Sabtu, 29 Juni 2013

Sistem Keamanan Komputer

BAB 1
A.    PENGERTIAN

            Sistem adalah suatu sekumpulan elemen atau unsur yang saling berkaitan dan memiliki tujuan yang sama. Keamanan adalah suatu kondisi yang terbebas dari resiko. Komputer adalah suatu perangkat yang terdiri dari software dan hardware serta dikendalikan oleh brainware (manusia). Dan jika ketiga kata ini dirangkai maka akan memiliki arti suatu sistem yang mengkondisikan komputer terhindar dari berbagai resiko.

            Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.

            Selain itu, sistem keamanan komputer bisa juga berarti suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.



            Menurut John D. Howard dalam bukunya “An Analysis of security incidents on the internet” menyatakan bahwa : Keamanan komputer adalah tindakan pencegahan dari serangan pengguna komputer atau pengakses jaringan yang tidak bertanggung jawab.

            Sedangkan menurut Gollmann pada tahun 1999 dalam bukunya “Computer Security” menyatakan bahwa : Keamanan komputer adalah berhubungan dengan pencegahan diri dan deteksi terhadap tindakan pengganggu yang tidak dikenali dalam system komputer.

            Dalam keamanan sistem komputer yang perlu kita lakukan adalah untuk mempersulit orang lain mengganggu sistem yang kita pakai, baik kita menggunakan komputer yang sifatnya sendiri, jaringan local maupun jaringan global. Harus dipastikan system bisa berjalan dengan baik dan kondusif, selain itu program aplikasinya masih bisa dipakai tanpa ada masalah.

            Menurut Garfinkel dan Spafford, ahli dalam computer security, komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan.

B.     KEJAHATAN KOMPUTER

Definisi: kegiatan penggunaan komputer untuk melakukan tindakan ilegal.


·         Jenis-jenis kejahatan komputer


u Data diddling: manipulasi atau pemalsuan data

u Salami slicing: bagian program yang memotong sebagian kecil dari nilai transaksi yang besar dan mengumpulkannya dalam suatu periode tertentu

u Phreaking: making free long distance calls

u Cloning: penyalahgunaan telpon selular menggunakan scanner

u Carding: pencurian nomor kartu kredit secara online

u Piggybacking: pencurian nomor kartu kredit dengan memata-matai

u Social engineering: menipu pegawai untuk mendapatkan akses

u Dumpster diving: pencarian informasi pribadi di bak sampah

u Spoofing: pencurian password melalui pemalsuan halaman login






·         Pengamanan yang disarankan

u Terapkan rencana pengamanan untuk mencegah

pembobolan

u Miliki rencana jika pembobolan terjadi

u Buatlah backup!

u Hanya ijinkan akses untuk pegawai tertentu

u Ubah password secara teratur

u Jagalah informasi yang tersimpan dengan aman

u Gunakan software antivirus

u Gunakan biometrik untuk mengakses sumberdaya

komputasi

u Rekrut tenaga kerja / pegawai yang bisa dipercaya

n Enkripsi – proses penyandian pesan sebelum

memasuki jaringan atau gelombang udara,

kemudian membuka kembali pada ujung

penerimaan. Bagaimana enkripsi bekerja :

u Sistemkunci .

t Pengirim dan penerima keduanya menggunakan kunci yang

sama

t Manajemen kunci dapat menjadi masalah

u Teknologi kunci publik

t Menggunakan kunci privat dan kunci publik

u Autoritas sertifikat

t Lembaga / orang terpercaya yang memberikan keterangan bahwa suatu situs web dapat dipercaya (menyediakan kunci publik kepada pihak yang terpercaya) A trusted middleman

verifies that a Web site is a trusted site (provides public keys to trusted partners)

t Secure socket layers (SSL)


·          Bentuk keamanan Komputer

u Firewall – hardware dan software yang dirancang untuk menjaga agar user yang tidak berhak tidak dapat masuk ke sistem jaringan.



n Pencegahan Virus

u Install software antivirus

u Buat data cadangan

u Hindari pemakaian program bebas yang tidak dikenal.

u Hapus email dari sumber yang tidak dikenal

u Jika komputer kena virus …

n Bagaimana menjaga privasi saat online

·         Pilih situs web yang dimonitor oleh pengacara privasi.

