Standar dan Manajemen Keamanan Komputer

Transkripsi

1 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : Standar dan Manajemen Keamanan Kmputer Herny Februariyanti Fakultas Teknlgi Infrmasi, Universitas Stikubank Semarang herny@unisbank.ac.id Abstrak : Salah satu kunci keberhasilan pengaman sistem infrmasi adalah adanya visi dan kmitmen dari pimpinan tp manajemen. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini. Dengan tidak adanya kmitmen dari tp manajemen, berdampak kepada investasi pengamanan data. Selain itu keberhasilan juga ditentukan seperti prses desain, implementasi, knfigurasi, dan pemakaian. Untuk itu diperlukan standar dan manajemen yang memadai agar kemanan dapat dilakukan secara memadai pula. Standar kmpetensi dapat dilakukan sesuai dengan TKTI jika menggunakan standar Nasinal. Standar kmpetensi tidak berarti hanya kemampuan menyelesaikan suatu tugas, tetapi dilandasi pula bagaimana serta mengapa tugas itu dikerjakan. Selain itu standar ISO yang merupakan standar internasinal dapat diterapkan yaitu menggunakan ISO dan ISO serta turunannya. Manajemen perasi keamanan harus memenuhi beberapa hal penting yaitu kntrl dan prteksi, mnitring dan auditing, serta pemahaman tentang threat dan vulnerabilitas. Kata kunci : keamanan, manajemen, standar, ISO, dan kntrl PENDAHULUAN Permasalahan keamanan kmputer selalu menarik untuk dibahas, hal ini karena perkembangan teknlgi infrmasi yang semakin canggih dan meluas. Semakin canggih teknlgi infrmasi ternyata terkadang tidak diikuti dengan penerapan keamanan yang memadai, sehingga ancaman keamanan selalu menjadi mmk bagi penerapan sistem kmputer dalam sebuah rganisasi atau perusahaan. Salah satu kunci keberhasilan pengaman sistem infrmasi adalah adanya visi dan kmitmen dari pimpinan tp manajemen. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini. Dengan tidak adanya kmitmen dari tp manajemen, berdampak kepada investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya. Pengamanan data elektrnik membutuhkan investasi, tanpa investasi akan sia-sia upaya pengamanan data. Sayangnya hal ini sering diabaikan karena tidak adanya kmitmen dari pihak manajemen untuk slusi keamanan. Selain peran utama dari tp manajemen, masih terdapat lagi masalah pengamanan sistem infrmasi, yaitu : Kesalahan desain terjadi pada tahap desain dimana keamanan seringkali diabaikan atau dipikirkan belakangan (after thught). Sebagai cnth ada sebuah sistem infrmasi yang menganggap bahwa sistem perasi akan aman dan juga jaringan akan aman sehingga tidak ada desain untuk pengamanan data, misalnya dengan menggunakan enkripsi. Kesalahan implementasi terjadi pada saat desain diimplementasikan menjadi sebuah aplikasi atau sistem. Sistem infrmasi diimplementasikan dengan menggunakan sftware. Sayangnya para pengembang sftware seringkali tidak memiliki pengetahuan mengenai keamanan sehingga aplikasi yang dikembangkan memiliki banyak lubang keamanan yang dapat dieksplitasi. Kesalahan knfigurasi terjadi pada tahap perasinal. Sistem yang digunakan biasanya harus diknfigurasi sesuai dengan kebijakan perusahaan. Selain salah 134 Standar dan Manajemen Keamanan Kmputer

2 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : knfigurasi, ada juga permasalahan yang disebabkan karena tidak adanya kebijakan prsedural dari pemilik sistem sehingga menyulitkan bagi pengella untuk melakukan pembatasan. Kesalahan penggunaan terjadi pada tahap perasinal juga. Kadang-kadang karena sistem terlalu kmpleks sementara sumber daya yang disediakan sangat terbatas maka dimungkinkan adanya kesalahan dalam penggunaan. Kesalahan-kesalahan di atas dapat menimbulkan celah lubang keamanan. Celah ini belum tentu menimbulkan masalah, sebab bisa saja memang celah ada akan tetapi tidak terjadi