BAB 1
A. PENGERTIAN
Sistem adalah
suatu sekumpulan elemen atau unsur yang saling berkaitan dan memiliki tujuan
yang sama. Keamanan adalah suatu kondisi yang terbebas dari
resiko. Komputer adalah suatu perangkat yang terdiri dari
software dan hardware serta dikendalikan oleh brainware (manusia). Dan jika
ketiga kata ini dirangkai maka akan memiliki arti suatu sistem
yang mengkondisikan komputer terhindar dari berbagai resiko.
Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai
perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan
ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Selain itu, sistem keamanan komputer bisa juga berarti suatu
cabang teknologi yang dikenal dengan nama keamanan informasi yang
diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah
sebagai perlindungan informasi terhadap pencurian atau korupsi, atau
pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Menurut John D. Howard dalam bukunya “An Analysis of security
incidents on the internet” menyatakan bahwa : Keamanan komputer adalah tindakan
pencegahan dari serangan pengguna komputer atau pengakses jaringan yang tidak
bertanggung jawab.
Sedangkan menurut Gollmann pada tahun 1999 dalam bukunya
“Computer Security” menyatakan bahwa : Keamanan komputer adalah berhubungan
dengan pencegahan diri dan deteksi terhadap tindakan pengganggu yang tidak
dikenali dalam system komputer.
Dalam keamanan sistem komputer yang perlu kita lakukan adalah untuk mempersulit
orang lain mengganggu sistem yang kita pakai, baik kita menggunakan
komputer yang sifatnya sendiri, jaringan local maupun jaringan global. Harus
dipastikan system bisa berjalan dengan baik dan kondusif, selain itu program
aplikasinya masih bisa dipakai tanpa ada masalah.
Menurut Garfinkel dan Spafford, ahli
dalam computer security, komputer dikatakan aman jika bisa
diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan.
B. KEJAHATAN KOMPUTER
Definisi:
kegiatan penggunaan komputer untuk melakukan tindakan ilegal.
· Jenis-jenis kejahatan komputer
u Data diddling: manipulasi atau pemalsuan data
u Salami slicing: bagian program yang memotong sebagian
kecil dari nilai transaksi yang besar dan mengumpulkannya dalam suatu periode
tertentu
u Phreaking: making free long distance calls
u Cloning: penyalahgunaan telpon selular
menggunakan scanner
u Carding: pencurian nomor kartu kredit secara
online
u Piggybacking: pencurian nomor kartu kredit
dengan memata-matai
u Social engineering: menipu pegawai untuk
mendapatkan akses
u Dumpster diving: pencarian informasi pribadi di
bak sampah
u Spoofing: pencurian password melalui pemalsuan
halaman login
· Pengamanan yang disarankan
u Terapkan rencana pengamanan untuk mencegah
pembobolan
u Miliki rencana jika pembobolan terjadi
u Buatlah backup!
u Hanya ijinkan akses untuk pegawai tertentu
u Ubah password secara teratur
u Jagalah informasi yang tersimpan dengan aman
u Gunakan software antivirus
u Gunakan biometrik untuk mengakses sumberdaya
komputasi
u Rekrut tenaga kerja / pegawai yang bisa
dipercaya
n Enkripsi – proses penyandian pesan sebelum
memasuki
jaringan atau gelombang udara,
kemudian membuka
kembali pada ujung
penerimaan. Bagaimana
enkripsi bekerja :
u Sistemkunci .
t Pengirim dan penerima keduanya menggunakan kunci
yang
sama
t Manajemen kunci dapat menjadi masalah
u Teknologi kunci publik
t Menggunakan kunci privat dan kunci publik
u Autoritas sertifikat
t Lembaga / orang terpercaya yang memberikan
keterangan bahwa suatu situs web dapat dipercaya (menyediakan kunci publik
kepada pihak yang terpercaya) A trusted middleman
verifies
that a Web site is a trusted site (provides public keys to trusted partners)
t Secure socket layers (SSL)
· Bentuk keamanan Komputer
u Firewall – hardware dan software
yang dirancang untuk menjaga agar user yang tidak berhak tidak dapat masuk ke
sistem jaringan.
n Pencegahan Virus
u Install software antivirus
u Buat data cadangan
u Hindari pemakaian program bebas yang tidak
dikenal.
u Hapus email dari sumber yang tidak dikenal
u Jika komputer kena virus …
n Bagaimana menjaga privasi saat online
· Pilih situs web yang dimonitor oleh
pengacara privasi.
