel sistem yang
memiliki akses ke file yang sensitif. Banyak skema kejahatan, bahkan dalam
lingkungan komputer, mensyaratkan pelaku untuk melakukan pengamatan secara
terus menerus. Praktik personalia terkait dengan perekrutan dan pemecatan
karyawan juga merupakan hal yang penting. Karyawan yang prospektif harus
diteliti dengan sangat hati-hati, terkait dengan masalah-masalah yang dia
hadapi yang dapat mendorong dirinya untuk melakukan kejahatan seperti kesulitan
kredit, kecanduan terhadp sesuatu, termasuk masalah terkait dengan pekerjaannya
ditempat yang sama.
Pemutusan
hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-hati karena
karyawan yang di-PHK tercatat sebagai pelaku utama dalam kasus sabotase. Jika
seorang karyawan kunci dipecat, semua hak akses ke perangkat keras, perangkat
lunak, dan file data sensitif harus dibatalkan secepat mungkin.
8.
Pengaruh
Eksternal
Hukum
dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data
terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah, serta mengatur pengiriman informasi ke negara lain.
Penting juga untuk mengimplementasikan kebijakan internal yang terdokumentasi
dengan baik untuk mencegah pembajakan perangkat lunak. Perusahaan yang tidak
memiliki kebijakan semacam ini dapat menjadi sasaran hukum.
Pengendalian
Ancaman Aktif
Cara
utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase
adalah dengan menetapkan tahap-tahap pengendalian akses. Pengendalian akses
memisahkan penyusup dari sasaran potensial mereka. Filosofi di balik pendekatan
berlapis untuk pengendalian akses melibatkan pembangunan banyak tahap
pengendalian yang memisahkan calon penyusup dari sasaran potensial mereka. Tiga
tahap yang dapat digunakan adalah pengendalian akses lokasi, pengendalian akses
sistem, dan pengendalian akses file.
·
Pengendalian
akses lokasi
Tujuannya
adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber
daya komputer. Semua pengguna diwajibkan menggunakan tanda identifikasi
keamanan. Ruangan yang berisi peralatan komputer atau data yang sensitif harus
memiliki pintu yang terkunci. Tersedia juga sistem autentikasi perangkat keras
biometrik. Secara otomatis mengidentifikasi individu berdasarkan sidik jari
mereka, ukuran tangan, pola retina, pola suara, dan lain sebagainya.
Kompleks
pengolahan data harus berlokasi di gedung yang terisolasi yang dikelilingi
tembok dengan pintu akses. Semua konsentrasi data komputer dan peralatan harus
dilokasikan ditempat yang sulit ditemukan. Serangan terhadap pustaka data dan
ruangan kritis lainnya dapat diminimalkan dengan sistem penjagaan yang sangat
ketat mencakup pemasangan pintu ganda untuk tempat penyimpanan data komputer.
Pusat data entry yang tersentralisasi harus merupakan area yang sangat
terproteksi dan terbatas bagi orang-orang yang tidak berkepentingan. Komputer
personal, terminal, disket, dan tape juga harus dilindungi. Semua objek ini
merupakan sasaran pencurian, interferensi, dan perusakan. Menjaga segala
sesuatu dalam ruang yang terkunci merupakan salah satu cara proteksi yang
terbaik. Terakhir, jika memungkinkan, semua peralatan komputer harus
ditempatkan di ruang yang terkunci, dengan dinding yang cukup kuat untuk
mencegah terjadinya intrusi radiasi elektromagnetik yang tidak diharapkan.
Tidak ada perangkat lunak yang boleh diinstal di komputer maupun tanpa
persetujuan dari keamanan. Ini merupakan masalah yang sulit karena virus dapat
masuk ke dalam komputer melalui banyak cara. Ada cara lain untuk membatasi
secara fisik intrusi virus, salah satunya adlah dengan menyediakan workstation
yang tidak memiliki harddisk dan diskdrive. Pendekatan ini memiliki keuntungan
dengan pemusatan instalasi semua perangkat lunak, termasuk backup file. Cara
kedua adalah menggunakan sistem operasi yang ROM-based. Menempatkan sistem
operasi di dalam ROM akan melindungi jaringan dari ancaman virus. Terakhir,
semua kabel listrik harus antisadap. Kabel fiberoptik biasanya dianggap aman
dari penyadapan dan dapat digunakan. Pusat jaringan dan peralatan komunikasi
harus ditempatkan di ruang terkunci.
