DIES NATALIS XXIV FAKULTAS TEKNOLOGI INFORMASI DAN SAINS UNIVERSITAS KATOLIK PARAHYANGAN

Transkripsi

1 DIES NATALIS XXIV FAKULTAS TEKNOLOGI INFORMASI DAN SAINS UNIVERSITAS KATOLIK PARAHYANGAN Bandung, Rabu 26 April 2017

2 Keamanan Informasi : Terlupakan Namun Tak Terelakkan Sebuah Refleksi bagi Komunitas UNPAR 1 Pendahuluan Mariskha Tri Adithia Program Studi Teknik Informatika Fakultas Teknologi Informasi dan Sains Universitas Katolik Parahyangan Oratio Dies Keamanan informasi adalah perlindungan informasi termasuk elemen-elemen pentingnya, termasuk sistem dan hardware yang menggunakan, menyimpan, dan mentransmisikan informasi tersebut. Sejak tahun 2000, dengan adanya jutaan jaringan komputer serta berbagai informasi yang ditransmisikan melalui jaringan-jaringan ini, kebutuhan terhadap keamanan informasipun semakin meningkat. UNPAR adalah suatu organisasi besar yang berhubungan dengan berbagai data sensitif. Misalnya, UNPAR memiliki data mahasiswa dan pegawai, yang memuat banyak informasi, misalnya, nama, alamat, tanggal lahir, dan jenis kelamin, yang bukan konsumsi publik. UNPAR juga berkaitan erat dengan data akademik mahasiswa, yang sifatnya rahasia, sampai ukuran tertentu. Selain itu, sebagai organisasi pada umumnya, data keuangan UNPAR adalah data yang kerahasiaannya perlu dilindungi. Sebagai tambahan, UNPAR juga memiliki jaringan komputer yang cukup besar, dan terhubung dengan internet, yang memungkinkan adanya serangan terhadap data tersebut. Di sinilah berbagai teknik dan metode keamanan informasi dapat berperan untuk melindungi data, baik secara fisik maupun teknis. Namun, sejauh apa metode keamanan informasi telah diterapkan UNPAR? Artikel ini selanjutnya akan membahas tentang keamanan informasi itu sendiri, yang mencakup definisi, tujuan, dan berbagai istilah yang digunakan. Selanjutnya dibahas bidang ilmu kriptografi, yang merupakan salah satu teknik untuk mencapai tujuan keamanan informasi. Peran keamananan informasi pada kehidupan kita dan juga UNPAR, juga dibahas, melingkupi praktik baik, maupun tantangan yang masih harus dihadapi UNPAR. Artikel ini ditutup dengan kesimpulan dan saran. 2 Keamanan Informasi Berdasarkan definisi Committee on National Security Systems (CNSS), keamanan informasi adalah perlindungan informasi termasuk elemen-elemen pentingnya, termasuk sistem dan hardware yang menggunakan, menyimpan, dan mentransmisikan informasi tersebut 1. Walaupun praktek keamanan informasi secara umum sudah dimulai 1 Sumber: Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 55

3 ratusan tahun sebelumnya, sejarah formal keamanan informasi dimulai dengan adanya kebutuhan terhadap keamanan komputer, yaitu kebutuhan untuk menngamankan lokasi secara fisik, hardware, dan software dari serangan yang muncul di masa Perang Dunia 2 [6]. Pada masa ini, keamanan informasi hanya mencakup keamanan secara fisik dan klasifikasi dokumen atau informasi secara sederhana, dan berfokus terutama untuk menjaga kerahasiaan informasi. Sejak tahun 2000, dengan adanya jutaan jaringan komputer serta berbagai informasi yang ditransmisikan melalui jaringan-jaringan ini, kebutuhan terhadap keamanan informasipun semakin meningkat. Tujuan keamanan infor-masi berkembang manjadi perlindungan terhadap kerahasiaan, integritas, dan ketersediaan data atau informasi, baik dalam penyimpanan, proses, maupun transmisi. Tujuan-tujuan ini dijelaskan sebagai berikut: Kerahasiaan data, yaitu perlindungan data dari pihak yang tidak berhak, atau tidak memiliki otorisasi Integritas data, yaitu perlindungan data dari modifikasi oleh pihak yang tidak berhak, atau tidak memiliki otorisasi Ketersediaan data, yang menjamin data tersedia bagi pihak yang berhak atau memiliki otorisasi Di samping tujuan-tujuan yang telah dijelaskan sebelumnya, keamanan informasi juga dapat membantu ter-capainya tujuan lain yang pada dasarnya berada di domain yang berbeda dengan keamanan informasi, yaitu privasi data. Privasi data adalah perlindungan data yang dapat mengidentifikasikan seseorang 2. Data yang dapat mengidentifikasi seseorang juga disebut personally identi able information (PII). PII didefinisikan sebagai data yang secara langsung mengidentifikasi seseorang, misalnya nama, alamat, nomor telepon, serta alamat , dan data pendukung yang kombinasinya dapat mengidentifikasi seseorang secara tak langsung, misalnya tanggal lahir, ras, dan jenis kelamin 3. Tujuan-tujuan ini dapat dicapai, misalnya menggunakan alat berbentuk fisik. Contohnya, untuk menjaga kerahasiaan sebuah surat, surat dimasukkan ke dalam amplop. Contoh lain adalah penggunaan brankas untuk melindungi surat-surat berharga, agar hanya dapat tersedia bagi orang-orang yang mengetahui kunci kombinasi brankas tersebut. Penggunaan teknik dan protokol juga dapat digunakan untuk mencapai tujuan keamanan informasi. Teknik yang dapat digunakan adalah kriptografi, yang akan dibahas di Bagian 3. Teknik ini mengamankan data dengan menggunakan berbagai metode berdasarkan bidang ilmu matematika. Protokol juga berperan dalam keamanan informasi, di mana biasanya protokol ini mengimplementasikan teknik kriptografi, untuk mengamankan data saat ditransmisikan melalui jaringan komputer. Contoh protokol yang digunakan 2 Sumber: 3 Sumber: 56 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