· Hindari “cookies”
· Kunjungi situs secara anonim
· Gunakan peringatan saat meminta
konfirmasi Email.
· Hindari penipuan di dunia cyber
· Pelelangan Internet
· Akses Internet
· Men-dial modem
internasional
· Web cramming
· Multilevel marketing (skema
piramida)
· Bepergian / liburan
· Kesempatan bisnis
· Penanaman modal
· Produk-produk pewaratan keseh
Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan cenderung
meningkat adalah sebagai berikut :
1.
Meningkatnya
pengguna komputer dan internet
2.
Banyaknya
software yang pada awalnya digunakan untuk melakukan audit sebuah system dengan
cara mencari kelemahan dan celah yang mungkin disalahgunakan untuk melakukan
scanning system orang lain.
3.
Banyaknya
software-software untuk melakukan penyusupan yang tersedia di Internet dan bisa
di download secara gratis.
4.
Meningkatnya
kemampuan pengguna komputer dan internet
5.
Desentralisasi
server sehingga lebih banyak system yang harus ditangani, sementara SDM
terbatas.
6.
Kurangnya
hukum yang mengatur kejahatan komputer.
7.
Semakin
banyaknya perusahaan yang menghubungkan jaringan LAN mereka ke Internet.
8.
Meningkatnya
aplikasi bisnis yang menggunakan internet.
9.
Banyaknya
software yang mempunyai kelemahan (bugs).
Ada beberapa hal yang bisa menjawab diperlukannya pengamanan sistem komputer,
antara lain :
Menghindari
resiko penyusupan, harus dipastikan bahwa system tidak ada penyusup yang bisa
membaca, menulis dan menjalankan program-program yang bisa mengganggu atau
menghancurkan system.
1.
Mengurangi
resiko ancaman, hal ini biasa berlaku di institusi dan perusahaan swasta. Ada
beberapa macam penyusup yang bisa menyerang system yang dimiliki, antara lain :
1.
Ingin Tahu,
jenis penyusup ini pada dasarnya tertarik menemukan jenis system yang
digunakan.
2.
Perusak,
jenis penyusup ini ingin merusak system yang digunakan atau mengubah tampilan
layar yang dibuat.
3.
Menyusup
untuk popularitas, penyusup ini menggunakan system untuk mencapai popularitas
dia sendiri, semakin tinggi system keamanan yang kita buat, semakin membuatnya
penasaran. Jika dia berhasil masuk ke sistem kita maka ini menjadi sarana
baginya untuk mempromosikan diri.
4.
Pesaing,
penyusup ini lebih tertarik pada data yang ada dalam system yang kita miliki,
karena dia menganggap kita memiliki sesuatu yang dapat menguntungkannya secara
finansial atau malah merugikannya (penyusup).
2.
Melindungi
system dari kerentanan, kerentanan akan menjadikan system berpotensi untuk
memberikan akses yang tidak diizinkan bagi orang lain yang tidak berhak.
3.
Melindungi
system dari gangguan alam seperti petir dan lain-lainnya.
BAB III
MANAJEMAN KEAMANAN KOMPUTER
karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan
informasi dikenal sebagai 6P yaitu:
1. Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya
yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam
organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
(2)tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya,
planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan
untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan
informasi supaya diterapkan dalam lingkungan teknologi informasi.
2. Policy
Dalam
keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
1.
Enterprise information security policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
2. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
3. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
2. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
3. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs Adalah operasi-operasi dalam keamanan informasi yang secara khusus
diatur dalam beberapa bagian. Salah satu contohnya adalah program security
education training and awareness. Program ini bertujuan untuk memberikan
pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan
pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan
informasi organisasi.
3.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
4. People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
5. Project
Management
Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen
kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya
yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian
keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.
Soal akurasi dan kecepatan jadi alasan kenapa komputer dipilih jadi alat bantu
bekerja. Sayangnya, tak sedikit hal-hal buruk terjadi di komputer sebagai media
Informasi. Kemampuan komputer pun banyak dimanfaatkan untuk hal-hal negatif,
seperti penyebaran virus, trojan, DoS, Web deface, bahkan sampai pencurian
identitas dan dana segar. Hal tersebut memunculkan suatu kebutuhan akan
keamanan komputer. Dengan membangun sistem keamanan, data di komputer sebagai
media Informasi bisa terlindungi dan terselamatkan. Informasi yang merupakan
aset harus dilindungi keamanannya.