eksplitasi. Namun celah ini merupakan sebuah resik yang harus dikendalikan dalam sebuah manajemen keamanan. STANDAR KEAMANAN KOMPUTER 1. Standart Kmpetensi Keamanan menurut TKTI. Standar kmpetensi diartikan sebagai suatu ukuran atau patkan tentang pengetahuan, keterampilan, dan sikap kerja yang harus dimiliki leh seserang untuk mengerjakan suatu pekerjaan atau tugas sesuai dengan unjuk kerja yang dipersyaratkan leh Tim Krdinasi Telematika Indnesia (TKTI, 2004). Standar kmpetensi tidak berarti hanya kemampuan menyelesaikan suatu tugas, tetapi dilandasi pula bagaimana serta mengapa tugas itu dikerjakan. Berdasarkan jenis kelmpk Sumber daya manusia (SDM) pada teknlgi infrmasi dan kmunikasi (infrmatin and cmmunicatin technlgy - ICT) berikut kmpetensinya, yang berhubungan dengan keamanan dan pemeliharaan kmputer, adalah : a. unit kmpetensi n. 16. Judul Unit : Mendeskripsikan Kewaspadaan Terhadap Keamanan Infrmasi Uraian Unit : Unit kmpetensi ini berhubungan dengan pemahaman prinsip keamanan infrmasi guna meningkatkan kewaspadaan atas keamanan infrmasi. Berupa : Kaidah Umum Kemanan Infrmasi Pemilihan dan Penggunaan Passwrd Identifikasi Resik Keamanan Atas Penggunaan Internet Pengellaan Data/Infrmasi Secara Aman b. unit kmpetensi n. 17 Judul Unit : Mempergunakan Piranti lunak Anti Virus Uraian Unit : Unit kmpetensi ini berkaitan dengan penggunaan piranti lunak anti virus yang umum digunakan dengan tujuan agar dapat melindungi kmputer dari berbagai jenis virus standard yang dapat menyebar di kmputer kita. Berupa : Mengidentifikasi jenis virus Mempersiapkan Piranti lunak Anti Virus dijalankan. Mengperasikan piranti lunak anti virus Melakukan pencegahan c. unit kmpetensi n. 20 Judul Unit : Melakukan penanganan awal (Trubleshting) atas masalah pada PC Uraian Unit : Unit kmpetensi ini berhubungan dengan pemahaman tentang cara kerja kmputer (PC) dan penanganannya apabila kmputer tersebut tidak bisa bekerja. Berupa : Cara Kerja Kmputer Instalasi Kmpnen Kmputer Penggunaan Alat Bantu Deteksi Masalah Diagnsa Masalah dan Penanganan Masalah (Trublesht) Standar dan Manajemen Keamanan Kmputer 135

3 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : d. unit kmpetensi n. 21 Judul Unit : Mengperasikan utilitas dasar untuk Backup, Restre, Data Recvery Uraian Unit : Unit kmpetensi ini berkaitan dengan langkah-langkah dasar dalam melakukan pengamanan terhadap data-data elektrnik dalam kmputer yang dimiliki. Berupa : Mengidentifikasi dan mendeskripsikan aspek-aspek pengamanan data Melindungi data di kmputer dari gangguan Melakukan Data Revvery e. unit kmpetensi n. 24 Judul Unit : Mengimplementasikan sistem keamanan dan keselamatan pada pengperasian kmputer Uraian Unit : Unit kmpetensi ini berhubungan dengan penguasaan knsep dasar keamanan sistem kmputer yang harus dibuat untuk menjamin kemanan sistem kmputer yang digunakan. Berupa : Mengidentifikasi Ancaman Keamanan Standar Pengamanan Kmputer Dasar 2. Manajemen Keamanan sesuai ISO ISO (Internatinal Standart Organisatin) atau Organiasasi standar Internasianal merupakan badan penetap standar internasinal yang terdiri dari wakilwakil dari badan standar nasinal setiap negara. ISO menetapkan standar-standar industrial dan kmersial dunia. Standard ISO adalah merupakan suatu standar sistem manajemen keamanan infrmasi (Infrmasi Secuity Management system) yang telah disempurnakan dan diterapkan untuk digunakan leh peruasahaan-perusahaan di dalam mengamankan data atau infrmasi yang dimilikinya. Dengan adanya standar ISO maka kita akan dapat mengukur apakah sistem keamanan infrmasi yang kita terapkan sudah efektif dan memberikan jaminan keamanan terhadap knsumen. Sebelum diperkenalkan ISO 17799, pada tahun 1995, Britania Standard Institut (BSI) meluncurkan standard pertama mengenai