·
Pengendalian
akses sistem
Merupakan
suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah
penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek
keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password,
alamat Internet Protocol (IP), dan perangkat-perangkat keras. Password harus
dikendalikan dengan hati-hati melalui sistem pengelolaan pasword yang baik.
Prosedur pemberian password yang paling aman adalah dengan tidak memberi
kemungkinan kepada pengguna untuk mengubah password mereka. Password yang ideal
mestinya terdiri dari kombinasi huruf kapital dan huruf kecil, simbol khusus,
dan angka. Satu lagi lapisan keamanan dapat ditambahkan dengan penggunaan
sistem sign-countersign. Kekuatan sistem ini adalah pasangan sign-countersign
tidak akan pernah digunakan dua kali.
Firewall
dapat diprogram untuk menolak setiap paket yang datang yang tidak berasal dari
alamat IP yang ada pada daftar otorisasi. Firewall hanya dabat membatasi,
tetapi bukan merupakan satu solusi total. Solusi yang lebih baik adalah
menggunakan firewall dengan teknik enkripsi. Terakhir, perlu dilakukan
pembatasan terhadap hak administrasi setiap individu pengguna komputer personal
untuk mencegah pengguna menginstal perangkat lunak ke dalam PC mereka, yang
selanjutnya dapat mencegah kontaminasi virus, kuda Troya, dan gangguan lain
terhadap PC.
·
Pengendalian
akses file
Pengendalian
akses file mencegah akses ilegal ke data dan file program. Yang paling
fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file. Perubahan program tidak boleh dilakukan tanpa ada persetujuan
tertulis. Salina program yang telah diubah harus diinspeksi terlebih dahulu
sebelum digunakan untuk menggantikan program yang orisinil. Semua program
penting harus disimpan di dalam file terkunci. Ini berarti program dapat
dijalankan, tetapi tidak dapat dilihat atau diubah. Hanya bagian keamanan yang
dapat mengetahui password untuk membuka file program. Bagian keamanan
bertanggung jawab untuk mengecek secara berkala kesamaan program yang sedang
beroperasi dngan versi program yang disimpan di perpustakaan. Perusahaan dapat
menginstal program residen yang secara konstan terus mengecek keberadaan virus
atau adanya perubahan file. Satu cara terbaik yang dapat digunakan untuk
menghilangkan masalah virus adalah dengan mengendalikan setiap tambahan file
baru yang dimasukkan ke dalam sistem.
Pengendalian
Ancaman Pasif
Mencakup
masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ini
dapat berupa pengendalian preventif maupun korektif.
·
Sistem
toleransi kesalahan
Sebagian
besar metode yang digunakan untuk menangani kegagalan komponen sistem adalah
pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant
akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi.
Sistem semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan
pada lima level pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik,
dan pada transaksi individual.
Jaringan
dapat dijadikan sistem toleransi kesalahan dengan cara menduplikasi jalur
komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang dapat
digunakan untuk membuat pemrosesan CPU redundan. Sistem dengan protokol
berbasis-konsensus dan sistem watchdog processor. DASD dapat dijadikan sistem
toleransi kesalahan dengan beberapa cara, seperti pengujian read-after-write,
bad-sector lockout, dan disk mirroring. Toleransi kesalahan terhadap mati
listrik dapat dicapai dengan menggunakan uninterruptable power supply (UPS).
Jika listrik mati, sistem backup yang ada kalanya bertenaga baterai, mengambil
alih beberapa detik untuk memastikan tidak ada pemutusan mendadak terhadap
aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan yang
diterapkan pada level transaksi mencakup rollback processing dan database
shadowing. Dengan rollback processing, transaksi tidak pernah dituliskan ke
dalam disk, kecuali transaksi tersebut telah lengkap. Database shadowing serupa
dengan disk shadowing, hanya saja duplikasi semua transaksi dibuat dan
dikirimkan lewat jaringan komunikasi ke lokasi yang jauh (remote location).
·
Memperbaiki
kesalahan: Backup File
Ada
tiga jenis backup: backup penuh, inkremental, dan diferensial. Backup penuh
membuat back up semua file yang ada dalam suatu disk. Sistem operasi akan
secara otomatis mengeset bit ini menjadi 1 pada saat sebuah file mengalami
perubahan. Backup inkremental melakukan backup semua file dengan nilai archive
bit 1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive
bit file akan kembali diset menjadi 0 selama proses backup. Terakhir backup
diferensial pada dasarnya sama dengan backup inkremental. Hanya saja, archive
bit tidak diset menjadi 0 selama proses backup. Skema backup yang paling
sederhana adalah melakukan backup penuh secara periodik.