Keamanan,secara umum diartikan sebagai ‘ quality or state of being secure-to be
free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh
dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya.
Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada
masing-masing kekhususannya.
Keamanan
informasi adalah perlindungan informasi termasuk sistem dan perangkat yang
digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi
informasi dari berbagai ancaman untuk menjamin kelangsungan usaha,
meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya
investasi dan peluang usaha.
Perhatian Pada Keamanan Komputer Perusahaan di Indonesia disebut belum terlalu
memperhatikan keamanan komputer mereka. Padahal hal ini akan sangat diperlukan
bila ingin menjalankan bisnis internasional.Hal serupa kita jumpai pula saat
kita menginginkan komputer atau sistem kita aman dari virus, spam, atau
serangan hacker. Seringkali kita harus rela sedikit repot menginstal antivirus
dan menyaring semua data yang lalu lalang di sistem. Dengan makin pintarnya
para pembuat virus dan makin cerdasnya para pembobol sistem, maka cara
mengamankan sistem pun makin ditingkatkan, bahkan telah mengubah paradigma di
bidang ini. Dahulu orang biasa membuka semua akses, membiarkan semua lewat,
baru kemudian menutup beberapa pintu yang dianggap rawan serangan. Artinya,
setelah semua “penjahat” berada di dalam, mereka baru diseleksi. Cara ini
memang membuat kita lebih leluasa menjelajah atau menerima kiriman dari luar.
Namun di lain pihak, kita menjadi tidak sadar bila ada kode jahat yang menyamar
menjadi file baik-baik. Akhirnya sistem kita bobol.
Kini pandangan itu berubah. Menurut mahaguru di bidang keamanan, Steve Riley,
sekarang orang lebih baik memblokir semua pintu dahulu, baru kemudian
mengijinkan mereka yang berkepentingan masuk. Untuk bisa masuk, file harus
dikenali. Persis seperti bila kita akan memasuki hotel atau perkantoran.
Akibatnya, kita memang akan berulang kali ditanya sistem, apakah file A bisa
masuk, apakah si B boleh lewat dan sebagainya. Sering kali, karena tidak
dikenali, beberapa file juga akan terblokir, dan bagi sebagian orang hal ini tidak
nyaman.
Memang keamanan tidak berjalan bersama kenyamanan, Bila ingin aman, maka kita
harus mengorbankan kenyamanan. Demikian juga sebaliknya. Tak heran jika
beberapa orang masih malas menginstal produk SP2 dari Microsoft. SP2 ini
dianggap akan membatasi lalu lintas karena sifatnya yang “protect everything”,
sehingga semua pintu masuk hanya bisa dilewati setelah ada ijin. Belum lagi,
pengguna disarankan untuk membaca manual, yang sama artinya dengan belajar
lagi. Padahal, sistem keamanan SP2 ini sulit ditembus. Secara teknologi,
masalah keamanan sudah bagus. Yang menjadi tantangan justru dari segi pengguna.
Sistem ini makin sulit diserang, dan di masa depan yang menjadi kelemahan
sistem adalah manusianya, Bagaimana menyadarkan pentingnya keamanan sehingga
orang bersedia sedikit repot menginstal dan selalu meng-update sistem
keamanannya. Sumber Web://www.informatika.lip.go.id
Ancaman terhadap keamanan sistem informasi memiliki dampak hilangnya data dan
informasi, terganggunya komunikasi jaringan komputer misalnya dengan habisnya
bandwidth yang terpakai oleh worm untuk menggandakan dirinya atau lumpuhnya
sistem e-mail. Atas ancaman keamanan sistem informasi, dari beberapa data yang
ada, usaha kecil menengah atau UKM, terutama di Indonesia, memiliki sikap:
Tidak memperdulikan keamanan sistem informasi misalnya menghubungkan komputer
dengan LAN yang memiliki akses membagi data dari mobile disk atau internet
tanpa dilengkapi software security seperti firewall atau antivirus, atau Memiliki
keamanan minimal misalnya bersikap reaktif terhadap masalah keamanan sistem
informasi yang muncul. Sikap-sikap seperti ini justru memicu semakin maraknya
masalah-masalah keamanan sistem informasi mulai dari virus hingga penyusupan
sistem. Situasi kesadaran pentingnya keamanan sistem informasi.