·          Hindari “cookies”

·         Kunjungi situs secara anonim

·         Gunakan peringatan saat meminta konfirmasi Email.

·         Hindari penipuan di dunia cyber

·         Pelelangan Internet

·         Akses Internet

·         Men-dial modem internasional

·         Web cramming

·         Multilevel marketing (skema piramida)

·         Bepergian / liburan

·         Kesempatan bisnis

·         Penanaman modal

·         Produk-produk pewaratan keseh

            Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan cenderung meningkat adalah sebagai berikut :

1.                  Meningkatnya pengguna komputer dan internet

2.                  Banyaknya software yang pada awalnya digunakan untuk melakukan audit sebuah system dengan cara mencari kelemahan dan celah yang mungkin disalahgunakan untuk melakukan scanning system orang lain.

3.                  Banyaknya software-software untuk melakukan penyusupan yang tersedia di Internet dan bisa di download secara gratis.

4.                  Meningkatnya kemampuan pengguna komputer dan internet

5.                  Desentralisasi server sehingga lebih banyak system yang harus ditangani, sementara SDM terbatas.

6.                  Kurangnya hukum yang mengatur kejahatan komputer.

7.                  Semakin banyaknya perusahaan yang menghubungkan jaringan LAN mereka ke Internet.

8.                  Meningkatnya aplikasi bisnis yang menggunakan internet.

9.                  Banyaknya software yang mempunyai kelemahan (bugs).

            Ada beberapa hal yang bisa menjawab diperlukannya pengamanan sistem komputer, antara lain :

Menghindari resiko penyusupan, harus dipastikan bahwa system tidak ada penyusup yang bisa membaca, menulis dan menjalankan program-program yang bisa mengganggu atau menghancurkan system.

1.                  Mengurangi resiko ancaman, hal ini biasa berlaku di institusi dan perusahaan swasta. Ada beberapa macam penyusup yang bisa menyerang system yang dimiliki, antara lain :

1.                  Ingin Tahu, jenis penyusup ini pada dasarnya tertarik menemukan jenis system yang digunakan.

2.                  Perusak, jenis penyusup ini ingin merusak system yang digunakan atau mengubah tampilan layar yang dibuat.

3.                  Menyusup untuk popularitas, penyusup ini menggunakan system untuk mencapai popularitas dia sendiri, semakin tinggi system keamanan yang kita buat, semakin membuatnya penasaran. Jika dia berhasil masuk ke sistem kita maka ini menjadi sarana baginya untuk mempromosikan diri.

4.                  Pesaing, penyusup ini lebih tertarik pada data yang ada dalam system yang kita miliki, karena dia menganggap kita memiliki sesuatu yang dapat menguntungkannya secara finansial atau malah merugikannya (penyusup).

2.                  Melindungi system dari kerentanan, kerentanan akan menjadikan system berpotensi untuk memberikan akses yang tidak diizinkan bagi orang lain yang tidak berhak.

3.                  Melindungi system dari gangguan alam seperti petir dan lain-lainnya.




BAB III

MANAJEMAN KEAMANAN KOMPUTER

            karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

1. Planning

            Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih, (2)tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.

2. Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

1. Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
2. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
3. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

            Programs Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

3. Protection

            Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.

4. People

            Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.

5. Project Management

            Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.

            Soal akurasi dan kecepatan jadi alasan kenapa komputer dipilih jadi alat bantu bekerja. Sayangnya, tak sedikit hal-hal buruk terjadi di komputer sebagai media Informasi. Kemampuan komputer pun banyak dimanfaatkan untuk hal-hal negatif, seperti penyebaran virus, trojan, DoS, Web deface, bahkan sampai pencurian identitas dan dana segar. Hal tersebut memunculkan suatu kebutuhan akan keamanan komputer. Dengan membangun sistem keamanan, data di komputer sebagai media Informasi bisa terlindungi dan terselamatkan. Informasi yang merupakan aset harus dilindungi keamanannya.

            Keamanan,secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya.

Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

            Perhatian Pada Keamanan Komputer Perusahaan di Indonesia disebut belum terlalu memperhatikan keamanan komputer mereka. Padahal hal ini akan sangat diperlukan bila ingin menjalankan bisnis internasional.Hal serupa kita jumpai pula saat kita menginginkan komputer atau sistem kita aman dari virus, spam, atau serangan hacker. Seringkali kita harus rela sedikit repot menginstal antivirus dan menyaring semua data yang lalu lalang di sistem. Dengan makin pintarnya para pembuat virus dan makin cerdasnya para pembobol sistem, maka cara mengamankan sistem pun makin ditingkatkan, bahkan telah mengubah paradigma di bidang ini. Dahulu orang biasa membuka semua akses, membiarkan semua lewat, baru kemudian menutup beberapa pintu yang dianggap rawan serangan. Artinya, setelah semua “penjahat” berada di dalam, mereka baru diseleksi. Cara ini memang membuat kita lebih leluasa menjelajah atau menerima kiriman dari luar. Namun di lain pihak, kita menjadi tidak sadar bila ada kode jahat yang menyamar menjadi file baik-baik. Akhirnya sistem kita bobol.

            Kini pandangan itu berubah. Menurut mahaguru di bidang keamanan, Steve Riley, sekarang orang lebih baik memblokir semua pintu dahulu, baru kemudian mengijinkan mereka yang berkepentingan masuk. Untuk bisa masuk, file harus dikenali. Persis seperti bila kita akan memasuki hotel atau perkantoran. Akibatnya, kita memang akan berulang kali ditanya sistem, apakah file A bisa masuk, apakah si B boleh lewat dan sebagainya. Sering kali, karena tidak dikenali, beberapa file juga akan terblokir, dan bagi sebagian orang hal ini tidak nyaman.

            Memang keamanan tidak berjalan bersama kenyamanan, Bila ingin aman, maka kita harus mengorbankan kenyamanan. Demikian juga sebaliknya. Tak heran jika beberapa orang masih malas menginstal produk SP2 dari Microsoft. SP2 ini dianggap akan membatasi lalu lintas karena sifatnya yang “protect everything”, sehingga semua pintu masuk hanya bisa dilewati setelah ada ijin. Belum lagi, pengguna disarankan untuk membaca manual, yang sama artinya dengan belajar lagi. Padahal, sistem keamanan SP2 ini sulit ditembus. Secara teknologi, masalah keamanan sudah bagus. Yang menjadi tantangan justru dari segi pengguna. Sistem ini makin sulit diserang, dan di masa depan yang menjadi kelemahan sistem adalah manusianya, Bagaimana menyadarkan pentingnya keamanan sehingga orang bersedia sedikit repot menginstal dan selalu meng-update sistem keamanannya. Sumber Web://www.informatika.lip.go.id

            Ancaman terhadap keamanan sistem informasi memiliki dampak hilangnya data dan informasi, terganggunya komunikasi jaringan komputer misalnya dengan habisnya bandwidth yang terpakai oleh worm untuk menggandakan dirinya atau lumpuhnya sistem e-mail. Atas ancaman keamanan sistem informasi, dari beberapa data yang ada, usaha kecil menengah atau UKM, terutama di Indonesia, memiliki sikap: Tidak memperdulikan keamanan sistem informasi misalnya menghubungkan komputer dengan LAN yang memiliki akses membagi data dari mobile disk atau internet tanpa dilengkapi software security seperti firewall atau antivirus, atau Memiliki keamanan minimal misalnya bersikap reaktif terhadap masalah keamanan sistem informasi yang muncul. Sikap-sikap seperti ini justru memicu semakin maraknya masalah-masalah keamanan sistem informasi mulai dari virus hingga penyusupan sistem. Situasi kesadaran pentingnya keamanan sistem informasi.

