KEAMANAN SISTEM INFORMASI KEAMANAN SISTEM INFORMASI Sistem keamanan informasi merupakan suatu subsistem dakam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem ekaanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, da digunakan untuk menghasilkan laporan. Siklus Hidup Sistem Keamanan Informasi Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap hidup ini adalah sebagai berikut. Fase Siklus Hidup Tujuan Analisis sistem Analisis kerentaan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut. Desain sistem Desain ukuran keamnan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi. Implementasi sistem Menerapan ukurn keamanan seperti yang telah didesain. Operasi, evaluasi, dan pengendalian sistem Mengoperasikan sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimanan diperlukan sesuai dengan kondisi yang ada. Sistem Keamanan Informasi dalam Organisasi Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security Fase Siklus Hidup Laporan kepada Dewan Direksi Analisis sistem Sebuah ringksan terkait dengan semua eksposur kerugian ang relevan. Desain sistem Rencana detik mengenai pengendalian dan pengelolaan kerugian, termasuk anggran sistem keamanan secara lengkap. Implementasi sistem, operasi, evaluasi, dan pengendalian sistem Mengungkapkan secara spesifik kinerja sistem ekamnan termasuk kerugian dan plnggaran keamnan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan. Mengalisis Kerentanan dan Ancaman Ada dua pendekatan untuk menganisis kerentanan dan ancaman sistem. Pendekatan kuantitatif untuk menaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item ekposur dengan kemungkinan terjadinya eksposur tersebut. Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar. Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksirkan eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Yang kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramaan masa yang akan dating, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini: KERENTANAN DAN ANCAMAN Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaan merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan asif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase koputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kgagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebaginya. Tingkat Keseriusan Kecurangan Sistem Infomasi Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Keamanan sistem informasi merupakan masalah internasional. Banyak Negara memiliki undang-undang yang ditujukan pada masalah keamanan komputer. National Commision on Fraudulent Financial Reporting (Trradway Commission) mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu invertor dan kreditor mellui pelaporan keuangan yang menyesatkan. Kecurangan semacam ini dilakuakan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi, biasanya istilah kecurangan manajemen mengacu pada manipulasi laporan keuangan. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang sensitive, atau program kritis. Tiga kelompok individu- personel sistem, pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di atas. Personel Sistem Komputer Personel sistem meliputi personel pemelihraan komputer, programmer, operator, personel dministrasi sistem informasi, dan karyawan pengendalian data. Personel Pemeliharaan Sistem. Personel pemeliharaan sistem menginstal perangkat keras dan perangkat luak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak. Indivisu-indivisu semacam ini mungkin tidak ekerja untuk perushaan, tetapi bekerja untuk pemasok tempat perusahaan membeli perngkat lua akuntansi. Beberapa personel pemeliharaan biasa saja berada dalam poisi yang memungkinkan ia melakuakn modifikai yang tidak diharapkan terhadap keamanan dalam sistem operasi. Programer. Programmer sering menulis progra untuk memodifikasi dan memperluas sistem operasi jaringan. Indivisu-individu emacam ini bisanya diberi account dengan kewenangan akses universal ke semua file perusahaan. Operator Jaringan. Indovidu yang mengamati dan memonitor operasi komputer dan jaringan komuniksi disebut operator jaringan. Biasanya, operator diberi tingkat keamnan yang cukup tinggi sehingga memungkinkan operator secara diamdiam mengwasi semua jarinan komunikasi (termauk pada saat pengguna individu memasukkan password), dan juga mengakses semua file di dalam sistem. Personel Administrasi Sistem Informasi. Supervisor menempat posisi kepercyaan yang sangat tinggi. Orang ini biasanya memiliki akse ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau untuk member password pada account yang sudah ada. Karyawan