4 untuk mengamankan data saat ditransmisikan di jaringan komputer adalah Secure Socket Layer (SSL) dan IPSec. Selain penggunaan perlindungan fisik dan teknik, tujuan keamanan informasi juga dapat dicapai melalui ke-bijakan. Dengan kebijakan, suatu prosedur dapat dibuat untuk mengimplementasikan keamanan informasi, dan pelatihan dapat dilakukan terhadap individu-individu. Bagaimana kebijakan dapat mendukung keamanan informasi akan dijelaskan di Subbagian 2.1. Salah satu istilah penting yang perlu diketahui di bidang keamanan informasi adalah serangan. Menurut ISO/IEC 27000:2009, serangan dalam keamanan informasi adalah segala upaya yang bertujuan untuk merusak, membuka, mengubah, melumpuhkan, mencuri, serta mengakses dan menggunakan tanpa otorisasi, suatu aset, data, atau informasi. Penjelasan lebih rinci tentang serangan diberikan di Subbagian Kebijakan Kebijakan adalah bagian yang tak terpisahkan dengan keamanan informasi, saat akan diimplementasikan di suatu organisasi. Fungsi utama dari kebijakan adalah sebagai berikut [4]: Kebijakan mendefinisikan konsep keamanan informasi di dalam organisasi. Dengan adanya kebijakan, akan jelas bagaimana suatu sistem dan jaringan dapat dikonfigurasikan, dan juga bagaimana perlindungan informasi dapat dilakukan secara fisik. Kebijakan juga memuat mekanisme untuk melindungi informasi dan sistem. Kebijakan memberikan pengetahuan dan aturan seputar keamanan informasi kepada pegawai. Faktor manusia sangat penting agar tujuan keamanan informasi dalam suatu organisasi tercapai. Walaupun ada berbagai aturan seputar keamanan informasi, namun jika tidak dilaksanakan, maka tujuan tidak akan tercapai. Kebijakan terkait keamanan informasi di suatu organisasi tediri atas beberapa jenis, misalnya kebijakan in-formasi. Kebijakan informasi mendefinisikan informasi mana sajakah yang termasuk informasi sensitif dan bagaimana informasi tersebut dapat dilindungi. Berikut adalah beberapa hal yang tercakup dalam kebijakan informasi: Identifikasi informasi sensitif, misalnya informasi seputar data pegawai dan penggajian. Klasifikasi, yang menentukan informasi mana yang boleh dilihat oleh siapa. Klasifikasi ini nantinya terbagi dalam beberapa level, di mana informasi yang diklasifikasikan ke dalam level terendah, dapat dilihat oleh semua orang; pada level tertinggi hanya dapat dilihat beberapa orang saja di dalam organisasi. Penyimpanan informasi sensitif, yang mengatur bagaimana informasi sensitif disimpan, baik jika informasi tertulis pada suatu kertas, maupun jika bentuknya dijital. Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 57

5 Kebijakan lain yang juga penting adalah kebijakan keamanan, yang mendefinisikan berbagai kebutuhan teknis untuk keamanan sistem dan jaringan komputer. Berikut adalah beberapa hal yang tercakup dalam kebijakan keamanan: Identifikasi, yang menjelaskan bagaimana seorang pegawai dapat diidentifikasi dalam sistem dan jaringan komputer. Kebijakan keamanan mengatur user ID yang standar untuk pegawai, dan bentuk identifikasi utamanya. Misalnya, menggunakan password. Kontrol akses, yang mengatur otorisasi dalam pengaksesan dokumen. Pengaturan ini juga mencakup, hak akses pegawai terhadap dokumen tertentu; dokumen hanya dapat dibaca, diubah, atau dieksekusi. Berdasarkan kebijakan, suatu standar dapat dibuat, di mana standar ini mengatur sesuatu kebijakan dengan lebih rinci. Misalnya, suatu kebijakan keamanan mengharuskan penggunaan password sebagai bentuk identifikasi, maka pada standar mengatur berapa panjang maksimum dan minimum password, dan syarat apa sajakah yang harus dipenuhi oleh password tersebut. Setelah standar dibuat, prosedurprosedur dapat diturunkan dari standar ini, yang menjelaskan langkah per langkah bagaimana mengimplementasikan standar tersebut. Melalui prosedur inilah berbagai metode teknis maupun non-teknis dapat diimpelementasikan dan digunakan. Prosedur yang terkait langsung dengan aksi pegawai, harus disosialisasikan, sehingga seluruh pegawai mengerti dan melaksanakan prosedur tersebut dengan konsisten. Hal terakhir yang penting dilakukan setelah implementasi sudah berjalan, adalah evaluasi. Dengan evaluasi ini, dapat diketahui apakah semua berjalan dengan baik. Jika ada masalah, maka penyebab masalah terjadi dapat dianalisa dan solusi dapat dibangun, untuk memperbaiki kebijakan, standar, atau prosedur. 2.2 Serangan Secara umum, serangan dapat dibagi 2, yaitu serangan aktif dan pasif [1], sebagai berikut Serangan pasif, di mana penyerang tidak melakukan tindakan aktif dan hanya bertujuan untuk menda-patkan informasi. Jenis serangan ini mengancam kerahasiaan suatu data. Serangan ini tidak mengganggu kerja sistem, namun dapat membahayakan pengirim atau penerima data tersebut. Serangan aktif,di mana penyerang aktif melakukan tindakan tertentu yang membahayakan data atau sistem. Serangan ini mengancam integritas dan ketersediaan suatu data. Misalnya, penyerang dapat mengubah mengubah atau merusak data, sehingga data tersebut tidak asli lagi atau menjadi tidak tersedia bagi pengguna. 58 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

6 Seperti yang telah dijelaskan sebelumnya, serangan pasif bertujuan untuk membahayakan kerahasiaan data.contoh serangan ini adalah snooping [4]. Snooping adalah upaya untuk mendapatkan informasi tanpa otorisasi dengan menangkap dan membaca berbagai informasi, dengan harapan sesuatu yang berguna bagi penyerang bisa didapatkan. Jika informasi tertuang dalam media berbentuk fisik, snooping dilakukan dengan membuka kabinet dokumen, dan membaca dokumen satu per satu sampai informasi didapatkan. Untuk mencegah keberhasilan serangan ini, kabinet dokumen sensitif harus selalu terkunci, dan kunci tersebut hanya dipegang oleh pihakpihak yang memiliki otorisasi. Jika informasi disimpan secara dijital, snooping dilakukan dengan membuka dan membaca file satu per satu, sampai informasi ditemukan. Maka, agar file tidak dapat dibaca orang yang tidak berhak, teknik kriptografi harus digunakan. Contoh serangan lain yang membahayakan kerahasiaan data adalah eavesdropping atau menguping. Untuk mendapatkan informasi tanpa otorisasi, penyerang harus menempatkan diri di lokasi di mana informasi yang disasar mungkin lewat saat ditransmisikan. Oleh karena itu, serangan ini lebih sering dilakukan secara elektronik. Penyerang dalam hal ini, atau disebut juga eavesdropper, termasuk dalam kategori penyerang man-in-the-middle, karena penyerang memposisikan diri di antara 2 entitas yang berkomunikasi. Lihat 4 Gambar 1. Man-in-the-middle juga dapat melakukan serangan aktif, misalnya melakukan modifikasi informasi yang berhasil ditangkapnya [1]. Modifikasi dapat berupa pengubahan, penyisipan, maupun penghapusan informasi. Contoh serangan ini adalah misalnya seorang kustomer melakukan transaksi dengan menggunakan internet banking. Penyerang yang memposisikan diri di jaringan komputer, di antara kustomer tersebut dengan server bank, dapat memodifikasi jenis transaksi yang dimasukkan kustomer, untuk kepentingan dirinya. Gambar 1: Skema serangan man-in-the-middle, di mana penyerang berada di antara suatu komputer dan server. 4 Sumber: Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 59