            Secara implisit tanpa melihat data yang ada atau mesti dicari, perekonomian di Indonesia mampu bertahan dalam berbagai keadaan kesulitan ekonomi tanpa hutang pada pihak manapun yang dapat semakin mempersulit keadaan ekonomi. Kemampuan bertahan dalam kesulitan ekonomi juga memberikan efek sosial penting pengadaan lapangan pekerjaan. Pertanyaan yang paling mendasar sepanjang masa bagi kehidupan manusia adalah mengapa keamanan menjadi salah satu perhatian utama? Siapapun juga yang mempelajari keamanan, dalam konteks tulisan ini adalah keamanan komputer secara umum atau keamanan sistem informasi pada khusunya, mestilah mempelajarinya dari suatu materi belajar, seperti buku, pelatihan, rekan kerja senior atau bahkan melalui kegiatan perkuliahan. Tak seorangpun secara alami lahiriah memiliki informasi tentang keamanan baik keamanan secara umum ataupun keamanan komputer dan sistem informasi secara khusus, Keamanan komputer dan keamanan sistem informasi merupakan bidang yang kompleks bermulai dari manajemen keamanan sistem informasi dan berakhir pada algoritma matematika enskripsi data yang rumit didukung pengetahuan keamanan komputer hingga penggunaan perangkat lunak keamanan khusus. Jadi dapat saja seseorang memiliki pertanyaan-pertanyaan tentang keamanan sistem informasi dan tidak memahami beberapa hal tentang keamanan sistem informasi. Pertanyaan mendasar perlunya keamanan bagi sistem informasi usaha kecil dan menengah dicoba dijawab dengan mempelajari manfaat sistem informasi bagi pebisnis. Sistem informasi yang diterapkan kegiatan pebisnis layak dilindungi. Sistem informasi yang dikembangkan pebisnis merupakan model bagi bisnis usaha. Banyak proses bisnis dibantu bahkan dijalankan dengan teknologi informasi yang dimiliki

B. Tinjauan Umum Mengenai Manajemen Keamanan Komputer

            Keamanan adalah keadaan bebas dari bahaya. Istilah ini bisa digunakan dengan hubungan kepada kejahatan, segala bentuk kecelakaan, dan lain-lain. Keamanan merupakan topik yang luas termasuk keamananan nasional terhadap serangan teroris, keamanan komputer terhadap hacker, kemanan rumah terhadap maling dan penyelusup lainnya, keamanan finansial terhadap kehancuran ekonomi dan banyak situasi berhubungan lainnya. Sumber: wsilfi.staff.gunadarma.ac.id

            Informasi yang ada dikomputer, merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya . Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya . http://en.wikipedia.org//

            Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

            Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

            Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi

            Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

            Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

            Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

            Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi komputer melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

1. Mengkategorikan Keamanan

            Ada banyak literatur dalam analisis dan pengkategorian keamanan. Bagian penting dari kemanan adalah “titik terlemah dalam rantai”. Situasinya juga berbeda karena pelindung harus mencakup semua titik serangan sedangkan penyerang hanya harus mengidentifikasi satu titik lemah dan berkonsentrasi di situ. Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model ,adalah sebagai berikut:

Confidentiality

            Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.

            IntegritIntegrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.

            AvailabilityAvailability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

            Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam bukunya Management Of Information Security adalah:

Privacy

            Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

Identification

            Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.

Authentication

            Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.

Authorization

            Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.


Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.

2. Konsep Keamanan

            Beberapa konsep terjadi di beberapa bidang keamanan. resiko - sebuah resiko adalah kemungkinan kejadian yang menyebabkan kehilangan ancaman - sebuah ancaman adalah sebuah metode merealisasikan resiko countermeasure - sebuah countermeasure adalah sebuah cara untuk menghentikan ancaman pertahanan dalam kedalaman - jangan pernah bergantung pada satu pengatasan keamanan saja. Asuransi - asuransi adalah tingkatan jaminan bahwa sebuah sistem keamanan akan berlaku seperti yang diperkirakan.

3. Konsep Dasar Manajemen Keamanan Komputer

Keamanan sistem informasi merupakan upaya manajemen. Manajemen keamanan sistem informasi dapat diterapkan dengan baik bila manajer pebisnis mengetahui beberapa hal dasar keamanan sistem informasi pebisnis, kebijakan keamanan yang perlu dikembangkan dan perbedaan metode terutama digunakan untuk menganalisa resiko keamanan sistem informasi yang dibahas dalam tulisan ini.