manajemen infrmasi di seluruh dunia, yaitu B 7799, Bagian Pertama: Kde Praktek untuk Manajemen Keamanan Infrmasi, yang didasarkan pada Infrastruktur pkk B Kemudian pada tanggal 1 Desember, 2000, ISO standard mengenai manajemen infrmasi baru diterbitkan. Pemakaian standar ISO meliputi kebutuhan akan hal-hal sebagai berikut : Dkumen kebijakan keamanan infrmasi Adanya Tanggung jawab keamanan infrmasi Adanya prgram pendidikan dan pelatihan keamanan infrmasi untuk semua pemakai (user) Mengembangkan suatu sistem untuk pelapran peristiwa keamanan Memperkenalkan teknik pengendalian virus Mengembangkan suatu rencana kesinambungan bisnis Mengendalikan pengkpian perangkat lunak kepemilikan Surat pengantar arsip rganisatris untuk mengikuti kebutuhan perlindungan data, Dan menetapkan prsedur dalam mentaati kebijakan keamanan. Sedangkan Kebijakan pengendalian atau kntrl menurut standar ISO meliputi : kebijakan keamanan, rganisasi keamanan, pengglngan dan pengendalian asset, keamanan persnil, keamanan phisik dan kendali lingkungan, pengembangan dan 136 Standar dan Manajemen Keamanan Kmputer

4 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : manajemen jaringan kmputer, sistem akses kendali, pemeliharaan sistem, perencanaan kesinambungan bisnis, dan pemenuhan. Guna meminimalkan resik ancaman keamanan yang merugikan bisnis, maka masalah tersebut harus ditangani dengan menggunakan suatu tindakan pencegahan (preventive actin) tanpa harus menunggu dalam keadaan darurat dalam melakukan tindakan keamanan. Dalam rangka pr aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi tiga unsur pkk: Kebijakan perusahaan yaitu keterlibatan manajemen dalam alkasi sumber daya dan suatu visi yang strategis dan permasalahan glbal dalam keamanan, Instrumen teknlgi, Perilaku individu (pelatihan karyawan, dan adanya prses kmunikasi). Dalam standar ISO 17799, sistem manajemen keamanan infrmasi yang efektif dan efisien akan memberikan petunjuk bagi perusahaan atau rganisasi untuk: Secara knstan memperbaharui (update) atas adanya ancaman baru serta mengambil tindakan dengan pertimbangan yang sistematis. Melakukan penanganan kecelakaan dan kerugian dengan tindakan pencegahan dan peningkatan keamanan sistem yan berkelanjutan. Mengetahui ketika kebijakan dan prsedur tidak cukup mampu diterapkan dalam usaha pencegahan ancaman keamanan. Menerapkan kebijakan dan prsedur tentang pentingnya managemen keamanan, dengan mengikuti " prsedur praktek terbaik" dan manajemen resik yang baik. Dengan mengenali nilai manajemen keamanan infrmasi yang strategis ini, maka dapat ditawarkan suatu rencana invasi sertifikasi, berdasar pada rencana sertifikasi BS7799-2:1999 dan petunjuk ISO Dimana isi dari ISO meliputi : 10 Ketentuan Pengendalian (cntrl clauses), 36 Tujuan Pengendalian (cntrl bjectives), dan, 127 Kendali (cntrls). Kendali / Kntrl tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah teknlgi secara detail, dalam rangka membiarkan perusahaan / rganisasi masing-masing secara ttal bebas untuk memilih kendali itu yang terdekat ke situasi cultural/technlgical dan kebutuhan sendiri. 3. Standar Pengellaan Keamanan Infrmasi sesuai ISO dan ISO Serial ISO saat ini memainkan peranan yang penting dalam dukungannya terhadap perusahaan untuk dapat menerapkan knsep keamanan infrmasi dalam rganisasi serta keseluruhan prses bisnis. Prses dan manusia adalah dua aspek yang tidak kalah pentingnya. Keamanan Infrmasi Keamanan teknlgi infrmasi atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknlgi infrmasi dari tentunya, gangguan - gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan. Berbeda dengan keamanan infrmasi yang fkusnya justru pada data dan infrmasi, yang dalam hal ini tentunya data serta infrmasi milik perusahaan Pada knsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan infrmasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibcrkan ke pihak-pihak yang tidak berkepentingan. Berdasarkan penjelasan di atas, kemananan teknlgi infrmasi merupakan bagian dari keseluruhan aspek keamanan infrmasi. Karena teknlgi infrmasi merupakan salah satu alat atau tl penting yang digunakan untuk mengamankan akses serta penggunaan dari data dan infrmasi perusahaan. Dari pemahaman ini pula, kita akan mengetahui Standar dan Manajemen Keamanan Kmputer 137