Secara implisit tanpa melihat data yang ada atau mesti dicari, perekonomian di
Indonesia mampu bertahan dalam berbagai keadaan kesulitan ekonomi tanpa hutang
pada pihak manapun yang dapat semakin mempersulit keadaan ekonomi. Kemampuan
bertahan dalam kesulitan ekonomi juga memberikan efek sosial penting pengadaan
lapangan pekerjaan. Pertanyaan yang paling mendasar sepanjang masa bagi
kehidupan manusia adalah mengapa keamanan menjadi salah satu perhatian utama?
Siapapun juga yang mempelajari keamanan, dalam konteks tulisan ini adalah
keamanan komputer secara umum atau keamanan sistem informasi pada khusunya,
mestilah mempelajarinya dari suatu materi belajar, seperti buku, pelatihan,
rekan kerja senior atau bahkan melalui kegiatan perkuliahan. Tak seorangpun
secara alami lahiriah memiliki informasi tentang keamanan baik keamanan secara
umum ataupun keamanan komputer dan sistem informasi secara khusus, Keamanan
komputer dan keamanan sistem informasi merupakan bidang yang kompleks bermulai
dari manajemen keamanan sistem informasi dan berakhir pada algoritma matematika
enskripsi data yang rumit didukung pengetahuan keamanan komputer hingga
penggunaan perangkat lunak keamanan khusus. Jadi dapat saja seseorang memiliki
pertanyaan-pertanyaan tentang keamanan sistem informasi dan tidak memahami
beberapa hal tentang keamanan sistem informasi. Pertanyaan mendasar perlunya
keamanan bagi sistem informasi usaha kecil dan menengah dicoba dijawab dengan
mempelajari manfaat sistem informasi bagi pebisnis. Sistem informasi yang
diterapkan kegiatan pebisnis layak dilindungi. Sistem informasi yang
dikembangkan pebisnis merupakan model bagi bisnis usaha. Banyak proses bisnis
dibantu bahkan dijalankan dengan teknologi informasi yang dimiliki
B. Tinjauan
Umum Mengenai Manajemen Keamanan Komputer
Keamanan adalah keadaan bebas dari bahaya. Istilah ini bisa digunakan dengan
hubungan kepada kejahatan, segala bentuk kecelakaan, dan lain-lain. Keamanan
merupakan topik yang luas termasuk keamananan nasional terhadap serangan
teroris, keamanan komputer terhadap hacker, kemanan rumah terhadap maling dan
penyelusup lainnya, keamanan finansial terhadap kehancuran ekonomi dan banyak
situasi berhubungan lainnya. Sumber: wsilfi.staff.gunadarma.ac.id
Informasi yang ada dikomputer, merupakan aset harus dilindungi keamanannya.
Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to
be free from danger. Untuk menjadi aman adalah dengan cara dilindungi dari musuh
dan bahaya . Keamanan bisa dicapai dengan beberapa strategi yang biasa
dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang
lainnya . http://en.wikipedia.org//
Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada
masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:
Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau
anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi
bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi
Operation Security yang memfokuskan strategi untuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk
mencapai tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.
Masing-masing komponen di atas berkontribusi dalam program keamanan informasi
secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk
sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan
informasi komputer melindungi informasi dari berbagai ancaman untuk menjamin
kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman,
mempercepat kembalinya investasi dan peluang usaha.
1.
Mengkategorikan Keamanan
Ada banyak literatur dalam analisis dan pengkategorian keamanan. Bagian penting
dari kemanan adalah “titik terlemah dalam rantai”. Situasinya juga berbeda
karena pelindung harus mencakup semua titik serangan sedangkan penyerang hanya
harus mengidentifikasi satu titik lemah dan berkonsentrasi di situ. Keamanan informasi
memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa
aspek tersebut, tiga yang pertama disebut C.I.A triangle model ,adalah sebagai
berikut:
Confidentiality
Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang
boleh mengakses informasi tertentu.
IntegritIntegrity: harus menjamin kelengkapan informasi dan menjaga dai
korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.
AvailabilityAvailability: adalah aspek keamanan informasi yang menjamin
pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format
yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau
komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses
informasi.
Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord
dalam bukunya Management Of Information Security adalah:
Privacy
Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah
dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat
informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik
informasi dari orang lain.
Identification
Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali
individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak
akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam
penggunaan user name atau user ID.