7 Serangan yang cukup terkenal, yang membahayakan ketersediaan data, adalah serangan denial of service (DoS). Serangan ini bertujuan untuk memperlambat atau menghentikan servis suatu sistem kepada kustomernya. Contohnya, penyerang dapat mengirimkan request palsu dalam jumlah banyak kepada suatu server, sehingga kerja server menjadi lambat dalam melayani request kustomer-kustomer lain. 3 Kriptografi Seperti yang telah dijelaskan di Bagian 2, kriptografi adalah salah satu teknik yang digunakan untuk mencapai tujuan-tujuan keamanan informasi. Kriptografi sendiri berasal dari bahasa Yunani, yang berarti tulisan rahasia [1]. Di masa lalu, memang konteks keamanan informasi hanya terbatas pada bagaimana mejaga kerahasiaan data. Bidang ilmu ini awalnya muncul karena kebutuhan sandi rahasia di masa perang. Bentuk awalnya sudah ditemukan pada masa Romawi kuno dalam bentuk Caesar Cipher, yaitu metode penyandian yang dibangun oleh Julius Caesar [3]. Dengan semakin berkembangnya spionase, kriptografi semakin banyak digunakan sebagai metode untuk mengkomunikasikan pesan rahasia. Ilmu ini semakin berkembang di masa Perang Dunia 1 dan 2. Bahkan, kriptografi merupakan salah satu faktor utama atas kemenangan Jerman pada Perang Dunia 2. Saat itu Jerman memiliki mesin bernama Enigma, yang merupakan mesin penyandi pesan rahasia [3]. Sandi yang dihasilkan oleh mesin ini sangat sulit dipecahkan, sehingga komunikasi antar tentara Jerman tidak dapat diketahui oleh Sekutu. Baru pada tahun 1939, seorang ilmuwan Inggris yang bernama Alan Turing mulai membangun sebuah mesin, bernama Bombe, yang nantinya digunakan untuk membantu memecahkan sandi Enigma. Dengan berkembangnya kebutuhan akan keamanan informasi, maka teknik yang dibutuhkan untuk mencapai tujuan keamanan informasi pun semakin rumit. Kriptografi, sebagai teknik yang dibutuhkan tersebut, harus mampu untuk mencapai tujuan-tujuan keamanan informasi lainnya, seperti integritas dan ketersediaan data. Oleh karena itu, definisi kriptogra pun berubah menjadi gabungan ilmu dan seni untuk mengamankan data, dan membuatnya imun terhadap serangan [1]; ilmu yang mendasari kriptografi adalah matematika. Pada subbagian-subbagian berikutnya, akan dijelaskan bagaimana kriptografi dapat memenuhi tujuan dari keamanan informasi. 3.1 Kerahasiaan Data Untuk mencapai tujuan kerahasiaan data, kriptografi menggunakan metode enkripsi dan dekripsi. Enkripsi adalah proses penyandian suatu pesan rahasia, sedangkah dekripsi adalah proses pengembalian sandi yang dihasilkan dari proses enkripsi kembali ke bentuk awalnya. Pesan rahasia ini disebut juga dengan plainteks, sedangkan pesan yang sudah disandikan disebut cipherteks [1]. Gambar 2 menunjukkan contoh plainteks 60 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

8 berupa gambar dan cipherteksnya. Di masa lalu, proses enkripsi dan dekripsi dilakukan dengan menggunakan mesin atau alat tertentu, misalnya mesin Enigma. Namun di masa kini, proses-proses tersebut dilakukan dengan menggunakan algoritma serta suatu kunci, yang merupakan parameter masukan untuk algoritma tersebut. Kunci digunakan agar hanya orang yang berhak yang nantinya dapat melakukan dekripsi dari cipherteks. Lihat 5 Gambar 3. Sebagai analogi, fungsi kunci ini sama persis dengan kunci sebuah ruangan atau rumah. Sebuah ruangan atau rumah dikunci Gambar 2: Contoh plainteks dan cipherteksnya pemiliknya agar hanya ia, atau orang lain yang berhak, yang dapat memasukinya. Gambar 3: Skema enkripsi dan dekripsi dengan menggunakan kunci Berdasarkan kunci yang digunakan, algoritma kriptografi dibagi menjadi 2: algoritma kriptografi kunci simetri dan asimetri. Algoritma kunci asimetri juga disebut algoritma kriptografi kunci publik. Pada algoritma krip-tografi kunci simetri, kunci yang digunakan untuk proses enkripsi adalah sama dengan kunci untuk proses dekripsi. Kunci ini disebut rahasia, dan hanya boleh diketahui oleh pemiliknya saja. Contoh algoritma krip-tografi kunci simetri adalah Advanced Encryption Standard (AES) dan Twofish. Sedangkan, pada algortima kriptografi kunci asimetri, kunci yang digunakan untuk kedua proses ini berbeda. Untuk proses enkripsi di-gunakan kunci publik, sedangkan untuk proses dekripsi digunakan kunci privat. Kunci publik boleh diketahui banyak orang, namun 5 Sumber: Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 61

9 kunci privat bersifat rahasia, dan hanya diketahui oleh pemiliknya saja. Lihat 6 Gambar 4. Contoh algoritma kriptografi kunci asimetri misalnya, Rivest Shamir Adleman (RSA) dan ElGamal. Kedua jenis algoritma ini memiliki kelebihan dan kekurangannya masing-masing. Misalnya, algoritma krip-tografi kunci simetri memiliki operasi-operasi yang sederhana sehingga secara komputasi lebih cepat, namun jika banyak pesan rahasia akan dikirimkan ke banyak pihak/entitas, maka dibutuhkan banyak kunci. Kunci-kunci ini harus dikirimkan ke pihak-pihak yang membutuhkan melalui jaringan yang aman, yang tidak mudah untuk didapat. Sedangkan algoritma kriptografi kunci publik tidak memiliki masalah pengiriman kunci, namun secara komputasi jauh lebih rumit karena melibatkan operasi perpangkatan dan modulo bilangan yang sangat besar. 3.2 Integritas Data Kriptografi menggunakan fungsi hash kriptogra untuk mencapai tujuan integritas data. Fungsi hash kriptografiy = h(x) adalah suatu fungsi yang [5] Dapat menerima masukan dengan panjang sembarang, namun menghasilkan keluaran dengan panjang tetap. Perhitungan h(x) mudah untuk sembarang masukan x. Jika diketahui suatu nilai y, tidak mungkin secara komputasi untuk mendapatkan nilai x. Dengan kata lain, fungsi ini tidak dapat dicari inversnya. x biasa disebut message dan y disebut digest. Gambar 4: Skema enkripsi dan dekripsi dengan menggunakan algoritma kriptografi kunci simetri dan asimetri 6 Sumber: 62 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

