PENGENDALIAN KEAMANAN FISIK DAN LOGIS Titien S. Sukamto
PENGENDALIAN KEAMANAN FISIK
KEAMANAN FISIK Keamanan fisik merupakan dasar dari pengendalian lingkungan SI organisasi. Tujuan pengendalian ini adalah untuk mengendalikan kerusakan atau akibat dari kerusakan. Fokus pengendalian tentunya fisik SI, berupa hardware ataupun lokasi dari SI itu sendiri. Risiko kerusakan berasal dari alam (gempa bumi, banjir, badai, kebakaran akibat petir) dan manusia (aksi teroris, pencurian, kebakaran yang disengaja). Tidak ada bagian di dunia ini yang bisa lepas dari bencana yang disebutkan di atas. Yang penting adalah tindakan untuk mencegah akibat yang berkepanjangan dari kerusakan yang terjadi
KUNCI FISIK Kunci fisik merupakan garis pertahanan pertama dari pengendalian keamanan fisik. Hal ini diterapkan pada lokasi/ruangan/tempat dimana komputer utama, server, dll berada. Kunci tradisional pemberian kunci dibatasi hanya untuk pihak-pihak/staff yang berwenang saja. Jika ada pihak lain yang tidak berwenang tetapi memiliki keperluan untuk mengakses ruangan, perlu pendampingan. Perhatikan juga penyerahan kunci ruangan dari staff yang dipindahkan atau sudah tidak bekerja di lokasi tersebut. Electronic badge keunggulan dibanding kunci tradisional, 1) tidak perlu diberikan ke semua pegawai. Jika ada staff yang dipindahkan atau berhenti cukup untuk menghapus hak akses dari sistem, sehingga sekalipun badge tidak dikembalikan, tidak masalah, 2) penggunaan badge dapat dibatasi waktunya. Misal untuk beberapa ruangan ada yang diprogram untuk selalu terkunci pada setelah jam kerja.
KUNCI FISIK CONT... Cipher locks kunci yang dapat dibuka dengan memasukkan sandi (angka/karakter) rahasia melalui keypad yang disediakan. Kendalanya adalah setiap ada pegawai baru atau berhenti, sandi harus diganti kemudian diinformasikan kepada semua pihak-pihak yang membutuhkan. kunci kombinasi membutuhkan seperangkat kombinasi kunci kunci Biometrik kunci ini bekerja dengan mengenali fitur unik dari fisik seseorang (sidik jari, handprints, retina, facial image, voice recognition, dll)
KEAMANAN FISIK Security guard Video surveilance cameras dipasang pada lokasi yang strategis. Efektif untuk mendeteksi adanya aktivitas yang mencurigakan General emergency and detection controls alarms yang dipicu api, asap, atau aksi lain, misal membukan pintu dengan paksa, water sprinkle, dll. Heating, Ventilation and Cooling system (HVAC) komputer bertahan diruangan yang dingin, kering dan dust-free. Tetapi tidak semuanya. Misal mainframe. HVAC juga berguna untuk menjaga kesehatan staff. Asuransi berguna untuk menutupi biaya replacement hardware dan software, serta biaya re-create data yang rusak atau hilang. Bahkan untuk mengembalikan pendapatan yang hilang akibat kegagalan hardware dan software, namun hal ini sulit di klaim karena sulit dibuktikan.
KEAMANAN FISIK CONT... Periodic Backups harian (data), mingguan dan bulanan (full backup: system software, aplikasi, data). Pemberian sistem log penting untuk mendokumentasikan proses backup yang telah dilakukan dan tempat penyimpanan backup dipindahkan. Media backup (CD, harddisk, flashdisk,dll). Akan lebih baik jika media backup disimpan terpisah dengan yang asli Emergency power and Uninterruptible Power System (UPS) System dirancang untuk setiap fasilitas pengolahan informasi penting Business Resumption Programs (BRP) skala dokumen BRP tidak harus seperti ensiklopedia, karena jika terlalu besar akan sulit untuk dikelola. BRP harus jelas, ringkas, dan mudah dibaca, tetapi mengandung prosedur kunci utama yang penting untuk menjamin langkah-langkah recovery dilakukan tepat waktu dan dengan cara yang benar. Setelah BRP dibuat, penting bagi organisasi untuk melakukan uji secara berkala.