Authentication
Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang
benar-benar orang yang memiliki identitas yang mereka klaim.
Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi
memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan
autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus
isi dari aset informasi.
Accountability
Karakteristik
ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap
aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.
2. Konsep
Keamanan
Beberapa konsep terjadi di beberapa bidang keamanan. resiko - sebuah resiko
adalah kemungkinan kejadian yang menyebabkan kehilangan ancaman - sebuah
ancaman adalah sebuah metode merealisasikan resiko countermeasure - sebuah
countermeasure adalah sebuah cara untuk menghentikan ancaman pertahanan dalam
kedalaman - jangan pernah bergantung pada satu pengatasan keamanan saja.
Asuransi - asuransi adalah tingkatan jaminan bahwa sebuah sistem keamanan akan
berlaku seperti yang diperkirakan.
3. Konsep
Dasar Manajemen Keamanan Komputer
Keamanan
sistem informasi merupakan upaya manajemen. Manajemen keamanan sistem informasi
dapat diterapkan dengan baik bila manajer pebisnis mengetahui beberapa hal
dasar keamanan sistem informasi pebisnis, kebijakan keamanan yang perlu
dikembangkan dan perbedaan metode terutama digunakan untuk menganalisa resiko
keamanan sistem informasi yang dibahas dalam tulisan ini.
4. Prinsip
Fundamental Keamanan Komputer
Pada bagian ini akan dibahas prinsip perlindungan keamanan komputer. Pertanyaan
utama menyangkut perlindungan sistem keamanan adalah apa yang harus dilindungi.
Hal pertama dan yang paling jelas adalah data finansial bagi usaha kecil
menengah. Hampir setiap orang memikirkan hal ini pertama-tama. Data financial
merupakan data yang harus dilindungi dan memiliki analogi yang langsung pada
nyata. Dimana dalam dunia nyata, orang melindungi uang sebagai upaya penting,
walaupun bukan yang utama dalam kehidupannya.
Manajer pebisnis seharusnya juga melindungi data milik pebisnis itu sendiri.
Informasi, sebagai hasil pengolahan data, merupakan perangkat baru yang amat
ampuh dewasa kini dan mungkin anda belum menyadari orang yang ingin
mendapatkan, mengubah dan menghancurkan data yang dimiliki pebisnis. Data milik
pebisnis bagaikan bagi beberapa orang, seperti teka-teki yang harus dipecahkan
dan hadiah untuk memperoleh informasi pebisnis adalah dapat membaca informasi
pebisnis. Mungkin hal tersebut terasa membosankan atau bermakna. Untuk
meyakinkan anda, terdapat banyak orang di dunia ini yang melakukan pembobolan
informasi secara teratur. Godaan untuk melakukan hal ini para pembobol
informasi tersebut menerobos sistem dan kadang kala mereka mendapat sesuatu
yang berharga, misalnya mungkin berupa dokumen yang anda bawa rumah atau pesan
e-mail pribadi.
Hal lain
yang pengguna komputer perlu lindungi adalah sebuah konsep dalam internet,
yakni melindungi identitas pengguna komputer. Secara online, kebanyakan sistem
tidak memiliki cara mudah untuk “membuktikan” siapa identitas pengguna komputer
sesungguhnya. Orang yang pintar dapat memperoleh beberapa potongan informasi
dan berpura-pura bertindak sebagai seorang pengguna computer diambil
identitasnya. Orang-orang tersebut menyampaikan pesan pada online bulletin
board sebagai pengguna komputer yang diambil identitasnya atau menggunakan
identitas pengguna komputer yang diambil identitasnya untuk melakukan transaksi
pembelian atau membuat kartu kredit palsu atas nama seorang pengguna komputer.
Kasus-kasus pencurian identitas seorang pengguna computer menjadi kasus yang
umum di internet, karena kebanyakan pengguna komputer tidak berhati-hati dengan
informasi pribadi jenis ini.
Yang
berhubungan dengan identitas adalah privasi. Pengguna komputer harus melindungi
privatisasi online-nya. Semakin banyak informasi tentang seorang pengguna
komputer yang terdapat di internet, semakin banyak cara yang dapat dipergunakan
orang untuk menggunakan informasi tersebut. Penulis merasa hal ini paranoid,
tetapi pikirkanlah tentang perusahaan pemasaran yang menjaring informasi alamat
e-mail di internet sehingga dapat mengirim junk e-mail atau mendapatkan nomer
telpon untuk dimasukkan ke daftar telemarketing. Perusahaan pemasaran tersebut
tidak mencuri identitas pengguna komputer, tapi mereka akan menggunakan
informasi identitas pengguna komputer untuk mencoba menghubungi pengguna
komputer tersebut. Mungkin beberapa orang tidak perduli. Namun secara pribadi
kedua penulis tidak menyukainya, sehingga penulis melindungi privasinya di
dunia internet.
Hal terakhir yang mudah dimanfaatkan dalam perhatian tentang uang dan hal yang
sejenisnya adalah melindungi komputer yang dimanfaatkan pebisnis. Tidak semua
orang yang meng-crack sistem melakukannya untuk memperoleh data pada sistem
tersebut. Beberapa orang ingin meng-crack sistem yang dimanfaatkan pebisnis
untuk memanfaatkan akses sistem pebisnis untuk tindakan jahat berikutnya. Situs-situs
milik perusahaan besar serperti Yahoo!, eBay dan beberapa perusahaan besar
laennya mengalami serangan Denial of Service (DoS). Serangan ini terjadi karena
cracker memasang perangkat lunak di sejumlah komputer dan membuat
komputer-komputer tersebut melakukan serangan ke perusahaan yang menjadi
sasaran. Beberapa dari computer tersebut adalah komputer pengguna di rumah.
5. Kebijakan
Keamanan Komputer
Sebuah pertanyaan yang seringkali diajukan dalam keamanan komputer dan sistem
informasi dapat diringkas menjadi: apakah berharga untuk melakukan semua
kesulitan dalam upaya-upaya perlindungan komputer dan sistem informasi?
Pertanyaan ini adalah merupakan pertanyaan mengandung makna ganda. Untuk
menjawab secara tepat, manajer pebisnis perlu mengetahui system informasi apa
yang manajer pebisnis lindungi, bagaimana manajer pebisnis perlu melindungi
sistem informasinya dan seberapa usaha dan biaya diperlukan dalam melindungi
sistem informasi. Tulisan ini akan membahas secara rinci beberapa hal dalam pertanyaan-pertanyaan
tersebut, namun yang menjadi pusat perhatian dalam bagian ini adalah manfaat
keamanan komputer dan system informasi terhadap biaya mengimplementasikan
keamanan komputer dan system informasi bagi pebisnis tersebut.
6. Manajemen
Resiko Keamanan Komputer
Manajemen
resiko keamanan komputer memiliki beberapa unsur, khususnya sebagai berikut:
1. Melakukan
Analisis Resiko, termasuk analisa biaya-manfaat dari perlindungan-perlindungan.
2. Menerapkan, meninjau ulang, dan melakukan pemeliharaan terhadap perlindungan-perlindungan.
2. Menerapkan, meninjau ulang, dan melakukan pemeliharaan terhadap perlindungan-perlindungan.
Untuk memberdayakan proses ini, perlu ditentukan beberapa properti dari
berbagai unsur-unsur, seperti nilai dari asset-asset, ancaman-ancaman, dan
kerentanan vulnerabilitie) dan kemungkinan terjadinya suatu kejadian. Suatu
bagian utama dari proses manajemen resiko adalah menentukan nilai kerugian yang
diakibatkan dari ancaman-ancaman dan menafsir seberapa sering (atau tingkat
kemungkinan) terjadinya ancaman-ancaman tersebut. Untuk melaksanakan tugas ini,
beberapa terminologi dan rumusan-rumusan telah dikembangkan, dan manajer
pebisnis harus secara penuh memahami ancaman-ancaman tersebut. Daftar dari
definisi-definisi dan terminologi terdapat pada bagian berikut dan diurutkan
menurut sebagaimana didefinisikan pada saat Analisis Risiko.
Pertama,
sadarilah bahwa nilai adalah sesuatu yang subjektif. Apa yang penting bagi
seseorang mungkin tidak berharga bagi orang lainnya. Faktor biaya juga bersifat
subjektif atau relatif pentingnya bagi orang yang berbeda. Pengguna komputer
pada pebisnis mungkin tidak mampu membeli implementasi penuh solusi firewall,
tetapi untungnya, kebanyakan pengguna komputer pada pebisnis tidak perlu
perlindungan yang demikian canggih. Penulis hanya dapat memberikan bimbingan
dan saran dalam buku ini. Manajer pebisnis harus memahami sendiri perbandingan
biaya dan manfaat pada tiap hal dalam perlindungan komputer dan sistem
informasi dan membuat keputusan tepat yang sesuai.