10 Beberapa contoh fungsi hash kriptografi adalah SHA-1, SHA-256, SHA-512, MD4, dan MD5. Selain perbedaan dalam algoritmanya, fungsi-fungsi ini umumnya berbeda dalam hal panjang digest yang dihasilkan. Misalnya, SHA-256 menghasilkan digest ukuran 256 bit, sedangkan digest yang dihasilkan MD5 adalah 512 bit. Langkah-langkah penggunaan fungsi hash kriptografi untuk memastikan integritas data adalah sebagai berikut. Misalkan Alice ingin mengirimkan pesan m kepada Bob, di mana Bob ingin memastikan integritas pesan yang diterimanya. Maka, selain mengirimkan pesan m, Alice juga mengirimkan digest d = h(m) kepada Bob. Saat Bob menerima m dan d, Bob dapat menghitung nilai d = h(m) dan mencocokkan nilai d dengan nilai d yang diterimanya. Jika d = d, maka pesan m adalah pesan yang asli dan tidak mengalami modifikasi saat proses transmisi. Jika sebaliknya, maka Bob dapat mengetahui bahwa pesan sudah mengalami modifikasi. Lihat Gambar Ketersediaan Data Gambar 5: Skema penggunaan fungsi hash kriptografi untuk memastikan integritas data. Kriptografi tidak langsung menyediakan metode untuk menjamin ketersediaan data. Namun, kriptografi memiliki metode untuk menjamin bahwa suatu data tersedia bagi orang yang berhak dan memiliki otorisasi terhadap data tersebut. Selain itu, metode ini juga bisa menjamin asal sebuah data. Sehingga, jika data dikirimkan, akan dapat dipastikan siapa pengirimnya. Metode ini disebut otentikasi. Otentikasi dibagi menjadi 2, yaitu otentikasi pesan dan entitas [1]. Otentikasi pesan bertujuan untuk memastikan asal sebuah pesan, sedangkan otentikasi entitas bertujuan memastikan identitas entitas-entitas yang terlibat di dalam suatu sesi komunikasi. Saat ini data dapat diakses melalui jaringan komputer yang memungkinkan lebih banyak serangan. Misal-nya, suatu data dapat diakses oleh seorang penyerang man in the middle, misalnya Eve, di mana ia mampu mengambil data tersebut dan memodifikasinya, sebelum dikirimkan ke penerima yang seharusnya. Oleh karena itu, dibutuhkan teknik lain untuk mendukung metode otentikasi yang sudah ada, yaitu protokol kriptografi. Pada subbagian-subbagian selanjutnya, jenis-jenis otentikasi dijelaskan dengan lebih Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 63

11 rinci, juga protokol kriptografi yang terkait di dalamnya Otentikasi Pesan Seperti yang telah dijelaskan sebelumnya, otentikasi pesan bertujuan untuk memastikan asal sebuah pesan. Dengan kata lain, misalnya suatu entitas, Alice, mengirimkan suatu pesan kepada entitas lain, misalnya Bob, maka dengan metode otentikasi pesan, Bob dapat memastikan bahwa pesan tersebut memang dikirimkan oleh Alice. Metode kriptografi yang digunakan untuk mencapai tujuan ini adalah digital signature. Digital signature dihasilkan dengan menggunakan algoritma tertentu, misal algoritma Schnorr dan RSA. Penggunaan digital signature pada dasarnya sama dengan tanda tangan konvensional. Saat seseorang, misalnya Alice, membubuhkan tanda tangannya pada suatu dokumen m dan mengirimkannya kepada orang lain, misalnya Bob, Alice pada dasarnya menyatakan bahwa dokumen m tersebut memang dikirimkan olehnya. Perbedaan digital signature dan tanda tangan konvensional yang utama adalah pada caraveri-fikasinya. Pada tanda tangan konvensional, verifikasi dilakukan secara visual, sedangkan pada digital signature, verifikasi dilakukan secara matematis. Ini berlaku karena digital signature dihasilkan dengan menggunakan algoritma, sehingga bentuknya berupa bilangan. Langkah-langkah penggunaan digital signature pada otentikasi pesan adalah sebagai berikut. Misalkan Alice ingin mengirimkan pesan m kepada Bob, di mana Bob ingin memastikan bahwa pesan yang diterimanya adalah benar dari Alice. Maka, selain mengirimkan pesan m, Alice juga mengirimkan digital signature-nya, misalnya s yang dihasilkan dengan algoritma digital signature tertentu, dengan menggunakan kunci privat Alice. Saat Bob menerima m, m dapat dihitung, yang umumnya menggunakan fungsi tertentu dengan kunci publik Alice sebagai parameternya, atau dengan menggunakan fungsi hashkriptografi. Bob juga dapat menghitung s dari nilai s yang didapatnya, juga menggunakan fungsi tertentu dengan kunci publik Alice sebagai parameter. Bob lalu mencocokkan nilai m dengan nilai s. Jika m = s, maka Alice adalah pengirim pesan m. Jika sebaliknya, maka Bob dapat mengetahui bahwa pesan tersebut tidak dikirimkan oleh Alice. Lihat Gambar 6. Gambar 6: Skema penggunaan digital signature pada otentikasi pesan. 64 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