5 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : bahwa teknlgi infrmasi bukanlah satusatunya aspek yang memungkinkan terwujudnya knsep keamanan infrmasi di perusahaan. Sistem Manajemen Keamanan Infrmasi Sistem Manajemen Keamanan Infrmasi (Infrmatin Security Management System ISMS) merupakan sebuah kesatuan system yang disusun berdasarkan pendekatan resik bisnis, untuk pengembangan, implementasi, pengperasian, pengawasan, pemeliharaan serta peningkatan keamaan infrmasi perusahaan. Dan sebagai sebuah sistem, keamanan infrmasi harus didukung leh keberadaan dari hal-hal berikut: Struktur rganisasi, biasanya berupa keberadaan fungsi-fungsi atau jabatan rganisasi yang terkait dengan keamanan infrmasi. Misalnya; Chief Security Officer dan beberapa lainnya. Kebijakan keamanan. Cnth kebijakan keamanan ini misalnya adalah sebagai berikut: Semua kejadian pelanggaran keamanan dan setiap kelemahan sistem infrmasi harus segera dilaprkan dan administratr harus segera mengambil langkah-langkah keamanan yang dianggap perlu. Akses terhadap sumber daya pada jaringan harus dikendalikan secara ketat untuk mencegah akses dari yang tidak berhak. Akses terhadap sistem kmputasi dan infrmasi serta periferalnya harus dibatasi dan kneksi ke jaringan, termasuk lgn pengguna, harus dikella secara benar untuk menjamin bahwa hanya rang/ peralatan yang ditrisasi yang dapat terkneksi ke jaringan. Prsedur dan prses. Yaitu semua prsedur serta prses-prses yang terkait pada usaha-usaha pengimplementasian keamanan infrmasi di perusahaan. Misalnya prsedur permhnan ijin akses aplikasi, prsedur permhnan dmain accunt untuk staf/karyawan baru dan lain sebagainya. Tanggung jawab. Yang dimaksud dengan tanggung jawab atau respnsibility di sini adalah tercerminnya knsep dan aspek aspek keamanan infrmasi perusahaan di dalam jb descriptin setiap jabatan dalam perusahaan. Begitu pula dengan adanya prgram-prgram pelatihan serta pembinaan tanggung jawab keamaan infrmasi perusahaan untuk staf dan karyawannya. Serial ISO ISO mengelmpkkan semua standar keamanan infrmasi ke dalam satu struktur penmran, yaitu pada serial ISO ISO berisi dkumen definisi-definisi keamanan infrmasi Adapun beberapa standar di seri ISO ini adalah sebagai berikut: ISO berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan infrmasi perusahaan ISO terkait dengan dkumen ISO 27001, namun dalam dkumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan infrmasi perusahaan. ISO panduan implementasi sistem manajemen keamanan infrmasi perusahaan. ISO dkumen yang berisi matriks dan metde pengukuran keberhasilan implementasi sistem manajemen keamanan infrmasi. ISO dkumen panduan pelaksanaan manajemen risik. ISO dkumen panduan untuk sertifi kasi sistem manajemen keamanan infrmasi perusahaan. ISO dkumen panduan audit sistem manajemen keamanan infrmasi perusahaan. ISO ISO merupakan dkumen standar sistem manajemen keamanan 138 Standar dan Manajemen Keamanan Kmputer

