KEAMANAN INFORMASI. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :

Ukuran: px

Mulai penontonan dengan halaman:

Download "KEAMANAN INFORMASI. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :"

Suharto Lesmono
6 tahun lalu
Tontonan:

1 KEAMANAN INFORMASI a. Keamanan Informasi Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk keamanan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan daya, maka istilah keamanan informasi (Sistem security) pun digunakan. Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas, data, dan informasi dari penyalahgunaan pihak pihak yang tidak berwenang. b. Tujuan keamanan informasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu : - Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang orang yang tidak berhak - Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang yang berhak menggunakannya. - Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan c. Manajemen keamanan informasi Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan. Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang melaporkan kepada CEO dan mengatur suatu unit jaminan informasi Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan 1

2 keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling mempengaruhi. Tugas manajemen keamanan informasi adalah merencanakan keamanan informasi, mengaplikasikannya, memonitor dan melakukan evaluasi. Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi dan peluang organisasi tersebut. Dengan menerapkan keamanan informasi, sebuah organisasi dapat menjaga kerahasiaan, integritas dan ketersediaan informasi secara kontinyu. Integritas informasi disini bermakna bahwa informasi tersebut tetap utuh dan tidak mengalami perubahan oleh pihak lain yang tidak berwenang. Suatu organisasi/instansi perlu mengklasifikasikan informasi yang dihasilkan dan/atau yang diperoleh untuk mendapatkan perlindungan yang sesuai. Klasifikasi informasi ini ditentukan sendiri oleh organisasi tersebut dengan memperhatikan resiko dan keuntungan yang ditimbulkan dari pengolahan informasi tersebut. Umumnya klasifikasi informasi adalah : umum (bebas), terbatas (dinas) dan rahasia (pribadi). Ada 3 tehnik melindungi informasi yaitu : Secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam lemari besi dll; Secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas, melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan Secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll. Keamanan informasi sudah seharusnya menjadi perhatian jajaran eksekutif dalam organisasi. Sebab pengguna utama informasi berklasifikasi terbatas dan rahasia adalah para eksekutif tersebut, yang mana keputusan-keputusan strategis organisasi tergantung dari informasi yang berada padanya. Manajemen keamanan informasi (ISM) terdiri dari empat langkah yaitu : 2

1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan 2. Mendefinisikan resiko dari ancaman yang dapat memaksakan 3.

3 1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan 2. Mendefinisikan resiko dari ancaman yang dapat memaksakan 3. Penetapan kebijakan keamanan informasi 4. Menerapkan controls yang tertuju pada resiko Gambar 9.1 mengilustrasikan pendekatan manajemen resiko d. Ancaman 3

4 Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para penyusup antara lain: Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious. Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang mempunyai tujuan seperti ini sering disebut dengan The Malicious. Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile Intruder. Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The Competition. Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan. Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja. Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan informasi diberlakukan terhadap empat jenis resiko: Ancaman Internal dan External Disengaja dan tidak disengaja 4

Ancaman Yang Paling Terkenal VIRUS Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna.

5 Ancaman Yang Paling Terkenal VIRUS Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat memancarkan salinan dengan sendirinya oleh . Sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem. e. Resiko Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer 5

6 tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugian terhadap pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh jaringan komputer menjadi tidak aman. Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis : 1. Pencurian dan Penyingkapan tidak sah 2. Penggunaan Tidak Sah 3. Pembinasaan dan Pengingkaran Layanan yang tidak sah 4. Modifikasi yang tidak sah f. Pertimbangan E-COMMERCE E-commerce telah memperkenalkan sebuah keamanan resiko yang baru: penipuan kartu kredit. Keduanya American Express dan Visa telah mengimplementasikan program yang mengarahkan secara rinci pada e-commerce. American Express mengumumkan penyediaan" angka-angka kartu kredit. Angka ini, dibandingkan dengan angka kartu kredit pelanggannya, yang ditujukan pada perdagangan eceran menggunakan e-commerce, yang memilih American Express untuk pembayarannya. Visa telah mengumumkan sepuluh praktek terkait dengan keamanan yang mereka harap pengecernya untuk mengikuti lebih dari tiga langkah praktek yang umum dilakukan 6

dokumen-dokumen yang mirip

SISTEM INFORMASI MANAJEMEN

SISTEM INFORMASI MANAJEMEN KEAMANAN INFORMASI KEAMANAN INFORMASI Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus