KEAMANAN INFORMASI
Tujuan Dari Manajement Keamanan Informasi
Keamanan sebuah informasi merupakan suatu mutlak diperlukan, karena
jika sebuah informasi dapat diakses oleh orang yang tidak berhak atu
tidak bertanggung jawab, maka keakuratan informasi tersebut akan
diragukan, bahkan akan menjadi informasi yang menyesatkan.Manajement
keamanan informasi harus membuat dan menjalankan inisiatif keamanan
informasi yang memastikan tiga hal utama yaitu, confidentiality
(kerahasiaan), integrity (integritas), availability (ketersediaan)
system informasi perusahaan.
A. Confidentiality (Kerahasiaan)
Dapat diartikan sebagai perlindungan terhadap data dalam system
informasi perusahaan, sehingga tidak dapat diakses oleh orang yang tidak
berhak. Kerahasiaan harus terdefinisi dengan baik, dan prosedur untuk
menjaga kerahasiaan harus diterapkan secara hati-hati, khususnya untuk
computer yang bersifat standalone atau tidak terhububg ke jaringan.
Aspek penting dari kerahasiaan adalah pengidentifikasian dan
authentication terhadap user. Ancaman terhadap kerahasiaan
1. Hacker
Orang yang membobol pengendalian akses dari sebuah system, dengan Memanfaatkan kelemahan system tersebut. Segala aktifitas hacker merupakan
Ancaman yang sangan serius terhadap kerahasiaan informasi dalam sebuah system
Informasi.
Ancaman yang sangan serius terhadap kerahasiaan informasi dalam sebuah system
Informasi.
2. Masquerader
Seorang yang berhak mengakses system, tetapi telah memiliki password dari user
Lain, sehingga dapat mengakses file yang tersedia untuk user lain tersebut.
Lain, sehingga dapat mengakses file yang tersedia untuk user lain tersebut.
3. Aktifitas user yang tidak terotorisasi
Tipe aktifitas ini terjadi saat user yang berhak mengakses secara system memiliki
Kemampuan mengakses file yang sebenarnya tidak berhak untuk mereka akses.
Kemampuan mengakses file yang sebenarnya tidak berhak untuk mereka akses.
4. Download file tanpa terproteksi
Melakukan download dapat mengancam kerahasiaan informasi apabila dalam
Prosesnya dari dipindahkan dari tempat yang aman (dari server) ke personal
Computer yang tidak terlindungi dengan baik, dalam rangka pemrosesan secara
Local. Saat berada di personal computer tersebut, apabila tidak dijaga dengan baik
Maka informasi yang bersifat rahasia bias diakses oleh orang yang tidak berhak.
Prosesnya dari dipindahkan dari tempat yang aman (dari server) ke personal
Computer yang tidak terlindungi dengan baik, dalam rangka pemrosesan secara
Local. Saat berada di personal computer tersebut, apabila tidak dijaga dengan baik
Maka informasi yang bersifat rahasia bias diakses oleh orang yang tidak berhak.
5. Local Area Network (LAN)
Khususnya untk tipe LAN yang masih menggunakan topologi bus (masih
Menggunakan hub) maka ancaman terhadap kerahasiaan disebabkan oleh aliran
Data yang dapat dilihat oleh setiap node dalam jaringan tersebut tanpa
Mempedulikan apakah data dialamatkan ke node tersebut atau tidak.
Menggunakan hub) maka ancaman terhadap kerahasiaan disebabkan oleh aliran
Data yang dapat dilihat oleh setiap node dalam jaringan tersebut tanpa
Mempedulikan apakah data dialamatkan ke node tersebut atau tidak.
6. Trojan Horse
Program jahat ini dibuat agar menyalin file-file rahasia ke tempat yang tidak aman.
Tanpa diketahui oleh user yang berhak mengakses file tersebut.
Tanpa diketahui oleh user yang berhak mengakses file tersebut.
Model-model kerahasiaan.
Model-model kerahasiaan sering digunakan untuk menjelaskan langkah apa
saja yang perlu diambil untuk memastikan kerahasiaan informasi. Model
yang sering digunakan adalah model Bell-LaPadula. Model ini
mendefinisikan antara obyek (contohnya:file dan program untuk menampung
kerahasiaan informasi) dan subyek (contohnya: orang, proses, atau alat
yang melakukan perpindahan informasi antar obyek). Subyek dapat megakses
untuk baca, tulis informasi. Subyek mempunyai hak tulis terhadap obyek
yang berada di tingkat yang sama atau lebih tinggi dari subyek. Model
ini disebut juga dengan flow model, karena memastikan bahwa informasi
dalam tingkat keamanan tertentu hanya mengalir ke tingkat yang sama atau
lebih tinggi. Tipe model yang lain adalah Model access control dimana
mengorganisir sebuah system ke dalam obyek (contohnya : resource yang
ditangani), subyek (contohnya : orang atau program yang melakukan aksi),
dan operasi (contohnya : proses dari interaksi yang terjadi).
Penerapan model kerahasiaan
Trusted
system criteria yang dikembangkan oleh National Computer Security
Center dan dipublikasikan di dalam Department of Defense Trusted
Computer System Evaluation Criteria (dikenal dengan Orange Book),
merupakan panduan terbaik dalam menerapkan model kerahasiaan.
B. Integritas
Adalah perlindungan terhadap data dalam system dari perubahan yang tidak terotorisasi, baik secara sengaja atau tidak.
Melindungi dari ancaman terhadap integritas
Tiga prinsip dasar yang digunakan untuk menerapkan pengendalian integritas :
1. Memberikan akses dalam rangka need-to-know-basis. Akses berdasarkan kerangka
need-to-know-basis ini harus memungkinkan terjadinya control maksimal dengan pembatasan seminimal mungkin terhadap user.
need-to-know-basis ini harus memungkinkan terjadinya control maksimal dengan pembatasan seminimal mungkin terhadap user.
2. Pemisahan
tugas (Separation of duties). Untuk memastikan bahwa tidak ada satu
orang karyawan pun yang mengendalikan sebuah transaksi dari awal sampai
akhir, dua atau lebih orang harus bertanggung jawab untuk melakukanya.
3. Rotasi
Tugas. Penugasan suatu pekerjaan harus diubah secara periodic sehingga
mempersulit user dalam berkolaborasi untuk mengendalikan sepenuhnya
sebuah transaksi dan mengalihkanya untuk tujuan terlarang.
Model Integritas
Digunakan untuk menjelaskan apa yang perlu dilakukan untuk menerapkan kebijaksanaan integritas informasi dalam suatu organisasi.
Sasaran integritas :
1. mencegah user yang tidak berhak melakukan perubahan data atau program
2. mencegah user yang berhak melakukan perubahan yang tidak benar atau tidak terotorisasi
3. menjaga konsistensi data dan program secara internal dan eksternal.
C. Availability (Ketersediaan)
Sebagai
kepastian bahwa sebuah system informasi dapat diakses oleh user yang
berhak kapan saja system informasi tersebut dibutuhkan.
Ada dua pengganggu ketersediaan :
1. Denial off service
Istilah
ini biasanya dihubungkan dengan sebuah perbuatan yang mengunci layanan
dari sebuah system informasi sehingga tidak bias digunakan oleh user
yang berhak.
2. Hilangnya pemrosesan data karena bencana alam atau perbuatan manusia.
Dapat
ditanggulangi dengan menggunakan contingency plan yang dapat mengurangi
waktu yang dibutuhkan untuk memulihkan kemampuan perosesan data saat
terjadi bencana.
Banyak usaha yang sudah didesikasikan untuk mengatasi berbagai aspek
dari masalah ketersediaan. Sebagai contoh : banyak riset yang dilakukan
untuk mengembangkan teknologi yang kebih fault tolerance (contohnya :
redundansi hardware, disk mirroring dan application check point
restart).