6 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : infrmasi atau Infrmatin Security Managemen System ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan leh sebuah perusahaan dalam usaha mereka mengimplementasikan knsep-knsep keamanan infrmasi di perusahaan. Secara umum ada 11 aspek atau yang biasa disebut sebagai cntrl, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan knsep keamanan infrmasi. Cntrl dalam hal ini adalah halhal, bisa berupa prses, prsedur, kebijakan maupun tl yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki leh adanya knsep keamanan infrmasi, seperti akses terlarang terhadap data atau infrmasi rahasia perusahaan. Adapun ke-11 cntrl tersebut adalah sebagai berikut: Security plicy, rganizatin f infrmatin security, Asset management, Human resurces security, Physical and envirnmental security, Cmmunicatins and peratins management, Access cntrl, Infrmatin system acquisitin, develpment, and maintenance, Infrmatin security incident management, Business cntinuity management, Cmpliance. Persnal Keamanan Teknlgi Infrmasi Menurut Natinal Institute f Standards and Technlgy (NIST) kebutuhan sumberdaya persnel keamanan teknlgi infrmasi (TI) yang ideal, mestinya disertai dengan tingkat dukungan minimal (minimum level f supprt) dalam perencanaan sebuah rganiasasi. Perencanaan ini khususnya ditujukan pada lembaga Pemerintahan dan rganisasi atau instansi sejenis yang bersifat memberikan jasa kepada pihak lain. Minimnya anggaran yang tersedia bagi beberapa lembaga, membuat mereka harus membuat keputusan dengan pertimbangan biaya yang efektif dan alkasi sumberdaya yang efisien. Dalam perencanaan ini susunan kepegawaian (staff) bidang keamanan TI pada umumnya dibagi menjadi: 1. Directr f Prgram Operatins (CIO atau Kepala Departemen/Lembaga) 2. Special Assistant t Directr (Infrmatin Security Officer) 3. Supervisr 4. User FUNGSI KEAMANAN DALAM ORGANISASI Setiap persnal (staff) keamanan TI harus mengerti dan mengimplementasi kntrl manajemen, perasinal dan teknikal. Implementasi penuh terhadap semua jenis kntrl membutuhkan staff keamanan Ti dengan berbagai keahlian. Pada suatu saat tim keamanan tersebut bias bertindak sebagai spesialis pengadaan barang yang meninjau sebuah spefisikasi dari system upgrade atau kemudian bertindak sebagai pengajar dalam kelas IT security awareness. Dalam kenyataannya diberbagai rganisasi dengan beragam tugas dari tim keamanan TI sering dihadapkan pada kekurangan sumberdaya atau priritas beban kerja untuk menyelesaikan hanya tugas-tugas yang penting. Fungsi-fungsi yang dibahas dibawah ini mengandung jumlah staff yang dibutuhkan untuk menyelesaikan fungsi tersebut dalam tingkat yang minimal. Tingkat ini dihitung dalam bentuk prsentasi dari 1 staff per tahun. a. Audit. Auditr bertanggungjawab dalam memeriksa sistem untuk melihat apakah sistem tersebut telah memenuhi kebutuhan keamanan TI. termasuk sistem dan kebijakan rganisasi, dan apakah kntrl keamanan TI telah dijalankan dengan benar. b. Physical Security Pada banyak rganisasi, bagian keamanan fisik ini pada umumnya adalah staff keamanan berupa satuan pengamanan (satpam). Bagian kemanan fisik biasanya bertanggungjawab untuk mengembangkan dan menjalankan kntrl keamanan fisik yang baik, dengan knsultasi dengan manajemen keamanan kmputer. prgram dan manajer fungsinal, dan yang pihak lain yang diperlukan. Standar dan Manajemen Keamanan Kmputer 139

7 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : c. Disaster Recvery/Cntingency Planning Staff keamanan TI harus memiliki disaster recvery/cntingency planning team. Tim ini bertanggungjawab pada aktifitas cntingency planning rganisasi tersebut dan bekerjasama dengan dengan bagian keamanan fisik, telekmunikasi, IRM, pengadaan barang dan pegawai lainnya. d. Pengadaan (Prcurement) Bagian pengadaan bertanggungjawab untuk memastikan pengadaan barang dalam rganisasi telah ditinjau leh petugas yang berwenang. e. Pelatihan Pelatihan mengenai keamanan TI termasuk dalam kebutuhan keamanan TI. Staff keamanan TI memiliki salah satu tanggung jawab utama untuk memberikan