Keamanan
Internet
Internet
menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua isolasi
fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan
pemisahan fisik yang terkait dengan pendekatan akses berlapis guna menciptakan
keamanan sistem, tidak sepenuhnya dapat mengamankan sistem informasi
perusahaan.
Kerentaan
terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1.
Sistem operasi atau konfigurasi
sistem operasi
2.
Web server atau konfigurasi web
server
3.
Jaringan privat atau konfigurasi
jaringan privat
4.
Berbagai program server
5.
Prosedur keamanan secara umum
Kerentanan
sistem operasi
Web
server sebenarnya merupakan ekstensi dari sistem informasi. Akibatnya, setiap
kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web
server. Untuk alasan inilah administrator keamanan harus, pertama dan terpenting,
mengamankan sistem operasi. Administrator harus secara konstan memonitor
buletin keamanan yang dipublikasikan oleh vendor sistem opersi dan oleh jasa
advisory pihak ketiga.
Kerentanan
Web Server
Web
server serupa dengan sistem operasi, dalam arti, pengelola web server perlu
selalu memonitor buletin terkait dengan informasi dan pembaruan keamanan
perihal konfigurasi web server. Keamanan web server dapat menurun tajam akibat
kesalahan konfigurasi. Salah satu maslaah konfigurasi yang paling umum adalah area
konfigurasi pemberian akses direktori dan file terkait dengan program yang
dapat dieksekusi. Kode program yang dpat dieksekusi merupakan salah satu
komponen penting dari hampir semua website komersial. Hak menulis dan hak
eksekusi tidak boleh diberikan pada satu direktori yang sama. Dalam praktik,
kombiansi dua hak yang mematikan ini sering diberikan kepada pihak luar tanpa
sengaja.
Kerentanan
Jaringan Privat
Ketika
Web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu resiko. Hacker dapat menyerang
satu komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki
akses ke komputer yang menjadi host Web server, maka hacker pertama kali akan
masuk ke dalam komputer pengguna. Kemudian, hacker akan menggunakan hak akses
pengguna yang asli untuk melakukan invansi ke dalam komputer host Web server.
Salah
satu cara yang digunakan hacker untuk menyerang komputer melalui komputer yang
lain adalah dengan mengirim surat elektronik yang disertai program kuda Troya
(dalam bentukattachment) ke komputer perantara tersebut. Program kuda
Troya secara otomatis dan diam-diam terinstal pada saat korban di komputer
perantara membuka pesan e-mail. Salah satu program kuda Troya, Back Orifice,
memungkinkan hacker mengendalikan komputer korban dari jarak jauh melalui
internet.
Kerentanan
Berbagai Program Server
Banyak
komputer host suatu Web server tidak hanya menjalankan Web server, teteapi juga
server-server yang lain, seperti FTP server (untuk transfer file dari dank e
komputer lain), e-mail server, dan remote control server (yang memungkinkan
komputer yang lokasinya jauh mengendalikan komputer host). Yang menjadi masalah
adalah setiap tambahan server merupakan satu tambahan risiko. Cacat keamanan
terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker untuk
menyerang semua server yang lain dan semua file di dalam komputer, bahkan
komputer-komputer lain yang terhubung ke server dalam LAN.
Prosedur
Keamanan Umum
Perangkat
lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika
administrator sistem tidak menegakkan kebijakan keamanan. Mengamankan file log
merupakan isu yang penting karena hacker sering berusaha "menutupi jejak
lacak mereka" dengan mengubah file log. Salah satu cara yang dapat
digunakan untuk mengamankan file log adalah dengan menuliskan log ke komputer
di lokasi yang berbeda.
Firewall
biasanya digunakan untuk membatasi akses masuk ke suatu jaringan komputer.
Firewall juga dapat digunakan untuk menahan atau membatasi akses keluar oleh
program tertentu atau server tertentu. Sekalipun firewall merupakan salah satu
alat yang sangant penting, mesti diingat bahwa alamat IP dapat dipalsukan. IP
address palsu memungkinkan akses keluar dan masuk yang illegal akan dianggap
sebagai bagian dari akses yang legal. Oleh karena itu, pelatihan dan prosedur
kemanan dasar harus selalu menjadi pertimbangan pertama.