12 3.3.2 Otentikasi Entitas Oratio Dies Otentikasi entitas bertujuan memastikan identitas entitas-entitas yang terlibat di dalam suatu sesi komunikasi [1]. Jika di suatu sesi komunikasi ada 2 entitas, misalnya Alice dan Bob, dengan otentikasi entitas, Alice harus dapat memastikan identitas Bob, dan sebaliknya, sebelum komunikasi atau proses selanjutnya dapat dilakukan. Entitas dalam hal ini dapat berupa proses, mesin, komputer, atau manusia. Entitas bahkan dapat berupa smartcard. Entitas yang identitasnya harus dibuktikan disebut juga claimant, sedangkan entitas yang mencoba membuktikan identitas claimant disebut juga verifier. Pada otentikasi entitas, claimant dapat membuktikan dirinya dengan menggunakan 3 jenis identifikasi berikut: Sesuatu yang diketahui, yaitu suatu rahasia yang hanya diketahui oleh claimant, namun dapat diverifi-kasi oleh verifier. Contohnya adalah password dan PIN. Sesuatu yang dimiliki, yaitu suatu benda yang dimiliki claimant, yang dapat membuktikan identitasnya. Sesuatu yang menjadi karakteristik, yaitu sesuatu yang sudah menjadi bagian dari karakteristik claimant, misalnya sidik jari dan retina mata. Identifikasi dengan cara ini disebut juga dengan otentikasi biometri. Password adalah bentuk ontentikasi entitas yang tertua. Saat ini, password, misalnya, digunakan pengguna untuk dapat mengakses akun atau media sosial. Di kasus ini, claimant adalah pemilik akun atau media sosial, dan verifier adalah server atau media sosial. Pada proses otentikasi dengan password, suatu protokol kriptografi dibutuhkan. Berikut adalah salah satu contoh protokol kriptografi yang digunakan (lihat Gambar 7). Misalnya, Alice mendaftarkan dirinya untuk mendapatkan alamat , maka langkah-langkah berikut dilakukan: 1. Alice membuat login name dan password 2. Sistem provider menghitung digest password tersebut dan menyimpannya di sistem. Sistem juga menyimpan login name pengguna di tempat yang bersesuaian dengan digest passwordnya 3. Saat Alice ingin mengakses nya, Alice memasukkan passwordnya 4. Sistem akan menghitung digest dari password yang dimasukkan 5. Sistem mencocokkan digest yang dihasilkan dengan yang disimpan di sistem. Jika sama, maka Alice dapat mengakses akun nya Dalam hal ini, fungsi hash kriptografi digunakan untuk mengkodekan password pengguna, agar tidak disim-pan dalam bentuk plainteks. Saat disimpan dalam bentuk Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 65

13 plainteks, jika terjadi serangan terhadap sistem penyimpanan password, maka penyerang dapat memperoleh l Gambar 7: Salah satu contoh protokol otentikasi entitas dengan password [1]. Metode otentikasi entitas lainnya yang juga dapat dikategorikan sebagai otentikasi dengan identifikasi sesuatu yang diketahui adalah otentikasi challenge-response. Dalam otentikasi ini, verifierakan mengirimkan suatu challenge kepada claimant, bentuknya adalah suatu bilangan. Selanjutnya, claimant memberikan suatu response kepada verifier, yang merupakan keluaran dari suatu fungsi, dengan masukan challenge tadi. Jika response ini benar, maka claimant dapat mengakses akun atau layanan tertentu. CAPTCHA, yang dipublikasikan di tahun 2000 oleh Luis von Ahn 7, adalah salah satu contoh otentikasi challenge-response. Lihat Gambar 8. Pada metode ini, otentikasi entitas bertujuan untuk memastikan bahwa claimant adalah manusia dan bukan komputer atau software. Challenge pada metode ini adalah suatu teks yang hanya dapat dibaca oleh manusia, dan response yang harus dimasukkan oleh claimant adalah teks yang terbaca olehnya. CAPTCHA digunakan pada berbagai website, contohnya website survey, untuk memastikan bahwa survey diisi oleh manusia, bukan suatu komputer atau software. Jika survey diisi oleh komputer atau software, hasilnya akan tidak valid. Oleh karena itu, harus dipastikan bahwa yang mengisi survey adalah manusia. Gambar 8: CAPTCHA dan contohnya 7 Sumber: 66 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

14 4 Keamanan Informasi dan Kita Keamanan informasi sebenarnya sangat terkait dengan kehidupan manusia, termasuk kita. Namun, banyak dari kita mungkin belum menyadarinya. Pada bagian ini, akan dijelaskan berbagai bentuk interaksi kita, manusia, dengan keamanan informasi dalam kehidupan sehari-hari. Interaksi ini dibagi menjadi 2 bagian besar, yaitu interaksi manusia dengan keamanan informasi berbentuk fisik dan teknis. 4.1 Keamanan Informasi Fisik Seperti yang telah dijelaskan di Bagian 2, keamanan informasi di awal sejarahnya berfokus pada keamanan informasi berbentuk fisik, dan bertujuan untuk menjaga kerahasiaan informasi. Contoh yang sederhana adalah penggunaan amplop. Penggunaan amplop sebenarnya dimulai sejak tahun 2000 SM, yang saat itu bentuknya adalah pembungkus dari tanah liat [2]. Amplop kuno ini digunakan oleh bangsa Babilonia, untuk melindungi kerahasiaan data hutang, catatan keuangan, dan surat. Lihat Gambar 9. Amplop masih kita gunakan sampai sekarang, dan secara sadar atau tidak, kita menggunakan amplop untuk surat yang isinya hanya boleh diketahui oleh orang yang kita tuju. Brankas dan lemari berkunci, selain digunakan untuk menyimpan barang berharga, juga digunakan untuk menyimpan dokumen yang bersifat rahasia. Hanya orang yang memiliki kuncilah yang dapat membuka brankas atau lemari, dan mendapatkan dokumen tersebut. Metode ini sebenarnya sangat mirip dengan metode enkripsi pesan dengan menggunakan kunci simetri. Gambar 9: Contoh amplop berupa pembungkus dari tanah liat [2] Di kasus tertentu, terkadang setelah surat atau dokumen dimasukkan ke amplop dan amplop dilem di bagian tutupnya, pengirim surat atau dokumen menandatangani batas antara badan dan penutup amplop. Hal ini dilakukan, agar saat ada orang yang tak berhak berusaha membuka amplop tersebut lalu menutupnya kembali dan mengirimkannya ke tujuan, tanda tangan akan rusak dan penerima surat akan menyadari bahwa amplop sudah dibuka, yang artinya, kerahasiaan surat sudah terbongkar dan integritasnya sudah tidak bisa dipercaya. Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 67