pelatihan kepada user, peratr, dan manajer mengenai keamanan kmputer. f. Sumberdaya Manusia (Persnalia) Bagian persnalia dan staff keamanan TI harus bekerjasama dalam lekaukan investigasi terhadap latar belakang dan, prsedur pemberhentian kerja dari serang pegawai yang hendak mengundurkan diri. g. Risk Management/Planning Beberapa rganisasi memiliki staff yang bertugas mempelajari berbagai tipe resik yang mungkin dihadapi leh rganisasi. Staff keamanan TI harus mengembangkan prses untuk mengenali resik yang ada dalam siklus hidup rganisasi. Ketika sebuah kelemahan (vulnerabilities) terdeteksi, tim keamanan harus menganalisa resik dan jumlah sumberdaya yang dibutuhkan untuk menurunkan resik (mitigate the risk). h. Building Operatins Bagian pemeliharaan gedung bertanggungjawab dalam memastikan bahwa setiap fasilitas keamanan gedung, daya listrik dan kntrl lingkungan gedung, aman digunakan selama masa perasinal rganisasi. i. System Management/System Administratrs Pegawai ini adalah manajer dan teknisi yang merancang dan mengperasikan suatu sistem, jaringan kmputer dan LAN dari rganisasi. Mereka bertanggungjawab dalam mengimplementasikan kemanan teknis dan harus paham terhadap teknlgi pengamanan TI yang berhubungan dengan sistem mereka. Mereka juga perlu memastikan kntinuitas dari layanan mereka dalam memenuhi kebutuhan manajer fungsinal, serta menganalisa kelemahan yang ada pada sistem. j. Telekmunikasi Bagian telekmunikasi bertanggungjawab untuk menyediakan layanan telekmunikasi termasuk telekmunikasi suara, data, vide dan layanan faks. k. Help Desk Apakah bagian Help Desk menangani atau tidak menangani setiap insiden, ia harus dapat mengenali gangguan keamanan dan meneruskan panggilan tersebut kepada pihak yang berwenang dalam rganisasi untuk direspn. Tim keamanan TI harus bekerjasama dengan manajemen help desk untuk memastikan prsedur yang ada telah dijalankan dalam menangani insiden yang berhubungan dengan keamanan TI. l. Maintenance f Security Prgram Prgram keamanan membutuhkan beberapa aktifitas tambahan yang tidak tercantum dalam fungsi-fungsi diatas. Untuk setiap area fungsi harus memiliki dkumen penuntun bagi staff dan tim keamanan TI. Dkumen tersebut harus diteliti, ditulis, ditinjau dan diawasi secara berkala. MANAJEMEN OPERASI KEAMANAN Dalam penggunaan teknlgi infrmasi di setiap institusi, terutama yang mengutamakan teknlgi infrmasi dalam prses bisnisnya membutuhkan suatu perasinal yang ptimal untuk dapat mendukung bisnis yang berjalan. Bila berbicara tentang perasinal, maka banyak hal yang bisa dilibatkan mulai dari hardware, 140 Standar dan Manajemen Keamanan Kmputer

8 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : sftware, prsedur dan sumber daya manusianya sendiri untuk bisa melaksanakan perasinal itu. Ketergantungan dari setiap kmpnen di atas sangatlah menentukan keberhasilan perasinal yang dilakukan tetapi dengan keberhasilan perasinal dengan teknlgi yang canggih pun tanpa melibatkan faktr keamanan semuanya menjadi kurang berarti karena infrmasi atau data apapun yang dihasilkan dari teknlgi tanpa adanya keamanan bisa menjadi bencana bila tidak memperhatikan cnfidenciality, integrity dan avaibility pada umumnya dan keamanan pada khususnya sehingga setiap infrmasi yang dimiliki benar-benar diperlakukan sebagai asset yang berharga bagi institusi. Untuk menjamin keamanan perasinal tidak hanya bicara teknlgi pelindungnya, tetapi kebijakan yang jelas dalam melakukan kemanan perasinal adalah sangat penting untuk dapat dijalankan dengan baik karena ancaman yang paling tinggi pada prakteknya adalah dari sumber daya internal sendiri. Hal ini adalah ancaman yang sebenarnya sangat mengancam dan sulit untuk diperkirakan, karena internal sumber daya sudah ada di dalam sistem itu sendiri. Dalam