Sistem Informasi adalah kombinasi dari teknologi informasi dan aktivitas orang yang menggunakan teknologi itu untuk mendukung operasi dan manajemen. Dalam arti yang sangat luas, istilah sistem informasi yang sering digunakan merujuk kepada interaksi antara orang, proses algoritmik, data, dan teknologi.
KEAMANAN SISTEM INFORMASI
1. Pengertian, kerentanan, ancaman kelemahan, dan sasaran
1.1 Pengertian Keamanan Sistem Informasi
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data. keamanan jaringan internet adalah Manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan system informasi dan kelemahan keamanan system informasi. Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :
Efektifitas
Efisiensi
Kerahaasiaan
Integritas
Keberadaan (availability)
Kepatuhan (compliance)
Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada `Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.
1.2 Kerentanan dan Penyalahgunaan sistem
Ketika sejumlah data penting dalam bentuk elektronik, maka data tersebut rentan terhadap berbagai jenis ancaman, daripada data yang tersimpan secara manual. Ancaman-ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan lingkungan yang diperparah oleh akibat keputusan manajemen yang buruk. Bagi perusahaan atau individu di dalam menyimpan data-data penting yang menyangkut privasi atau kerahasiaan perusahaan, apalagi perusahaan yang menggunakan web, sangat rentan terhadap penyalahgunaan, karena pada dasarnya web mempunyai akses yang sangat luas dan dapat diakses oleh semua orang, membuat sistem perusahaan dengan mudah mendapat serangan yang pada umumnya berasal dari pihak luar, seperti hacker.
1.3 Ancaman pada Sistem Informasi
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi,. Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode-metode penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) .
STRIDE merupakan singkatan dari:
Spoofing yaitu menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain .
Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.
Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat.
Information disclosure yaitu membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi
Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.
Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistemuntuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:
a) Kewenangan tinggi untuk login kedalam sebuah sistem.
b) Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.
c) Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu.
d) Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.
Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
Tipe – tipe ancaman terhadap keamanan sistem dapat dimodelkan dengan memandang fungsi sistem komputer sebagai penyedia informasi.
Berdasarkan fungsi ini, ancaman terhadap sistem komputer dapat dikategorikan menjadi empat ancaman, yaitu :
1. Interupsi (interuption)
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh : penghancuran bagian perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
1. Intersepsi (interception)
Pihak tak diotorisasi dapat mengakses sumber daya. Interupsi merupakan ancaman terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau program komputer.
Contoh : penyadapan untuk mengambil data rahasia, mengetahui file tanpa diotorisasi.
2. Modifikasi (modification)
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh : mengubah nilai-nilai file data, mengubah program sehingga bertindak secara berbeda, memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
3. Fabrikasi (fabrication)
Pihak tak diotorisasi menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh : memasukkan pesan-pesan palsu ke jaringan, penambahan record ke file.
Kejahatan Komputer dan Terorisme Maya.
1. Pencurian Identitas adalah pencurian bagian kuncul dari informasi pribadi atau kejahatan di mana seorang penipu mendapatkan informasi yang penting, seperti kartu kredit atau nomor jaminan sosial dengan tujuan mendapatkan layanan atas nama korban atau untuk mendapatkan data rahasia yang tidak tepat. Pencurian identitas telah berkembang pesat di internet. File kartu kredit adalah sasaran utama para hacker situs web. Situs e-commerce adalah sumber informasi pribadi yang luar biasa karena menyimpan nama, alamat, dan nomor telepon.
2. Phising adalah bentuk penipuan melibatkan pembuatan halaman situs palsu atau pesan elektronik (e-mail) seolah-olah berasal dari pihak yang sah dan menanyakan data pribadi yang rahasia. Pharming adalah Teknik phising yang mengarahkan pengguna ke halaman situs web palsu, bahkan saat seseorang mengetikkan alamat halaman situs yang seharusnya.