15 Bentuk keamanan informasi fisik lainnya adalah penggunaan sidik jari sebagai bukti identitas seseorang. Penggunaan sidik jari sebagai bukti identitas ini sudah ada sejak tahun 1400 di Persia, di mana surat-surat resmi pemerintah dibubuhi dengan sidik jari 8. Penggunaan sidik jari ini bertujuan untuk menghindari pemalsuan surat; jika sebuah surat dipalsukan, maka sidik jari yang tertera pada surat tersebut akan berbeda. Dengan kata lain, penggunaan sidik jari ini adalah untuk menjaga integritas surat tersebut. Mungkin tanpa disadari, pembubuhan tanda tangan kita pada surat-surat yang kita tulis di kertas adalah salah satu bentuk keamanan informasi. Dengan melakukan penandatanganan, penulis sebenarnya menyatakan bahwa surat tersebut benar-benar ditulis dan dikirimkan olehnya, yang merupakan bentuk otentikasi pesan. 4.2 Keamanan Informasi Teknis Keamanan informasi teknis sangat dekat dengan kehidupan kita sehari-hari. Sebagai contoh, sebenarnya kita melakukan otentikasi entitas hampir setiap hari saat akan mengakses akun kita. Dalam hal ini, identifikasi yang kita gunakan adalah sesuatu yang diketahui, yaitu dengan menggunakan password. Bentuk lain yang juga sangat dekat dengan kehidupan kita adalah keamanan informasi terkait dengan transaksi perbankan yang kita lakukan. Contohnya, saat kita membayar sesuatu dengan menggunakan kartu debit atau kredit, atau saat kita mengambil uang melalui ATM. Dalam hal ini, kita juga melakukan otentikasi entitas; dengan menggunakan sesuatu yang dimiliki, yaitu kartu ATM, dan dengan sesuatu yang diketahui, yaitu PIN. Otentikasi dengan menggunakan dua identifikasi ini disebut otentikasi dua faktor. Selain otentikasi, metode kriptografi lain sebenarnya juga terlibat dalam transaksi perbankan, misalnya enkripsi dan dekripsi. Namun, metode ini tidak melibatkan kita secara langsung; metode digunakan oleh mesin ATM atau terminal pembayaran, dalam komunikasinya dengan kartu ATM dan server bank. Otentikasi challenge-response juga sebenarnya cukup dekat dengan kehidupan kita, misalnya saat kita melakukan transaksi perbankan dengan menggunakan internet banking. Untuk dapat melakukan transaksi tertentu dengan internet banking, dibutuhkan sebuah token. Saat kita ingin mentransfer sejumlah uang dengan menggunakan internet banking, kita akan diminta memasukkan suatu bilangan ke token tersebut; bilangan ini kita sebut sebagai challenge (lihat Gambar 10). Lalu, token akan memberikan suatu bilangan keluaran, yang harus kita masukkan ke halaman web internet banking kita; bilangan keluaran ini adalahresponse. Dengan melakukan seluruh proses ini dengan benar, pada dasarnya kita menyatakan kepada bank bahwa kita menyetujui transaksi yang kita minta. 8 Sumber: 68 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

16 Gambar 10: Otentikasi challenge-response pada internet banking 5 Keamanan Informasi dan UNPAR UNPAR adalah suatu organisasi besar yang berhubungan dengan sangat banyak data sensitif, yang juga terkait dengan privasi, yang melingkupi data mahasiswa dan dosen. Data ini memuat banyak informasi, misalnya, nama, alamat, tanggal lahir, dan jenis kelamin, yang privasinya perlu dilindungi; mungkin lebih jauh lagi perlu dirahasiakan. Data alademik mahasiswa merupakan privasi yang perlu dijaga, demikian pula dengan data penggajian dosen. Sebagai organisasi pada umumnya, data keuangan UNPAR adalah data yang kerahasiaannya perlu dilindungi. Resiko terjadi serangan menjadi lebih besar dengan cukup besarnya jaringan komputer yang dimiliki UNPAR, yang juga terhubung dengan internet. Yang menjadi pertanyaan besar adalah, apakah data ini semua terlindungi dengan baik, secara teknis maupun fisik? Lebih jauh lagi, apakah UNPAR memiliki kebijakan yang menyeluruh terkait keamanan informasi? Pada bagian, akan dibahas beberapa contoh keamanan informasi yang telah diimplementasikan dengan baik oleh UNPAR, dan apa yang masih harus ditingkatkan. Pembahasan hanya didasarkan pada observasi penulis, dalam kehidupan sehari-hari di UNPAR, dan tidak menyeluruh. 5.1 Praktik Baik Pada subbagian ini, akan dibahas beberapa hal seputar keamanan informasi yang telah diimplementasikan dengan baik oleh FTIS, dan UNPAR secara umum POB Seputar Ujian Di UNPAR, khususnya di FTIS, POB seputar ujian sudah dibuat dan dijalankan dengan baik. Contohnya adalah prosedur penyerahan soal ujian. Pada prosedur ini, dosen diminta Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 69

17 mengirimkan soal ujian dalam bentuk softcopy kepada KTU. Pelaksanaan prosedur ini sudah cukup konsisten. Beberapa dosen masih memilih untuk menyerahkan soal dalam bentuk hardcopy, misalnya untuk menghindari kesalahan format, namun sudah tidak banyak terjadi. Dengan cara ini, kerahasiaan soal ujian akan lebih terjaga. Prosedur pengambilan soal ujian oleh pengawas juga sudah rapi dijalankan. Misalnya, soal ujian baru dapat diambil oleh pengawas, kira-kira, 45 menit sebelum ujian berlangsung. Saat mengambil soal ujian, pengawas harus menandatangani suatu dokumen, dan mengisi waktu pengambilan. Sehingga, jika terjadi masalah, pemeriksaan akan lebih mudah dilakukan Mahasiswa di Ruang Dosen Keberadaan mahasiswa di ruangan dosen tentu saja adalah hal yang lumrah, misalnya untuk bimbingan skripsi atau konsultasi kuliah. Namun, dengan banyaknya data sensitif dan privasi di dalam ruangan dosen, tentu saja mahasiswa tidak boleh ditinggalkan di ruang dosen sendirian, tanpa keberadaan dosen-dosen lain. Di FTIS, tidak ada aturan yang mengatur masalah keberadaan mahasiswa di ruang dosen ini. Namun, dengan sosialisasi yang baik, dosen-dosen menjadi lebih sadar akan hal-hal yang mungkin terjadi jika mahasiswa ditinggalkan sendiri di ruangan dosen, sehingga kasus buruk tidak pernah terjadi Penyerahan Slip Gaji Pegawai Setiap bulan, pegawai UNPAR menerima slip gaji, yang menjelaskan dengan rinci pendapatan pegawai tersebut. Lima tahun lalu, di FTIS, slip gaji dibagikan kepada pegawai, dengan meletakkannya di dalam loker masing-masing pegawai. Slip gaji tidak ditutupi apapun, hanya dilipat rapi. Karena kerahasiaannya tidak terlindungi, masalah pun terjadi. Karena masalah ini, selanjutnya slip gaji dimasukkan dulu ke dalam amplop, baru diletakkan di loker masing-masing pegawai. Ini adalah upaya yang baik untuk menjaga kerahasiaan data gaji tersebut. Kini, slip gaji sudah dibagikan dalam bentuk softcopy ke alamat masing-masing pegawai. Pemanfaatan teknologi informasi ini sangat baik, selain menghemat kertas, juga menjamin bahwa hanya pegawai terkait yang dapat melihat slip gajinya. Namun, jika slip gaji ini tak sengaja tersimpan di ranah publik, maka semua pegawai dapat membukanya. Oleh karena itu, sebagai perbaikan, enkripsi slip gaji mungkin dibutuhkan untuk benar-benar melindungi kerahasiaan slip gaji tersebut Sistem Absensi Seperti yang telah kita ketahui, setiap pegawai diwajibkan untuk mengisi absensi di hari kerjanya. Lima tahun lalu, sistem absensi di UNPAR masih menggunakan mesin clocking, 70 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