4. Prinsip Fundamental Keamanan Komputer

            Pada bagian ini akan dibahas prinsip perlindungan keamanan komputer. Pertanyaan utama menyangkut perlindungan sistem keamanan adalah apa yang harus dilindungi. Hal pertama dan yang paling jelas adalah data finansial bagi usaha kecil menengah. Hampir setiap orang memikirkan hal ini pertama-tama. Data financial merupakan data yang harus dilindungi dan memiliki analogi yang langsung pada nyata. Dimana dalam dunia nyata, orang melindungi uang sebagai upaya penting, walaupun bukan yang utama dalam kehidupannya.

            Manajer pebisnis seharusnya juga melindungi data milik pebisnis itu sendiri. Informasi, sebagai hasil pengolahan data, merupakan perangkat baru yang amat ampuh dewasa kini dan mungkin anda belum menyadari orang yang ingin mendapatkan, mengubah dan menghancurkan data yang dimiliki pebisnis. Data milik pebisnis bagaikan bagi beberapa orang, seperti teka-teki yang harus dipecahkan dan hadiah untuk memperoleh informasi pebisnis adalah dapat membaca informasi pebisnis. Mungkin hal tersebut terasa membosankan atau bermakna. Untuk meyakinkan anda, terdapat banyak orang di dunia ini yang melakukan pembobolan informasi secara teratur. Godaan untuk melakukan hal ini para pembobol informasi tersebut menerobos sistem dan kadang kala mereka mendapat sesuatu yang berharga, misalnya mungkin berupa dokumen yang anda bawa rumah atau pesan e-mail pribadi.

Hal lain yang pengguna komputer perlu lindungi adalah sebuah konsep dalam internet, yakni melindungi identitas pengguna komputer. Secara online, kebanyakan sistem tidak memiliki cara mudah untuk “membuktikan” siapa identitas pengguna komputer sesungguhnya. Orang yang pintar dapat memperoleh beberapa potongan informasi dan berpura-pura bertindak sebagai seorang pengguna computer diambil identitasnya. Orang-orang tersebut menyampaikan pesan pada online bulletin board sebagai pengguna komputer yang diambil identitasnya atau menggunakan identitas pengguna komputer yang diambil identitasnya untuk melakukan transaksi pembelian atau membuat kartu kredit palsu atas nama seorang pengguna komputer. Kasus-kasus pencurian identitas seorang pengguna computer menjadi kasus yang umum di internet, karena kebanyakan pengguna komputer tidak berhati-hati dengan informasi pribadi jenis ini.

Yang berhubungan dengan identitas adalah privasi. Pengguna komputer harus melindungi privatisasi online-nya. Semakin banyak informasi tentang seorang pengguna komputer yang terdapat di internet, semakin banyak cara yang dapat dipergunakan orang untuk menggunakan informasi tersebut. Penulis merasa hal ini paranoid, tetapi pikirkanlah tentang perusahaan pemasaran yang menjaring informasi alamat e-mail di internet sehingga dapat mengirim junk e-mail atau mendapatkan nomer telpon untuk dimasukkan ke daftar telemarketing. Perusahaan pemasaran tersebut tidak mencuri identitas pengguna komputer, tapi mereka akan menggunakan informasi identitas pengguna komputer untuk mencoba menghubungi pengguna komputer tersebut. Mungkin beberapa orang tidak perduli. Namun secara pribadi kedua penulis tidak menyukainya, sehingga penulis melindungi privasinya di dunia internet.

            Hal terakhir yang mudah dimanfaatkan dalam perhatian tentang uang dan hal yang sejenisnya adalah melindungi komputer yang dimanfaatkan pebisnis. Tidak semua orang yang meng-crack sistem melakukannya untuk memperoleh data pada sistem tersebut. Beberapa orang ingin meng-crack sistem yang dimanfaatkan pebisnis untuk memanfaatkan akses sistem pebisnis untuk tindakan jahat berikutnya. Situs-situs milik perusahaan besar serperti Yahoo!, eBay dan beberapa perusahaan besar laennya mengalami serangan Denial of Service (DoS). Serangan ini terjadi karena cracker memasang perangkat lunak di sejumlah komputer dan membuat komputer-komputer tersebut melakukan serangan ke perusahaan yang menjadi sasaran. Beberapa dari computer tersebut adalah komputer pengguna di rumah.