KEAMANAN FISIK CONT... Isi BRP : 1. Daftar kontak personel utama di organisasi (nomor telepon rumah, ponsel, dan alamat rumah) 2. Lokasi kantor/markas cabang 3. Identifikasi dan tingkat operasional dalam penanganan risiko (mulai dari proses dengan risiko tinggi, data) 4. Deskripsi mengenai kejadian yang memicu proses BRP. Bagian ini harus mencantumkan prosedur BRP dan prosedur BRP yang sesuai dengan tingkat kerusakan/risiko yang dialami 5. Ringkasan deskripsi aktivitas yang harus dilakukan pada masing-masing area operasional. Penting pemberian gambar ilustrasi 6. Pertimbangan dampak psikologi karyawan yang mungkin dialami dan akan mempengaruhi saat ia menjalankan tugas/pekerjaan
PENGENDALIAN KEAMANAN LOGIS
KEAMANAN LOGIS Kunci pertama dalam melndungi sistem informasi dari unauthorized access terletak pada rancangan dan pemrograman pengendalian keamanan logis yang tertanam dalam sistem itu sendiri. Sebelum keamanan logis dirancang, penting bagi tim pengembang sistem untuk mengetahui jenis risiko apa saja yang mungkin akan dihadapi sistem ke depannya. Identifikasi risiko akan mempengaruhi jenis dan tipe pengendalian keamanan logis yang dibutuhkan untuk kemudian dirancang ke dalam sistem.
PERANCANGAN KEAMANAN LOGIS Identifikasi risiko signifikan yang akan dihadapi sistem paling baik jika melalui proses penilaian risiko yang formal. Baik auditor internal maupun eksternal banyak yang mempersiapkan dokumen penilaian risiko sebagai standar dari proses audit mereka, hal ini juga akan menjadi sumberdaya yang baik bagi tim pengembang SI. Salah satu contoh pengendalian tersulit adalah kemungkinan adanya unauthorized activities yang dilakukan oleh Admin keamanan sistem. Contoh, Admin sistem bisa melakukan penambahan, penghapusan dan perubahan user serta kemampuan akses user; mengawasi dan mengatur aktivitas sistem; mengendalikan parameter keamanan sistem; meninjau keamanan sistem dan operational log, dll. Untuk dapat menyelesaikan tugas tersebut, Admin diberi akses tak terbatas terhadap sistem.
PERANCANGAN KEAMANAN LOGIS CONT... Banyak sekali kasus, dimana tim pengembang sistem tidak berpikir dua kali tentang fakta tersebut. Nantinya ini akan jadi tugas auditor untuk menginformasikan kepada tim pengembang tentang perlunya pemberian batas untuk kemampuan Admin terhadap sistem. Ada beberapa teknik yang dapat dilakukan : Rancanglah sistem sedemikian rupa sehingga membutuhkan Admin kedua untuk mengkonfirmasi setiap ada perubahan pada sistem. Rancang sistem dengan menyertakan log yang bersifat read-only untuk mencatat setiap kejadian yang mungkin akan mengancam keamanan sistem. Sertakan juga prosedur untuk meninjau log secara periodik
MENGHIDUPKAN SISTEM BARU Setelah proses perograman dan instalasi selesai, Admin dan teknisi instalasi memulai inisiasi untuk eksekusi dan mengaktifkan sistem untuk pertama kalinya. Sistem dirancang untuk dapat mengenali User ID dan maiden password. Semua User ID dan maiden password harus dicatat ke dalam dokumen sistem, untuk menjaga saat sistem perlu untuk di reinisiasi kembali seperti semula. Setelah sistem berhasil berjalan, User diminta untuk mengganti maiden password menjadi password yang mereka kehendaki (dengan pemberian standar pembuatan password). Ingat bahwa, password baru harus melalui proses enkripsi, agar tidak terlihat oleh Admin.
MENGHIDUPKAN SISTEM BARU CONT... Admin juga diharapkan dapat membuat parameter keamanan, contoh standard : 1. Panjang Password minimal sistem harus secara otomatis menolak disaat user berusaha memasukkan password kurang dari panjang yang ditetapkan 2. Waktu kadaluwarsa password saat password mencapai masa kadaluwarsa, sistem harus meminta user untuk memasukkan password baru 3. Jumlah percobaan gagal masuk sistem sebelum akhirnya menangguhkan User ID 4. Waktu perhari dan hari perminggu user diperbolehkan mengakses sistem 5. Waktu tidak aktif sampai akhirnya sign-off/log out user secara otomatis
USER ID DAN PASSWORD User ID dan Password merupakan bentuk yang paling umum dalam pengendalian keamanan logis. Tanpa itu, siapa saja bisa mengakses sistem dan melakukan unauthorized transaction. Contohnya, mendapat akses untuk informasi sensitif, merusak data dan program, menyebarkan virus, malware, dll.
REMOTE ACCESS CONTROL Remote Access Control adalah kemampuan untuk mendapatkan dan mengendalikan akses terhadap komputer atau jaringan dari jarak jauh. Jenis RAC yang paling umum : Secure Socket Layer (SSL) protokol yang digunakan untuk enkripsi Internet sessions antara remote computer dengan jaringan server. Virtual Private Network (VPN) konsepnya hampir sama dengan SSL, hanya saja VPN biasanya membutuhkan hardware dan software khusus. Kini telah banyak software, aplikasi yang dapat digunakan untuk melakukan RAC.
REFERENSI Jack J. Champlain. Auditing Information Systems. 2nd Edition. 2003 David L. Prowse. CompTIA Security+ SY0-301 Authorized Cert Guide. 2nd Edition. 2012