Pengendali Data. Mereka bertanggung jawab terhadap penginputan data e dalam komputer disebut kryawan pengendali data. Poisi ini member peluang bagi karyawan untuk melakukan manipulasi data input. Pengguna Pengguna terdiri dari sekelompok orang yang heterogen dan data dibedakan dengan yang lain karena are fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitive yang dapat merek bocorkan kepada pesaing perusahaan. Pengguna memiliki kendali terhadap input komputer yang cukup penting, sperti memo kredit, kredit rekening, dan lain sebagainya. Penyusup Setiap orang yag memiliki akses ke peralatan, data elektronik, ata file tanpa hak yang legal merpakan peyusup (intruder). Penyusup yang menyerang sistem inormasi sebagai sebuah kesenanga dan tantangan dikenal dengan nama hacker. Tipe lai dari penyusup antara lain unnoticed intrudruder, wiretapper, piggybacker, impersonating intruder, dan eavesdropper. Ancaman Aktif pada Sistem Informasi Ada enam metode yang dapat digunakan untuk melakukan kecurangan sistem informasi. Metode ini meliputi manipulasi input, perubahan program, perubahan file secara langsung, pencurian data, sabotase, dan penyalahgunaan atau pencurian sumber daya informasi. Manipulasi Input Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer. Mengubah Program Mengubah program mungkin merupaka metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Banyak perusahaan besr memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubhn dalam program. Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang mengakses program dengan mengabaikan jalur keamnanan program tersebut. Ada kalanya pengembangan program menempatkan trapdoor dalam sebuah program untuk meyakinkan bahwa mereka akan selalu memiliki akses terhadap program tersebut. Trapdoor bisa saja ada di dalam sistem kuntansi, program database, sistem operasi, dan lain sebagainya. Mengubah File secara Langsung Dalam beberapa kasus, individu-individu tertentu menemukan cara mmotong (bypass) proses normal untuk menginput data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana. Pencurian Data Pencurian data penting merupakan salah satu masalah yang cukup serius dalam sunia bisnis hari ini. Dalam industry dengan tingkat persaingan yang sangat tinggi, informasi kuantittif dan kualitatif terkait dengan salah seorang pesaing merupakan salah satu informas yang cukup diburu. Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini retan terhadap pencurian data saat transmisi. Informasi tersebut bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukan ke dalam kotak sampah. Lebih jauh, individu-individu denagn akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat Internet. Dengan menggunakan metode tersebut, penyusup data mencuri sejumlah besar informasi hanya dalam hitungan menit. Sabotase Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menybabkn kebangkrutan suatu perusahaan. Karawan yang tida puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Seorang pnyusup menggunaan sabotase untk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Sebagai contoh, seseorang mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat dilakukan yang dapat menyebabkan keruakan yang serius terhadap perangkat keras komputer. Magnet dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan meletakkan magnet di dekat media/ detak radar juga memiliki efek yang sama jika radar tersebut diarahkan pada bangunan yang berisi media magnetic. Salah satu metode tertua sabotase dengan menggunkan program komputer yaitu dengan bom logika bom logika melibatkan sekeping kode laten di dalam sebuah program yang akan diaktivasi pada suatu saat nanti terkait dengan peristiwa tertentu. Kuda Troya merupakan sebuah program yang destruktif yang berklamuflase seolah-olah ia merupakan program yang legal. Program Virus serupa dengan kuda troya, tetapi dapat menyebarkan dirinya sendiri ke program lain, "menginfeksi" program lain dengan virus yang sama. Virus saat ini sangat lumrah karena hamper semua perusahaan menghadapi virus setiap hari. Worm Worm merupakan satu jenis virus yang menyebarkan dirinya melalui jaringan komputer. Istilah worm muncul karena komputer berbeda yang terinfeksi di dalam jaringan dianggap sebagai suatu segmen yang terkait seperti serangga. Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat, termasuk bom logika, kuda troya, dan worm. Bentuk sabotase yang lain adalah serangan denial-of-service. Penyerang membanjiri server Web dengan sangat banyak permintaan dalam interval waktu yang sangat pendek. Terakhir, ada juga serangan yang ditujukan untuk menghancurkan Website perusahaan. Hacker biasanya menembus masuk ke dalam Website dan memodifikasi atau mengganti home page. Penyalahgunaan atau Pencurian Sumber Daya Informasi Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi. Contohnya, lima orang karyawan dinyatakan bersalah karena menggunakan komputer mainframe perusahaan di jam-jam senggang untuk mengoperasikan pemrosesan data perusahaan mereka sendiri. Selain itu, tipe kejahatan komputer yang lain, tidak terlalu diketahui tetapi sangat mungkin terjadi di banyak perusahaan seperti misalnya beberapa karyawan mencuri komputer mainframe perusahaan dalam satu hari, bagian demi bagian dilarikan lewat pintu belakang. SISTEM KEAMANAN SISTEM INFORMASI Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervisi yang memadai, rotasi pekerjaan, batch control total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi. Lingkungan Pengendalian Merupakan dasar keefektifan seluruh sistem pengendalian yang tergantung pada delapan faktor, yaitu: Aktivitas pertama dan terpenting dalam sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Menciptakan suasana ini dapat dilakukan dengan banyak cara, seperti pemberian pendidikan mengenai keamanan bagi semua karyawan, selalu memonitor peraturan keamanan, dan membina hubungan yang baik dengan seluruh karyawan. Dalam banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputansi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem keamanan komputer. Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Komite audit harus berkonsultasi secara berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamana komputer. Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya. Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi. Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus berubah. Sistem semestinya "ditantang" secara berkala dengan transaksi hipotesis. Perubahan terhadap file master harus dilacak balik ke dalam dokumen sumber yang relevan. Pelacakan balik semacam ini merupakan satu cara yang berguna untuk mendeteksi perubahan ilegal terhadap file master. Cara lain yang dapat digunakan untuk mendeteksi perubahan ilegal adalah dengan menggunakan batch control total. Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan personalia sistem komputer. Pengguna sering memiliki akses fisik ke aktiva komputer dan personalia sistem sering memiliki hak akses ke file data yang memuat catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi satu undangan untuk melakukan kecurangan. Rotasi pekerjaan dan vakasi wajib harus diterapkan ke semua personel sistem yang memiliki akses ke file yang sensitif. Banyak skema kejahatan, bahkan dalam lingkungan komputer, mensyaratkan pelaku untuk melakukan pengamatan secara terus menerus. Praktik personalia terkait dengan perekrutan dan pemecatan karyawan juga merupakan hal yang penting. Karyawan yang prospektif harus diteliti dengan sangat hati-hati, terkait dengan masalah-masalah yang dia hadapi yang dapat mendorong dirinya untuk melakukan kejahatan seperti kesulitan kredit, kecanduan terhadp sesuatu, termasuk masalah terkait dengan pekerjaannya ditempat yang sama. Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-hati karena karyawan yang di-PHK tercatat sebagai pelaku utama dalam kasus sabotase. Jika seorang karyawan kunci dipecat, semua hak akses ke perangkat keras, perangkat lunak, dan file data sensitif harus dibatalkan secepat mungkin. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah, serta mengatur pengiriman informasi ke negara lain. Penting juga untuk mengimplementasikan kebijakan internal yang terdokumentasi dengan baik untuk mencegah pembajakan perangkat lunak. Perusahaan yang tidak memiliki kebijakan semacam ini dapat menjadi sasaran hukum. Pengendalian Ancaman Aktif Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah dengan menetapkan tahap-tahap pengendalian akses. Pengendalian akses memisahkan penyusup dari sasaran potensial mereka. Filosofi di balik pendekatan berlapis untuk pengendalian akses melibatkan pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran potensial mereka. Tiga tahap yang dapat digunakan adalah pengendalian akses lokasi, pengendalian akses sistem, dan pengendalian akses file. Tujuannya adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan. Ruangan yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci. Tersedia juga sistem autentikasi perangkat keras biometrik. Secara otomatis mengidentifikasi individu berdasarkan sidik jari mereka, ukuran tangan, pola retina, pola suara, dan lain sebagainya. Kompleks pengolahan data harus berlokasi di gedung