18 yang tidak mampu mengotentikasi siapa yang melakukan pengisian absensi. Kini, lagilagi UNPAR memanfaatkan teknologi informasi dengan baik, dengan memanfaatkan otentikasi biometri dengan mesin ngerprint. Dengan cara ini, dapat dijamin bahwa pegawai yang tercatat hadir, memang benar-benar hadir di UNPAR Hak Akses Sistem informasi yang ada saat ini di UNPAR, sudah memberlakukan ketentuan hak akses. Misalnya, pengakses Sistem Informasi Akademik (SIA) dibagi menjadi beberapa kriteria, misalnya dosen, kaprodi, KTU, WD1, dan koordinator skripsi. Lihat Gambar 11. Hak akses ini juga mengatur operasi yang dapat dilakukan oleh pengguna. Misalnya, dosen dan KTU dapat memasukkan nilai UTS, namun tidak dapat mengubahnya jika nilai sudah disetujui oleh WD1. Contoh lain, dosen wali hanya dapat melihat nilai mahasiswa walinya saja memasukkan nilai mahasiswa wali yang tidak diajarnya. Dengan adanya hak akses ini, data tertentu menjadi terjaga kerahasiaannya, dengan ukuran tertentu. Gambar 11: Pengaturan hak akses pada SIA Contoh lain adalah Sistem Informasi Keuangan, yang hanya dapat diakses oleh, misalnya staf TU bidang keuangan, WD2, dan dekan. 5.2 Tantangan Pada bagian ini, dibahas beberapa hal terkait keamanan informasi yang sudah diimplementasikan di UNPAR, yang mungkin sudah baik, namun masih harus diperbaiki Pemeliharaan Mailing List Untuk dapat menyebarkan informasi dengan cepat melalui , suatu organisasi biasa menggunakan mailing list. Mailing list sangat mudah untuk dibuat, namun perlu Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 71

19 dipelihara, misalnya dengan selalui memperbaharui pesertanya. UNPAR juga menggunakan mailing list pegawai. Penggunaan mailing list ini juga diadopsi sampai tingkat program studi, termasuk Program Studi (PS) Teknik Informatika. PS Teknik Informatika memiliki 4 mailing list utama, yaitu untuk dosen, seluruh mahasiswa, mahasiswa peserta kuliah Skripsi 1, dan mahasiswa kuliah Skripsi 2. Sayangnya, pemeliharaan belum dijalankan dengan optimal untuk mailing list seluruh mahasiswa. Jika ada mahasiswa baru, alamat-alamat mahasiswa disertakan ke dalam mailing list. Namun yang terlupakan adalah, menghapus alamat-alamat mahasiswa yang telah lulus. Walaupun secara umum tidak ada informasi rahasia disebarkan melalui mailing list tersebut, namun informasi apapun harus terlindungi dan hanya dapat diakses oleh pihak yang berhak Pembatasan Akses Masuk ke TU Tidak bisa dipungkiri bahwa banyak aktifitas mahasiswa yang membutuhkan layanan dari TU. Ini menyebabkan banyaknya kunjungan mahasiswa ke TU. Dulu, untuk meminta layanan dari TU FTIS, mahasiswa harus masuk ke dalam TU. Namun, tidak dapat dipungkiri bahwa TU memuat banyak data sensitif, bersifat rahasia, dan privasinya perlu dijaga, terutama di masa ujian. Mahasiswa yang masuk ke TU, dapat tak sengaja melihat soal ujian yang sedang difoto kopi. Oleh karena itu, TU FTIS kini sudah dilengkapi dengan loket-loket di mana interaksi tenaga kependidikan di TU dan mahasiswa dapat dilakukan. Dengan cara ini, mahasiswa tidak perlu masuk ke dalam TU untuk mendapatkan layanan tertentu. Pada prakteknya, penggunaan loket di TU FTIS belum optimal. Banyak mahasiswa masih dapat masuk ke TU untuk berbagai alasan. Bahkan, mahasiswa sendiri dapat meletakkan suatu dokumen, misalnya tugas kuliah, ke loker dosen. Pada kasus ini, bukan hanya data fakultas secara umum yang terganggu kerahasiaan dan privasinya, namun juga data yang berkaitan dengan para dosen Format Dokumen dalam Penyimpanan Kini, banyak dokumen di UNPAR telah disimpan dalam bentuk softcopy. Ini baik, selain untuk menghemat kertas dan ruang penyimpanan, juga untuk memudahkan pencarian. Namun, karena kesadaran yang masih kurang, masih banyak dokumen ini tersimpan dalam format yang memungkinkan terjadinya modifikasi. Jika modifikasi ini terjadi, maka integritas dokumen sudah tidak bisa dipertahankan lagi Satu Login Name dan Password UNPAR sudah menerapkan metode otentikasi untuk seluruh pegawai dan mahasiswa, untuk dapat mengakses komputer, internet, maupun sistem informasi. Ini adalah langkah yang baik, agar seorang benar-benar terverifikasi identitasnya sebelum memperoleh akses. Untuk semua akses, digunakan login name, yang berupa alamat atau nama yang digunakan dalam alamat , dan password yang sama. Ini menguntungkan 72 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