5. Kebijakan Keamanan Komputer

            Sebuah pertanyaan yang seringkali diajukan dalam keamanan komputer dan sistem informasi dapat diringkas menjadi: apakah berharga untuk melakukan semua kesulitan dalam upaya-upaya perlindungan komputer dan sistem informasi? Pertanyaan ini adalah merupakan pertanyaan mengandung makna ganda. Untuk menjawab secara tepat, manajer pebisnis perlu mengetahui system informasi apa yang manajer pebisnis lindungi, bagaimana manajer pebisnis perlu melindungi sistem informasinya dan seberapa usaha dan biaya diperlukan dalam melindungi sistem informasi. Tulisan ini akan membahas secara rinci beberapa hal dalam pertanyaan-pertanyaan tersebut, namun yang menjadi pusat perhatian dalam bagian ini adalah manfaat keamanan komputer dan system informasi terhadap biaya mengimplementasikan keamanan komputer dan system informasi bagi pebisnis tersebut.

6. Manajemen Resiko Keamanan Komputer

Manajemen resiko keamanan komputer memiliki beberapa unsur, khususnya sebagai berikut:

1. Melakukan Analisis Resiko, termasuk analisa biaya-manfaat dari perlindungan-perlindungan.
2. Menerapkan, meninjau ulang, dan melakukan pemeliharaan terhadap perlindungan-perlindungan.

            Untuk memberdayakan proses ini, perlu ditentukan beberapa properti dari berbagai unsur-unsur, seperti nilai dari asset-asset, ancaman-ancaman, dan kerentanan vulnerabilitie) dan kemungkinan terjadinya suatu kejadian. Suatu bagian utama dari proses manajemen resiko adalah menentukan nilai kerugian yang diakibatkan dari ancaman-ancaman dan menafsir seberapa sering (atau tingkat kemungkinan) terjadinya ancaman-ancaman tersebut. Untuk melaksanakan tugas ini, beberapa terminologi dan rumusan-rumusan telah dikembangkan, dan manajer pebisnis harus secara penuh memahami ancaman-ancaman tersebut. Daftar dari definisi-definisi dan terminologi terdapat pada bagian berikut dan diurutkan menurut sebagaimana didefinisikan pada saat Analisis Risiko.

Pertama, sadarilah bahwa nilai adalah sesuatu yang subjektif. Apa yang penting bagi seseorang mungkin tidak berharga bagi orang lainnya. Faktor biaya juga bersifat subjektif atau relatif pentingnya bagi orang yang berbeda. Pengguna komputer pada pebisnis mungkin tidak mampu membeli implementasi penuh solusi firewall, tetapi untungnya, kebanyakan pengguna komputer pada pebisnis tidak perlu perlindungan yang demikian canggih. Penulis hanya dapat memberikan bimbingan dan saran dalam buku ini. Manajer pebisnis harus memahami sendiri perbandingan biaya dan manfaat pada tiap hal dalam perlindungan komputer dan sistem informasi dan membuat keputusan tepat yang sesuai.

Hal kedua, pastikan bahwa manajer pebisnis melibatkan pemahaman resiko (risk assessment) saat menjawab pertanyaan ini. Beberapa data mungkin sangat kritis sifatnya dan jelas amat berharga dilindungi. Tetai jika data tersebut memiliki resiko yang kecil, membelanjakan biaya yang besar untuk menambah sedikit keamanan menjadi tidak masuk akal dan tidak dapat diterima. Hal ini menjadi masalah nyata tingkat keamanan dan apa yang cocok bagi manajer pebisnis.

Hal melindungi data sesuai dengan pemahaman resiko (risk assessment) memberikan konsep resiko yang dapat diterima. Secara sederhananya, konsep resiko yang dapat diterima ini membagi resiko menjadi tingkatan resiko yang membuat manajer pebisnis relatif merasa nyaman terhadap data atau system informasi yang manajer pebisnis coba lindungi. Tingkatan tersebut berbeda untuk tiap penerapan bahkan berbeda untuk tiap directory dalam hard disk komputer-komputer pebisnis. Tingkatan resiko tidak bersifat tetap dan dapat berubah sepanjang waktu.


