Senin, 30 November 2015

Keamanan Informasi

Diposting oleh INDAH RAMDHAYANI di 10:07 PM

KEAMANAN INFORMASI

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN

Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar.

KEAMANAN INFORMASI

Dalam arti luas istilah keamanan sistem (system security) digunakan untuk perlindungan peranti keras dan data, peranti lunak, fasilitas komputer, dan personel yang cakupannya untuk semua jenis data - bukan hanya data di dalam komputer. Sedangkan istilah keamanan informasi (informasi security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

Tujuan Keamanan Informasi

      1.       Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.

       2.       Ketersediaan

Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.

       3.       Integritas

Semua sistem informasi harus memberikan representasi akurat sistem fisik yang direpresentasikannya.

MANAJEMEN KEAMANAN INFORMASI

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap :

      1.   Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi 
            perusahaan.
      2.   Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.
      3.   Menentukan kebijakan keamanan informasi.
      4.   Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

Manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Tolok ukur (benchmark) adalah tingkat kinerja yang disarankan. 

Tolok ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas-otoritas tersebut.

ANCAMAN

Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.

Ancaman Internal dan Eksternal

Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

JENIS ANCAMAN

Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software, atau malware terdiri atas program-program yang lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem.

Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam sistem, tapi dapat menyebarkan salinannya melalui e-mail. Trojan horse (kuda Tronya) tidak dapat mereplikasikan ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkan sebagai suatu perangkat. Adware memunculkan pesan-pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna.

Baru pada awal 2005, Microsoft memutuskan untuk memasuki perang antispyware. Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasat.

RISIKO

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

Empat jenis risiko :

      1.       Pengungkapan informasi yang tidak terotorisasi dan pencurian.
      2.       Penggunaan yang tidak terotorisasi.
      3.       Penghancuran yang tidak terotorisasi dan penolakan layanan.
      4.       Modifikasi yang tidak terotorisasi.

PERSOALAN E-COMMERCE

E-commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit.

MANAJEMEN RISIKO

Manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Pendefinisian risisko terdiri atas empat langkah :

         1.   Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
   2.   Menyadari risikonya.
   3.   Menentukan tingkatan dampak pada perusahaan jika risiko 
               benar-benar terjadi.
   4.   Menganalisis kelemahan perusahaan tersebut.

Tingkat keparahan dampak dapat diklasifikasikan menjadi :

      1.     Dampak yang parah (severe impact), membuat perusahaan bangkrut atau 
             sangat membatasi kemampuan perusahaan tersebut untuk berfungsi.

      2.    Dampak signifikan (significant impact), menyebabkan kerusakan dan biaya 
            yang signifikan, tetapi perusahaan tersebut akan selamat.

      3.    Dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan 
            yang terjadi dalam operasional sehari-hari.

KEBIJAKAN KEAMANAN INFORMASI

Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap. Lima fase implementasi kebijakan keamanan, yaitu :

      1.       Inisiasi proyek
      2.       Penyusunan kebijakan
      3.       Konsultasi dan persetujuan
      4.       Kesadaran dan edukasi
      5.       Penyebarluasan kebijakan

Kebijakan terpisah dikembangkan untuk :

      1.       Keamanan sistem informasi
      2.       Pengendalian akses sistem
      3.       Keamanan personel
      4.       Keamanan lingkungan dan fisik
      5.       Keamanan komunikasi data
      6.       Klasifikasi informasi
      7.       Perencanaan kelangsungan usaha
      8.       Akuntabilitas manajemen

PENGENDALIAN

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.

Tiga kategori pengendalian :

      1.       Pengendalian Teknis

Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.

Pengendalian Akses

Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup identifikasi pengguna, autentikasi pengguna, ddan otorisasi pengguna. Penggabungan langkah-langkah ini menjadi sistem keamanan ditunjukkan dalam figur

·         Identifikasi pengguna
·         Otentikasi pengguna
·         Otorisasi pengguna

Sistem Deteksi Gangguan

Peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang senditif, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimiliki, dan penggunaan protokol jaringan tertentu. Ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.

Firewall

Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

      2.       Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.

      3.       Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditunjukkan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

Referensi : Buku Sistem Informasi Manajemen (Raymond McLeod, Jr. dan George P. Schell)

TOP

 

0 komentar:

Posting Komentar

Subscribe to: Posting Komentar (Atom)