20 dalam hal kemudahan pengguna dan implementasi. Oratio Dies Penggunaan satu login name dan password untuk berbagai akses juga ada kelemahannya. Jika password tidak tersimpan dengan benar, misalnya tidak dalam bentuk digest, maka jika password ini terbongkar, penyerang dapat mengakses seluruh layanan. Bukan berarti sistem satu password ini tidak dapat digunakan. Jika sistem ini ingin dipertahankan, perubahan password pengguna tiap suatu periode dapat digunakan untuk menurunkan resiko Sistem Informasi Akademik Tidak bisa dipungkiri bahwa Sistem Informasi Akademik (SIA) memudahkan banyak proses dalam kegiatan akademik. Pemasukan nilai, pembukaan mata kuliah, dan perwalian menjadi lebih mudah dan minim kertas. Namun, SIA, dari sisi keamanan informasi, masih memiliki beberapa kekurangan. Berikut adalah beberapa contohnya. Serangan SQL Injection Link-link pada SIA tidak terenkripsi, sehingga dengan mengubah satu bagian dari link, pengguna dapat membuka halaman lain, tanpa otorisasi. Sebagai contoh, lihat Gambar 12. Pada Gambar 12, penulis membuka data akademik salah satu mahasiswa walinya, dengan NPM NPM ini terlihat jelas pada link yang tampak di web browser. Penulis dapat mengganti NPM pada link tersebut, dengan sembarang NPM lain, misalnya NPM , yaitu NPM mahasiswa PS Matematika. Dengan mengganti NPM ini, penulis kini dapat melihat data akademik mahasiswa, yang bukan mahasiswa walinya, tanpa otorisasi. Lihat Gambar 13. Serangan dengan memodifikasi link seperti ini, juga disebut sebagai serangan SQL Injection. Penggunaan CAPTCHA Seperti yang telah dibahas pada Subbagian 3.3.2, CAPTCHA adalah suatu metode otentikasi entitas challenge-response, untuk membedakan pengguna manusia dengan pengguna berupa komputer atau soft-ware. SIA juga menggunakan CAPTCHA di salah satu bagiannya, yaitu sebagai konfirmasi sebelum pengguna mengupload nilai ujian. Lihat Gambar 14. Penggunaan CAPTCHA di sini tidak tepat, karena sebelumnya pengguna sudah melakukan login dan diakui identitasnya. Jika dibutuhkan bentuk otentikasi tambahan di bagian ini, sebaiknya diadopsi metode lain. Misalnya dengan one-time-password. Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 73

21 Permasalahan Upload Nilai Ada kasus-kasus tertentu, di mana sistem tidak bisa menerima upload nilai dari dosen. Kasus ini terjadi tanpa pola yang jelas, dan dengan sebab yang tidak diketahui. Saat ini terjadi, biasa dosen terkait menyerahkan formulir nilainya kepada KTU, dengan harapan nilai dapat diupload melalui jalur lain. Jika sistem juga tetap tidak dapat menerima upload, maka KTU akan menyerahkan formulir nilai tersebut kepada Biro Teknologi Informasi. Dengan cara ini, biasanya formulir nilai akhirnya berhasil diupload. Namun, ini artinya, formulir nilai sudah mengalami perpindahan tangan beberapa kali. Selain privasi pemilik nilai menjadi tidak terjaga, integritas dari nilai yang tertera juga tidak terjaga Kebijakan Keamanan Informasi UNPAR Seperti yang telah dijelaskan di Bagian 2.1, suatu organisasi, apalagi organisasi besar, harus memiliki kebijakan umum terkait keamanan informasi. Melalui kebijakan ini, standar dapat diturunkan, dan akhirnya prosedur Gambar 12: Akses dengan otorisasi dapat dibangun. Semua implementasi teknis yang kita rasakan sehari-hari, adalah bentuk implementasi dari prosedur. Saat ini UNPAR tidak memiliki kebijakan mendasar terkait keamanan informasi. Tanpa 74 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

22 kebijakan ini, tentu saja standar dan prosedur tidak dapat dibangun. Karena tidak adanya kebijakan dan standar, banyak prosedur dibangun di tingkat lokal saja, atau langsung diimplementasikan tanpa standar. Jika ada masalah, penyelesaian dilakukan secara sporadis, dan memungkinkan munculnya masalah yang sama, di bagian lain. Tentu saja ini semua akan mengakibatkan banyaknya celah keamanan informasi, baik sik maupun teknis. 6 Kesimpulan dan Saran Dari uraian yang sudah diberikan, beberapa kesimpulan dapat ditarik, yaitu: Dalam hal penerapan keamanan informasi, UNPAR memiliki beberapa praktik baik. Namun, masih banyak tantangan yang harus dihadapi dan diatasi. UNPAR telah menerapkan teknik-teknik keamanan informasi di berbagai bidang, namun sifatnya masih sporadis dan tidak menyeluruh. UNPAR belum memiliki kebijakan keamanan informasi, yang memungkinkan adanya standar dan prosedur, sehingga implementasi dapat dilakukan dengan cukup sempurna Berdasarkan kesimpulan ini, penulis menyarankan: Pembangun kebijakan keamanan informasi, yang dapat diturunkan menjadi standar dan prosedur. Pengadaan pelatihan dan peningkatan kesadaran seluruh pegawai terhadap keamanan informasi, sehingga semua prosedur dilaksanakan dengan baik dan konsisten. Harus digarisbawahi, bahwa semi terlaksananya semua prosedur dengan baik, dibutuhkan kerja sama seluruh komunitas UNPAR. Evaluasi yang dilakukan secara berkesinambungan, untuk memastikan kesempurnaan pelaksanaan prosedur. Evaluasi juga dilakukan agar masalah apapun yang muncul dapat segera diatasi. Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 75

23 Gambar 13: Akses tanpa otorisasi Gambar 14: CAPTCHA pada Sistem Informasi Akademik 76 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan

24 Daftar Pustaka [1] B. A. Forouzan, Cryptography and Network Security, McGraw-Hill, 2007 [2] M. H. Benjamin, History of Envelopes, Envelope Manufacturers Association and EMA Foundation for Paper-Based Communications, 2002 [3] D. Kahn, The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet, Scribner, 1996 [4] E. Maiwald, Network Security a Beginner s Guide, Osborne/McGraw-Hill, 2001 [5] M. Stamp, Information Security Principles and Practice, Willey, 2011 [6] M. E. Whitman and H. J. Mattord, Principles of Information Security, Cengage Learning, 2017 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan 77

25 Oratio Curriculum Dies Vitae Mariskha Tri Adithia, lahir di Bandar Lampung pada tanggal 11 Oktober Pendidikan sarjana ditempuh di Jurusan Matematika ITB (S.Si) pada tahun Pada tahun , ia melanjutkan pendidikan magister di bidang teknologi keamanan informasi (M.Sc) di TU Eindhoven, Belanda serta melanjutkan ke jenjang Professional Doctorate (PD.Eng) di bidang komunikasi dan informasi di tempat yang sama pada tahun Sempat bekerja sebagai konsultan IT di perusahaan yang berfokus di bidang keamanan informasi di Belanda, sejak tahun 2010, Mariskha Tri Adithia kembali ke Indonesia dan menjadi dosen di Teknik Informatika, Fakultas Teknologi Informasi dan Sains, Universitas Katolik Parahyangan, dan saat ini menjabat sebagai Ketua Jurusan Teknik Informatika. Mariskha Tri Adithia juga aktif mengikuti berbagai konferensi atau seminar baik di tingkat nasional maupun internasional dan bidang penelitian yang ditekuni adalah mengenai keamanan informasi dan kriptografi. 78 Dies Natalis XXIV Fakultas Teknologi Informasi dan Sains - Universitas Katolik Parahyangan