PENGELOLAAN
RISIKO BENCANA
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.
Mencegah
Terjadinya Bencana
Mencegah
terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana.
Studi menunjukkan frekuensi penyebab terjadinya bencana adalah: Bencana alam
(30%), Tindakan kejahatan yang terencana (45%), dan Kesalahan manusia (25%).
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya
bencana dapat dikurangi atau dihindari dari kebijakan keamanan yang baik. Banya
k bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan
kebijkan dan perencanaan keamanan yang baik.
Perencanaan
Kontingensi untuk Mengatasi Bencana
Rencana
pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua
hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan
hati-hati dan disetujui oleh kedua pihak tersebut. Desain perencanaan mencakup
tiga komponen utama: evaluasi terhadap kebutuhan perusahaan, daftar prioritas
pemulihan berdasarkan kebutuhan perusahaan, serta penetapan strategi dan
prosedur pemulihan.
Menaksir
Kebutuhan Perusahaan
Semua
sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini
mecakup perangkat keras, perangkat lunak, peraltan listrik, peralatan
pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya manusia.
Daftar
Prioritas Pemulihan dari Bencana
Pemulihan
penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat
prioritas terkait dengan kebutuhan perusahaan yang paling penting. Daftar
prioritas mengindikasikan aktivitas dan jasa yang memang genting yang perlu
segera dibangun kembali dalam hitungan menit atau hitungan jam setelah
terjadinya suatu bencana. Perencanaan bisa saja mengindikasikan aktivitas dan
jasa lain yang harus dibangun dalam hitungan hari, minggu, atau bulan setelah
terjadinya suatu bencana.
Strategi
dan Prosedur Pemulihan
Serangkaian
strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan
ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada
saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus
dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama
hal-hal tersebut harus dilakukan.
Pusat
Respons Darurat
Pada
saat bencana terjadi, semua wewenang pengolahan data dan operasi komputer
dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi
darurat.
Prosedur
Eskalasi
Prosedur
eskalasi menyatakan kondisi seperti apa yang mengharuskan perlunya pengumuman
terjadinya bencana, siapa yang harus mengumumkan, dan siapa yang harus diberi
tahu tentang adanya bencana.
Menentukan
Pemrosesan Komputer Alternatif
Bagian
terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi
lokasi cadangan yang akan digunakan jika lokasi komputasi primer rusak atau
tidak dapat berfungsi. Ada tiga macam lokasi cadangan, yaitu:
1.
Cold site merupakan alternatif lokasi komputasi yang memiliki
instalasi kabel komputer, tetapi tidak dilengkapi dengan peralatan komputasi.
2.
Hot site merupakan lokasi alternatif yang dilengkapi dengan
instalasi kabel dan peralatan komputasi.
3.
Flying-start site merupakan alternatif yang dilengkapi dengan
instalasi kabel, peralatan, dan juga data backup dan perangkat lunak yang up-to-date.
Alternatif
lain selain ketiga alternatif pembangunan lokasi cadangan tersebut adalah
membangun kontrak dengan biro jasa komputasi, dengan pemasok jasa penanganan
bencana yang komersial, dan dengan perusahaan rekanan yang lain, yang
kemungkinan berada dalam industri yang sama.
Biro
Jasa mengkhususkan diri untuk
menyediakan jasa pengolahan data bagi perusahaan yang memilih untuk tidak
memproses sendiri data yang mereka miliki.
Perjanjian
Shared Contingency atau Reciprocal Disaster merupakan perjanjian antara dua perusahaan di mana setiap
perusahaan setuju untuk membantu perusahaan lain pada saat perusahaan yang lain
membutuhkan.
Rencana
Relokasi Karyawan
Perencanaan
kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan ke
lokasi cadangan.
Rencana
Penggantian Karyawan
Penggantian
seorang karyawan dengan kemampuan yang tinggi merupakan satu hal yang tidak
mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat
ekstensif.
Perencanaan
Penyelamatan
Dalam
beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan
yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil
tindakan yang tepat secra cepat.
Perencanaan
Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan
komputasi perusahaan sering berubah dengan sangat cepat. Perencanaan yang
kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat
bencana benar-benar terjadi.
Tidak ada komentar:
Posting Komentar