C. Tujuan Keamanan Komputer

Tujuan keamanan komputer dan perlindungan sistem informasi pada usaha kecil menengah adalah:

1. Memberikan tingkat kesadaran dan pengetahuan keamanan kepada pebisnis pentingnya keamanan komputer dan sistem informasi.
2. Memberikan metode praktis upaya memperoleh keamanan komputer dan system informasi bagi usaha kecil dan menengah, termasuk pertimbangan ekonomi upaya keamanan komputer.
3. Membimbing pelaksanaan upaya memperoleh keamanan komputer dan system informasi pada usaha kecil dan menengah.
4. Memberikan cara praktis untuk mengevaluasi sistem keamanan komputer pebisnis.

Manajemen keamanan informasi diperlukan karena ancaman terhadap C.I.A triangle aset informasi semakin lama semakin meningkat. Menurut survey UK Department of Trade and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah aset yang penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi meyakini bahwa keamanan informasi sangat penting untuk memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai ancaman terhadap informasi yang dimilikinya, sehingga diperlukan langkah-langkah yang tepat untuk mengamankan aset informasi yang dimiliki.

Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi

Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

D. Audit Keamanan Komputer

Audit keamanan komputer (Inggris: computer security audit) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian: penilaian otomatis dan non-otomatis. Penilaian otomatis berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis berhubungan dengan kegiatan interview kepada staf yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisa semua akses fisik terhadap sistem komputer secara menyeluruh.

Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan.

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem computer berjalan semestinya.
Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis risk management serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan risk management serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit.
Metodologi audit:

1. Audit subject: menentukan apa yang akan diaudit.
2. Audit objective: menentukan tujuan dari audit.
3. Audit scope: menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4. Preaudit planning: mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures dan steps for data gathering: menentukan cara melakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan: spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen: spesifik pada tiap organisasi.
8. Audit report preparation (menentukan bagaimana cara mereview hasil audit): evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.

Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
- Pendahuluan: tujuan, ruang lingkup, lamanya audit, prosedur audit.
- Kesimpulan umum dari auditor.
- Hasil audit: apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak.
- Rekomendasi.
- Tanggapan dari manajemen (bila perlu).
- Exit interview: interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.


BAB IV

KESIMPULAN

            Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer, serta membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan. Kebijakan Sistem Keamanan Komputer Pengguna :

1.                  Jangan download executables file atau dokumen secara langsung dari Internet apabila anda ragu-ragu asal sumbernya.

2.                  Jangan membuka semua jenis file yang mencurigakan dari Internet.

3.                  Jangan install game atau screen saver yang bukan asli dari OS.

4.                  Kirim file mencurigakan via email ke developer Antivirus untuk dicek.

5.                  Simpan file dokumen dalam format RTF (Rich Text Format) bukan *.doc (Apabila anda merasa ada masalah pada program Office)

6.                  Selektif dalam mendownload attachment file dalam email.











Daftar Pustaka

1. Gregg, M. and David Kim, “Inside Network Security Assessment: Guarding your IT Infrastructure”, Sams, 2005.
2. Makalah tentang Praktek Manajemen Keamanan Komputer pada Usaha Kecil danMenengah
3. Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John Wiley Publising, Inc., 2003.
4. Shea, B., “Have You Locked the Castle Gate?: Home and Small Business Computer Security”, Pearson, 2002.
5. Turban, E., D. King, J. Lee, D. Viehland, “Electronic Commerce 2004, A Managerial Perspective”, Pearson Prentice Hall New Jersey, 2004.
6. Young, S. and Dave Management Of Information Security ; Dr. Michael E.Whitman dan Herbert J.Mattord Aitel, ‘The Hacker’s Handbook”, Auerbach Publications, 2004.
7. wsilfi.staff.gunadarma.ac.id
8. Kompas Cybermedia
9. Sumber : www.detikinet.com
10. Wikipedia Indonesia
11. Sumber : http://kuliah.dinus.ac.id
12. Sumber : http://gunadarma.ac.id
13. Sumber Web://www.informatika.lip.go.id
14. Sumber: wsilfi.staff.gunadarma.ac.id
15. http://en.wikipedia.org//

Tidak ada komentar:

Poskan Komentar

Share It