yang terisolasi yang dikelilingi tembok dengan pintu akses. Semua konsentrasi data komputer dan peralatan harus dilokasikan ditempat yang sulit ditemukan. Serangan terhadap pustaka data dan ruangan kritis lainnya dapat diminimalkan dengan sistem penjagaan yang sangat ketat mencakup pemasangan pintu ganda untuk tempat penyimpanan data komputer. Pusat data entry yang tersentralisasi harus merupakan area yang sangat terproteksi dan terbatas bagi orang-orang yang tidak berkepentingan. Komputer personal, terminal, disket, dan tape juga harus dilindungi. Semua objek ini merupakan sasaran pencurian, interferensi, dan perusakan. Menjaga segala sesuatu dalam ruang yang terkunci merupakan salah satu cara proteksi yang terbaik. Terakhir, jika memungkinkan, semua peralatan komputer harus ditempatkan di ruang yang terkunci, dengan dinding yang cukup kuat untuk mencegah terjadinya intrusi radiasi elektromagnetik yang tidak diharapkan. Tidak ada perangkat lunak yang boleh diinstal di komputer maupun tanpa persetujuan dari keamanan. Ini merupakan masalah yang sulit karena virus dapat masuk ke dalam komputer melalui banyak cara. Ada cara lain untuk membatasi secara fisik intrusi virus, salah satunya adlah dengan menyediakan workstation yang tidak memiliki harddisk dan diskdrive. Pendekatan ini memiliki keuntungan dengan pemusatan instalasi semua perangkat lunak, termasuk backup file. Cara kedua adalah menggunakan sistem operasi yang ROM-based. Menempatkan sistem operasi di dalam ROM akan melindungi jaringan dari ancaman virus. Terakhir, semua kabel listrik harus antisadap. Kabel fiberoptik biasanya dianggap aman dari penyadapan dan dapat digunakan. Pusat jaringan dan peralatan komunikasi harus ditempatkan di ruang terkunci. Merupakan suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan perangkat-perangkat keras. Password harus dikendalikan dengan hati-hati melalui sistem pengelolaan pasword yang baik. Prosedur pemberian password yang paling aman adalah dengan tidak memberi kemungkinan kepada pengguna untuk mengubah password mereka. Password yang ideal mestinya terdiri dari kombinasi huruf kapital dan huruf kecil, simbol khusus, dan angka. Satu lagi lapisan keamanan dapat ditambahkan dengan penggunaan sistem sign-countersign. Kekuatan sistem ini adalah pasangan sign-countersign tidak akan pernah digunakan dua kali. Firewall dapat diprogram untuk menolak setiap paket yang datang yang tidak berasal dari alamat IP yang ada pada daftar otorisasi. Firewall hanya dabat membatasi, tetapi bukan merupakan satu solusi total. Solusi yang lebih baik adalah menggunakan firewall dengan teknik enkripsi. Terakhir, perlu dilakukan pembatasan terhadap hak administrasi setiap individu pengguna komputer personal untuk mencegah pengguna menginstal perangkat lunak ke dalam PC mereka, yang selanjutnya dapat mencegah kontaminasi virus, kuda Troya, dan gangguan lain terhadap PC. Pengendalian akses file mencegah akses ilegal ke data dan file program. Yang paling fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah file. Perubahan program tidak boleh dilakukan tanpa ada persetujuan tertulis. Salina program yang telah diubah harus diinspeksi terlebih dahulu sebelum digunakan untuk menggantikan program yang orisinil. Semua program penting harus disimpan di dalam file terkunci. Ini berarti program dapat dijalankan, tetapi tidak dapat dilihat atau diubah. Hanya bagian keamanan yang dapat mengetahui password untuk membuka file program. Bagian keamanan bertanggung jawab untuk mengecek secara berkala kesamaan program yang sedang beroperasi dngan versi program yang disimpan di perpustakaan. Perusahaan dapat menginstal program residen yang secara konstan terus mengecek keberadaan virus atau adanya perubahan file. Satu cara terbaik yang dapat digunakan untuk menghilangkan masalah virus adalah dengan mengendalikan setiap tambahan file baru yang dimasukkan ke dalam sistem. Pengendalian Ancaman Pasif Mencakup masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ini dapat berupa pengendalian preventif maupun korektif. Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada lima level pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada transaksi individual. Jaringan dapat dijadikan sistem toleransi kesalahan dengan cara menduplikasi jalur komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang dapat digunakan untuk membuat pemrosesan CPU redundan. Sistem dengan protokol berbasis-konsensus dan sistem watchdog processor. DASD dapat dijadikan sistem toleransi kesalahan dengan beberapa cara, seperti pengujian read-after-write, bad-sector lockout, dan disk mirroring. Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan uninterruptable power supply (UPS). Jika listrik mati, sistem backup yang ada kalanya bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan mendadak terhadap aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan yang diterapkan pada level transaksi mencakup rollback processing dan database shadowing. Dengan rollback processing, transaksi tidak pernah dituliskan ke dalam disk, kecuali transaksi tersebut telah lengkap. Database shadowing serupa dengan disk shadowing, hanya saja duplikasi semua transaksi dibuat dan dikirimkan lewat jaringan komunikasi ke lokasi yang jauh (remote location). Ada tiga jenis backup: backup penuh, inkremental, dan diferensial. Backup penuh membuat back up semua file yang ada dalam suatu disk. Sistem operasi akan secara otomatis mengeset bit ini menjadi 1 pada saat sebuah file mengalami perubahan. Backup inkremental melakukan backup semua file dengan nilai archive bit 1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive bit file akan kembali diset menjadi 0 selama proses backup. Terakhir backup diferensial pada dasarnya sama dengan backup inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses backup. Skema backup yang paling sederhana adalah melakukan backup penuh secara periodik. Keamanan Internet Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentaan terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini: Kerentanan sistem operasi Web server sebenarnya merupakan ekstensi dari sistem informasi. Akibatnya, setiap kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan inilah administrator keamanan harus, pertama dan terpenting, mengamankan sistem operasi. Administrator harus secara konstan memonitor buletin keamanan yang dipublikasikan oleh vendor sistem opersi dan oleh jasa advisory pihak ketiga. Kerentanan Web Server Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi web server. Keamanan web server dapat menurun tajam akibat kesalahan konfigurasi. Salah satu maslaah konfigurasi yang paling umum adalah area konfigurasi pemberian akses direktori dan file terkait dengan program yang dapat dieksekusi. Kode program yang dpat dieksekusi merupakan salah satu komponen penting dari hampir semua website komersial. Hak menulis dan hak eksekusi tidak boleh diberikan pada satu direktori yang sama. Dalam praktik, kombiansi dua hak yang mematikan ini sering diberikan kepada pihak luar tanpa sengaja. Kerentanan Jaringan Privat Ketika Web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai komputer melalui suatu LAN, akan timbul suatu resiko. Hacker dapat menyerang satu komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke komputer yang menjadi host Web server, maka hacker pertama kali akan masuk ke dalam komputer pengguna. Kemudian, hacker akan menggunakan hak akses pengguna yang asli untuk melakukan invansi ke dalam komputer host Web server. Salah satu cara yang digunakan hacker untuk menyerang komputer melalui komputer yang lain adalah dengan mengirim surat elektronik yang disertai program kuda Troya (dalam bentuk attachment) ke komputer perantara tersebut. Program kuda Troya secara otomatis dan diam-diam terinstal pada saat korban di komputer perantara membuka pesan e-mail. Salah satu program kuda Troya, Back Orifice, memungkinkan hacker mengendalikan komputer korban dari jarak jauh melalui internet. Kerentanan Berbagai Program Server Banyak komputer host suatu Web server tidak hanya menjalankan Web server, teteapi juga server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), e-mail server, dan remote control server (yang memungkinkan komputer yang lokasinya jauh mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan server merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker untuk menyerang semua server yang lain dan semua file di dalam komputer, bahkan komputer-komputer lain yang terhubung ke server dalam LAN. Prosedur Keamanan Umum Perangkat lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika administrator sistem tidak menegakkan kebijakan keamanan. Mengamankan file log merupakan isu yang penting karena hacker sering berusaha "menutupi jejak lacak mereka" dengan mengubah file log. Salah satu cara yang dapat digunakan untuk mengamankan file log adalah dengan menuliskan log ke komputer di lokasi yang berbeda. Firewall biasanya digunakan untuk membatasi akses masuk ke suatu jaringan komputer. Firewall juga dapat digunakan untuk menahan atau membatasi akses keluar oleh program tertentu atau server tertentu. Sekalipun firewall merupakan salah satu alat yang sangant penting, mesti diingat bahwa alamat IP dapat dipalsukan. IP address palsu memungkinkan akses keluar dan masuk yang illegal akan dianggap sebagai bagian dari akses yang legal. Oleh karena itu, pelatihan dan prosedur kemanan dasar harus selalu menjadi pertimbangan pertama. PENGELOLAAN RISIKO BENCANA Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Mencegah Terjadinya Bencana Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah: Bencana alam (30%), Tindakan kejahatan yang terencana (45%), dan Kesalahan manusia (25%). Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari dari kebijakan keamanan yang baik. Banya k bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijkan dan perencanaan keamanan yang baik. Perencanaan Kontingensi untuk Mengatasi Bencana Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta penetapan strategi dan prosedur pemulihan. Menaksir Kebutuhan Perusahaan Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini mecakup perangkat keras, perangkat lunak, peraltan listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya manusia. Daftar Prioritas Pemulihan dari Bencana Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasikan aktivitas dan jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit atau hitungan jam setelah terjadinya suatu bencana. Perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu bencana. Strategi dan Prosedur Pemulihan Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan. Pusat Respons Darurat Pada saat bencana terjadi, semua wewenang pengolahan data dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat. Prosedur Eskalasi Prosedur eskalasi menyatakan kondisi seperti apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa yang harus diberi tahu tentang adanya bencana. Menentukan Pemrosesan Komputer Alternatif Bagian terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi lokasi cadangan yang akan digunakan jika lokasi komputasi primer rusak atau tidak dapat berfungsi. Ada tiga macam lokasi cadangan, yaitu: Alternatif lain selain ketiga alternatif pembangunan lokasi cadangan tersebut adalah membangun kontrak dengan biro jasa komputasi, dengan pemasok jasa penanganan bencana yang komersial, dan dengan perusahaan rekanan yang lain, yang kemungkinan berada dalam industri yang sama. Biro Jasa mengkhususkan diri untuk menyediakan jasa pengolahan data bagi perusahaan yang memilih untuk tidak memproses sendiri data yang mereka miliki. Perjanjian Shared Contingency atau Reciprocal Disaster merupakan perjanjian antara dua perusahaan di mana setiap perusahaan setuju untuk membantu perusahaan lain pada saat perusahaan yang lain membutuhkan. Rencana Relokasi Karyawan Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan ke lokasi cadangan. Rencana Penggantian Karyawan Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat ekstensif. Perencanaan Penyelamatan Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secra cepat. Perencanaan Pengujian Sistem dan Pemeliharaan Sistem Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.
officer (CSO). Tugas utama CSO adalh memebrikan laporan langsung kepda dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Selasa, 28 September 2010
KEAMANAN SISTEM INFORMASI – RMK 5
08.23
No Comments
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Virus Mellisa Macro menempelkan dirinya pada file Microsoft Word dan menyebar melalui Internet dengan cara mengirim email yang terinfeksi ke luar, ke nama-nama yang terdapat dalam buku alamat secara otomatis.
Robert Morris, Jr., seorang lulusan dari Cornell University, mengembangkan program virus yang masuk ke dalam internet dan menyebar melalui jaringan dengan sangat cepat.
Filosofi Manajemen dan Gaya Operasi
Struktur Organisasi
Dewan Direksi dan Komitenya
Metode Pembagian Otoritas dan Tanggung Jawab
Aktivitas Pengendalian Manajemen
Fungsi Audit Internal
Kebijakan dan Praktik Personalia
Pengaruh Eksternal
Pengendalian akses lokasi
Pengendalian akses sistem
Pengendalian akses file
Sistem toleransi kesalahan
Memperbaiki kesalahan: Backup File
Sistem operasi atau konfigurasi sistem operasi
Web server atau konfigurasi web server
Jaringan privat atau konfigurasi jaringan privat
Berbagai program server
Prosedur keamanan secara umum
Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel komputer, tetapi tidak dilengkapi dengan peralatan komputasi.
Hot site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan komputasi.
Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan, dan juga data backup dan perangkat lunak yang up-to-date.
0 komentar:
Posting Komentar