Hal kedua,
pastikan bahwa manajer pebisnis melibatkan pemahaman resiko (risk assessment)
saat menjawab pertanyaan ini. Beberapa data mungkin sangat kritis sifatnya dan
jelas amat berharga dilindungi. Tetai jika data tersebut memiliki resiko yang
kecil, membelanjakan biaya yang besar untuk menambah sedikit keamanan menjadi tidak
masuk akal dan tidak dapat diterima. Hal ini menjadi masalah nyata tingkat
keamanan dan apa yang cocok bagi manajer pebisnis.
Hal
melindungi data sesuai dengan pemahaman resiko (risk assessment) memberikan
konsep resiko yang dapat diterima. Secara sederhananya, konsep resiko yang
dapat diterima ini membagi resiko menjadi tingkatan resiko yang membuat manajer
pebisnis relatif merasa nyaman terhadap data atau system informasi yang manajer
pebisnis coba lindungi. Tingkatan tersebut berbeda untuk tiap penerapan bahkan
berbeda untuk tiap directory dalam hard disk komputer-komputer pebisnis.
Tingkatan resiko tidak bersifat tetap dan dapat berubah sepanjang waktu.
C. Tujuan
Keamanan Komputer
Tujuan
keamanan komputer dan perlindungan sistem informasi pada usaha kecil menengah
adalah:
1.
Memberikan tingkat kesadaran dan pengetahuan keamanan kepada pebisnis
pentingnya keamanan komputer dan sistem informasi.
2. Memberikan metode praktis upaya memperoleh keamanan komputer dan system informasi bagi usaha kecil dan menengah, termasuk pertimbangan ekonomi upaya keamanan komputer.
3. Membimbing pelaksanaan upaya memperoleh keamanan komputer dan system informasi pada usaha kecil dan menengah.
4. Memberikan cara praktis untuk mengevaluasi sistem keamanan komputer pebisnis.
2. Memberikan metode praktis upaya memperoleh keamanan komputer dan system informasi bagi usaha kecil dan menengah, termasuk pertimbangan ekonomi upaya keamanan komputer.
3. Membimbing pelaksanaan upaya memperoleh keamanan komputer dan system informasi pada usaha kecil dan menengah.
4. Memberikan cara praktis untuk mengevaluasi sistem keamanan komputer pebisnis.
Manajemen
keamanan informasi diperlukan karena ancaman terhadap C.I.A triangle aset
informasi semakin lama semakin meningkat. Menurut survey UK Department of Trade
and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah
aset yang penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing,
dan 49% organisasi meyakini bahwa keamanan informasi sangat penting untuk
memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai ancaman
terhadap informasi yang dimilikinya, sehingga diperlukan langkah-langkah yang
tepat untuk mengamankan aset informasi yang dimiliki.
Strategi
keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing
kekhususannya. Contoh dari tinjauan keamanan informasi adalah:
Physical
Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal
Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang
dalam organisasi
Operation
Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau
perusahaan untuk bekerja tanpa gangguan.
Communications
Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan
isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.
Network
Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut
dalam memenuhi fungsi komunikasi data organisasi.
D. Audit
Keamanan Komputer
Audit
keamanan komputer (Inggris: computer security audit) adalah penilaian atau
evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan
aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian: penilaian
otomatis dan non-otomatis. Penilaian otomatis berkaitan dengan pembuatan
laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan
status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis
berhubungan dengan kegiatan interview kepada staf yang menangani komputer,
evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke
sistem operasi dan software aplikasinya, serta analisa semua akses fisik terhadap
sistem komputer secara menyeluruh.
Sistem yang
dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC,
server, mainframe, jaringan komputer, router, saklar data, serta segala macam
software yang dipakai oleh organisasi atau perusahaan yang bersangkutan.
Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem computer berjalan
semestinya.
Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis risk management serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan risk management serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit.
Metodologi audit:
Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis risk management serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan risk management serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit.
Metodologi audit:
1. Audit
subject: menentukan apa yang akan diaudit.
2. Audit objective: menentukan tujuan dari audit.
3. Audit scope: menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4. Preaudit planning: mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures dan steps for data gathering: menentukan cara melakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan: spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen: spesifik pada tiap organisasi.