rangka meminimalisasi ancaman ini maka kebijakan untuk keamana perasinal harus dibuat dengan sedetail mungkin memperkirakan hal-hal yang dapat menjadi ancaman, dan melakukan prsedur prsedur keamanan dengan knsekwen. Jadi tanpa kebijakan dan prsedur yang baik maka tidak hanya ancaman dari luar yang menakutkan tetapi juga lebih menakutkan ancaman dari dalam. Untuk itu setiap divisi tekngi infrmasi harus punya kebijakan untuk crprate user dalam menggunakan sumber daya teknlgi infrmasi yang dipunyai. Dalam pembahasan ini akan dijelasakan setidaknya terdapat 3 hal besar yang harus dapat dipahami : 1. Cntrl and Prtectin. Berisi pemahaman tentang pengaturan dan prteksi dalam kegiatan perasinal untuk dapat mencapai tingkat keamanan perasinal yang ptimal ada bererapa hal yang harus diperhatikan diantaranya adalah preventive cntrl, crrective cntrl detective cntrl, deterrent cntrl, applicatin cntrl, transactin cntrl dan separatin and rtatin f duties lebih menekankan kepada cnfidenciality (kerahasiaan) dan integrity atau keutuhan data. Semua hal di atas lebih memfkuskan juga pada prsedur pengawasan yang ptimal dalam melakukan berbagai hal mulai dari pencegahan hingga rtasi tugas yang baik dan bila tidak dilakukan dengan benar akan menjadi ancaman dan membuka lebar pintu keamanan. 2. Mnitring and Auditing. Setelah dilakukan pengaturan dan prteksi yang baik maka tidak bisa hanya berhenti untuk bisa melakukan prteksi tetapi tetap diperlukan mnitring and auditing untuk bisa mengetahui dan menjamin sejauh mana keamanan yang sudah dicapai, faktr yang harus diperhatikan adalah Change management, Escalatin management, Recrd retentin, Due dilligince, dan Lgging mnitring. Dengan melakukan hal-hal diatas yang lebih bersifat prsedur maka pengawasan keamanan dapat lebih ditingkatkan. 3. Threat and Vulnerabilities. Berisi pemahaman tentang jenis ancaman dan kelemahan yang dapat mengancam perasinal keamanan yang sudah dilakukan. Untuk threat dan vulnerability beberapa hal yang akan dibahas adalah Accidental Lss, Inapprpriate Activities, Illegal cmputer peratins, Accunt maintenance, Data Scavenging Attacks, IPL/rebting, dan Netwrk highjacking. KESIMPULAN Penerapan sistem keamanan dalam sebuah rganisasi yang ideal tentunya harus memenuhi persyaratan standarisasi sesuai dengan ketentuan yang berlaku pada standar sistem keamanan baik itu TKTI dan ISO. Namun begitu mengingat keterbatasan sumber daya pada beberapa rganisasi atau perusahaan kecil dan menengah, maka standar tersebut beberapa bagian diantaranya dapat digabungkan. Namun begitu prinsip keamanan harus tetap memenuhi aspekaspek yang menjadi persyaratan keamanan yaitu cnfidenciality, integrity dan avaibility. Standar dan Manajemen Keamanan Kmputer 141

9 Jurnal Teknlgi Infrmasi DINAMIK Vlume XI, N. 2, Juli 2006 : ISSN : Untuk mencapai aspek tersebut maka perlu diperhatikan beberapa hal yang penting yaitu adanya kntrl dan prteksi, mnitring dan auditing, serta pemahaman tentang threat dan vulnerabilitas. DAFTAR PUSTAKA 1. Depkminf, 2006, Pedman Praktis manajemen Keamanan Infrmasi untuk Pimpinan Organisasi, 10 Rekmendasi Terbaik Manajemen Keamanan Infrmasi, Direktrat Sistem Infrmasi, Perangkat Lunak Dan Knten Direktrat Jenderal Aplikasi Telematika Departemen Kmunikasi Dan Infrmatika 2. Budi Raharj, 2005, Keamanan Sistem Infrmasi Berbasis Internet, PT Insan Infnesia - Bandung & PT INDOCISC Jakarta Internet 3. Gary Stneburner, dkk, 2004, Cmputer Security:Engineering Principles Fr Infrmatin Technlgy Security (Baseline fr Achieving Security), Revisian A, NIST /sp pdf 6. IEEE Wrking Grup. html. 7. NIST Special Pub :, 2005, Guide t Cmputer and Netwrk Data Analysis: Applying Frensic Techniques t Incident Respnse (Draft), SP pdf. 142 Standar dan Manajemen Keamanan Kmputer