3. Click Fraud (penipuan lewat klik) adalah : mengklik dengan curang iklan online berbayar untuk mengahasilkan biaya per klik yang tak semestinya. Penipuan lewat klik terjadi seseorang atau program computer dengan curang mengeklik sebuah iklan online tanpa maksud mempelajari lebih lanjut tentang pemasangan iklannya atau melakukan pembelian.
4. Terorisme maya dan perang maya , semakin besar perhatian difokuskan pada kerentanan internet atau jaringan lainnya yang dapat dimanfaatkan oleh teroris, badan intel luar negeri atau kelompok lain untuk menciptakan gangguan dan bahaya luas. Serangan maya seperti itu sasaranya mungkin berupa peranti lunak yang menjalankan pembagian listrik, mengendalikan lalu lintas udara atau jaringan bank-bank atau institusi keuangan besar.
1.4 Kelemahan Sistem Informasi
Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT. Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
1. Pendekatan preventif ,yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
1.5 Sasaran Utama Keamanan Sistem Informasi
Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:
1. Kerahasiaan (Confidentiality)
aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat. Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi. Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi data.
2. Ketersediaan( Availability)
Aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang berhak menggunakannya.
3.. Integritas (Integrity)
aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan
1.6 Ancaman Virus Keamanan Sistem Informasi
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baik menggunakan serangan terarah maupun acak“.
Serangan yang terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi.
Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut :
a. Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada dasarnya, virus merupakan program komputer ya
ng bersifat “malicious”
(memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai
cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai
pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari cara kerjanya, virus dapat dikelompokkan sebagai berikut:
Overwriting Virus
merupakan penggalan program yang dibuat sedemikian rupa untuk menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat menjalankan perintah yang tidak semestinya.
Prepending Virus
merupakan tambahan program yang disisipkan pada bagian awal dari program utama atau “host” sehingga pada saat dieksekusi, program virus akan dijalankan terlebih dahulu sebelum program yang sebenarnya dijalankan.
Appending Virus
merupakan program tambahan yang disisipkan pada bagian akhir dari program (host) sehingga akan dijalankan setelah program sebenarnya tereksekusi.
File Infector Virus
merupakan penggalan program yang mampu memiliki kemampuan untuk melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file “executable”, sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi.
Boot Sector Virus
merupakan program yang bekerja memodifikasi program yang berada di dalam boot sector pada cakram penyimpan (baca: disc) atau disket yang telah diformat. Pada umumnya, sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses “boot-up” pada komputer terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk.
Multipartite Virus
merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam arti kata ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau partition sector dari computer tersebut, dan sebaliknya.
Macro Virus
menjangkiti program “macro” dari sebuah file data atau dokumen (yang biasanya digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga dokumen berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh penggalan program macro yang telah terinfeksi sebelumnya.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya)
b. Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya.
c. Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus. Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain:
Remote Access Trojan
kerugian yang ditimbulkan adalah komputer korban dapat diakses menggunakan remote program.
Password Sending Trojan
kerugian yang ditimbulkan adalah password yang diketik oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan.
Keylogger
kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang keylogger.
Destructive Trojan
kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang diformat oleh Trojan jenis ini.
FTP Trojan
kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat dilakukannya download dan upload file.
Software Detection Killer
kerugiannya dapat mencium adanya programprogram keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.
Proxy Trojan
kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku kejahatan.
2. Pengamanan, kebijakan dan pengendalian
2.1. Pengamanan Sistem Informasi
Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan,sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan:“Secure Socket Layer” (SSL).Metode ini misalnya umum digunakan untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak.
Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan mengatur akses ke informasi melaluimekanisme “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.Di sistem UNIX, untuk menggunakan sebuah system atau komputer,pemakai diharuskan melalui proses authentication Dengan menuliskan “userid” dan “password”. Informasi yang diberikan ini dibandingkan dengan user id dan password yang berada di sistem.Apabila keduanya valid, pemakai yang bersangkutan diperbolehkanmenggunakan sistem.Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan user id dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
Memilih password
Dengan adanya kemungkinan password ditebak, misalnya denganmenggunakan program password cracker, maka memilih password memerlukan perhatian khusus.Berikut ini adalah daftar hal-hal yang sebaiknya tidak digunakan sebagai password.