8. Audit report preparation (menentukan bagaimana cara mereview hasil audit): evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
2. Audit objective: menentukan tujuan dari audit.
3. Audit scope: menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4. Preaudit planning: mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures dan steps for data gathering: menentukan cara melakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan: spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen: spesifik pada tiap organisasi.
8. Audit report preparation (menentukan bagaimana cara mereview hasil audit): evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Struktur dan
isi laporan audit tidak baku, tapi umumnya terdiri atas:
- Pendahuluan: tujuan, ruang lingkup, lamanya audit, prosedur audit.
- Kesimpulan umum dari auditor.
- Hasil audit: apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak.
- Rekomendasi.
- Tanggapan dari manajemen (bila perlu).
- Exit interview: interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.
- Pendahuluan: tujuan, ruang lingkup, lamanya audit, prosedur audit.
- Kesimpulan umum dari auditor.
- Hasil audit: apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak.
- Rekomendasi.
- Tanggapan dari manajemen (bila perlu).
- Exit interview: interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.
BAB IV
KESIMPULAN
Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain
adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme
pada perangkat keras dan sistem operasi untuk keamanan komputer,
serta membuat strategi pemrograman untuk menghasilkan program komputer yang
dapat diandalkan. Kebijakan Sistem Keamanan Komputer Pengguna :
1.
Jangan
download executables file atau dokumen secara langsung dari Internet apabila
anda ragu-ragu asal sumbernya.
2.
Jangan
membuka semua jenis file yang mencurigakan dari Internet.
3.
Jangan
install game atau screen saver yang bukan asli dari OS.
4.
Kirim file
mencurigakan via email ke developer Antivirus untuk dicek.
5.
Simpan file
dokumen dalam format RTF (Rich Text Format) bukan *.doc (Apabila anda merasa
ada masalah pada program Office)
6.
Selektif
dalam mendownload attachment file dalam email.
Daftar
Pustaka
1. Gregg, M.
and David Kim, “Inside Network Security Assessment: Guarding your IT
Infrastructure”, Sams, 2005.
2. Makalah tentang Praktek Manajemen Keamanan Komputer pada Usaha Kecil danMenengah
3. Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John Wiley Publising, Inc., 2003.
4. Shea, B., “Have You Locked the Castle Gate?: Home and Small Business Computer Security”, Pearson, 2002.
5. Turban, E., D. King, J. Lee, D. Viehland, “Electronic Commerce 2004, A Managerial Perspective”, Pearson Prentice Hall New Jersey, 2004.
6. Young, S. and Dave Management Of Information Security ; Dr. Michael E.Whitman dan Herbert J.Mattord Aitel, ‘The Hacker’s Handbook”, Auerbach Publications, 2004.
7. wsilfi.staff.gunadarma.ac.id
8. Kompas Cybermedia
9. Sumber : www.detikinet.com
10. Wikipedia Indonesia
11. Sumber : http://kuliah.dinus.ac.id
12. Sumber : http://gunadarma.ac.id
13. Sumber Web://www.informatika.lip.go.id
14. Sumber: wsilfi.staff.gunadarma.ac.id
15. http://en.wikipedia.org//
2. Makalah tentang Praktek Manajemen Keamanan Komputer pada Usaha Kecil danMenengah
3. Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John Wiley Publising, Inc., 2003.
4. Shea, B., “Have You Locked the Castle Gate?: Home and Small Business Computer Security”, Pearson, 2002.
5. Turban, E., D. King, J. Lee, D. Viehland, “Electronic Commerce 2004, A Managerial Perspective”, Pearson Prentice Hall New Jersey, 2004.
6. Young, S. and Dave Management Of Information Security ; Dr. Michael E.Whitman dan Herbert J.Mattord Aitel, ‘The Hacker’s Handbook”, Auerbach Publications, 2004.
7. wsilfi.staff.gunadarma.ac.id
8. Kompas Cybermedia
9. Sumber : www.detikinet.com
10. Wikipedia Indonesia
11. Sumber : http://kuliah.dinus.ac.id
12. Sumber : http://gunadarma.ac.id
13. Sumber Web://www.informatika.lip.go.id
14. Sumber: wsilfi.staff.gunadarma.ac.id
15. http://en.wikipedia.org//
Tidak ada komentar:
Posting Komentar