Nama anda, nama istri / suami anda, nama anak, ataupun nama kawan.
Nama komputer yang anda gunakan.
Nomor telepon atau plat nomor kendaran anda.
Tanggal lahir.
Alamat rumah. Nama tempat yang terkenal.
Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris) Hal-hal di atas ditambah satu angka Password dengan karakter yang sama diulang-ulang.
Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh, di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat digunakan untuk melakukan filter secara umum.Untuk mengetahui apakah server anda menggunakan tcpwrapper atau tidak, periksa isi berkas /etc/inetd.conf. Biasanya tcpwrapper dirakit menjadi “tcpd”. Apabila servis di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server anda menggunakan tcpwrapper. Biasanya, konfigurasi tcpwrapper (tcpd) diletakkan di berkas /etc/hosts.allow dan /etc/hosts.deny.
Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal (Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat dibagi menjadi dua jenis:
o apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted)
o apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan (permitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.Firewall juga dapat berupa perangkat lunak yang ditambahkankepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall.Dalam hal ini, sebetulnya perangkatkomputer dengan prosesor Intel 80486 sudah cukup untuk menjadifirewall yang sederhana. Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy. Keduanya dapat dilakukan pada sebuah perangkatkomputer (device) atau dilakukan secara terpisah.Beberapa perangkat lunak berbasis UNIX yang dapat digunakanuntuk melakukan IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis proxy yang dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalaidibutuhkan software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya dengan menggunakan SOCKS. Beberapaperangkat lunak berbasis UNIX untuk proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19, 24] atau untuk sistem Linux dapat dilakukan denganmengunjungi web site berikut: <http://www.gnatbox.com>.
Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak diundang (intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain:
Autobuse, mendeteksi probing dengan memonitor logfile.
Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
Shadow dari SANS
Pemantau integritas sistem
Pemantau integritas sistem dijalankan secara berkala untuk mengujiintegratitas sistem. Salah satu contoh program yang umumdigunakan di sistem UNIX adalah program Tripwire. Program paketTripwire dapat digunakan untuk memantau adanya perubahan padaberkas. Pada mulanya, tripwire dijalankan dan membuat databasemengenai berkas-berkas atau direktori yang ingin kita amati beserta“signature” dari berkas tersebut.
Signature berisi informasi mengenaibesarnya berkas, kapan dibuat pemiliknya, hasil checksum atauhash(misalnya dengan menggunakan program MD5), dansebagainya. Apabila ada perubahan pada berkas tersebut, makakeluaran dari hash function akan berbeda dengan yang ada didatabase sehingga ketahuan adanya perubahan.
Audit: Mengamati Berkas Log
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkaslog ini sangat
berguna untuk mengamati penyimpangan yangterjadi. Kegagalan untuk masuk ke sistem (login), misalnya,tersimpan di dalam berkas log. Untuk itu para administratordiwajibkan untuk rajin memelihara dan menganalisa berkas logyang dimilikinya.
Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan diadapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data diback dilupakan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.Untuk menghindari hal ini, enkripsi dapat digunakan untuk melindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orang yang tidak berhak. Salah satu implementasi mekanisme ini adalah SSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:
SSH untuk UNIX (dalam bentuk source code, gratis) SSH untuk Windows95 dari Data Fellows (komersial)http://www.datafellows.com/
TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95) http://www.paume.itb.ac.id/rahard/koleksi
SecureCRT untuk Windows95 (shareware / komersial)
Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satau mekanisme untuk meningkatkan keamanan adalahdengan menggunakan teknologi enkripsi.Data-data yang andakirimkan diubah sedemikian rupa sehingga tidak mudah disadap.Banyak servis di Internet yang masih menggunakan “plain text”untuk authentication, seperti penggunaan pasangan userid danpassword.Informasi ini dapat dilihat dengan mudah oleh programpenyadap (sniffer).Contoh servis yang menggunakan plain text antara lain:
• akses jarak jauh dengan menggunakan telnet dan rlogin
• transfer file dengan menggunakan FTP
• akses email melalui POP3 dan IMAP4
• pengiriman email melalui SMTP
• akses web melalui HTTP
Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai penggani telnet atau rlogin) akan dibahas di bagian tersendiri. Telnet atau remote login digunakan untuk mengakses sebuah “remotesite” atau komputer melalui sebuah jaringan komputer.Akses inidilakukan dengan menggunakan hubungan TCP/IP denganmenggunakan userid dan password.Informasi tentang userid danpassword ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya ada kemungkinan seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan user id dan password ini
2.2 Kebijakan Keamanan Sistem Informasi
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya. Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya. Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information Communication Technology) dengan pengarahan dari pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah:
- Keamanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan Karyawan diwajibkan untuk memiliki “melek” keamanan informasi. Mereka harus mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem informasi diabaikan.Semua manajer bertanggung jawab untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan bagiannya.
- Penetapan pemilik sistem informasi Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagian ICT (Information Communication Technology).
- Langkah keamanan harus sesuai dengan peraturan dan undang-undang Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.
- Antisipasi terhadap kesalahan Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga kejanggalan dapat di koreksi secepat mungkin.
- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini.
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem informasi Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut.
- Pekerjaan yang dilakukan oleh pihak ketiga Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistm informasi perusahaan.Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah ditentukan.
- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem.
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request) Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting apabila semua pihak yang terkait harus menandatangani “change request” sebelum kegiatan ini dimulai.
- Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman. Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID) Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini.
2.3 Pengendalian Sistem Informasi
Berkaitan dengan sistem informasi, maka diperlukan tindakan berupa pengendalian terhadap sistem informasi.
Kontrol-kontrol terhadap sistem Informasi antara lain :
1. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas.
Kontrol ini mencakup hal-hal berikut:
• Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
• Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
• Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
• Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
• Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
2. Kontrol Pengembangan dan Pengendalian Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.
3. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Termasuk dalam kontrol ini:
• Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya
• Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
• Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
• Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai
• Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
1. Proteksi fisik terhadap pusat data
Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat data, factor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik.
Untuk mengantisipasi segala kegagalan sumber daya listrik, biasa digunakan UPS. Dengan adanya peralatan ini, masih ada kesempatan beberapa menit sampai satu jam bagi personil yang bertanggung jawab untuk melakukan tindakan-tindakan seperti memberikan peringatan pada pemakai untuk segera menghentikan aktivitas yang berhubungan dengan sistem komputer. Sekiranya sistem memerlukan operasi yang tidak boleh diputus, misalnya pelayanan dalam rumah sakit, sistem harus dilengkapi generator listrik tersendiri.
1. Kontrol Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada komunikasi jaringan, prosesor, penyimpan eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi. Redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang akan mengambil alih prosesor yang bermasalah.
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih bai. Toleransi kegagalan pada catu daya diatasi melalui UPS. Toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi kegagalan.
1. Kontrol Akses Terhadap Sistem Komputer
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut.
1. Kontrol Terhadap Sistem Informasi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi
.
Daftar Pustaka
1. Raymond, McLeod, Jr. 2009. Sistem Informasi Manajemen edisi 10. Jakarta: Salemba Empat.
2. James A. O’ Brien, Introduction to information System, Edition 12, 2005
3. Tuban, McLean, Etherbe, Information Technology for Manajement, Second Edition, John Wiley & Sons.Inc., New York, 1999.
4. Kroenke, D.M. (1992) Management Information System, Second Edition, California: McGraw-Hill Book co.
5. McLeod, Raymond Jr. (2001). Management Information System. Eight Edition. New Jersey: Prentice Hall.
6. Marshall B. Romney, Paul John Steinbart, 2006. Accounting Information System, Ninth Edition, Prentice Hall.
Tidak ada komentar:
Posting Komentar